内网安全重要性日益突出 该如何把握内网安全应用变化趋势

内网安全已经不再是只能看到“病毒”、“木马”而无法对这些安全事件进行控制的摆设。如何利用现有硬件资源对内网进行优化？如何进行内网安全管理已经成为企业的最大需求，在这样的需求点之下，方案商如何把握企业客户对内网安全应用变化的趋势，已经成为摆在所有人面前的一大问题。 寻找内网安全新机 我们谈内网安全时，已经同以前有了很大区别，内网安全不再是只能看到“病毒”、“木马”而无法对这些安全事件进行控制的摆设。如何利用现有硬件资源对内网进行优化，如何进行内网安全管理已经成为企业的最大需求。我们看到今天的客户的内网系统中，结构比较清晰、用户和资源的情况也比较清楚。在这种情况下，如果依然只能做到技术层面的“事件”报告和分析，显然意味着网络安全工作还没做好。 从这一点而言，客户内网安全应用的变化趋势实际上是网络快速发展的一个现实写照，客户今天已经非常明确自己要保护的是“信息”而不是“信息系统”。而“信息”通过我们的用户、通过我们的网络系统和存储设备，可能在网络中不停地移动。有时候，你的“重要信息系统”没问题，可是重要信息在别的地方被偷走了；有时候，你的重要信息系统发生了变化，可是原来的一些重要信息被扔在无人问津的角落里忘记了，被人偷走了都不知道。 由此而言，在内网中，由于网络本身是隔离的，这导致用户本身会更加大意地处理信息，对个人计算机的安全防护也觉得不重要，同时还导致内网中的系统升级和隔离非常不及时。这两个因素都导致内网中的实际安全隐患更多，一旦出现问题，更容易遇到重要信息被窃取等危害。 另一方面，这种应用需求的改变，显然需要方案商为客户排忧解难，换句话说，这为方案商带来了新机会。 赵立生：作为一名方案商，我认为“等级保护的概念”几乎所有的方案商都知道了，但是今天客户这样应用需求的转变让我们对内网安全有了新的认识，如果今天用户对于内网安全的需求还被狭义地理解为对信息系统的保护，而忽略了针对信息本身的信息确保等工作，那一定不能达到企业用户安全保护的目的。 事实上，企业今天面临的问题，方案商可以考虑能否从合规性方面解决这些问题：用户的敏感信息为什么会出现在不该在的地方？是否当初存放个人的这些信息是合规的，只是技术升级以后很多情况都变化了，这些信息却没有得到妥善的处理，出现了合规性的问题也没人知道。 构建应用新方案 合规管理是否就是目前解决用户内网安全应用变化的最佳办法？方案商应该如何给客户进行合规性管理建设呢？ 目前合规性管理很重要，在企业内网里，不符合规定的做法大量存在。现实中，IT领域的合规性问题解决得很不好，对不合规的做法监督不到位、方法过时、技术手段也不到位；有关的规定不合理，又不帮助员工解决问题，导致员工为了工作不得不违规；静态的安全检查效果很差，周期很长，不能满足实际要求，等等。2007年以来，我国披露了很多互联网失泄密事件，大部分都属于这个原因。当时在分析时不是没有规定，而是规定没有被很好地执行；不是规定全都是错的，而是没有技术手段帮助规定产生应有的作用。这就引出合规性管理问题。 管理的概念不同与考核、监督检查等。这也是为何现在我们谈为企业进行内网构建都会考虑到合规性管理，它的意义在于制定相关制度和策略的最终目标要定在管理，帮助大家满足策略要求、达到要求，而不是只去检查一下。这种管理工作，并不是列一些规定，隔一段时间去检查就可以完成的，而是要包括很多方面工作的互相配合，例如制度上的设计，甚至包括生产流程的调整；组织结构上的设计调整，以确保制度和其它有关工作的落实效果；技术能力上的建设，包括相应的系统发现网络安全威胁和不合规现象；人员能力上的建设，包括让每个人参与到合规性保障的过程中等等。 从近一年来客户需求的改变来看，对于现在的内网安全保护工作，方案商在抓住这种应用转变的时候可以从技术角度和案例实施两方面来考虑问题。 在技术角度方面，今年，我们已经可以看到厂商网络安全产品上的升级，比如：上网行为监管、设备管理、用户管理、系统管理等很多系列的产品。不过似乎在把这些相关技术进行整体的整合方面还不太够。我们方案商可以将这些产品进行方案整合，制定相应的解决方案在围绕信息确保的思想，帮助用户以信息追踪、保护为核心来进行内网安全保护这方面，似乎还需要更多的技术和产品。 在案例实施过程中，我们看到用户本身存在的最大问题是重视不够。很多用户还是属于感知期，认为产品和方案是解决自身网络安全问题的根本，而忽略了管理问题的重要性。我们要做的就是向用户普及认知，让他们了解到今天内网安全应用趋势已经发生了很大的转变。如果今天用户还是不重视管理，不重视质量控制，那么还是不能从根本上提升客户的能力和水平。 把握用户需求变化 内网管理确实对于现在的企业客户而言很重要，但是内网安全角度讲，方案商在给客户解决目前的应用需求的时候，应该把握住那些方面呢？ 从内网的安全角度来说，首要解决的问题还应该集中在防止黑客攻击上，那么，技术上而言就要解决硬件黑客技术，我们以前比较熟悉的是软件攻击，产品端而言，有新一代身份证、电子护照进行破解（中国的第二代身份证，香港、澳门电子护照皆采用了带芯片的技术）等。 其实，方案商角度看，内网安全应用趋势从技术上考虑，很重要的便是“密码”技术，很多方案商在整合解决方案的过程中，实际上就是在进行密码技术管理。 概括地讲，人们可以用硬件化、标准化、系统化总结密码的应用趋势。 除了这三点趋势外，在不用应用领域，密码技术也有其不同的特点。对于这一点在信息安全与通信保密杂志社承办的内网安全论坛上听到过很多业内讨论关于这方面的观点。 首先在电子政务领域，需要建立一个统一的密码服务平台，利用密钥管理基础设施实现密码设备的统一管理、统一密码策略和统一的密钥分发。利用电子认证基础设施在电子政务内网中建立统一的信任体系，提供统一的PKI基础设施；利用安全应用支撑平台建立安全的应用支撑环境和密码服务；在终端采用电子政务专用密码算法和设备。电子政务外网也在逐步向这个方向发展，开始建立财务统一的认证基础设施。 另外，可信计算也离不开密码技术。事实上，可信计算的核心技术就是密码技术，针对内网来说，可信计算可以包括以下3个方面：第一用户身份可信，从源头控制，要保证用户身份可信；第二设备的可信，只有受信任的载体能够进入终端；第三应用程序的可信，不管原因是什么，只要是允许在内网里运行的程序都是可信的；第四是行为可信，这要求内网里边所有用户行为要可控，主要在可信框架中完成。 最后，等级保护也需要密码技术的安全项，重点是对三级以上系统密码技术的使用，密码技术在等级保护里提供的主要保护措施是身份鉴别、信息机密性保护、信息完整性保护还有防抵赖。 内网安全的发展是多元化的，这还需要企业多多关注才可以。