Chinasec專家談內網安全產品選型三要素

內網安全在國內的市場自從2003年左右啟動至今，已經走過了4年的歷程，在這個過程中，內網安全的概念不斷完善和豐富，也在不斷的演進，但是，時至今日，依然缺乏統(tǒng)一的標準，并由于眾多小型內網安全產品廠商的進入，造成了市場的混亂。與此相對應的是，各個高度信息化的單位，對內網安全產品的需求凸現，如何選擇一個合適的內網安全產品，已經成為眾多網絡管理員和CIO的棘手問題。優(yōu)秀內網安全廠商明朝萬達的Chinasec內網安全專家指出，CIO和網管人員在選擇內網安全產品的時候，必須從需求、性能和服務三個方面，進行整體內網安全體系的設計和規(guī)劃，才能夠確保成功建立內網安全管理系統(tǒng)，確保內網安全投資的效果。

1.內網安全需求分析是基礎

內網安全是一個廣泛而且模糊的概念，不同的用戶和廠商都有其不同的理解，但是，對于一個具體的用戶單位來說，其需求是可以結合單位的實際情況分析確定的。雖然內網安全需求非常復雜，但大的方面來說，可以分為授權管理、數據保密和監(jiān)控審計三種類型。授權管理是內網安全中經常受到關注的目標，通過授權管理，可以確保在不影響用戶正常業(yè)務工作的情況下，最小化享有內網的信息資源，從而將內網安全的各種風險降到最低點。授權管理的具體內容是非常豐富的，包括終端使用授權、服務器應用訪問授權、文件訪問授權、外設使用授權、移動存儲設備使用授權、網絡使用授權和應用程序使用授權等。

用戶單位需要那些具體的授權管理內容，需要根據用戶單位的管理制度和IT應用特點而定。數據保密是內網安全的核心目標，無論對政府還是企業(yè)，其目的就是確保內網的涉密數據或者知識產權不被內部人員有意或者無意的泄密。數據保密根據不同的管理制度和網絡拓撲需要不同的方案。對于內外網隔離的涉密網絡，其重點是貫徹和落實國家保密局BMB-17文件思想，實現對內網數據的全面控制。對于一般的企業(yè)，因為其內網和外網是互通的，要求在不影響正常網絡信息交流的前提下，實現企業(yè)核心文檔、圖紙、源代碼和其它文件的保密，防止內部員工通過網絡或者外設等途徑泄密數據。監(jiān)控審計是內網安全最早發(fā)展的內容之一，其核心目的是對內網的實時運行狀況進行監(jiān)控，同時根據需要對內網各種行為和信息進行記錄，在一旦發(fā)生內網安全事件后，可以提供分析資料和決策依據。

事實上，在進行內網安全需求分析的時候，不是上述三個方面內容的簡單組合，在這個過程中，既要考慮單位當前的需求，也要考慮到以后可能面臨的需求，進行長遠的規(guī)劃。比如，有的企業(yè)當前階段可能僅有監(jiān)控審計的需求，但是隨著企業(yè)發(fā)展和信息化程度提高，數據保密的需求就可能顯現出來。所以，在進行需求分析的時候，必須立足長遠，分步實施，能夠確保內網安全系統(tǒng)的統(tǒng)一性、延續(xù)性和一致性。

2.性能指標是選型關鍵

具有豐富成功的內網安全產品設計經驗和實施經驗的Chinasec安全專家認為，在進行具體產品選型之前，必須仔細考慮產品的性能指標是否符合單位的需要。內網安全產品的性能，主要體現在安全性、維護性、兼容性和擴展性四個方面。

安全性是內網安全產品首先需要考核的要點。不同的內網安全產品，依據其設計理念不同，其安全性區(qū)別很大。譬如監(jiān)控審計產品，其重點在于事后審計，其事前防范的能力有限，如果員工安裝了雙操作系統(tǒng)，那么很容易就可以避開內網安全系統(tǒng)的監(jiān)管。而文檔加密產品，由于基于文件類型進行加密和區(qū)分，采用了臨時文件等技術，使得臨時文件、剪貼板和內存等成為顯著的安全漏洞，但是也具有部署簡單的優(yōu)勢。以明朝萬達的Chinasec可信網絡安全平臺為代表的綜合內網安全平臺，則具更強的安全性和保密性，可以有效實現事情防范、事中監(jiān)控和事后審計的目標。

維護性是選擇內網安全產品的時候CIO要考慮的另外一個問題，因為內網安全產品跟傳統(tǒng)安全產品最大的區(qū)別在于其基于終端控制技術，要盡可能選擇跟上層應用無關的產品，這樣可以確保在應用產品升級和增加新應用等信息化建設的時候內網安全體系依然可以支持。有些文檔加密產品可維護性就存在比較大的爭議，以至于即便AutoCAD版本升級的時候，也需要廠商進行二次開發(fā)工作。選擇一個可維護性好的內網安全產品，是內網安全系統(tǒng)能否有效運行的關鍵。

兼容性是內網安全產品發(fā)展初期曾經出現的致命問題，目前已經有所改善，但是，跟所有終端安全產品一樣，兼容性依然是很多內網安全產品面臨的問題，甚至一些最早進入內網安全領域的廠商，在該問題上都遲遲得不到提高。在兼容性的考慮上，應該盡可能選擇通過采用系統(tǒng)底層技術和正常系統(tǒng)機制實現的內網安全產品，而盡量避免選擇鉤子技術（如剪貼板攔截和DLL替換）和非正常系統(tǒng)技術實現的內網安全產品，這樣可以確保系統(tǒng)的兼容性。

擴展性是在內網安全產品選型中容易受到忽視的問題，事實上，內網安全是一個完整的體系，只有進行整體的規(guī)劃，才能達到最大的效果，雖然一個單位在初期可能僅具有簡單的內網安全需求，但應該從長遠著想，選擇擴展性能良好，模塊化程度高的內網安全產品。很難想象，為了達到監(jiān)控審計、數據保密和授權管理的目標，在客戶端安裝三個不同的內網安全產品，使用三個不同的服務器進行管理，這無論對管理還是系統(tǒng)穩(wěn)定性，都會造成很大的不便和隱患。

3.服務能力是內網安全系統(tǒng)實施成敗的關鍵

內網安全系統(tǒng)的實施跟其它安全系統(tǒng)的重要區(qū)別在于，內網安全體系建立的過程，是一個咨詢、實施和改進的過程，涉及到對單位管理制度、網絡拓撲、應用系統(tǒng)和使用習慣等調研、協(xié)調和設計的過程，要求內網安全廠商和供應商能夠提供高質量和持續(xù)的服務。首先要考查的是內網安全廠商是否是專注于內網安全行業(yè)，只有專注的廠商，才可能以內網安全產品為其企業(yè)生命線，提供高質量的服務。其次要考查內網安全廠商的核心隊伍結構，內網安全產品是一個技術含量相當高的產品，其隊伍的專業(yè)背景和組成決定了該產品的優(yōu)越性。再次要考查內網安全產品的本地化服務能力，是否具有本地化的服務提供商，確保能夠為本單位提供及時有效的服務。