雲計算時代給內網安全帶來的挑戰

1、內網安全的本質

最近一兩年資訊洩露的案例屢見不鮮，如滙豐銀行離職員工造成的客戶資料洩露、國內某大型造船廠發生的設計資料非法拷貝等事件。 並且，隨著P2P應用的普及，越來越多的商業網路流量被佔用，病毒、木馬等不斷地滋生，這些都使得企業和業界對內網安全的風險更加關注。 那麼，究竟什麼是內網安全呢?

其實，「內網安全」一直沒有一個明確的定義，引用著名資訊安全專家方濱興院士的定義，資訊安全包括5個層面：物理安全、資料安全、運行安全、內容安全和管理安全。 物理安全是指對網路與資訊系統物理裝備的保護;運行安全指對網路與資訊系統的運行過程和運行狀態的保護;資料安全指對資訊在資料收集、處理、存儲、檢索、傳輸、交換、顯示、擴散等過程中的保護，使得在資料處理層面保障資訊依據授權使用 ，不被非法冒充、竊取、篡改、抵賴;內容安全指對資訊在網路內流動中的選擇性阻斷，以保證資訊流動的可控能力;管理安全是指在資訊安全的保障過程中，除上述技術保證之外的與管理相關的人員、制度和原則方面的安全措施。

究其本質，並且結合當前業界關注的焦點和相關產品設計的思路，內網安全更強調的是資料安全、運行安全和管理安全，而其核心是資料安全和管理安全，也就是如何通過各種技術、手段、工具以及管理方法來阻止內網資料的洩漏。

實現內網安全需要技術與管理相輔相成，但究竟是「管理為先」還是「技術為先」一直存在爭論。 其實，管理和技術的問題已經談論很多年了。 我們暫且不談論哪個應該為先，我認為兩手都要抓。 技術以管理為指導，管理以技術為落腳點。 七分管理，三分技術，從很多安全標準以及IT治理標準中都可以看出來，比如ISO270001，COSO，COBIT等等，他們大都是從管理入手，然後談到一些實現的技術。

2、內網安全之技術選型

舉個例子，內網安全關注的資訊防洩漏管理包含了監控、審計、加密等技術，市場上既有實現單個功能的產品，也有整合的解決方案，那麼，實現資訊防洩漏管理，是企業購買多個單一功能的產品來自主搭建體系好， 還是採用廠商提供的整體解決方案更佳?我們需要一分為二的來看待這個問題。 有的企業剛起步，沒有足夠的人力和能力來做系統集成，因此傾向于購買一整套解決方案;而有的企業則配備有很多的人力，來對各家產品進行細緻的選型，採購和部署，自己形成一套解決方案，集各家之所長，這在當前也非常常見。 這兩種做法各有優劣，根據企業的情況來實際操作即可。

另外，在設備選型方面，業界其實並沒有非常統一的標準，我根據經驗給出如下幾個判定因素，供大家在實踐選型中參考：(1)功能性：防洩露產品的功能需要保證在複雜的網路環境和工作環境中，以及複雜的條件下都能夠很好的工作。 主要判斷其是否包括資料防洩漏、上網行為管理、資料使用及應用行為審計等功能;(2)穩定性：產品能夠在大資料量環境甚至極端環境中都能穩定地運行，不存在單點故障。 並且，需要確保其處理能力(輸送量)能夠應對商業網路流量的壓力，不至於導致大流量環境下的部分甚至全部功能失效;(3)相容性：產品應該能夠很好、方便地集成到現在的企業安全體系中，而不是獨立于安全體系之外。 舉個簡單的例子，現在很多內網安全產品都在用戶端作為Agent(代理)進行部署，與伺服器上部署的安全服務端進行聯動，這些Agent不應與使用者電腦上的其他軟體產品產生衝突和不相容， 以避免由於部署安全產品而導致業務無法進行等問題;(4)可審計性：能夠提供強大的報告生成(report generation)功能，並且以方便使用的GUI(圖形化使用者介面)方式來展現給管理員和審計者，以方便審計、查閱和檢索， 因為內網安全產生的資料是海量的，報告將給管理工作帶來極大便利。

3、內網安全之技術涉及隱私的考慮

內網安全的行為審計可以發現不少內網安全的「內鬼」，但是國內對於「行為審計是否侵犯個人隱私」一直存在爭論。 從企業的角度來看，部署行為監控和行為審計類產品無可厚非，這是企業合規的一個重要步驟。 比如郵件的archive和auditor，這都是非常必要的工作。 從技術層面來看，行為審計並不一定要侵犯個人隱私，或者說不完全要侵犯個人隱私。 只需要提供一些關鍵的審計詞，通過借助軟體的方式，並且嚴格限制審計者對原始資料的接觸，就能比較好地做到尊重個人隱私。 而且，企業審計也是一門學問，當前有很多的認證，比如CISA等，就很好地證明了審計的重要性。

4、雲計算時代給內網安全帶來的挑戰

隨著技術的快速發展，雲計算、移動應用、社交網路已經成為許多員工的日常應用，這些設備與技術的應用，給內網安全帶來了巨大的影響。 在選擇、實施內網安全技術和產品的時候，需要根據新的情況提出新的要求，從而滿足日益變化的應用需求的挑戰。

在此環境下，內網安全產品供應商除了提供設備外，還應該為企業提供一些諮詢服務。 其實，現在安全產品供應商應該順承一個趨勢，就是從device provider(設備供應商)逐步地過渡到solution provider(解決方案供應商)，沒有哪一家廠商可以說自己的產品包羅萬象，可以滿足使用者的所有需求。 使用者目前更關注的是解決方案，其次才是實施的產品。 沒有方案，何談產品。 企業使用者在產品選擇時也要更多地關注產品供應商的解決方案是不是合適，高效。

(責任編輯：蒙遺善)