內(nèi)網(wǎng)安全管理的特點(diǎn)和產(chǎn)品的選擇(1)

古人云："知己知彼，百戰(zhàn)不殆。"想要保障企業(yè)內(nèi)網(wǎng)的安全，肯定要對(duì)內(nèi)網(wǎng)安全的定義以及范圍有所了解，就像看病一樣，要"對(duì)癥下藥"。

內(nèi)網(wǎng)安全的范圍

內(nèi)網(wǎng)安全直接影響到企業(yè)信息的機(jī)密性，所以怎么強(qiáng)調(diào)都不是過(guò)分的事情，若想要做好內(nèi)網(wǎng)的安全防范，對(duì)于其特點(diǎn)就要有一個(gè)明確的理解。

一位外企信息安全官李洋曾談到："內(nèi)網(wǎng)安全問(wèn)題主要來(lái)源于兩方面，一個(gè)是從外到內(nèi)的（交界、邊界安全），另一方面是從內(nèi)到外的。根據(jù)不同來(lái)源的安全問(wèn)題，會(huì)有不同的防范措施。"

的確如此，當(dāng)說(shuō)道安全問(wèn)題，一方面很自然地就想到要如何防范來(lái)自互聯(lián)網(wǎng)的攻擊，如何防范攻擊者入侵到內(nèi)部網(wǎng)絡(luò)，如何控制遠(yuǎn)程接入的訪問(wèn)權(quán)限等等，這些就是從外到內(nèi)的安全問(wèn)題；另一方面還要控制從企業(yè)內(nèi)網(wǎng)到外網(wǎng)的訪問(wèn)，內(nèi)部移動(dòng)設(shè)備的接入，分發(fā)管理等等。

可見(jiàn)，內(nèi)網(wǎng)安全具有一個(gè)雙向交互的管理特點(diǎn)，所以單從一方面去管理是不全面的，因此，在技術(shù)方面就會(huì)造成一定的管理難度。然而，除了技術(shù)方面，內(nèi)網(wǎng)安全管理的難點(diǎn)還包括行業(yè)差異和制度的建立兩個(gè)方面。

內(nèi)網(wǎng)安全管理的難點(diǎn)

第一：企業(yè)的IT建設(shè)、行業(yè)的不同需求造成的安全管理會(huì)有很大的差異。有的企業(yè)可能是注重于數(shù)據(jù)的防泄漏，有的企業(yè)可能注重于員工日常的上網(wǎng)行為控制，還有的企業(yè)更注重于內(nèi)外網(wǎng)的接入和訪問(wèn)等等。相較于外網(wǎng)的防護(hù)，內(nèi)網(wǎng)安全更加雜而亂，沒(méi)有一個(gè)常規(guī)的防范標(biāo)準(zhǔn)。

第二：內(nèi)網(wǎng)安全所涉及的技術(shù)和產(chǎn)品也非常多。身份驗(yàn)證，權(quán)限控制，系統(tǒng)管理，行為管理，網(wǎng)絡(luò)監(jiān)控，應(yīng)用管理等等，這么多相關(guān)的技術(shù)和產(chǎn)品讓安全人員應(yīng)接不暇，根本上也是因內(nèi)網(wǎng)安全需求的復(fù)雜度而引發(fā)的。

第三：制度不完善。很多企業(yè)在遇到內(nèi)網(wǎng)安全問(wèn)題的時(shí)候，往往不是因?yàn)榧夹g(shù)方面的不足，而是人員管理的問(wèn)題。很多員工并不是安全人員，不會(huì)意識(shí)到某些操作會(huì)帶來(lái)安全威脅。例如，A企業(yè)安裝了上網(wǎng)行為管理產(chǎn)品，控制員工的網(wǎng)絡(luò)使用。然而某員工還是通過(guò)3G網(wǎng)絡(luò)接入外網(wǎng)，造成了數(shù)據(jù)泄漏。若在數(shù)據(jù)泄漏之前，公司明文規(guī)定嚴(yán)禁以任何形式接入外網(wǎng)，并有效地推動(dòng)此規(guī)定的實(shí)施，想必這樣的事情也不會(huì)輕易發(fā)生。

可以說(shuō)，在一定程度上規(guī)范制度的建立是為了進(jìn)行更好的人員管理，那么針對(duì)內(nèi)網(wǎng)安全，在制度和人員管理方面應(yīng)該注意哪些問(wèn)題呢？

制度的建立和人員管理

針對(duì)制度的建立和人員管理問(wèn)題，李洋對(duì)此也深有感觸，他道："針對(duì)不同的行業(yè)，會(huì)有不同的人員管理需求（制度，規(guī)定章程方面）。

例如，金融行業(yè)，在金融行業(yè)的IT的治理，面對(duì)不同的部門(mén)，不同的階層，制定不同的安全等級(jí)，達(dá)到一個(gè)安全目標(biāo)。

例如，普通員工的日常工作安全標(biāo)準(zhǔn)，運(yùn)維人員的安全標(biāo)準(zhǔn)，管理人員的安全標(biāo)準(zhǔn)都是不同的。如果落實(shí)在章程中，會(huì)非常的細(xì)致，比如在職人員的安全管理，離職人員的安全管理等等。

另外，人對(duì)工具使用。針對(duì)安全工具（產(chǎn)品）的使用，以及日常辦公軟件的使用，因?yàn)槊總�(gè)人的素質(zhì)不同，對(duì)于這些工具的使用，安全防范意識(shí)是不同的。"

可見(jiàn)，由于人為因素的加入，讓內(nèi)網(wǎng)安全管理變得更復(fù)雜。那如何制定一個(gè)適合企業(yè)的內(nèi)網(wǎng)安全管理制度呢？在這里提出如下幾個(gè)建議：

◆了解自身業(yè)務(wù)需求

日常業(yè)務(wù)操作是企業(yè)的命脈，因此從根本出發(fā)，在業(yè)務(wù)工作流程中分析員工的日常工作行為，找出薄弱環(huán)節(jié)，制定符合業(yè)務(wù)需求的工作規(guī)范。

◆了解安全風(fēng)險(xiǎn)

要弄清楚企業(yè)內(nèi)網(wǎng)有可能面臨哪些風(fēng)險(xiǎn)，現(xiàn)有條件下對(duì)這些風(fēng)險(xiǎn)的承受程度如何。只有在了解了這些風(fēng)險(xiǎn)的前提下，才能制定相關(guān)的防范措施和應(yīng)急措施，從而保障業(yè)務(wù)的連續(xù)性。

◆提高員工素質(zhì)

實(shí)際上大多數(shù)安全問(wèn)題都是由人直接或間接造成的，因此，培養(yǎng)以及提高內(nèi)部人員的職業(yè)素質(zhì)，信息和網(wǎng)絡(luò)安全素質(zhì)，制定合理的安全管理制度和工作流程，是非常有必要的。

安全總是相對(duì)的，百密總會(huì)有一疏，但是要盡量將企業(yè)的安全制度和措施相結(jié)合起來(lái)，環(huán)環(huán)相扣，其中還有最重要的一點(diǎn)：想盡一切辦法去實(shí)施這些制度！

有了內(nèi)網(wǎng)安全制度和人員管理機(jī)制后，我們就需要結(jié)合一些安全產(chǎn)品來(lái)加強(qiáng)內(nèi)網(wǎng)的防護(hù)，那么下面我們就來(lái)談?wù)劙踩a(chǎn)品的選擇問(wèn)題。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]