最近一兩年信息泄露的案例屢見不鮮,如匯豐銀行離職員工造成的客戶資料泄露、國內某大型造船廠發生的設計數據非法拷貝等事件。并且,隨著P2P應用的普及,越來越多的企業網絡流量被占用,病毒、木馬等不斷地滋生,這些都使得企業和業界對內網安全的風險更加關注。那么,究竟什么是內網安全呢?
1、內網安全的本質
其實,“內網安全”一直沒有一個明確的定義,引用著名信息安全專家方濱興院士的定義,信息安全包括5個層面:物理安全、數據安全、運行安全、內容安全和管理安全。物理安全是指對網絡與信息系統物理裝備的保護;運行安全指對網絡與信息系統的運行過程和運行狀態的保護;數據安全指對信息在數據收集、處理、存儲、檢索、傳輸、交換、顯示、擴散等過程中的保護,使得在數據處理層面保障信息依據授權使用,不被非法冒充、竊取、篡改、抵賴;內容安全指對信息在網絡內流動中的選擇性阻斷,以保證信息流動的可控能力;管理安全是指在信息安全的保障過程中,除上述技術保障之外的與管理相關的人員、制度和原則方面的安全措施。
究其本質,并且結合當前業界關注的焦點和相關產品設計的思路,內網安全更強調的是數據安全、運行安全和管理安全,而其核心是數據安全和管理安全,也就是如何通過各種技術、手段、工具以及管理方法來阻止內網數據的泄漏。
實現內網安全需要技術與管理相輔相成,但究竟是“管理為先”還是“技術為先”一直存在爭論。其實,管理和技術的問題已經談論很多年了。我們暫且不談論哪個應該為先,我認為兩手都要抓。技術以管理為指導,管理以技術為落腳點。七分管理,三分技術,從很多安全標準以及IT治理標準中都可以看出來,比如ISO270001,COSO,COBIT等等,他們大都是從管理入手,然后談到一些實現的技術。
2、內網安全之技術選型
舉個例子,內網安全關注的信息防泄漏管理包含了監控、審計、加密等技術,市場上既有實現單個功能的產品,也有整合的解決方案,那么,實現信息防泄漏管理,是企業購買多個單一功能的產品來自主搭建體系好,還是采用廠商提供的整體解決方案更佳?我們需要一分為二的來看待這個問題。有的企業剛起步,沒有足夠的人力和能力來做系統集成,因此傾向于購買一整套解決方案;而有的企業則配備有很多的人力,來對各家產品進行細致的選型,采購和部署,自己形成一套解決方案,集各家之所長,這在當前也非常常見。這兩種做法各有優劣,根據企業的情況來實際操作即可。
另外,在設備選型方面,業界其實并沒有非常統一的標準,我根據經驗給出如下幾個判定因素,供大家在實踐選型中參考:(1)功能性:防泄露產品的功能需要保證在復雜的網絡環境和工作環境中,以及復雜的條件下都能夠很好的工作。主要判斷其是否包括數據防泄漏、上網行為管理、數據使用及應用行為審計等功能;(2)穩定性:產品能夠在大數據量環境甚至極端環境中都能穩定地運行,不存在單點故障。并且,需要確保其處理能力(吞吐量)能夠應對企業網絡流量的壓力,不至于導致大流量環境下的部分甚至全部功能失效;(3)兼容性:產品應該能夠很好、方便地集成到現在的企業安全體系中,而不是獨立于安全體系之外。舉個簡單的例子,現在很多內網安全產品都在客戶端作為Agent(代理)進行部署,與服務器上部署的安全服務端進行聯動,這些Agent不應與用戶計算機上的其他軟件產品產生沖突和不兼容,以避免由于部署安全產品而導致業務無法進行等問題;(4)可審計性:能夠提供強大的報告生成(report generation)功能,并且以用戶友好的GUI(圖形用戶界面)方式來展現給管理員和審計者,以方便審計、查閱和檢索,因為內網安全產生的數據是海量的,報告將給管理工作帶來極大便利。
3、內網安全之技術涉及隱私的考慮
內網安全的行為審計可以發現不少內網安全的“內鬼”,但是國內對于“行為審計是否侵犯個人隱私”一直存在爭論。從企業的角度來看,部署行為監控和行為審計類產品無可厚非,這是企業合規的一個重要步驟。比如郵件的archive和auditor,這都是非常必要的工作。從技術層面來看,行為審計并不一定要侵犯個人隱私,或者說不完全要侵犯個人隱私。只需要提供一些關鍵的審計詞,通過借助軟件的方式,并且嚴格限制審計者對原始數據的接觸,就能比較好地做到尊重個人隱私。而且,企業審計也是一門學問,當前有很多的認證,比如CISA等,就很好地證明了審計的重要性。
4、云計算時代給內網安全帶來的挑戰
隨著技術的快速發展,云計算、移動應用、社交網絡已經成為許多員工的日常應用,這些設備與技術的應用,給內網安全帶來了巨大的影響。在選擇、實施內網安全技術和產品的時候,需要根據新的情況提出新的要求,從而滿足日益變化的應用需求的挑戰。
在此環境下,內網安全產品供應商除了提供設備外,還應該為企業提供一些咨詢服務。其實,現在安全產品供應商應該順承一個趨勢,就是從device provider(設備提供商)逐步地過渡到solution provider(解決方案提供商),沒有哪一家廠商可以說自己的產品包羅萬象,可以滿足用戶的所有需求。用戶目前更關注的是解決方案,其次才是實施的產品。沒有方案,何談產品。企業用戶在產品選擇時也要更多地關注產品供應商的解決方案是不是合適,高效。