內(nèi)網(wǎng)安全是信息安全的重要組成部分，歷年頻發(fā)的內(nèi)網(wǎng)安全事件使得企業(yè)對(duì)其備受重視。然而，"內(nèi)網(wǎng)安全"一詞出現(xiàn)了近十年，卻一直沒有明確的定義。在防護(hù)內(nèi)網(wǎng)安全過程中，往往對(duì)網(wǎng)絡(luò)、終端、外設(shè)等各個(gè)方面設(shè)防，那么其核心到底在何處？我們近期采訪了知名業(yè)界專家、企業(yè)代表、廠商專家，集結(jié)三方與您一起探討這個(gè)問題。

眾所周知，傳統(tǒng)網(wǎng)絡(luò)安全主要防治來自網(wǎng)絡(luò)外部的威脅，因而主要防護(hù)的是網(wǎng)絡(luò)邊界的安全，主要采用防病毒軟件、防火墻等手段進(jìn)行防護(hù)。而內(nèi)網(wǎng)安全不僅需要防護(hù)網(wǎng)絡(luò)邊界，還要確保存在于內(nèi)網(wǎng)中的終端、服務(wù)器、網(wǎng)絡(luò)的安全，同時(shí)防止員工即人的泄密。對(duì)此，業(yè)界主要采用認(rèn)證、授權(quán)、審計(jì)、準(zhǔn)入、監(jiān)控、加密等多種手段來保護(hù)內(nèi)網(wǎng)安全。

之所以需要多種手段，這與企業(yè)內(nèi)部信息化的建設(shè)使得內(nèi)網(wǎng)問題不斷演化不無關(guān)系。內(nèi)網(wǎng)安全問題一直在演化，早期內(nèi)網(wǎng)安全產(chǎn)品主要以桌面防護(hù)為主，主要是通過連接控制、補(bǔ)丁分發(fā)、設(shè)備加密等手段保證安全。當(dāng)內(nèi)網(wǎng)安全產(chǎn)品相對(duì)成熟，文檔加密、安全管理、主機(jī)監(jiān)控與審計(jì)、移動(dòng)存儲(chǔ)介質(zhì)管理、網(wǎng)絡(luò)準(zhǔn)入控制等技術(shù)產(chǎn)品隨著企業(yè)信息化發(fā)展，相繼在內(nèi)網(wǎng)安全領(lǐng)域走熱。內(nèi)網(wǎng)安全的范疇在不斷變化，定義也就無從說起。時(shí)至今日，"內(nèi)網(wǎng)安全"并沒有一個(gè)官方的定義。制造業(yè)信息化專家黃培博士認(rèn)為："'內(nèi)網(wǎng)安全'這個(gè)概念一直沒有明確定義，是因?yàn)?內(nèi)網(wǎng)安全'的范圍在不斷的變化，它本身就是一個(gè)泛指。"

在溢信科技產(chǎn)品總監(jiān)黃凱看來 ，"內(nèi)網(wǎng)安全"范疇之所以不斷變化，因?yàn)?quot;內(nèi)網(wǎng)安全"更像是一個(gè)理念，而非簡(jiǎn)單的概念。相比于傳統(tǒng)安全是假設(shè)威脅來自于系統(tǒng)外部，"內(nèi)網(wǎng)安全"的假設(shè)信息系統(tǒng)內(nèi)部存在著潛在的來自網(wǎng)絡(luò)、終端、外設(shè)以及 "人"這個(gè)不確定的因素的多方威脅。實(shí)際上，包括監(jiān)控、準(zhǔn)入控制、加密等不同的技術(shù)，可以理解成數(shù)據(jù)安全保護(hù)技術(shù)在不同時(shí)間段的階段性技術(shù)，每一個(gè)時(shí)期都有一個(gè)熱點(diǎn)。比如早期是監(jiān)控，爾后出現(xiàn)了可以即時(shí)阻斷的防水墻和過濾技術(shù)、高強(qiáng)度的加密技術(shù)，再后面出現(xiàn)的準(zhǔn)入控制等等。"行業(yè)的發(fā)展證明，內(nèi)網(wǎng)安全并不是某一項(xiàng)技術(shù)，而是以內(nèi)網(wǎng)的數(shù)據(jù)保密為中心，結(jié)合多種技術(shù)形成的信息防泄漏體系。"

由于保證內(nèi)網(wǎng)安全的手段有眾多，需要多種技術(shù)，各個(gè)技術(shù)各司其職，對(duì)于內(nèi)網(wǎng)安全的核心在何處，爭(zhēng)端也不少。有人認(rèn)為是監(jiān)控--掌握全局；有人認(rèn)為是桌面管理--桌面是主陣地；有人認(rèn)為是準(zhǔn)入控制--不準(zhǔn)接入；也有人認(rèn)為內(nèi)網(wǎng)安全的核心是信息防泄漏--數(shù)據(jù)是王道。不難看出，在黃凱眼中，內(nèi)網(wǎng)安全的核心是信息防泄漏。"從理念上來說，內(nèi)網(wǎng)安全最核心的點(diǎn)應(yīng)該是在數(shù)據(jù)安全，反映在產(chǎn)品上就是信息防泄漏解決方案，它是包括加密、管理、審計(jì)、監(jiān)控等多個(gè)方面的整體方案，這種方案也是目前市場(chǎng)的重點(diǎn)，比如溢信科技最近提出的信息防泄漏的'整體防護(hù)理念'和'IP-guard整體信息防泄漏解決方案'"。

信息防泄漏體系包含多種技術(shù)，而要做到信息防泄漏，也必須從多方面入手。"歸根結(jié)底，內(nèi)網(wǎng)安全核心就是如何通過各種技術(shù)、手段、工具以及管理方法來阻止內(nèi)網(wǎng)數(shù)據(jù)的泄漏。"信息安全專家李洋博士說道。"落到對(duì)應(yīng)的點(diǎn)上，內(nèi)網(wǎng)安全的核心就是數(shù)據(jù)安全和管理安全。"數(shù)據(jù)安全指對(duì)信息在數(shù)據(jù)收集、處理、存儲(chǔ)、檢索、傳輸、交換、顯示、擴(kuò)散等過程中的保護(hù)，使得在數(shù)據(jù)處理層面保障信息依據(jù)授權(quán)使用，不被非法冒充、竊取、篡改、抵賴。主要涉及信息的機(jī)密性、真實(shí)性、完整性、不可抵賴性等。管理安全是指在信息安全的保障過程中，除上述技術(shù)保障之外的與管理相關(guān)的人員、制度和原則方面的安全措施。二者相結(jié)合，才能保證內(nèi)網(wǎng)安全。游俠安全網(wǎng)站長(zhǎng)張百川也表示贊同這種看法，除了技術(shù)上保證數(shù)據(jù)安全，還要通過權(quán)限控制等管理手段去保證技術(shù)的落實(shí)、填補(bǔ)技術(shù)的空缺。

技術(shù)和管理是相輔相成的。尤其在內(nèi)網(wǎng)，人的因素被放大，技術(shù)對(duì)管理的需求也就放大?？v觀內(nèi)網(wǎng)數(shù)據(jù)泄密的案例，從源頭上都與用戶的安全意識(shí)、操作習(xí)慣等密切相關(guān)，縱然技術(shù)能解決主動(dòng)、被動(dòng)的人為泄密，而要從根本上降低信息泄露的風(fēng)險(xiǎn)，還需要從管理上建設(shè)。作為用戶端，企業(yè)對(duì)此深有體會(huì)。鄭州三全食品股份有限公司 CIO 周清湘強(qiáng)調(diào)"內(nèi)網(wǎng)安全"的核心在于技術(shù)手段與管理舉措的完備結(jié)合。他對(duì)"內(nèi)網(wǎng)安全"的定義是指內(nèi)網(wǎng)所承載的信息進(jìn)行合理的授權(quán)使用以及授權(quán)之外的防泄漏措施?？梢钥吹?，"授權(quán)使用"也是對(duì)人的管理。

在技術(shù)和管理的博弈中，三一重工股份有限公司研究總院信息化經(jīng)理譚俊峰更偏重管理。他認(rèn)為內(nèi)網(wǎng)安全的核心是合理的體制制度及有效執(zhí)行，包括規(guī)劃、實(shí)施、日常管理等。這與三一重工的企業(yè)現(xiàn)狀不無關(guān)系。在大企業(yè)中，技術(shù)手段只是維護(hù)的一部分，而管理則是企業(yè)保證長(zhǎng)治的必須手段。在這些CIO們眼中，管理是根本上解決問題的，技術(shù)是輔助手段。

綜上所述，筆者認(rèn)為，內(nèi)網(wǎng)安全的核心在于信息防泄漏，實(shí)現(xiàn)手段是技術(shù)和管理，這是無可厚非的共識(shí)。隨著互聯(lián)網(wǎng)2.0的興起，網(wǎng)絡(luò)環(huán)境變得更為復(fù)雜，對(duì)企業(yè)非常重要的敏感數(shù)據(jù)的安全已經(jīng)越來越難以保證。從無數(shù)個(gè)案例中可以看出，敏感數(shù)據(jù)對(duì)企業(yè)的重要性，因此數(shù)據(jù)安全應(yīng)該作為內(nèi)網(wǎng)安全乃至信息安全的重中之重。調(diào)查顯示，2010年中國(guó)至少49%的企業(yè)表示至少有過一次數(shù)據(jù)泄漏事件，因內(nèi)部原因造成的數(shù)據(jù)泄漏較上一年增加了兩倍，并且還在高速的增長(zhǎng)。信息防泄漏已經(jīng)成為既黑客攻擊之后，企業(yè)關(guān)注的焦點(diǎn)。

在技術(shù)實(shí)現(xiàn)手段上，無論是監(jiān)控、桌面管理、準(zhǔn)入控制還是加密、審計(jì)等等，最終都將為信息防泄漏服務(wù)，它們都是信息防泄漏體系中的一環(huán)。隨著企業(yè)信息化的發(fā)展，內(nèi)網(wǎng)安全的范疇也在不斷變化，只有全面的體系才能保證內(nèi)網(wǎng)安全。此外，通過單方面的技術(shù)手段是解決不了內(nèi)網(wǎng)安全問題的，由于內(nèi)網(wǎng)中有不確定的"人"的因素，因此，企業(yè)內(nèi)部管理也是非常重要的一方面。作為產(chǎn)品提供商，溢信科技強(qiáng)調(diào)，產(chǎn)品只是幫助用戶解決問題的一種技術(shù)手段，企業(yè)自身的管理和制度對(duì)于內(nèi)網(wǎng)安全保護(hù)，都是非常重要的環(huán)節(jié)。而從企業(yè)的回答來看，作為企業(yè)代表，周清湘非常明確的認(rèn)可了這一點(diǎn)。

內(nèi)網(wǎng)安全，心在信息防泄漏，要實(shí)現(xiàn)它，技術(shù)和管理二者缺一不可。常言道"三分技術(shù)、七分管理"，但是有人說"四分技術(shù)、六分管理"，更有人說"二分技術(shù)、八分管理"，您認(rèn)為呢？請(qǐng)關(guān)注"內(nèi)網(wǎng)安全"十年之"辯"系列之二："內(nèi)網(wǎng)安全，何馬當(dāng)先？"