隨著信息化程度的提高,網絡成為眾多企事業單位不可或缺的辦公工具,甚至政府機關也已經將網絡化辦公當作未來辦公的標準來鋪建內部的辦公網絡。眾所周知,網絡化的普及大大的提高了工作效率、降低了辦公成本,但是,伴隨著網絡的普及,網絡安全問題成為眾多企事業單位需要廣泛重視、重點解決的首要問題。
內網安全需求凸顯
一提起網絡安全,大家印象中第一個會聯想到病毒的入侵、黑客的攻擊致使整個網絡癱瘓而無法正常工作,這只是網絡安全的一個方面,在行業內統稱這類的安全問題為外網安全,目前針對外網安全的專業廠家眾多,產品線也非常地完善,各種基于局域網的殺毒軟件、防火墻產品已經基本上可以保護企業網絡不受外部攻擊的傷害。然而在外網安全體系越來越完善的同時,內部的網絡安全問題卻異軍突起,成為目前困擾企業網絡安全的一個大問題。
一般來講,內網安全風險是指由于內部因素造成的企業機密信息的泄漏而給企業帶來的風險和損失。目前企業內網常常存在種種隱患,使企業面臨機密信息被泄露的危險。員工有意無意地泄密、跳槽時帶走機密資料……種種泄密途徑,考驗著企業內網的每一根神經,也讓企業領導寢食不安。稍有不慎,公司就有可能一夜之間處在商業危機的邊緣。據美國FBI統計,83%的信息安全事故為內部人員和內外勾結所為,而且呈上升的趨勢。從這一數字可見,內網安全的重要性不容忽視。據公安部最新統計,70%的泄密犯罪來自于內部;電腦應用單位80%未設立相應的安全管理系統、技術措施和制度。為此,內網安全成為目前眾多企事業單位在解決了外網安全之后必然要面對的問題,因此內網安全的市場相信也會在很短的時間內會有較大的成長空間。
對內網安全認識上的誤區
內網安全概念的提出和發展雖然經歷了多年,但是目前尚沒有形成統一的認識,究其根源,很大程度上在于眾多企業仍然對內網安全認識上存在很大的誤區,從而影響了企業對內網安全的重視程度。這些認識誤區很大程度上因為缺乏相關的標準和政策指引所致。目前市場上對內網安全的認識誤區主要分成以下三個方面:
1)監控審計就是內網安全。監控審計系統主要提供了內網安全用戶行為和計算機使用的事后審計功能,同時針對部分計算機外設資源、移動存儲設備和網絡資源等的使用提供了一定的控制措施。
2)終端管理就是內網安全。終端管理系統主要提供了包括補丁分發、外設管理和網絡管理等功能。
3)數據加密就是內網安全。數據加密系統主要提供對用戶核心文檔資料的加密和保護,防止用戶內網人員有意或者無意將信息泄漏。
上述觀點一直以來對內網安全體系的構建形成了誤導,希冀通過單一的產品解決內網安全面臨的問題。而事實上,內網的安全需要在事前的防范、事件發生時的監控以及在事件發生后的審計方面層層把關才能構造一個完整的內網安全體系,因此,傳統的安全產品很難構造如此完整的內網安全體系。
Chinasec的全新內網安全理念
針對內網安全市場的獨特需求,作為業內最早切入內網安全市場的公司之一,明朝萬達公司的內網安全理念無疑更具整體性和一致性。明朝萬達以Chinasec品牌為核心的內網安全整體解決方案,立足于事前防范、事中監控、事后審計,可以協助組織構建比較完整的內網安全技術體系。
在Chinasec內網安全專家看來,內網安全作為一個全新的領域之所以被提出來,其根本在于隨著信息化程度的提高,使內網信息系統的復雜性急速增加而導致了內網信息系統安全問題的復雜化,網絡終端、內網使用者、網絡設備和服務器群等構成了一個復雜的內網信息系統,原有簡單的安全威脅模型和粗粒度的控制防護措施不再有效,從而誕生了以復雜安全威脅模型和細粒度的控制防護為特點的內網安全領域。
Chinasec內網安全專家指出,一個完整的內網安全解決方案,應該從關注計算機終端、服務器、信息網絡和信息應用系統等多個方面著手,基于“事前防范、事中控制、事后審計”的基本思路,形成“以身份認證為基礎、以數據安全和授權管理為核心、以監控審計為輔助”的全方位的內網信息安全管理體系。
作為內網安全,或者桌面安全的核心,數據安全要求做到的是嚴格的事前防范,而不是安全事件發生后的審計。身份認證是內網安全的基礎,只有確定了用戶和設備身份,才能進一步施行具體的管理措施。授權管理針對內網的所有資源進行授權,包括PC、服務器資源、PC內部的外設資源、網絡資源、應用程序資源等,可以根據公司管理規則進行授權設定。監控審計提供了對整個內網的實時狀態監控和風險控制能力,對所有設備和資源的使用情況、用戶行為和網絡狀況等都有詳細的記錄,并應該提供報警和實時響應功能。
作為一個完整的內網安全體系,上述四個方面不是相互獨立和割裂的,也不是各個產品功能的簡單堆砌,而必須是部署管理整體一致、策略實施相互聯動。要構建一個整體一致的內網安全解決方案,對內網安全產品研發生產廠商的信息安全管理經驗、產品綜合研發能力和用戶需求把握能力提出了非常高的要求,這也是目前絕大部分內網安全廠商僅能提供片面的解決方案的主要原因。
明朝萬達以其核心團隊長達10年的信息安全研發經驗和長達5年的內網安全專注經驗,結合其來自各政府信息安全主管部門和行業應用部門的資深專家團隊,以9個核心專利技術和10多個軟件著作權為支撐,為用戶提供了完全具有自主知識產權的Chinasec整體一致內網安全解決方案。
