Chinasec專家談內(nèi)網(wǎng)安全產(chǎn)品選型三要素

內(nèi)網(wǎng)安全在國內(nèi)的市場自從2003年左右啟動至今，已經(jīng)走過了4年的歷程，在這個過程中，內(nèi)網(wǎng)安全的概念不斷完善和豐富，也在不斷的演進，但是，時至今日，依然缺乏統(tǒng)一的標準，并由于眾多小型內(nèi)網(wǎng)安全產(chǎn)品廠商的進入，造成了市場的混亂。與此相對應(yīng)的是，各個高度信息化的單位，對內(nèi)網(wǎng)安全產(chǎn)品的需求凸現(xiàn)，如何選擇一個合適的內(nèi)網(wǎng)安全產(chǎn)品，已經(jīng)成為眾多網(wǎng)絡(luò)管理員和CIO的棘手問題。優(yōu)秀內(nèi)網(wǎng)安全廠商明朝萬達的Chinasec內(nèi)網(wǎng)安全專家指出，CIO和網(wǎng)管人員在選擇內(nèi)網(wǎng)安全產(chǎn)品的時候，必須從需求、性能和服務(wù)三個方面，進行整體內(nèi)網(wǎng)安全體系的設(shè)計和規(guī)劃，才能夠確保成功建立內(nèi)網(wǎng)安全管理系統(tǒng)，確保內(nèi)網(wǎng)安全投資的效果。

1.內(nèi)網(wǎng)安全需求分析是基礎(chǔ)

內(nèi)網(wǎng)安全是一個廣泛而且模糊的概念，不同的用戶和廠商都有其不同的理解，但是，對于一個具體的用戶單位來說，其需求是可以結(jié)合單位的實際情況分析確定的。雖然內(nèi)網(wǎng)安全需求非常復(fù)雜，但大的方面來說，可以分為授權(quán)管理、數(shù)據(jù)保密和監(jiān)控審計三種類型。授權(quán)管理是內(nèi)網(wǎng)安全中經(jīng)常受到關(guān)注的目標，通過授權(quán)管理，可以確保在不影響用戶正常業(yè)務(wù)工作的情況下，最小化享有內(nèi)網(wǎng)的信息資源，從而將內(nèi)網(wǎng)安全的各種風險降到最低點。授權(quán)管理的具體內(nèi)容是非常豐富的，包括終端使用授權(quán)、服務(wù)器應(yīng)用訪問授權(quán)、文件訪問授權(quán)、外設(shè)使用授權(quán)、移動存儲設(shè)備使用授權(quán)、網(wǎng)絡(luò)使用授權(quán)和應(yīng)用程序使用授權(quán)等。

用戶單位需要那些具體的授權(quán)管理內(nèi)容，需要根據(jù)用戶單位的管理制度和IT應(yīng)用特點而定。數(shù)據(jù)保密是內(nèi)網(wǎng)安全的核心目標，無論對政府還是企業(yè)，其目的就是確保內(nèi)網(wǎng)的涉密數(shù)據(jù)或者知識產(chǎn)權(quán)不被內(nèi)部人員有意或者無意的泄密。數(shù)據(jù)保密根據(jù)不同的管理制度和網(wǎng)絡(luò)拓撲需要不同的方案。對于內(nèi)外網(wǎng)隔離的涉密網(wǎng)絡(luò)，其重點是貫徹和落實國家保密局BMB-17文件思想，實現(xiàn)對內(nèi)網(wǎng)數(shù)據(jù)的全面控制。對于一般的企業(yè)，因為其內(nèi)網(wǎng)和外網(wǎng)是互通的，要求在不影響正常網(wǎng)絡(luò)信息交流的前提下，實現(xiàn)企業(yè)核心文檔、圖紙、源代碼和其它文件的保密，防止內(nèi)部員工通過網(wǎng)絡(luò)或者外設(shè)等途徑泄密數(shù)據(jù)。監(jiān)控審計是內(nèi)網(wǎng)安全最早發(fā)展的內(nèi)容之一，其核心目的是對內(nèi)網(wǎng)的實時運行狀況進行監(jiān)控，同時根據(jù)需要對內(nèi)網(wǎng)各種行為和信息進行記錄，在一旦發(fā)生內(nèi)網(wǎng)安全事件后，可以提供分析資料和決策依據(jù)。

事實上，在進行內(nèi)網(wǎng)安全需求分析的時候，不是上述三個方面內(nèi)容的簡單組合，在這個過程中，既要考慮單位當前的需求，也要考慮到以后可能面臨的需求，進行長遠的規(guī)劃。比如，有的企業(yè)當前階段可能僅有監(jiān)控審計的需求，但是隨著企業(yè)發(fā)展和信息化程度提高，數(shù)據(jù)保密的需求就可能顯現(xiàn)出來。所以，在進行需求分析的時候，必須立足長遠，分步實施，能夠確保內(nèi)網(wǎng)安全系統(tǒng)的統(tǒng)一性、延續(xù)性和一致性。

2.性能指標是選型關(guān)鍵

具有豐富成功的內(nèi)網(wǎng)安全產(chǎn)品設(shè)計經(jīng)驗和實施經(jīng)驗的Chinasec安全專家認為，在進行具體產(chǎn)品選型之前，必須仔細考慮產(chǎn)品的性能指標是否符合單位的需要。內(nèi)網(wǎng)安全產(chǎn)品的性能，主要體現(xiàn)在安全性、維護性、兼容性和擴展性四個方面。

安全性是內(nèi)網(wǎng)安全產(chǎn)品首先需要考核的要點。不同的內(nèi)網(wǎng)安全產(chǎn)品，依據(jù)其設(shè)計理念不同，其安全性區(qū)別很大。譬如監(jiān)控審計產(chǎn)品，其重點在于事后審計，其事前防范的能力有限，如果員工安裝了雙操作系統(tǒng)，那么很容易就可以避開內(nèi)網(wǎng)安全系統(tǒng)的監(jiān)管。而文檔加密產(chǎn)品，由于基于文件類型進行加密和區(qū)分，采用了臨時文件等技術(shù)，使得臨時文件、剪貼板和內(nèi)存等成為顯著的安全漏洞，但是也具有部署簡單的優(yōu)勢。以明朝萬達的Chinasec可信網(wǎng)絡(luò)安全平臺為代表的綜合內(nèi)網(wǎng)安全平臺，則具更強的安全性和保密性，可以有效實現(xiàn)事情防范、事中監(jiān)控和事后審計的目標。

維護性是選擇內(nèi)網(wǎng)安全產(chǎn)品的時候CIO要考慮的另外一個問題，因為內(nèi)網(wǎng)安全產(chǎn)品跟傳統(tǒng)安全產(chǎn)品最大的區(qū)別在于其基于終端控制技術(shù)，要盡可能選擇跟上層應(yīng)用無關(guān)的產(chǎn)品，這樣可以確保在應(yīng)用產(chǎn)品升級和增加新應(yīng)用等信息化建設(shè)的時候內(nèi)網(wǎng)安全體系依然可以支持。有些文檔加密產(chǎn)品可維護性就存在比較大的爭議，以至于即便AutoCAD版本升級的時候，也需要廠商進行二次開發(fā)工作。選擇一個可維護性好的內(nèi)網(wǎng)安全產(chǎn)品，是內(nèi)網(wǎng)安全系統(tǒng)能否有效運行的關(guān)鍵。

兼容性是內(nèi)網(wǎng)安全產(chǎn)品發(fā)展初期曾經(jīng)出現(xiàn)的致命問題，目前已經(jīng)有所改善，但是，跟所有終端安全產(chǎn)品一樣，兼容性依然是很多內(nèi)網(wǎng)安全產(chǎn)品面臨的問題，甚至一些最早進入內(nèi)網(wǎng)安全領(lǐng)域的廠商，在該問題上都遲遲得不到提高。在兼容性的考慮上，應(yīng)該盡可能選擇通過采用系統(tǒng)底層技術(shù)和正常系統(tǒng)機制實現(xiàn)的內(nèi)網(wǎng)安全產(chǎn)品，而盡量避免選擇鉤子技術(shù)（如剪貼板攔截和DLL替換）和非正常系統(tǒng)技術(shù)實現(xiàn)的內(nèi)網(wǎng)安全產(chǎn)品，這樣可以確保系統(tǒng)的兼容性。

擴展性是在內(nèi)網(wǎng)安全產(chǎn)品選型中容易受到忽視的問題，事實上，內(nèi)網(wǎng)安全是一個完整的體系，只有進行整體的規(guī)劃，才能達到最大的效果，雖然一個單位在初期可能僅具有簡單的內(nèi)網(wǎng)安全需求，但應(yīng)該從長遠著想，選擇擴展性能良好，模塊化程度高的內(nèi)網(wǎng)安全產(chǎn)品。很難想象，為了達到監(jiān)控審計、數(shù)據(jù)保密和授權(quán)管理的目標，在客戶端安裝三個不同的內(nèi)網(wǎng)安全產(chǎn)品，使用三個不同的服務(wù)器進行管理，這無論對管理還是系統(tǒng)穩(wěn)定性，都會造成很大的不便和隱患。

3.服務(wù)能力是內(nèi)網(wǎng)安全系統(tǒng)實施成敗的關(guān)鍵

內(nèi)網(wǎng)安全系統(tǒng)的實施跟其它安全系統(tǒng)的重要區(qū)別在于，內(nèi)網(wǎng)安全體系建立的過程，是一個咨詢、實施和改進的過程，涉及到對單位管理制度、網(wǎng)絡(luò)拓撲、應(yīng)用系統(tǒng)和使用習慣等調(diào)研、協(xié)調(diào)和設(shè)計的過程，要求內(nèi)網(wǎng)安全廠商和供應(yīng)商能夠提供高質(zhì)量和持續(xù)的服務(wù)。首先要考查的是內(nèi)網(wǎng)安全廠商是否是專注于內(nèi)網(wǎng)安全行業(yè)，只有專注的廠商，才可能以內(nèi)網(wǎng)安全產(chǎn)品為其企業(yè)生命線，提供高質(zhì)量的服務(wù)。其次要考查內(nèi)網(wǎng)安全廠商的核心隊伍結(jié)構(gòu)，內(nèi)網(wǎng)安全產(chǎn)品是一個技術(shù)含量相當高的產(chǎn)品，其隊伍的專業(yè)背景和組成決定了該產(chǎn)品的優(yōu)越性。再次要考查內(nèi)網(wǎng)安全產(chǎn)品的本地化服務(wù)能力，是否具有本地化的服務(wù)提供商，確保能夠為本單位提供及時有效的服務(wù)。