作者:朱敏

　　【賽迪網訊】

　　《達芬奇密碼》講述了一個神話故事，但內網安全并非神話故事，需要切實防控。

　　對于企業內部網路的安全威脅，怎么強調都不過分

　　在員工瀏覽色情網站、使用即時通訊和訪問購物網站的時候，一些間諜軟體、廣告軟體等惡意程序就會不知不覺地被下載到電腦中，并在企業內部網路中進行傳播。嚴重者可能導致公司信息系統被入侵、机密資料被竊以及公司網路堵塞等問題。

　　由于企業忽視對關鍵數据和敏感信息的保護措施，致使所有的人都可以輕而易舉地訪問這些核心數据，從而為企業机密文件的泄露埋下了隱患。

　　企業網路雖然有里三層、外三層的防護，但攻擊事件仍然不斷，企業机密文件仍然不知不覺地跑到競爭對手的電腦里。

　　所有這些都表明，網路安全問題已不再只是外部攻擊和簡單的病毒防護。當企業花費大量資金和精力构建起龐大的網路架构和安全防護體系時，殊不知，威脅企業生存和發展的是來自內部網路的安全隱患，而且其危害遠大于一次黑客攻擊或一次病毒騷擾。据FBI和CSI曾對484家公司進行的網路安全調查結果顯示：超過85%的安全威脅來自公司內部，由于內部人員泄密所導致的資產損失高達6000多万美元，它是黑客所造成損失的16倍、病毒所造成損失的12倍。

　　您的內網有此問題嗎？

　　古語云：“知己知彼，百戰不殆”。企業要想找到安全體系失控的原因，不僅需要了解外網安全的環境，更要清楚地了解影響企業內網安全的因素，以及內網安全所面臨的問題。只有弄清了外網安全和內網安全的交互關系，以及各自所面臨的安全環境和安全問題，才能制定清晰的整體安全策略、合理地部署安全架构，內外呼應，實現企業網路的整體安全。

　　安全机制尚需完善

　　企業往往注重網路邊緣的安全防護，認為外部安全了，內部自然就平安無事。因此，在制定安全机制或策略時，往往是針對外部威脅而設定的。許多企業對企業核心數据和信息的保護几乎是零，既沒有身份認證的授權要求，也沒有等級的訪問權限，更沒有進行适當的數据加密處理，企業机密几乎被置于真空當中。另外，大部分企業對員工的上網行為和上網方式，也沒有嚴格的限制措施，使得許多安全風險都伴隨員工不當的上網行為和上網方式而來。比如，員工私自撥號上網，就可能把間諜軟體，甚至是木馬病毒帶入內部網路環境當中。

　　單一防護無法构建深層防護體系

　　要想使企業內網成為一個安全的環境，首先就要解決網路邊緣的安全問題。只有網路邊緣安全了，才能防止病毒、蠕虫、惡意威脅透過網際網路進入企業內網。于是，許多企業開始在網路邊緣部署防病毒軟體、防火牆、防病毒網關、IDS等安全設備，但是這几种設備均是基于對已知攻擊手段的防范，無法有效防范未知攻擊手段。防火牆沒有辦法實現對內部用戶安全攻擊的控制；IDS不能實現對所有業務的監測和控制；防病毒軟體沒有辦法控制病毒在網路內的傳播；雖然企業不只有一台防火牆、一台IDS，但仍然無法避免威脅的攻擊。這說明，企業的安全架构只是一副骨架，各個環節之間并沒有進行聯動和配合。因此，這种安全机制勢必會造成顧此失彼的防御問題，從而也就無法保障內網的安全。

　　網路資源使用不當 無法保障網路穩定

　　網路的穩定性、可靠性和可用性是保障企業業務順利進行的基礎。然而，目前大部分企業沒有合理利用網路資源的策略和机制，只是等著問題的出現。問題出來了，網路不穩定了，才去查找原因，這是一种被動的思想。正是這种被動的策略環境，使得員工無法控制自己的上網行為，不僅浪費了大量的網路資源，甚至還可以導致網路癱瘓。比如，有很多員工在上班時間利用BT下載音樂、電影等。

　　您的內網有此策略嗎？

　　企業若是忽略了其內網安全防范措施，將損失許多寶貴的核心數据、專利技術信息，多年累積的技術資產和研發投入成為他人的嫁衣，甚至可能因此導致企業失去競爭力。企業還可能喪失的是其聲譽，以及員工、合作伙伴与客戶的信賴。怎樣才能有效地實現內網安全呢？企業除了制定健全的內網安全机制之外，不妨從數据加密、身份認證以及上網行為管理等方面多下功夫，從根本上消除內網安全風險。

　　數据加密提供基礎安全

　　企業除了利用防火牆、IPS、防病毒產品等手段防御外部威脅，數据加密成為保護企業有价值數据的主要工具。利用數据加密解決方案可保護筆記本電腦、工作站和服務器等設備的硬盤上所有文件(包括操作系統文件)的安全。即使硬盤被盜，企業依然可放心數据不會被非授權人瀏覽或獲取。雖然黑客可以潛入企業的服務器，但是，也無法對服務器上的數据和信息資產造成破坏，因為這些資產都得到了安全的加密保護。

　　對電腦硬盤進行加密保護，可以降低信息被非授權者利用的風險。硬盤加密采用業界公認的加密算法，對硬盤進行高強度保護。目前這种保護強度讓硬盤不會被攻破。在沒有經過授權的情況下，硬盤會處于加密保護狀態，即使將其連接到其他系統，也無法讀取或存儲硬盤數据，唯一處理的方式就是將硬盤格式化。采用硬盤加密技術的筆記本電腦，其硬盤上的所有數据被保護起來，大大降低机密數据泄露的風險。

　　身份認證設定訪問等級

　　采用雙因素身份認證的方式，可以達到高強度的安全保護，身份認證可以通過智能卡、一次性口令，或者USB令牌的方式進行。當然，啟動前的授權方式必須是可定制的。用戶可以選擇使用密碼或令牌做為授權的方式。真正好的硬盤加密技術，并不是要通過繁瑣的加密步驟來困擾用戶，而是為硬盤本身提供應有的保護。用戶每天都要登錄系統，因此在不影響用戶使用的前提下，簡單的操作和高強度的保護，才能為用戶提供一個安全、便利的環境。

　　有調研机构曾對1000多名受訪消費者做過有關信息安全問題的調查，內容包括對信息安全的警覺性、電子交易安全的信心以及防范身份被盜用与電腦被攻擊所采取的安全措施等多項問題。當被問及“与去年比較，你對身份被盜用問題的認識是否有所加深？”時，63%的受訪者認為，自己在這方面的認識“加深了”；但是，49%的被訪者表示，他們并不感到今年比去年更安全，更有26%的人認為，自己比2003年更不安全；只有18%的受訪者認為，今年較去年同期更安全，在這18%的受訪者里面，超過半數的受訪者指出，感到更安全的原因在于，他們加強了其個人安全措施，少于30%的受訪者認為，原因是由于電子安全技術有所改進或銀行更改了電子安全的政策及程序。這說明大部分的用戶對身份認證的重要性還意識不到。

　　隨著網際網路日益蓬勃及新興電子商務應運而生，個人的身份識別問題日漸受到重視。這不僅僅是由于網路安全問題日益嚴重，更是因為這是決定真正的網上交易能否達成的關鍵。如何識別某人的真實身份，進而賦予其相應的權限，允許其完成一定的操作，已經成為目前安全領域中迫切需要解決的問題。

　　上網行為管理杜絕安全隱患

　　為防范內部安全問題潛在的威脅，企業需要一套有效率的網路監控、管理和報表解決方案。先進的網路內容安全行為管理解決方案具備隱藏式過濾技術和詳細報表功能，監控但不阻擋瀏覽的能力以及靈活地根据客戶需求進行訂制。網路安全行為管理系統軟硬件設備可以作為路由器使用，因此，企業網路信息系統可以避免被沉重的非工作相關網路流量拖垮的風險。

　　集成的安全管理成為趨勢

　　越來越多的企業認識到了保護資源的重要性。但令人遺憾的是，威脅的數量和嚴重程度使安全管理變得極為复雜，即使是資源最优化的企業都面臨著嚴峻的挑戰。所有企業，不論規模大小，都需要在与惡意軟體及其他安全威脅的戰斗中占得上風，為此，它們都在積極尋找將多种安全功能集成到單個管理控制台的解決方案。當然，企業需要的不僅僅是一個視圖和一個集中的命令中心，企業還需要能夠幫助他們主動地防護不斷增長的威脅。

　　經常有一些安全產品的口碑不好，就是因為使用這些產品時仍然需要大量的管理員，而且需要安全專家用太多時間對事件日志和數据進行分析解釋。不管是要部署更多資源、斷開網路訪問還是要部署清理服務，客戶總是希望能夠查看到有用的數据以便立即決定要開展的工作。這一原理同樣适用于小型組織。一般的小型企業沒有專門進行安全管理的大量員工資源，但是保護其信息資源的重要性并不亞于大型企業。一個不僅整合了多項安全功能而且還能夠自動實施的解決方案，在使中小型企業有能力進行有效安全管理方面，有非常大的作用。

　　雖然技術手段是目前安全防護的主要方法，但是，企業應該學會利用合理的安全机制和政策，從意識上改變對網路安全的認識，從而做到防患于未然。要想更好地解決網路安全問題，需要更多地從組織机构內部而不是基于外部攻擊來考慮安全問題。如此，來自公司內部的超過85%的安全威脅才可能降下來，而這個比例能降多少，則要看企業自己了。