由繁化简——企业内网安全的精益化管理

对各种移动终端进行接入控制

对于笔记本电脑以及越来越多的智能手机终端，企业所能做的安全管理似乎总显得有些力不从心。除了对无线局域网接入进行控制之外，这类终端可能引起的问题还有很多。蓝牙作为极为通用和具有时尚意味的连接方式，安全性却存在一些脆弱点。

为了更好地和其它蓝牙设备进行连接，蓝牙往往被设置成相对较低的安全认证等级，而事实上很多设备在出厂时默认就被设为最低的级别，比如大部分的手机产品都是如此。由于仅在链路层提供有限的安全控制，所以蓝牙安全更多地依赖于上层协议甚至应用层来进行安全管理。

想真正实现蓝牙安全应该强制性地在蓝牙传送数据时结合其它安全验证措施。虽然这通常很难处理，但不应该被忽视。对于手持设备来说，WAP站点访问是提供业务处理和办公信息获取的通行方式之一。WTLS协议虽然出于性能考虑已经做了一些简化，但是仍是一种具有较高安全性的解决方案。

另外一个通行的原则是尽量将WAP网关置于防火墙保护之后，因为数据在到达WAP网关后往往会被解密而失去了WTLS的保护，在其流出WAP网关之后往往容易被俘获。

二、技术篇：管理是内网安全的硬道理

引言：从近期就安全事件的原因所做的一些调查结果可见，75%的管理员都勾选了安全意识淡薄和安全管理不到位的选项，而软件或网络配置错误也有接近百分之五十的受调查者选择，管理已经成为内网安全问题的重中之重。

结合内网安全的种种现状和问题来看，单纯在技术上先进已经无法保证竞争力，甚至已经无法保证实际的防护效果了。这些引起内网安全问题的核心原因，只有在安全管理手段以及安全产品的管理能力达到一定的层次之后才有望解决。面对日益复杂的应用环境，管理员需要具有更深、更精、更高智慧程度的工具来开展自己的工作，否则难免被淹没于安全威胁的浪涛之中。

放之四海：具有通用性的内网安全管理体系

尽管很多时候人们不可遏止地觉得守护目标不让黑客对其进行攻击是一件很酷的事情，但是在绝大多数情况下，安全管理都是建构在规范和严谨之上的一件工作。这其中不但需要正确的应用安全技术，同时也需要前期的规划和设计以及后期的运营和支持。在这里我们将尝试给出一个内网安全管理体系的基本模型，我们希望它具有广泛和长期的适应性，同时覆盖内网安全各个主要的问题域。

一般来说，一个内网安全解决方案从形成到正式开始运行，要经历如图所示的一系列阶段。从认识到有需要解决的内网安全问题或者内网存在安全问题开始，首先需要形成一份需求定义文档。这份需求文档应由信息安全部门和行政部门的管理人员进行评估，然后表决通过。

在此之后，应根据需求进行实际内网安全防护体系的构建，这其中通常还可以展开很多子步骤，例如进行安全体系的具体设计等。当一个内网安全体系经过评估之后将融合到现有的信息基础设施当中，同样地，如果基础设施发生变化，相对应的也要进行评估。而在这些工作完成之后，需要对已经成型的安全体系进行评价和验证，以证明其有效性。

如果不存在漏洞和考虑不周之处，该内网安全体系将投产于实际的工作环境，而后续的针对应用环境变更所做出的调整、日常的安全管理、发生安全事件时的应急响应和支持等工作将会有序地开展。

按部就班：如何操作内网安全管理

从管理目标来说，内网安全所处理的主要问题还是内网中的信息也即数据。虽然说Web、电子邮件、即时通信、业务管理系统等建构在局域网和互联网上的应用为企业带来了大量的效率提升，但是并不是所有的人都明白这些应用会给企业的数据带来什么风险，更不知道如何来控制这种风险。

通过对信息进行分级并映射其可能的安全风险，以及在这些安全风险变成现实时可能遭受的损失，在拥有这些基础素材之后安全管理人员才能开发出有效的控制措施来将风险降低到可以接受的程度。在形成了完善的信息分级系统之后，组织就可以着手形成自己的基本安全策略。

安全策略除了确认信息作为受保护资产的地位之外，更重要的价值在于规定当信息依照其所在等级的风险情况应该受到何种程度的保护。而在预期的成本和目标效果的指导之下，安全管理人员应选择与之相适应的技术和产品来构建安全防护措施。

当然，在一切都被搭建起来之后，还有很多安全管理工作需要被周而复始地执行。然而不得不承认的是，很多情况下安全管理人员都直接将构建安全设施作为内网安全管理的起点，同时以很低的效率和很盲目的姿态来开展后续的工作，这样做最可能的结果就是形成一个可能发生安全事件的内部网络。从下面提供的一份示例清单中可以看出，这种未经足够准备就开始的安全工作到底遗漏了多少有益的要素。

见着拆招：实例解析内网安全管理

也许在95%的讲解内网安全管理的文章中，内网都用来代指与互联网相对的局域网络。但是在实际的安全管理情景中，内网往往还需要被划分成不同的区域。有的时候是因为组织业务的需要，网络已经被进行切割;而有的时候则是为了让安全体系更加具有层次，所以令不同安全等级的数据只能在自己的区域中流动。

有相当多的技术可以实现网络隔离，例如防火墙设备、中继网关、应用代理、三层交换机、VLAN等等。尽管很多企业都应用低层的物理隔离设备来分割网络，但是事实上应用最广泛的仍旧是防火墙类型的设备。而另外一个较为明显的趋势是，大部分组织都应用了一种以上的技术或设备来进行网络区域的划分和管理。

然而，如果只是利用这些传统的、基本的设施来进行网络隔离管理是相当低效的，也很难与数据隔离、应用隔离等安全管理手段相互融合。所以更加受到推崇的方式，是在一个统一的管理平台之下，将面向各种层面和各种方向的防护机能整合起来。

以鼎普科技面向防泄漏的产品解决方案为例，通过BIOS等硬件芯片级别的可信认证来保持终端的安全性，只授权那些可信、可控、处于健康状态的计算机才允许访问内网中的数据，并在此监控和认证的过程中对信息和访问信息的终端进行分级、分层、分组管理，这样才能实现真正意义上的安全管理通畅。

另外，对于那些出现安全问题同时可能对内网其它节点造成破坏的计算机，整个安全管理体系可以智能识别并将其与内网切断。这样的体系可以简化安全管理员的负担，甚至每一台计算机都可以被视为内网中的一个内网，管理弹性可见一斑。

三、趋势篇：当内网安全遇上云

引言： "当我们望向未来的时候，我们可以更好地了解现在"，在信息安全领域亦是如此，带有一点前瞻意味的分析可能更有助于我们了解在安全问题的巨浪中应该赖何为生。主流安全技术与内网安全的融合?新兴内网安全工具的兴起?当面对一个问题时如果我们能够有很多可供选择的答案，虽有点烦恼却也是一种不折不扣的幸福。

如果我们将云安全体系的主要特性展开，会发现其与内网安全诉求有着惊人的镜面效应。从核心模式上来说，云安全有能力构建不同种类终端到安全云的统一防御体系，这是而体系性正是目前内网安全解决方案最亟待提高的方面。

从防病毒这个最传统也是最为人熟知的安全防护领域来看，云安全体系的应用虽然起步时日尚短但仍以极快的速度进入成熟期。由此获得的成功经验即是对其它内网安全领域的启示，同时也是一种莫大的鼓舞。也许用不了太长时间，就能够看到有其它的产品开始通过云安全来提升自己的防护能力，又或者为自己造势。

不得不令人关注的一点是，云安全是否会成为防病毒厂商进一步扩张自己势力范围的契机呢?让我们来看看堪称云安全"先驱者"的趋势科技，其最新推出的云安全2.0技术架构中所包含的文件信誉和多协议关联分析等技术，全都是将矛头指向了终端安全和内网安全。

云客户端文件信誉(CCFR)将海量病毒特征码交付给云端服务(比如内网的一台服务器)进行管理，终端计算机进行文件访问时，将直接连接该云服务检查文件的安全性，而不必一定将更新文件分发到各台计算机。

这样做不但解放了各个计算机节点的性能和网络带宽，而且在及时性上也有着更充分的保障，对于防护质量具有非常显见的提高。而多协议关联分析技术能够全面支持检测2~7层的恶意威胁，对于时下流行的基于Web页面的恶意攻击、网络钓鱼欺诈等典型的内网安全问题，有着较为全面的解决能力。

从这些情况不难看出，由于具备了体系上的优势和功能上的切入点，本身就是致力于终端保护的防病毒厂商，特别是像趋势、赛门铁克、卡巴斯基这样在技术和企业市场方面有很多前期积累的厂商，很有可能成为内网安全领域的一支奇兵。

如果延伸一点来看，云安全体系不但能够融合终端与云，网关也可以被纳入安全云的保护，形成"终端->网关"、"终端->云端"、"网关->云端"这样层次丰富且完整的防护体系。如果云安全能够真正渗透到内网安全领域，那其弥合所有计算机设备的特性和目标，甚至有望实现互联网与内网的融合，实现安全的统一化和简约化。

生物识别技术刚刚兴起之时，是一种几乎被所有人看好的用于进行身份验证的技术，但是时至今日，居高不下的成本以及其他一些零散的问题仍让这种技术远离主流。这带给我们一些明确的启示，单纯的技术因素永远不?能决定一个安全产品的未来，所以我们当然不应该单纯地从技术角度出发来考虑内网安全问题。内网安全在需要适合当前安全环境的工具和产品同时，更需要那些适应长远发展的理念和架构，有了坚实的基础，才有真正的未来。

来源：比特网