1.內網安全現狀概述

進入21世紀后，隨著國內信息化程度的快速提高，內網信息安全越來越多受到關注，內網安全產品和廠商短短幾年內大量涌現。但是，令人擔憂的是，雖然眾多的產品和廠商都以內網安全的概念在提供服務，但其中包含的實際技術和內容卻千差萬別。這樣的情況，一方面對市場和用戶形成了誤導，不利于解決用戶的實際內網安全問題，造成投資浪費;另一方面也不利于創造良性的競爭環境，阻遏了內網安全市場的發展。

鑒于此，有必要對內網安全進行成體系的理論探討，形成統一的共識和標準，這樣才能讓內網安全產品和廠商真正滿足用戶的需求，解決用戶的實際問題，推動國家信息化的發展。

2.內網安全問題的本質探討

2.1.內網安全問題的形成原因

內網安全問題的提出跟國家信息化的進程息息相關，信息化程度的提高，使得內部信息網絡具備了以下三個特點：

1)隨著ERP、OA和CAD等生產和辦公系統的普及，單位的日程運轉對內部信息網絡的依賴程度越來越高，內網信息網絡已經成了各個單位的生命線，對內網穩定性、可靠性和可控性提出高度的要求。

2)內部信息網絡由大量的終端、服務器和網絡設備組成，形成了統一有機的整體，任何一個部分的安全漏洞或者問題，都可能引發整個網絡的癱瘓，對內網各個具體部分尤其是數量巨大的終端可控性和可靠性提出前所未有的要求。

3)由于生產和辦公系統的電子化，使得內部網絡成為單位信息和知識產權的主要載體，傳統的對信息的控制管理手段不再使用，新的信息管理控制手段成為關注的焦點。

上述三個問題，都是依賴于內網，與內網的安全緊密相連的，內網安全受到廣泛的高度重視也就不以為奇。

2.2.內網安全問題的威脅模型

相對于內網安全概念，傳統意義上的網絡安全更加為人所熟知和理解，事實上，從本質來說，傳統網絡安全考慮的是防范外網對內網的攻擊，即可以說是外網安全，包括傳統的防火墻、入侵檢察系統和VPN都是基于這種思路設計和考慮的。外網安全的威脅模型假設內部網絡都是安全可信的，威脅都來自于外部網絡，其途徑主要通過內外網邊界出口。所以，在外網安全的威脅模型假設下，只要將網絡邊界處的安全控制措施做好，就可以確保整個網絡的安全。

而內網安全的威脅模型與外網安全模型相比，更加全面和細致，它即假設內網網絡中的任何一個終端、用戶和網絡都是不安全和不可信的，威脅既可能來自外網，也可能來自內網的任何一個節點上。所以，在內網安全的威脅模型下，需要對內部網絡中所有組成節點和參與者的細致管理，實現一個可管理、可控制和可信任的內網。由此可見，相比于外網安全，內網安全具有以下特點：

1)要求建立一種更加全面、客觀和嚴格的信任體系和安全體系;

2)要求建立更加細粒度的安全控制措施，對計算機終端、服務器、網絡和使用者都進行更加具有針對性的管理; 3)要求對信息進行生命周期的完善管理。

3.現有內網安全產品和技術分析

自從內網安全概念提出到現在，有眾多的廠商紛紛發布自己的內網安全解決方案，由于缺乏標準，這些產品和技術各不相同，但是總結起來，應該包括監控審計類、桌面管理類、文檔加密類、文件加密類和磁盤加密類等。

下面分別對這些產品和技術類型的特性做了簡單的分析和說明。

3.1.監控審計類

監控審計類產品是最早出現的內網安全產品， 50%以上的內網安全廠商推出的內網安全產品都是監控審計類的。監控審計類產品主要對計算機終端訪問網絡、應用使用、系統配置、文件操作以及外設使用等提供集中監控和審計功能，并可以生成各種類型的報表。

監控審計產品一般基于協議分析、注冊表監控和文件監控等技術，具有實現簡單和開發周期短的特點，能夠在內網發生安全事件后，提供有效的證據，實現事后審計的目標。監控審計類產品的缺點是不能做到事情防范，不能從根本上實現提高內網的可控性和可管理性。

3.2.桌面管理類

桌面管理類產品主要針對計算機終端實現一定的集中管理控制策略，包括外設管理、應用程序管理、網絡管理、資產管理以及補丁管理等功能，這類型產品通常跟監控審計產品有類似的地方，也提供了相當豐富的審計功能。

桌面監控審計類產品除了使用監控審計類產品的技術外，還可能需要對針對Windows系統使用鉤子技術，對資源進行控制，總體來說，技術難度也不是很大。桌面監控審計類產品實現了對計算機終端資源的有效管理和授權，其缺點不能實現對內網信息數據提供有效的控制。

3.3.文檔加密類

文檔加密類產品也是內網安全產品中研發廠商相對較多的內網安全產品類型，其主要解決特定格式主流文檔的權限管理和防泄密問題，可以部分解決專利資料、財務資料、設計資料和圖紙資料的泄密問題。

文檔加密技術一般基于文件驅動和應用程序的API鉤子技術結合完成，具有部署靈活的特點。但是，因為文檔加密技術基于文件驅動鉤子、臨時文件和API鉤子技術，也具有軟件兼容性差、應用系統適應性差、安全性不高以及維護升級工作量大的缺點。

3.4.文件加密類

文件加密類產品類型繁多，有針對單個文件加密，也有針對文件目錄的加密，但是總體來說，基本上是提供了一種用戶主動的文件保護措施。 文件加密類產品主要基于文件驅動技術，不針對特定類型文檔，避免了文檔加密類產品兼容性差等特點，但是由于其安全性主要依賴于使用者的喜好和習慣，難以實現對數據信息的強制保護和控制。

3.5.磁盤加密類

磁盤加密類產品在磁盤驅動層對部分或者全部扇區進行加密，對所有文件進行強制的保護，結合用戶或者客戶端認證技術，實現對磁盤數據的全面保護。

磁盤加密技術由于基于底層的磁盤驅動和內核驅動技術，具有技術難度高、研發周期長的特點。此外，由于磁盤加密技術對于上層系統、數據和應用都是透明的，要實現比較好的效果，必須結合其它內網安全管理控制措施。

4.構建完整的內網安全體系

從前面的介紹可以看出，上述的內網安全產品，都僅僅解決了內網安全部分的問題，并且由于其技術的限制，存在各自的缺點。事實上，要真正構建一個可管理、可信任和可控制的內網安全體系，應該統一規劃，綜合上述各種技術的優勢，構建整體一致的內網安全管理平臺。

根據上述分析和內網安全的特點，一個整體一致的內網安全體系，應該包括身份認證、授權管理、數據保密和監控審計四個方面，并且，這四個方面應該是緊密結合、相互聯動的統一平臺，才能達到構建可信、可控和可管理的安全內網的效果。

身份認證是內網安全管理的基礎，不確認實體的身份，進一步制定各種安全管理策略也就無從談起。內網的身份認證，必須全面考慮所有參與實體的身份確認，包括服務器、客戶端、用戶和主要設備等。其中，客戶端和用戶的身份認證尤其要重點關注，因為他們具有數量大、環境不安全和變化頻繁的特點。

授權管理是以身份認證為基礎的，其主要對內部信息網絡各種信息資源的使用進行授權，確定“誰”能夠在那些“計算機終端或者服務器”使用什么樣的“資源和權限”。授權管理的信息資源應該盡可能全面，應該包括終端使用權、外設資源、網絡資源、文件資源、服務器資源和存儲設備資源等。

數據保密是內網信息安全的核心，其實質是要對內網信息流和數據流進行全生命周期的有效管理，構建信息和數據安全可控的使用、存儲和交換環境，從而實現對內網核心數據的保密和數字知識產權的保護。由于信息和數據的應用系統和表現方式多種多樣，所以要求數據保密技術必須具有通用性和應用無關性。

監控審計是內網安全不可缺少的輔助部分，可以實現對內網安全狀態的實時監控，提供內網安全狀態的評估報告，并在發生內網安全事件后實現有效的取證。

需要再次強調的是，上述四個方面，必須是整體一致的，如果只簡單實現其中一部分，或者只是不同產品的簡單堆砌，都難以建立和實現有效內網安全管理體系。

5.結論

內網安全已經成為信息安全的新熱點，其技術和標準也在成熟和演進過程中，我們有理由相信，隨著用戶對內網安全認識的加深，用戶內網安全管理制度的晚上，整體一致的內網安全解決方案和體系建設將成為內網安全的主要發展趨勢。