什么是内网安全?这个名词我们经常听说,却没有人能说出它的准确定义,即使是在维基百科和百度百科中也查找不到准确的结果。可是,这个概念从诞生至今已有十年的历史,它就像一个神秘的影子伴随着企业不断成长,我们都知道它在,却不知它究竟是谁。
一般而言,人们通常以企业网络边界为限将网络划分为内、外网,内网安全指的就是在内网中与安全相关的内容。由于IT技术变化很快,每隔一段时间就会出现新的技术和新的安全威胁,因此内网安全这个概念的内涵自诞生以来就不断的在发生改变。从网络访问控制到各种漏洞的封堵、从员工行为管理到桌面管理、从加密到融审计、监控、加密于一体的整体信息防泄漏,十年之间,内网安全走过了由技术到产品、由产品到方案、由方案到体系的发展之路。
内网安全的发展并非一帆风顺,经历过波折和争论,辉煌和失落,直到今天,仍存在诸多争议。站在内网安全发展十年的路口,我们不禁再次追问:内网安全究竟是人的问题还是技术的问题?实现信息防泄漏管理,是利用单个功能的产品来搭建体系好,还是采用全套解决方案更佳?加密是不是解决信息泄漏问题的终极武器?行为审计究竟有没有侵犯隐私?层出不穷的泄密事件反映出内网安全的哪些风险,我们能从中学到什么?如何评估一个信息防泄漏方案的好坏?太多的问题值得我们思考。正所谓“以史为鉴,可以知兴替”,回顾内网安全的发展史,或许能找到属于您的答案。
内网安全概念初现
2000年左右,中国基础网络建设已经比较完善,PC也已经成为一种常见的设备,基于网络的应用大量涌现,很多企事业单位已经进入到网络应用的阶段,办公自动化开始普及。
网络和办公自动化的普及,为病毒等安全威胁的快速传播提供了现实基础。当时企业级防护手段还是以防火墙为代表的边界防护,一旦病毒越过防火墙,就会在内网中快速传播,由于大多数用户对计算机的认知程度不高,缺乏防护意识,加之条件有限,难以保证系统补丁、软件升级的及时性,使得企业内网毫无抵抗力。人们发现,依靠单一的防火墙、防病毒软件无法应付病毒威胁,只有在将每个客户端都保护起来才能有效防止病毒入侵。随着相关需求的大量产生,市面上出现了包括控制非法接入、控制非法外连、设备加密、补丁分发等功能内网安全产品,主要解决桌面安全防护问题,内网安全的前身就此显现。在这个阶段,内网安全产品主要还是以系统功能增强为主,管理方面的能力较弱。
关注“人”的风险
2002年,美国“安然”“世通”丑闻爆发,2004年,美国证券市场开始实施针对上市公司财务和公司治理的Sarbanes-Oxley(塞班斯法案)。其中要求上市公司的内控管理必须切实做到保护财务数据、维护系统安全、保护客户数据免遭盗窃与破坏以提高公司披露的准确性和可靠性。内控从此成为人们关注的焦点,随之而来的针对邮件、网络等IT系统的审计要求使得邮件监控、网络监控、行为审计等产品成为热潮。
塞班斯法案从法规遵从的角度对上市企业的内控提出了明确要求,但内控并非只有上市公司才需要。在2005年左右,众多企业发现员工会在工作时间内通过互联网访问无关信息,这不仅降低了工作效率,还使得钓鱼欺诈、病毒、木马等安全威胁轻易的进入企业内网,内部泄密也变得轻而易举,传统的管理手段根本无法应对。如何对上网行为进行限制和管理成为了企业信息安全建设的燃眉之急,于是“上网行为管理”也在这一时期得到了快速发展。
从此时开始,内网安全不单单关注技术风险,也开始关注“人”的风险。行为监控和审计的出现标志着内网安全产品从单纯的“技术”走向了“管理”,但是,这一步走得并不轻松。
以现在的眼光来看,监控和审计是一种内控的必要手段,但是在当时,国人对于“隐私”的理解非常粗浅,而且企业的管理水平普遍较低,员工对于“监控”和“审计”有着非常强烈的抵触情绪。“监控”和“审计”源于美国,而此时的中国无论是企业发展水平还是员工意识都相对落后,在一些制造企业中还曾经发生过因为实施“行为监控”而导致大量设计人员离职的情况,许多企业最终不得不停用行为监控系统。
在这种大环境下,“监控”和“审计”的功能从台前转到了幕后,业内也开始关于“隐私”的讨论。与此同时,关于内网安全中是“管理”重要还是“技术”重要的思辨也登上历史舞台。
技术融合与防水墙
时间进入2006年,经过数年的发展,传统的网络连接控制、设备加密、补丁分发、监控、行为管理、行为审计等产品逐渐走向融合,桌面安全管理系统开始崭露头角。与传统的分散部署相比,整合后的桌面安全管理系统能够通过对网络中所有设备的统一策略制定、用户行为的统一管理,安全工具的集中审计,最大限度地减少安全隐患。同时,它还对个人桌面系统的软件资源、工作状况进行管理,有效地提高员工工作效率。桌面安全管理系统的出现,代表着内网安全领域技术整合的开始。也在这一年,信息防泄漏1.0版本--能够对抗网络、终端、外设等多样化安全威胁的防水墙也登上舞台。
融合产品的出现是内网安全发展史上的重大事件。传统的内网安全产品各自独立,企业可以选择每个具体应用上最强的软件来搭建内网安全体系。但这种方式的弱点也非常明显,不同产品互不相通,不但形成信息孤岛,还导致管理权限的交叉和重叠,从而产生更多的问题。融合产品可以将原本分散的多种功能整合成一个整体,有着更高的效率和更好的防护效果,因此一经面世就受到了众多厂商的追捧。
但是融合产品也并非没有弱点。许多企业特别是制造企业,在过去的信息化建设过程中已经有了许多应用,要全部撤除换新系统并不现实,而且会做所有的事情并不代表能把所有事情都做好。因此,是部署分散、独立系统还是部署整体解决方案来构建企业信息安全体系是一个见仁见智的问题,时至今日,仍然是业界探讨的热点。
透明加密井喷
同样是2006年,透明加密产品在信息安全领域刮起了一阵旋风。透明加密软件可以将企业图纸、办公文档等文档进行加密处理,整个过程对用户透明,不改变工作习惯。文档只有在授信范围内才能打开,离开了授信范围文档就是一堆乱码,号称“偷得走,打不开”。深陷信息安全风险的企业纷纷购买透明加密软件来保护自己的重要信息,透明加密市场出现井喷,短短半年间就出现了上百种产品,但在市场火热的背后,隐患也被埋下。
由于透明加密市场的突然火热,大量没有掌握核心技术,仅靠购买他人产品贴牌销售的厂商涌入透明加密市场。由于技术并不过关,许多用户在应用过程中遇到问题,还出现了不少加密后文档损坏且无法恢复的恶性案例。经过了06年的火爆之后,2007年透明加密市场急速冷却,大量缺乏技术实力的厂商倒闭。
内网安全走向成熟
2007年到2008年间,是内网安全领域变化较大的时期。随着移动存储介质的广泛普及,移动存储介质管理及其周边产品得到了用户的认可,主机监控审计产品亦开始盛行。2008年,美国次贷危机爆发,金融风暴席卷全球,中国也未能幸免,大量缺乏核心竞争力的企业倒闭。人心浮动之下,针对企业核心信息的违法行为增多,韩国双龙汽车、现代汽车先后爆出“泄密门”事件,如何保证核心数据的安全再次成为了企业关注的焦点。一些厂商将国外的DLP(数据泄漏防护)概念引入中国,根据中国企业的实际需求整合终端防护、存储磁盘、文件管理、版权管理以及U盘、外设端口控制、网页信息保护、即时通讯拦截等多个功能,推出了具有中国特色的DLP产品。国内部分知名制造企业也吸取其他厂商泄密事件的教训,迅速部署了DLP系统,如中国一汽集团、河北天马汽车、比亚迪汽车、广州本田等企业都陆续实施了DLP数据防泄密系统。
虽然从技术角度看,DLP系统仍然是各种传统技术的整合,并没有但是它体现出国内厂商已经不再盯着单一的产品或技术,而是开始进行概念和整体解决方案的推广,这无疑比过去单纯的技术概念炒作要高出一个层次,也代表着内网安全厂商更加的成熟。
整体信息防泄漏时代
2011年,全球泄密事件仍然层出不穷。索尼PSN泄密、富士康ipad图纸泄密、达利集团配方泄密、蜀山产业园丢失财政数据U盘,无论是相关公司的规模、泄露信息的重要性还是泄密事件的发生频率,2011年都超过往年。这表明,企业核心数据的价值已被攻击者认同,他们将花费更多的成本去非法获得企业核心数据。而另一方面,许多企业防泄密意识还不够,对核心信息的价值、内网安全以及信息防泄漏的认识还不足,由于成本原因,很多企业还在建设内网安全究竟是“挣钱”还是“花钱”的问题中纠结。
但是在安全业界,厂商们已经从层出不穷的泄密事件中看到了问题所在。加密不能解决所有的问题,单纯审计也没有任何意义。只有从全局的视角出发,对安全问题进行统筹规划、统一管理,整合运用审计、权限管理、透明加密等防泄密功能,根据涉密程度的不同(如核心部门和普通部门),部署力度轻重不一的梯度式防护,将技术、管理、审计进行有机的结合,在内部构建起立体化的整体信息防泄漏体系,使得成本、效率和安全三者达到最优平衡,才能实现真正意义上的内网安全。作为内网安全领域的最新理念,融审计、监控、加密于一体的“整体信息防泄漏”正式登上舞台。
无限未来
云计算、虚拟化、SNS、移动终端,这些名词可能你还没有消化,但安全威胁却已随之而来。在这个世界,唯一不变的就是“变”,从内网安全的这十年发展来看,内网安全经历了关注安全技术、关注人的行为、关注管理、关注整体解决方案到最近回归本质的关注信息本身的立体化整体信息防泄漏体系这五个过程,技术、体系、理念都在不断进步和完善,不断的加固着企业的内网安全防护体系。但是,技术不断在进步,威胁不断在产生,内网安全的范畴和焦点亦在不断的变化。未来内网安全关注的焦点是什么?这个问题恐怕要留给时间来回答。