Chinasec專(zhuān)家談內(nèi)網(wǎng)安全產(chǎn)品選型三要素

內(nèi)網(wǎng)安全在國(guó)內(nèi)的市場(chǎng)自從2003年左右啟動(dòng)至今，已經(jīng)走過(guò)了4年的歷程，在這個(gè)過(guò)程中，內(nèi)網(wǎng)安全的概念不斷完善和豐富，也在不斷的演進(jìn)，但是，時(shí)至今日，依然缺乏統(tǒng)一的標(biāo)準(zhǔn)，并由于眾多小型內(nèi)網(wǎng)安全產(chǎn)品廠(chǎng)商的進(jìn)入，造成了市場(chǎng)的混亂。與此相對(duì)應(yīng)的是，各個(gè)高度信息化的單位，對(duì)內(nèi)網(wǎng)安全產(chǎn)品的需求凸現(xiàn)，如何選擇一個(gè)合適的內(nèi)網(wǎng)安全產(chǎn)品，已經(jīng)成為眾多網(wǎng)絡(luò)管理員和CIO的棘手問(wèn)題。優(yōu)秀內(nèi)網(wǎng)安全廠(chǎng)商明朝萬(wàn)達(dá)的Chinasec內(nèi)網(wǎng)安全專(zhuān)家指出，CIO和網(wǎng)管人員在選擇內(nèi)網(wǎng)安全產(chǎn)品的時(shí)候，必須從需求、性能和服務(wù)三個(gè)方面，進(jìn)行整體內(nèi)網(wǎng)安全體系的設(shè)計(jì)和規(guī)劃，才能夠確保成功建立內(nèi)網(wǎng)安全管理系統(tǒng)，確保內(nèi)網(wǎng)安全投資的效果。

1.內(nèi)網(wǎng)安全需求分析是基礎(chǔ)

內(nèi)網(wǎng)安全是一個(gè)廣泛而且模糊的概念，不同的用戶(hù)和廠(chǎng)商都有其不同的理解，但是，對(duì)于一個(gè)具體的用戶(hù)單位來(lái)說(shuō)，其需求是可以結(jié)合單位的實(shí)際情況分析確定的。雖然內(nèi)網(wǎng)安全需求非常復(fù)雜，但大的方面來(lái)說(shuō)，可以分為授權(quán)管理、數(shù)據(jù)保密和監(jiān)控審計(jì)三種類(lèi)型。授權(quán)管理是內(nèi)網(wǎng)安全中經(jīng)常受到關(guān)注的目標(biāo)，通過(guò)授權(quán)管理，可以確保在不影響用戶(hù)正常業(yè)務(wù)工作的情況下，最小化享有內(nèi)網(wǎng)的信息資源，從而將內(nèi)網(wǎng)安全的各種風(fēng)險(xiǎn)降到最低點(diǎn)。授權(quán)管理的具體內(nèi)容是非常豐富的，包括終端使用授權(quán)、服務(wù)器應(yīng)用訪(fǎng)問(wèn)授權(quán)、文件訪(fǎng)問(wèn)授權(quán)、外設(shè)使用授權(quán)、移動(dòng)存儲(chǔ)設(shè)備使用授權(quán)、網(wǎng)絡(luò)使用授權(quán)和應(yīng)用程序使用授權(quán)等。

用戶(hù)單位需要那些具體的授權(quán)管理內(nèi)容，需要根據(jù)用戶(hù)單位的管理制度和IT應(yīng)用特點(diǎn)而定。數(shù)據(jù)保密是內(nèi)網(wǎng)安全的核心目標(biāo)，無(wú)論對(duì)政府還是企業(yè)，其目的就是確保內(nèi)網(wǎng)的涉密數(shù)據(jù)或者知識(shí)產(chǎn)權(quán)不被內(nèi)部人員有意或者無(wú)意的泄密。數(shù)據(jù)保密根據(jù)不同的管理制度和網(wǎng)絡(luò)拓?fù)湫枰煌姆桨?。?duì)于內(nèi)外網(wǎng)隔離的涉密網(wǎng)絡(luò)，其重點(diǎn)是貫徹和落實(shí)國(guó)家保密局BMB-17文件思想，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)數(shù)據(jù)的全面控制。對(duì)于一般的企業(yè)，因?yàn)槠鋬?nèi)網(wǎng)和外網(wǎng)是互通的，要求在不影響正常網(wǎng)絡(luò)信息交流的前提下，實(shí)現(xiàn)企業(yè)核心文檔、圖紙、源代碼和其它文件的保密，防止內(nèi)部員工通過(guò)網(wǎng)絡(luò)或者外設(shè)等途徑泄密數(shù)據(jù)。監(jiān)控審計(jì)是內(nèi)網(wǎng)安全最早發(fā)展的內(nèi)容之一，其核心目的是對(duì)內(nèi)網(wǎng)的實(shí)時(shí)運(yùn)行狀況進(jìn)行監(jiān)控，同時(shí)根據(jù)需要對(duì)內(nèi)網(wǎng)各種行為和信息進(jìn)行記錄，在一旦發(fā)生內(nèi)網(wǎng)安全事件后，可以提供分析資料和決策依據(jù)。

事實(shí)上，在進(jìn)行內(nèi)網(wǎng)安全需求分析的時(shí)候，不是上述三個(gè)方面內(nèi)容的簡(jiǎn)單組合，在這個(gè)過(guò)程中，既要考慮單位當(dāng)前的需求，也要考慮到以后可能面臨的需求，進(jìn)行長(zhǎng)遠(yuǎn)的規(guī)劃。比如，有的企業(yè)當(dāng)前階段可能僅有監(jiān)控審計(jì)的需求，但是隨著企業(yè)發(fā)展和信息化程度提高，數(shù)據(jù)保密的需求就可能顯現(xiàn)出來(lái)。所以，在進(jìn)行需求分析的時(shí)候，必須立足長(zhǎng)遠(yuǎn)，分步實(shí)施，能夠確保內(nèi)網(wǎng)安全系統(tǒng)的統(tǒng)一性、延續(xù)性和一致性。

2.性能指標(biāo)是選型關(guān)鍵

具有豐富成功的內(nèi)網(wǎng)安全產(chǎn)品設(shè)計(jì)經(jīng)驗(yàn)和實(shí)施經(jīng)驗(yàn)的Chinasec安全專(zhuān)家認(rèn)為，在進(jìn)行具體產(chǎn)品選型之前，必須仔細(xì)考慮產(chǎn)品的性能指標(biāo)是否符合單位的需要。內(nèi)網(wǎng)安全產(chǎn)品的性能，主要體現(xiàn)在安全性、維護(hù)性、兼容性和擴(kuò)展性四個(gè)方面。

安全性是內(nèi)網(wǎng)安全產(chǎn)品首先需要考核的要點(diǎn)。不同的內(nèi)網(wǎng)安全產(chǎn)品，依據(jù)其設(shè)計(jì)理念不同，其安全性區(qū)別很大。譬如監(jiān)控審計(jì)產(chǎn)品，其重點(diǎn)在于事后審計(jì)，其事前防范的能力有限，如果員工安裝了雙操作系統(tǒng)，那么很容易就可以避開(kāi)內(nèi)網(wǎng)安全系統(tǒng)的監(jiān)管。而文檔加密產(chǎn)品，由于基于文件類(lèi)型進(jìn)行加密和區(qū)分，采用了臨時(shí)文件等技術(shù)，使得臨時(shí)文件、剪貼板和內(nèi)存等成為顯著的安全漏洞，但是也具有部署簡(jiǎn)單的優(yōu)勢(shì)。以明朝萬(wàn)達(dá)的Chinasec可信網(wǎng)絡(luò)安全平臺(tái)為代表的綜合內(nèi)網(wǎng)安全平臺(tái)，則具更強(qiáng)的安全性和保密性，可以有效實(shí)現(xiàn)事情防范、事中監(jiān)控和事后審計(jì)的目標(biāo)。

維護(hù)性是選擇內(nèi)網(wǎng)安全產(chǎn)品的時(shí)候CIO要考慮的另外一個(gè)問(wèn)題，因?yàn)閮?nèi)網(wǎng)安全產(chǎn)品跟傳統(tǒng)安全產(chǎn)品最大的區(qū)別在于其基于終端控制技術(shù)，要盡可能選擇跟上層應(yīng)用無(wú)關(guān)的產(chǎn)品，這樣可以確保在應(yīng)用產(chǎn)品升級(jí)和增加新應(yīng)用等信息化建設(shè)的時(shí)候內(nèi)網(wǎng)安全體系依然可以支持。有些文檔加密產(chǎn)品可維護(hù)性就存在比較大的爭(zhēng)議，以至于即便AutoCAD版本升級(jí)的時(shí)候，也需要廠(chǎng)商進(jìn)行二次開(kāi)發(fā)工作。選擇一個(gè)可維護(hù)性好的內(nèi)網(wǎng)安全產(chǎn)品，是內(nèi)網(wǎng)安全系統(tǒng)能否有效運(yùn)行的關(guān)鍵。

兼容性是內(nèi)網(wǎng)安全產(chǎn)品發(fā)展初期曾經(jīng)出現(xiàn)的致命問(wèn)題，目前已經(jīng)有所改善，但是，跟所有終端安全產(chǎn)品一樣，兼容性依然是很多內(nèi)網(wǎng)安全產(chǎn)品面臨的問(wèn)題，甚至一些最早進(jìn)入內(nèi)網(wǎng)安全領(lǐng)域的廠(chǎng)商，在該問(wèn)題上都遲遲得不到提高。在兼容性的考慮上，應(yīng)該盡可能選擇通過(guò)采用系統(tǒng)底層技術(shù)和正常系統(tǒng)機(jī)制實(shí)現(xiàn)的內(nèi)網(wǎng)安全產(chǎn)品，而盡量避免選擇鉤子技術(shù)（如剪貼板攔截和DLL替換）和非正常系統(tǒng)技術(shù)實(shí)現(xiàn)的內(nèi)網(wǎng)安全產(chǎn)品，這樣可以確保系統(tǒng)的兼容性。

擴(kuò)展性是在內(nèi)網(wǎng)安全產(chǎn)品選型中容易受到忽視的問(wèn)題，事實(shí)上，內(nèi)網(wǎng)安全是一個(gè)完整的體系，只有進(jìn)行整體的規(guī)劃，才能達(dá)到最大的效果，雖然一個(gè)單位在初期可能僅具有簡(jiǎn)單的內(nèi)網(wǎng)安全需求，但應(yīng)該從長(zhǎng)遠(yuǎn)著想，選擇擴(kuò)展性能良好，模塊化程度高的內(nèi)網(wǎng)安全產(chǎn)品。很難想象，為了達(dá)到監(jiān)控審計(jì)、數(shù)據(jù)保密和授權(quán)管理的目標(biāo)，在客戶(hù)端安裝三個(gè)不同的內(nèi)網(wǎng)安全產(chǎn)品，使用三個(gè)不同的服務(wù)器進(jìn)行管理，這無(wú)論對(duì)管理還是系統(tǒng)穩(wěn)定性，都會(huì)造成很大的不便和隱患。

3.服務(wù)能力是內(nèi)網(wǎng)安全系統(tǒng)實(shí)施成敗的關(guān)鍵

內(nèi)網(wǎng)安全系統(tǒng)的實(shí)施跟其它安全系統(tǒng)的重要區(qū)別在于，內(nèi)網(wǎng)安全體系建立的過(guò)程，是一個(gè)咨詢(xún)、實(shí)施和改進(jìn)的過(guò)程，涉及到對(duì)單位管理制度、網(wǎng)絡(luò)拓?fù)?、?yīng)用系統(tǒng)和使用習(xí)慣等調(diào)研、協(xié)調(diào)和設(shè)計(jì)的過(guò)程，要求內(nèi)網(wǎng)安全廠(chǎng)商和供應(yīng)商能夠提供高質(zhì)量和持續(xù)的服務(wù)。首先要考查的是內(nèi)網(wǎng)安全廠(chǎng)商是否是專(zhuān)注于內(nèi)網(wǎng)安全行業(yè)，只有專(zhuān)注的廠(chǎng)商，才可能以?xún)?nèi)網(wǎng)安全產(chǎn)品為其企業(yè)生命線(xiàn)，提供高質(zhì)量的服務(wù)。其次要考查內(nèi)網(wǎng)安全廠(chǎng)商的核心隊(duì)伍結(jié)構(gòu)，內(nèi)網(wǎng)安全產(chǎn)品是一個(gè)技術(shù)含量相當(dāng)高的產(chǎn)品，其隊(duì)伍的專(zhuān)業(yè)背景和組成決定了該產(chǎn)品的優(yōu)越性。再次要考查內(nèi)網(wǎng)安全產(chǎn)品的本地化服務(wù)能力，是否具有本地化的服務(wù)提供商，確保能夠?yàn)楸締挝惶峁┘皶r(shí)有效的服務(wù)。