由繁化简——企业内网安全的精益化管理

　　局域网技术从真正实现商用的第一天起，就一直采用一种以开放和共享资源为主的模式。在追求较高便利性的同时，安全性必然会受到一定的影响，这也是内网安全问题自始难以解决的最重要内因。

　　管理上的细度和深入程度，往往决定了一套内网安全体系最终的层次。而往往那些层次较高的解决方案，在管理和应用上反而更加简单。众所周知，一个使用起来复杂的安全工具往往会因为误用而带来更多的安全问题。真正理想化的内网安全状态，应该是通过对管理的精益化，而将本就繁复的内网安全问题简单化。

　　就各种公布的调查数据来看，即使在最乐观的情况下，内网安全问题所造成的损失也超过了外网安全问题。将近四分之三的安全问题是由组织内部原因引起的，这其中主要包括了对企业信息设施的非授权访问和电子文档的泄漏。

　　这种情况一方面反应了部署在内网、外网边界的安全防护措施确实阻断了大量的外部攻击，而从另一方面也不难得出这样的结论，内网安全在时下已经成为信息安全领域最重要也是最难解决的课题。

　　当各个组织都在对游弋于互联网空间的黑客们百般担忧恐惧之时，殊不知正是那些被信任的人们，因为自身的失误甚至是物质诱惑，为攻击者们打开了方便之门。从流行的网络安全问题及其攻击手段也可以看出，利用内网安全问题已经成为主流趋势。

　　知名的特洛伊木马程序几乎都内置了感染内网计算机之后再向外网发起反弹式连接的机制，这对于那些允许员工相对自由接入互联网的组织来说，堪称百试不爽。而更是有大量疏于防范的内网计算机被攻击者占领，被用作实施拒绝服务攻击等大规模迫害行为之用。

　　内网安全问题所具有的普遍性和严重性，使得我们无法再停留在重视内网安全问题的层面上，而必须要对其有彻底而清醒的认识，这样才能进一步对问题进行妥善的解决。

　　内网安全问题上的一个谬误是，人们经常无法正确区分内网安全所涉及的范围。例如，经常有人会将内网安全和终端安全等概念等同视之，事实上内网安全和终端安全还是有着比较明显的区别的。一般来说，终端是指内网中的服务器、客户端、网络设备等节点。这些节点虽然代表了内网安全防护的主要目标，但是绝不是内网安全的全部。

　　从比较广泛的认识来看，内网是指与互联网相连但是中间有安全隔离设备的局域网络。内网安全应该涵盖了整个组织内部的信息安全问题，终端安全是内网安全的有机组成部分，过分地强调终端安全或者其它某一个领域的内网安全问题，是欠缺全面性的。

　　这个谬误往往造成内网安全的一个最重要问题，就是安全防护不成体系，各个安全防护点、防护措施之间整合度不够，无法良好地协同。对于一个完善的内网安全防护体系来说，不单单只要强化每个终端节点的安全性，还要监控在内网中传输的网络流量、确认数据存取是否符合权限规定、处理硬件和软件环境的变更等，工作内容甚是繁杂。

　　而且，随着信息安全意识的进步，企业的关注点已经不再局限于对信息节点进行单纯的监控管理，同时也考虑到应用效率和管理效率等更多的因素。也就是说，用户对于内网安全的认识正在变得更加健全和健康，也更加的全面。这就对内网安全技术和产品提出了很多新的要求，就像UTM类型的整合式安全设备正在越来越获得认可一样，在内网安全领域整合式的产品服务无疑也将会受到用户的欢迎。

　　正如鼎普科技的技术总监王海洋女士所言：“我们不光提供产品，我们要提供的是一整套解决方案，包括介质的使用管理、终端的非法外联管理、补丁的增发等等”。所谓三流的公司卖产品，二流的公司卖服务，一流的公司卖标准，只有体系健全、技术规范、需求把握准确的产品才能真正提升用户的内网安全防护质量。

　　另外一个必须引起重视的问题，还是信息安全领域的老生常谈，那就是管理层面的问题。这不仅仅是指管理层提供的重视和支持，也不完全是管理制度的重要性，而更多的表现于内网安全体系所具备的管理职能乃至管理“智能”。以实际的例子来说，很多内网安全产品确实具有很多的功能组件，但是对于不同的用户，安全需求往往是不同的。

　　相比来说，一个能够灵活根据不同用户需求进行功能定制和管理的产品，无疑能爆发出更大的安全效能。又比如内网安全常见的端口管理，一些产品只能做到限制USB、网络等端口的访问，而一些先进的产品则还可以实现对这些端口使用状态的监控并实时地返回告警信息。

　　一、技术篇：内网安全问题寻求技术良方

　　引言：对于关注内网安全的人们来说，他们或者是要亲身处理组织中的内网安全问题，或者是每天都在受到内网安全问题的困扰。正所谓“工欲善其事，必先利其器”，在本篇内容中将以更加贴近一线战场的视角为众位读者分析内网安全领域各种常见问题和相关处理方法。

　　在真实的世界里，确实有很多因技术因素而造成的内网安全困局，其中最重要的就是混杂平台问题。即使在一些小企业当中，也可能存在着超过一种以上的操作系统环境。比如那些需要Windows操作系统处理日常办公业务，同时又需要iMac进行设计工作的广告公司。而一些组织虽然只使用一个厂商提供的操作系统，由于计算机硬件配置参差不齐，很难保证使用相同版本的操作系统。

　　就我们所见的一个酒店客户来说，Novell的服务器系统是经常用来支撑酒店业务软件运行的，而相匹配的终端甚至包括了遗留的DOS系统。通常文件服务和Web服务的控制要由Windows 2003 Server或更高版本的服务器操作系统来完成，而办公区域则混合着从Windows 98到Windows XP等不同版本的桌面操作系统。

　　最直接的一点，由于混杂的操作系统种类，该酒店的管理员在处理防病毒、补丁更新、数据备份乃至各种内部应用服务的时候，都需要为这种情况付出大量的额外努力。

　　而在设备管理和跟踪的过程中，也经常会出现一些死角，导致偶有未被登录在案的计算机节点在网络中工作而却茫然不知。可以说，投入到信息安全的成本有很大一部分都因为混杂平台问题而被浪费掉了，这导致的最直接结果就是没有更多的资源来真正提升内网安全防护的质量，从而形成了一个内网安全泥潭。

　　在看到罗列与此的这些问题时，安全管理员一定会有似曾相识的感觉。这个列表中的问题都相当常见而且流行，可以作为内网安全的优先关注点，也可以作为在选择内网安全工具和技术解决方案时的映射目标，最重要的是我们需要正确地认识使用哪些技术可以有效地处理这些问题。

　　目前，国内也有很多CIO选择TIPS安全防护平台，对内网进行有效管理。通过建立四级的防护体系：首先就是以硬件级防护为基础，建立可信可控的信息系统;其次，建立四级可信认证机制的纵深防御体系;接着是实现身份鉴别、介质管理、数据保护、安全审计、实时监控等一系列基本防护要求;最后，安全性、管理性并重，系统既突出安全性，更注重可管理性

　　系统安全补丁自动分发

　　很多管理员都知道微软提供了应用于企业内部网络的产品补丁更新解决方案，但是却不见得都部署和使用过这种方式的更新，毕竟接入互联网下载安全更新实在是太方便了。然而，在现实的应用环境中，并不是所有时候都可以简单地让所有终端计算机都不受控制地接入互联网。

　　Windows服务器更新服务(WSUS)是相对常用的补丁更新工具，运行于服务器操作系统上，能够向各种版本的、包含更新代理机制的桌面Windows操作系统传递和部署更新文件。而对于需要重启控制、计划安排、更新清单和更丰富管理界面的用户来说，付费的系统管理服务器(SMS)将是一个不错的选择。

　　不过，在遇到混杂平台环境时，微软的产品就无法满足需要了，企业可能需要求助于CA的Unicenter这样的第三方商业产品来管理各种不同操作系统的补丁更新。对于Linux等非微软操作系统来说，对面向企业应用环境的更新分发工具的需要似乎还没有那么迫切，不过随着这些操作系统使用比例的提高，也是该重视起来的时候了。

　　加密电子文档同时不影响正常使用

　　对于数据安全来说，根据数据所对应的安全等级进行适当的加密保护是最基本的手段之一。就那些相对公开化的业务应用来说，基于公钥加密和证书认证等手段的体系是相对比较成熟和流行的，而PKI则是其中最典型的代表。一般常用的CA体系架构相对简便，也具有绝大多数用户所需的功能。

　　从存储数据的各个计算机节点来说，现在有大量免费的加密工具和数据擦除工具可用。不过其提供的保密级别往往较低，而且在操作系统层以及应用层进行加密，往往会衍生出其他的安全问题。对于密级较高的电子文档，应该尽可能应用BIOS防护卡等硬件设备，限制数据的存取，并通过芯片级加密保护硬盘上的数据。

　　另外，目前基于USB接口的存储设备比如U盘、移动硬盘等，也可以通过智能判断和权限控制功能，来对其中的数据进行更好的安全管理。在更加高端的领域，用户可能需要对数据的流向采取非常严格的控制，甚至规定必须使用签收刻录光盘的方式来交换某些数据。对于这类问题国内厂商已经提出了不少有效的解决方案。

　　例如鼎普科技的数据单向导入管理系统就相当具有创新意义，这个系统利用了光纤单向传输的特性，在物理层保证数据的流向正确。在使用过程中，鼎普科技的设备一端连入存储涉密数据的计算机终端，一端连入U盘等数据源，即可实现数据的安全存入，而不会出现涉密数据被非法泄漏的问题。从中可以看出，作为以文档加密作为内网安全起点的国内用户来说，也许确实只有国内的厂商才真正了解国内用户的需求。

　　防止扩散的无线信号泄漏组织的有价值数据

　　以Wi-Fi为代表的无线局域网技术似乎已经成为便利性与安全性相互制约的一个经典示例了。尽管Wi-Fi本身的安全性一直相对脆弱，但是在内部网络中提供无线接入能力仍旧成为越来越多企业的选择。对于Wi-Fi无线接入点的管理应该具有相对较高的安全强度和级别，至少不能将其与其它普通的网络节点等同视之。

　　应用WPA加密无线数据通信是必要的，尽管只要攻击者有足够的耐心，还是可能从嗅探到的数据中破解密钥，但是其难度相对于WEP等旧有加密方式来说无疑要困难得多。如果需要更高的安全级别，可以考虑在无线链路上增加令牌验证和VPN访问控制等手段，以提供较强的安全控管能力。

　　对各种移动终端进行接入控制

　　对于笔记本电脑以及越来越多的智能手机终端，企业所能做的安全管理似乎总显得有些力不从心。除了对无线局域网接入进行控制之外，这类终端可能引起的问题还有很多。蓝牙作为极为通用和具有时尚意味的连接方式，安全性却存在一些脆弱点。

　　为了更好地和其它蓝牙设备进行连接，蓝牙往往被设置成相对较低的安全认证等级，而事实上很多设备在出厂时默认就被设为最低的级别，比如大部分的手机产品都是如此。由于仅在链路层提供有限的安全控制，所以蓝牙安全更多地依赖于上层协议甚至应用层来进行安全管理。

　　想真正实现蓝牙安全应该强制性地在蓝牙传送数据时结合其它安全验证措施。虽然这通常很难处理，但不应该被忽视。对于手持设备来说，WAP站点访问是提供业务处理和办公信息获取的通行方式之一。WTLS协议虽然出于性能考虑已经做了一些简化，但是仍是一种具有较高安全性的解决方案。

　　另外一个通行的原则是尽量将WAP网关置于防火墙保护之后，因为数据在到达WAP网关后往往会被解密而失去了WTLS的保护，在其流出WAP网关之后往往容易被俘获。

　　二、技术篇：管理是内网安全的硬道理

　　引言：从近期就安全事件的原因所做的一些调查结果可见，75%的管理员都勾选了安全意识淡薄和安全管理不到位的选项，而软件或网络配置错误也有接近百分之五十的受调查者选择，管理已经成为内网安全问题的重中之重。

　　结合内网安全的种种现状和问题来看，单纯在技术上先进已经无法保证竞争力，甚至已经无法保证实际的防护效果了。这些引起内网安全问题的核心原因，只有在安全管理手段以及安全产品的管理能力达到一定的层次之后才有望解决。面对日益复杂的应用环境，管理员需要具有更深、更精、更高智慧程度的工具来开展自己的工作，否则难免被淹没于安全威胁的浪涛之中。

　　放之四海：具有通用性的内网安全管理体系

　　尽管很多时候人们不可遏止地觉得守护目标不让黑客对其进行攻击是一件很酷的事情，但是在绝大多数情况下，安全管理都是建构在规范和严谨之上的一件工作。这其中不但需要正确的应用安全技术，同时也需要前期的规划和设计以及后期的运营和支持。在这里我们将尝试给出一个内网安全管理体系的基本模型，我们希望它具有广泛和长期的适应性，同时覆盖内网安全各个主要的问题域。

　　一般来说，一个内网安全解决方案从形成到正式开始运行，要经历如图所示的一系列阶段。从认识到有需要解决的内网安全问题或者内网存在安全问题开始，首先需要形成一份需求定义文档。这份需求文档应由信息安全部门和行政部门的管理人员进行评估，然后表决通过。

　　在此之后，应根据需求进行实际内网安全防护体系的构建，这其中通常还可以展开很多子步骤，例如进行安全体系的具体设计等。当一个内网安全体系经过评估之后将融合到现有的信息基础设施当中，同样地，如果基础设施发生变化，相对应的也要进行评估。而在这些工作完成之后，需要对已经成型的安全体系进行评价和验证，以证明其有效性。

　　如果不存在漏洞和考虑不周之处，该内网安全体系将投产于实际的工作环境，而后续的针对应用环境变更所做出的调整、日常的安全管理、发生安全事件时的应急响应和支持等工作将会有序地开展。

　　按部就班：如何操作内网安全管理

　　从管理目标来说，内网安全所处理的主要问题还是内网中的信息也即数据。虽然说Web、电子邮件、即时通信、业务管理系统等建构在局域网和互联网上的应用为企业带来了大量的效率提升，但是并不是所有的人都明白这些应用会给企业的数据带来什么风险，更不知道如何来控制这种风险。

　　通过对信息进行分级并映射其可能的安全风险，以及在这些安全风险变成现实时可能遭受的损失，在拥有这些基础素材之后安全管理人员才能开发出有效的控制措施来将风险降低到可以接受的程度。在形成了完善的信息分级系统之后，组织就可以着手形成自己的基本安全策略。

　　安全策略除了确认信息作为受保护资产的地位之外，更重要的价值在于规定当信息依照其所在等级的风险情况应该受到何种程度的保护。而在预期的成本和目标效果的指导之下，安全管理人员应选择与之相适应的技术和产品来构建安全防护措施。

　　当然，在一切都被搭建起来之后，还有很多安全管理工作需要被周而复始地执行。然而不得不承认的是，很多情况下安全管理人员都直接将构建安全设施作为内网安全管理的起点，同时以很低的效率和很盲目的姿态来开展后续的工作，这样做最可能的结果就是形成一个可能发生安全事件的内部网络。从下面提供的一份示例清单中可以看出，这种未经足够准备就开始的安全工作到底遗漏了多少有益的要素。

　　见着拆招：实例解析内网安全管理

　　也许在95%的讲解内网安全管理的文章中，内网都用来代指与互联网相对的局域网络。但是在实际的安全管理情景中，内网往往还需要被划分成不同的区域。有的时候是因为组织业务的需要，网络已经被进行切割;而有的时候则是为了让安全体系更加具有层次，所以令不同安全等级的数据只能在自己的区域中流动。

　　有相当多的技术可以实现网络隔离，例如防火墙设备、中继网关、应用代理、三层交换机、VLAN等等。尽管很多企业都应用低层的物理隔离设备来分割网络，但是事实上应用最广泛的仍旧是防火墙类型的设备。而另外一个较为明显的趋势是，大部分组织都应用了一种以上的技术或设备来进行网络区域的划分和管理。

　　然而，如果只是利用这些传统的、基本的设施来进行网络隔离管理是相当低效的，也很难与数据隔离、应用隔离等安全管理手段相互融合。所以更加受到推崇的方式，是在一个统一的管理平台之下，将面向各种层面和各种方向的防护机能整合起来。

　　以鼎普科技面向防泄漏的产品解决方案为例，通过BIOS等硬件芯片级别的可信认证来保持终端的安全性，只授权那些可信、可控、处于健康状态的计算机才允许访问内网中的数据，并在此监控和认证的过程中对信息和访问信息的终端进行分级、分层、分组管理，这样才能实现真正意义上的安全管理通畅。

　　另外，对于那些出现安全问题同时可能对内网其它节点造成破坏的计算机，整个安全管理体系可以智能识别并将其与内网切断。这样的体系可以简化安全管理员的负担，甚至每一台计算机都可以被视为内网中的一个内网，管理弹性可见一斑。

　　三、趋势篇：当内网安全遇上云

　　引言： “当我们望向未来的时候，我们可以更好地了解现在”，在信息安全领域亦是如此，带有一点前瞻意味的分析可能更有助于我们了解在安全问题的巨浪中应该赖何为生。主流安全技术与内网安全的融合?新兴内网安全工具的兴起?当面对一个问题时如果我们能够有很多可供选择的答案，虽有点烦恼却也是一种不折不扣的幸福。

　　如果我们将云安全体系的主要特性展开，会发现其与内网安全诉求有着惊人的镜面效应。从核心模式上来说，云安全有能力构建不同种类终端到安全云的统一防御体系，这是而体系性正是目前内网安全解决方案最亟待提高的方面。

　　从防病毒这个最传统也是最为人熟知的安全防护领域来看，云安全体系的应用虽然起步时日尚短但仍以极快的速度进入成熟期。由此获得的成功经验即是对其它内网安全领域的启示，同时也是一种莫大的鼓舞。也许用不了太长时间，就能够看到有其它的产品开始通过云安全来提升自己的防护能力，又或者为自己造势。

　　不得不令人关注的一点是，云安全是否会成为防病毒厂商进一步扩张自己势力范围的契机呢?让我们来看看堪称云安全“先驱者”的趋势科技，其最新推出的云安全2.0技术架构中所包含的文件信誉和多协议关联分析等技术，全都是将矛头指向了终端安全和内网安全。

　　云客户端文件信誉(CCFR)将海量病毒特征码交付给云端服务(比如内网的一台服务器)进行管理，终端计算机进行文件访问时，将直接连接该云服务检查文件的安全性，而不必一定将更新文件分发到各台计算机。

　　这样做不但解放了各个计算机节点的性能和网络带宽，而且在及时性上也有着更充分的保障，对于防护质量具有非常显见的提高。而多协议关联分析技术能够全面支持检测2~7层的恶意威胁，对于时下流行的基于Web页面的恶意攻击、网络钓鱼欺诈等典型的内网安全问题，有着较为全面的解决能力。

　　从这些情况不难看出，由于具备了体系上的优势和功能上的切入点，本身就是致力于终端保护的防病毒厂商，特别是像趋势、赛门铁克、卡巴斯基这样在技术和企业市场方面有很多前期积累的厂商，很有可能成为内网安全领域的一支奇兵。

　　如果延伸一点来看，云安全体系不但能够融合终端与云，网关也可以被纳入安全云的保护，形成“终端->网关”、“终端->云端”、“网关->云端”这样层次丰富且完整的防护体系。如果云安全能够真正渗透到内网安全领域，那其弥合所有计算机设备的特性和目标，甚至有望实现互联网与内网的融合，实现安全的统一化和简约化。

　　生物识别技术刚刚兴起之时，是一种几乎被所有人看好的用于进行身份验证的技术，但是时至今日，居高不下的成本以及其他一些零散的问题仍让这种技术远离主流。这带给我们一些明确的启示，单纯的技术因素永远不?能决定一个安全产品的未来，所以我们当然不应该单纯地从技术角度出发来考虑内网安全问题。内网安全在需要适合当前安全环境的工具和产品同时，更需要那些适应长远发展的理念和架构，有了坚实的基础，才有真正的未来。