馬年春節剛過，一則“湖南冷水江市公務員工資‘被公開’”的消息即被媒體曝出。該信息泄露的事件是由于冷水江市財政部門在工資查詢系統上設置了“123456”這樣的弱密碼，網友發現后將密碼公布在網上，導致冷水江市公務員的工資詳細信息被很多互聯網用戶瀏覽到。

這是一起單位內部信息外泄事件。表面上看，這是由于該工資查詢系統與互聯網連接，又缺乏必要的安全措施所致。然而，隨著互聯網、智能移動終端、云計算的應用，越來越多的企業或機構已經很難將自己的內網與外網(互聯網)完全區分開，這也就給企業內部的安全防護帶來了更為嚴峻的挑戰。

“在IT消費化的趨勢下，企業內網已經變得更開放，而且處于不斷的變化之中。用戶可以在任何時間、任何地點通過移動設備，便利地訪問企業的內網與應用系統，但其終端的環境、網絡環境等都面臨著更多的風險，對企業自身的信息安全提出更大的挑戰，真可謂便利性越高，風險就越高。”溢信科技產品總監黃凱告訴本報記者。

大約10年前，內網安全的理念誕生，這是因為當時企業大多注重對企業外部安全威脅的防護，往往忽略了來自企業內部的安全隱患。如今，新的IT形勢讓企業內部所面臨的安全形勢發生了變化，“內”與“外”的界限越來越模糊，而企業的安全需求卻有增無減。

在這種環境中，如何才能保障企業的信息安全?相信企業內每一個IT管理者都會關心這個問題的答案。

移動安全需求最迫切

當前，移動設備給企業帶來的安全威脅，已經成為各界最關注的問題。“員工攜帶智能移動終端給企業帶來的安全威脅是目前企業最迫切需要解決的。”網康科技產品市場總監嚴雷認為。

不可否認，BYOD的趨勢已經不可阻擋。如果為了安全給員工配發只能使用企業內部應用的定制手機，顯然已經不合時宜;而與PC時代不同，任憑員工攜帶自己的智能移動設備接入企業的內部網絡，又給企業帶來了嚴峻的安全挑戰。

如何擺脫企業在移動設備管理上的兩難境地?嚴雷提供了一個思路：就是收縮企業內網的范圍，并改變設備的管理方式。“在新的形勢下，企業應該把內網嚴格定義為IT可控的域，PC、手機等個人計算設備都不應該算作內網的范圍。”嚴雷認為，相對于原來“內外分明”的企業網絡環境，現在要想保障企業的內網安全，顯然更加困難。企業內網安全將從閘門式變為圓圈式，即企業將安全域收縮到一個范圍內，在這個范圍由各種安全防護措施形成圍欄，在這之外均視為外網，同時在接入層部署安全訪問控制策略。

“企業內部安全應該更多地關注服務器安全、數據安全、訪問接入控制授權、日志、審計等方面。這是目前內網安全中比較合理，也比較務實的管理策略。”嚴雷告訴記者，而對于終端設備，以前的強管理方式已經不適用，現在只能采用“法無禁止即可為 ”的方式。

黃凱則給出了非常具體的企業移動安全建議。他告訴記者，第一，對PC環境的部分安全管理措施對BYOD也依然適用;第二，進行準入控制，只有安裝了指定客戶端安全軟件的移動設備，才能接入企業內網。同時對移動設備可訪問的網絡進行規范，只允許其訪問已通過安全檢查的網絡，以防接入到欺詐網絡;第三，進行用戶權限管理，移動設備遠程訪問企業應用服務器的賬號和密碼要有一定的復雜度，不同的人擁有不同的訪問權限;第四，進行系統安全管理，對移動設備的操作系統進行正確配置，不允許隨意安裝未經安全認證的軟件，并及時進行系統與程序更新。

“面對移動互聯網給企業帶來的巨大安全威脅，企業應該成立專門的安全管理小組，并明確每個人的權利與責任，同時采用專業的安全軟件對移動設備進行統一管理，包括位置跟蹤、通信加密、數據遠程銷毀等。”黃凱說，“企業還應該針對移動設備的特性建立相應的防護措施，對所有移動設備進行統一管理，對每一臺移動設備進行注冊與跟蹤，當設備丟失時，能夠及時鎖定與追回，最起碼要能夠將其中的數據進行銷毀，以防被他人利用。”

應用安全和數據安全是核心

明朝萬達董事長、總裁王志海則告訴記者，無論是云計算的應用還是智能移動終端的普及，都讓企業內網的物理邊界逐漸消失。在這種情況下，圍繞應用安全來構筑企業內網的邏輯邊界，成為解決企業內部安全的有效手段。

國路安副總經理李宴祥表示，傳統的安全手段無法控制“人”的操作行為，只能依靠應用自身攜帶的安全功能。但許多應用雖然具備身份認證及粗粒度的權限控制措施，卻沒有考慮到訪問過程和訪問行為的安全。因此，依賴傳統安全設備或是應用自帶的功能，都不能滿足用戶對業務應用防護的高安全等級要求。

“現在，企業內部安全的核心有兩個方面，一個是應用安全，另一個是數據安全。”王志海指出，“應用是無處不在的，比如OA、ERP這樣的企業常見應用，員工無論是在公司內還是出差時都要用，甚至有些企業的合作伙伴也要用。雖然在這些場景中，已經無法確定企業內網的物理邊界，但是企業可以跟隨應用的邏輯邊界來進行安全防護，從而保障企業的數據安全。要做到應用的數據流到哪里，相應的防護就到哪里。”

在王志海看來，數據安全在企業安全中扮演著非常重要的角色，數據安全也將具有非常強勁的市場需求，畢竟，任何IT環境中，最核心的就是數據。“數據流動越充分，IT的價值越大。歸根結底，數據安全就是用戶對數據權限的細化管理。”王志海告訴記者，“當前大多數安全體系將權限管理力度做到了系統級，但沒有到數據級。而明朝萬達的數據安全解決方案，基于密碼技術實現了大量應用，可以做到數據級的權限管理，比如可以實現一條數據讓什么人看、不讓什么人看、在哪能看、能看多久等一系列操作。”

“當然，數據安全是一個目標，它需要很多技術協同來解決問題，比如加密技術、身份認證、終端管控等。簡單的文檔加密等防護措施并不能等同于數據安全。”王志海說。

管理更精細

顯然，企業如今所面臨的安全形勢更為復雜，企業的內網安全體系應該從數據、行為和設備等幾個方面著手。黃凱告訴記者，企業需要對內部敏感數據的存儲、使用和流轉進行安全審計、控制和保護;要對用戶的行為進行管理，禁止一些不規范或者可能泄露機密的行為;還要對外接的設備、外來的機器或者智能終端進行管理和控制。

嚴雷則建議企業在進行內部安全防護時遵循“堵不如疏、繁不如簡”的原則。“企業在建設內網安全或移動安全時，很容易陷入一個怪圈，就是發現企業內部要處置的安全隱患千頭萬緒，越是希望進行深入全面的防護，就發現其中的漏洞越多。實際上，安全是基于風險的投資，企業也不應該試圖尋找絕對的安全。我倒是建議企業不需要過于復雜的安全管理策略，而是根據二八原則，把管理域收縮到企業可管理的范圍內，把黑名單變為白名單。”嚴雷說。

“代碼特征越來越復雜，但是惡意行為是有限的。所以下一代安全是根據網絡上的行為特征評估企業的安全狀況。當然，這些行為特征也不是事先定義好的，我們是通過盡可能的可視化，將網絡上的各種行為展現出來，通過基線對比、典型惡意行為告警等方式告訴企業其內部出現了哪些問題。”嚴雷說。

這就和傳統的、相對固化的安全策略產生了明顯的區別。“現在，要求企業的網絡管理者要經常觀察設備，根據網絡上行為的變化調整策略。網康的設備也提供了非常多的參數，包括不同的應用、部門、人、安全級別、時間、位置、終端類型等，安全策略可調整的余地非常大。”嚴雷說。

黃凱認為，企業要真正實現內部的安全，首先就要從管理層面深入了解企業內部數據的存儲和流轉的過程，分析可能存在的安全漏洞和風險，制訂相應的政策和規范，并使用技術手段來保證規定的落實;同時，企業還應該對員工進行安全知識和管理規則的培訓和指引，盡量使得員工能認同并遵守相應的規定。在技術層面，企業的安全技術要能夠準確地識別用戶的身份和權限，能分析相應的行為是否包含敏感的信息并予以控制和審計。企業應該對不同級別的用戶、不同的信息區域設定不同嚴格程度的管理策略。

形成安全閉環

毫無疑問，技術和管理兩者是相輔相成的。對于安全來說，管理是至關重要的，而技術是使得管理能得以落實的基礎。“在企業進行數據安全防護時，首先就要對企業內部的數據、審批流程和權限進行梳理，這對企業自身管理水平的提升非常有益。”王志海說。然而，作為企業的管理者，最為重要的是提升對信息安全的重視程度。

“過去，總有一種論調是安全不能影響業務的發展。在企業中，信息安全部門也往往在IT部門中處于弱勢地位。”王志海告訴記者，企業對信息安全重視程度不夠的情況普遍存在，同時引發了很多問題。比如，企業的很多應用在開發時并沒有充分考慮安全性，而是在開發完成后為了合規再堆砌一些安全產品，或者是在進行安全投入時，只想單純地購買產品，不希望將安全體系與現有的應用結合起來，這樣的應用安全性可想而知。

“我們認為，未來的安全產品應該以中間件的方式提供。其提供的接口可以讓用戶在應用開發時進行調用，這樣才能讓安全跟用戶更緊密地走在一起，為用戶提供更牢固的安全防護解決方案。”王志海說。

王志海認為，企業安全要形成閉環，特別是在數據安全層面形成閉環。因為信息安全遵從木桶原理，只有在企業數據上實現全生命周期、全網的加密，并結合身份識別、訪問控制等各類安全措施，才能最大程度保障企業安全。

GLA天璿可信應用安全系統：

符合等保三級以上要求

一個企業可能由很多安全設備構筑起一道防線，但是在新的形勢下，如果不能轉變固有的安全策略，看似固若金湯的網絡必然在各種應用的過程中出現新的弱點，而這恰恰是黑客探測或是社交攻擊的入口。

管理員是不是需要為每套新上線的業務系統都單獨配備安全保護呢?或是對已經長期服役的業務系統來一次代碼“大換血”呢?當然，如果企業有足夠的時間和資金，也可以啟動這個浩大的工程。但是，任何一個企業都會在投入與安全之間尋求平衡點，而一個好的方式就是在業務系統和訪問者之間增加一名”守門員“，阻止非法用戶闖入，保護賴以生存的核心數據。

GLA天璿可信應用安全系統能夠很好地解決既有應用系統與應用安全防護機制之間的兼容問題，可以保證在不改變應用和應用系統的前提下，提高應用的安全保證能力。因此，可以保證應用開發人員和應用軟件專注于業務處理邏輯本身，全面提高了業務處理效率，更便于系統的故障隔離。另外，GLA天璿可信應用安全系統可針對使用第三方CA證書的行業用戶，提供數字證書、用戶名/口令字、IP地址和USB KEY等多因子身份認證方式。

在具體使用過程中，管理員可以利用實現基于角色(崗位)的訪問控制，以及基于SSL協議的安全加密傳輸通道，確保存取訪問和傳輸過程的安全。在易用性方面，可信應用安全系統為用戶提供透明應用，實現了用戶應用流程不變、操作習慣不變。而特有的知識庫自學習功能，更可進一步輔助系統安全管理員制定安全策略，減少安全運維管理的工作負擔。

方案點評

該產品針對應用層威脅的特點，并確保行業用戶可以遵循國家信息安全等級保護的要求，國路安開發了滿足用戶應用安全防護要求的“可信應用安全系統”。該系統按照國家信息安全等級保護政策中對三級以上(含三級)系統的安全要求進行開發，采用了應用業務邏輯與安全防護邏輯分離的設計思路。通過前置主機的方式，在應用服務器前以透明接入方式部署GLA天璿可信應用安全系統，在不改變現有應用的前提下，通過身份認證、訪問控制、安全審計、安全傳輸、防攻擊等功能和技術，在應用層實現對業務應用系統訪問的全過程、系統化的安全管理控制。

網康上網行為管理ICG：

準確識別 精細管控

如果說新形勢下，企業的內網安全應該聚焦在應用上，那么對企業內部運行的應用進行準確的識別和管控是十分必要的。當然，安全威脅逐漸向應用層轉移，應用安全越來越受到重視也是大勢所趨。

如今，很多企業都會依托互聯網開展各種活動，既包括外部營銷又包括內部辦公。然而，與互聯網連接就意味著企業風險的極大增加。互聯網充斥著各種良莠不齊的信息，公司員工在獲取有用信息的同時，也容易被不良內容侵蝕;互聯網上各類應用帶來工作的便利的同時，也會帶來員工工作效率下降。

此外，從企業的網絡環境角度來看，為了業務發展，企業進行了大量的IT設備與帶寬資源投資，意圖提升關鍵業務的應用質量，提升整體辦公效率。但是寶貴的帶寬資源卻被各類P2P應用、在線視頻、娛樂網站訪問等擠占，這不僅造成帶寬資源被大量浪費，還使得公司的正常業務得不到應有的帶寬保障，關鍵業務的質量降低，比如視頻會議的停頓、ERP訪問速度慢、郵件無法正常收發等。

“要對企業內網進行有效的安全防護和管控，企業就要做到對設備、人、所訪問的應用進行精確的識別。”網康科技產品市場總監說，網康的安全設備因為基于應用層，所以可以做到“火眼金睛，什么都可以看到”。

NS-ICG(Netentsec Internet Control Gateway)網康上網行為管理是一款專業的硬件上網行為管理產品。為用戶提供專業的用戶管理、應用控制、網頁過濾、內容審計、流量管理和行為分析等功能。它可以幫助客戶達成上網行為可視、減少安全風險，減少信息泄密、遵從法律法規、提升工作效率、優化帶寬資源。該上網行為管理設備可以廣泛應用于政府、金融、能源、教育、運營商、大型企業等領域，幫助單位管理者全面有效地管理上網行為。

嚴雷告訴記者，網康產品最突出的地方是扎實和原生性創新。“網康強大的產品團隊在長期的實踐中締造了扎實的、以用戶需求出發的產品。比如，網康可以為了把日志查詢速度提高幾秒而花費很大的功夫。另外，網康擁有美國硅谷的創新基因，還是一家技術型企業。比如網康的下一代防火墻支持云查殺、根據網絡行為分析捕獲僵尸主機、數據防泄露等功能，都是原生性的創新，并在國內同類產品中取得領先。”嚴雷說。

“無論是上網行為管理還是下一代防火墻，網康的應用安全設備功能豐富，可以在企業內網安全中扮演著各種角色。”嚴雷介紹，比如在海爾、美的等網康的用戶中，除去常見的網址過濾、應用訪問控制之外，它們還利用網康的設備進行分部門、分區域的上網行為數據分析，并將各部門、員工的上網行為與績效聯系起來，為企業的內部管理提供支持;此外，另一些客戶利用網康設備進行郵件外發審計，曾經成功發現員工將企業機密數據泄露的行為，起到了數據防泄露的作用。

事實上，網康經過多年來在應用安全領域的耕耘，得到了越來越多用戶的認可。它的用戶既有百度、阿里等互聯網公司，也覆蓋了銀行、保險、政府等傳統行業。“并不是說我們比別人更聰明，而是因為網康在這個領域做得時間足夠長，在摸爬滾打中不斷完善并前進。”嚴雷說。

方案點評

該產品軟硬件一體，具有較高的性能和穩定性，除去上網行為管理通常的功能外，還可以提供智能化的主動防御，利用數據分析發現企業內網安全隱患，并進行可視化的呈現。該產品可以識別3000萬個站點的網頁內容，具有較高的網頁識別能力：內置3000多種主流網絡應用協議庫，無論應用的IP、端口如何變化，甚至加密也可以準確識別，具有較高的應用識別能力。