內(nèi)網(wǎng)安全問題本質(zhì)談

1、內(nèi)網(wǎng)安全的本質(zhì)

最近一兩年信息泄露的案例屢見不鮮，如匯豐銀行離職員工造成的客戶資料泄露、國內(nèi)某大型造船廠發(fā)生的設(shè)計(jì)數(shù)據(jù)非法拷貝等事件。并且，隨著P2P應(yīng)用的普及，越來越多的企業(yè)網(wǎng)絡(luò)流量被占用，病毒、木馬等不斷地滋生，這些都使得企業(yè)和業(yè)界對(duì)內(nèi)網(wǎng)安全的風(fēng)險(xiǎn)更加關(guān)注。那么，究竟什么是內(nèi)網(wǎng)安全呢？

其實(shí)，“內(nèi)網(wǎng)安全”一直沒有一個(gè)明確的定義，引用著名信息安全專家方濱興院士的定義，信息安全包括5個(gè)層面：物理安全、數(shù)據(jù)安全、運(yùn)行安全、內(nèi)容安全和管理安全。物理安全是指對(duì)網(wǎng)絡(luò)與信息系統(tǒng)物理裝備的保護(hù)；運(yùn)行安全指對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)行過程和運(yùn)行狀態(tài)的保護(hù)；數(shù)據(jù)安全指對(duì)信息在數(shù)據(jù)收集、處理、存儲(chǔ)、檢索、傳輸、交換、顯示、擴(kuò)散等過程中的保護(hù)，使得在數(shù)據(jù)處理層面保障信息依據(jù)授權(quán)使用，不被非法冒充、竊取、篡改、抵賴；內(nèi)容安全指對(duì)信息在網(wǎng)絡(luò)內(nèi)流動(dòng)中的選擇性阻斷，以保證信息流動(dòng)的可控能力；管理安全是指在信息安全的保障過程中，除上述技術(shù)保障之外的與管理相關(guān)的人員、制度和原則方面的安全措施。

究其本質(zhì)，并且結(jié)合當(dāng)前業(yè)界關(guān)注的焦點(diǎn)和相關(guān)產(chǎn)品設(shè)計(jì)的思路，內(nèi)網(wǎng)安全更強(qiáng)調(diào)的是數(shù)據(jù)安全、運(yùn)行安全和管理安全，而其核心是數(shù)據(jù)安全和管理安全，也就是如何通過各種技術(shù)、手段、工具以及管理方法來阻止內(nèi)網(wǎng)數(shù)據(jù)的泄漏。

實(shí)現(xiàn)內(nèi)網(wǎng)安全需要技術(shù)與管理相輔相成，但究竟是“管理為先”還是“技術(shù)為先”一直存在爭(zhēng)論。其實(shí)，管理和技術(shù)的問題已經(jīng)談?wù)摵芏嗄炅�。我們暫且不談�(wù)撃膫�(gè)應(yīng)該為先，我認(rèn)為兩手都要抓。技術(shù)以管理為指導(dǎo)，管理以技術(shù)為落腳點(diǎn)。七分管理，三分技術(shù)，從很多安全標(biāo)準(zhǔn)以及IT治理標(biāo)準(zhǔn)中都可以看出來，比如ISO270001，COSO，COBIT等等，他們大都是從管理入手，然后談到一些實(shí)現(xiàn)的技術(shù)。

2、內(nèi)網(wǎng)安全之技術(shù)選型

舉個(gè)例子，內(nèi)網(wǎng)安全關(guān)注的信息防泄漏管理包含了監(jiān)控、審計(jì)、加密等技術(shù)，市場(chǎng)上既有實(shí)現(xiàn)單個(gè)功能的產(chǎn)品，也有整合的解決方案，那么，實(shí)現(xiàn)信息防泄漏管理，是企業(yè)購買多個(gè)單一功能的產(chǎn)品來自主搭建體系好，還是采用廠商提供的整體解決方案更佳？我們需要一分為二的來看待這個(gè)問題。有的企業(yè)剛起步，沒有足夠的人力和能力來做系統(tǒng)集成，因此傾向于購買一整套解決方案；而有的企業(yè)則配備有很多的人力，來對(duì)各家產(chǎn)品進(jìn)行細(xì)致的選型，采購和部署，自己形成一套解決方案，集各家之所長(zhǎng)，這在當(dāng)前也非常常見。這兩種做法各有優(yōu)劣，根據(jù)企業(yè)的情況來實(shí)際操作即可。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]