内网安全在国内的市场自从2003年左右启动至今,已经走过了4年的历程,在这个过程中,内网安全的概念不断完善和丰富,也在不断的演进,但是,时至今日,依然缺乏统一的标准,并由于众多小型内网安全产品厂商的进入,造成了市场的混乱。与此相对应的是,各个高度信息化的单位,对内网安全产品的需求凸现,如何选择一个合适的内网安全产品,已经成为众多网络管理员和CIO的棘手问题。
优秀内网安全厂商明朝万达的Chinasec内网安全专家指出,CIO和网管人员在选择内网安全产品的时候,必须从需求、性能和服务三个方面,进行整体内网安全体系的设计和规划,才能够确保成功建立内网安全管理系统,确保内网安全投资的效果。
1 内网安全需求分析是基础
内网安全是一个广泛而且模糊的概念,不同的用户和厂商都有其不同的理解,但是,对于一个具体的用户单位来说,其需求是可以结合单位的实际情况分析确定的。虽然内网安全需求非常复杂,但大的方面来说,可以分为授权管理、数据保密和监控审计三种类型。
授权管理是内网安全中经常受到关注的目标,通过授权管理,可以确保在不影响用户正常业务工作的情况下,最小化享有内网的信息资源,从而将内网安全的各种风险降到最低点。授权管理的具体内容是非常丰富的,包括终端使用授权、服务器应用访问授权、文件访问授权、外设使用授权、移动存储设备使用授权、网络使用授权和应用程序使用授权等。用户单位需要那些具体的授权管理内容,需要根据用户单位的管理制度和IT应用特点而定。
数据保密是内网安全的核心目标,无论对政府还是企业,其目的就是确保内网的涉密数据或者知识产权不被内部人员有意或者无意的泄密。数据保密根据不同的管理制度和网络拓扑需要不同的方案。对于内外网隔离的涉密网络,其重点是贯彻和落实国家保密局BMB-17文件思想,实现对内网数据的全面控制。对于一般的企业,因为其内网和外网是互通的,要求在不影响正常网络信息交流的前提下,实现企业核心文档、图纸、源代码和其它文件的保密,防止内部员工通过网络或者外设等途径泄密数据。
监控审计是内网安全最早发展的内容之一,其核心目的是对内网的实时运行状况进行监控,同时根据需要对内网各种行为和信息进行记录,在一旦发生内网安全事件后,可以提供分析资料和决策依据。
事实上,在进行内网安全需求分析的时候,不是上述三个方面内容的简单组合,在这个过程中,既要考虑单位当前的需求,也要考虑到以后可能面临的需求,进行长远的规划。比如,有的企业当前阶段可能仅有监控审计的需求,但是随着企业发展和信息化程度提高,数据保密的需求就可能显现出来。所以,在进行需求分析的时候,必须立足长远,分步实施,能够确保内网安全系统的统一性、延续性和一致性。
2 性能指标是选型关键
具有丰富成功的内网安全产品设计经验和实施经验的Chinasec安全专家认为,在进行具体产品选型之前,必须仔细考虑产品的性能指标是否符合单位的需要。内网安全产品的性能,主要体现在安全性、维护性、兼容性和扩展性四个方面。
安全性是内网安全产品首先需要考核的要点。不同的内网安全产品,依据其设计理念不同,其安全性区别很大。譬如监控审计产品,其重点在于事后审计,其事前防范的能力有限,如果员工安装了双操作系统,那么很容易就可以避开内网安全系统的监管。而文档加密产品,由于基于文件类型进行加密和区分,采用了临时文件等技术,使得临时文件、剪贴板和内存等成为显著的安全漏洞,但是也具有部署简单的优势。以明朝万达的Chinasec可信网络安全平台为代表的综合内网安全平台,则具更强的安全性和保密性,可以有效实现事情防范、事中监控和事后审计的目标。
维护性是选择内网安全产品的时候CIO要考虑的另外一个问题,因为内网安全产品跟传统安全产品最大的区别在于其基于终端控制技术,要尽可能选择跟上层应用无关的产品,这样可以确保在应用产品升级和增加新应用等信息化建设的时候内网安全体系依然可以支持。有些文档加密产品可维护性就存在比较大的争议,以至于即便AutoCAD版本升级的时候,也需要厂商进行二次开发工作。选择一个可维护性好的内网安全产品,是内网安全系统能否有效运行的关键。
兼容性是内网安全产品发展初期曾经出现的致命问题,目前已经有所改善,但是,跟所有终端安全产品一样,兼容性依然是很多内网安全产品面临的问题,甚至一些最早进入内网安全领域的厂商,在该问题上都迟迟得不到提高。在兼容性的考虑上,应该尽可能选择通过采用系统底层技术和正常系统机制实现的内网安全产品,而尽量避免选择钩子技术(如剪贴板拦截和DLL替换)和非正常系统技术实现的内网安全产品,这样可以确保系统的兼容性。
扩展性是在内网安全产品选型中容易受到忽视的问题,事实上,内网安全是一个完整的体系,只有进行整体的规划,才能达到最大的效果,虽然一个单位在初期可能仅具有简单的内网安全需求,但应该从长远着想,选择扩展性能良好,模块化程度高的内网安全产品。很难想象,为了达到监控审计、数据保密和授权管理的目标,在客户端安装三个不同的内网安全产品,使用三个不同的服务器进行管理,这无论对管理还是系统稳定性,都会造成很大的不便和隐患。
3 服务能力是内网安全系统实施成败的关键
内网安全系统的实施跟其它安全系统的重要区别在于,内网安全体系建立的过程,是一个咨询、实施和改进的过程,涉及到对单位管理制度、网络拓扑、应用系统和使用习惯等调研、协调和设计的过程,要求内网安全厂商和供应商能够提供高质量和持续的服务。
首先要考查的是内网安全厂商是否是专注于内网安全行业,只有专注的厂商,才可能以内网安全产品为其企业生命线,提供高质量的服务。其次要考查内网安全厂商的核心队伍结构,内网安全产品是一个技术含量相当高的产品,其队伍的专业背景和组成决定了该产品的优越性。再次要考查内网安全产品的本地化服务能力,是否具有本地化的服务提供商,确保能够为本单位提供及时有效的服务。
Chinasec安全专家指出,正是因为处于上述种种考虑,明朝万达作为专注于内网安全领域的优秀厂商,注重创新,以毕业于清华大学和北京大学的技术和管理人员为核心,申请了多项专利和10多项软件著作权,并跟公安部三所、保密数据研究所和某国家密码研究单位等多个国家重点安全研究所结成良好的战略伙伴关系,为用户提供整体一致的内网安全解决方案。同时,明朝万达跟多达30多家分布全国各地的核心合作伙伴建立紧密的合作关系,致力于为用户提供高质量的服务。目前,Chinasec可信网络安全平台领先的理念已经日益深入广大用户的心中,已经在海关总署、经纬纺织、德信无线、朗能集团、成都规划设计院、多个军工研究院所和多个电子党政务网络等企事业单位中得到广泛应用。
网友评论