IT环境逐渐开放 企业内网安全如何保障

马年春节刚过，一则“湖南冷水江市公务员工资‘被公开’”的消息即被媒体曝出。该信息泄露的事件是由于冷水江市财政部门在工资查询系统上设置了“123456”这样的弱密码，网友发现后将密码公布在网上，导致冷水江市公务员的工资详细信息被很多互联网用户浏览到。

这是一起单位内部信息外泄事件。表面上看，这是由于该工资查询系统与互联网连接，又缺乏必要的安全措施所致。然而，随着互联网、智能移动终端、云计算的应用，越来越多的企业或机构已经很难将自己的内网与外网(互联网)完全区分开，这也就给企业内部的安全防护带来了更为严峻的挑战。

“在IT消费化的趋势下，企业内网已经变得更开放，而且处于不断的变化之中。用户可以在任何时间、任何地点通过移动设备，便利地访问企业的内网与应用系统，但其终端的环境、网络环境等都面临着更多的风险，对企业自身的信息安全提出更大的挑战，真可谓便利性越高，风险就越高。”溢信科技产品总监黄凯告诉本报记者。

大约10年前，内网安全的理念诞生，这是因为当时企业大多注重对企业外部安全威胁的防护，往往忽略了来自企业内部的安全隐患。如今，新的IT形势让企业内部所面临的安全形势发生了变化，“内”与“外”的界限越来越模糊，而企业的安全需求却有增无减。

在这种环境中，如何才能保障企业的信息安全？相信企业内每一个IT管理者都会关心这个问题的答案。

移动安全需求最迫切

当前，移动设备给企业带来的安全威胁，已经成为各界最关注的问题。“员工携带智能移动终端给企业带来的安全威胁是目前企业最迫切需要解决的。”网康科技产品市场总监严雷认为。

不可否认，BYOD的趋势已经不可阻挡。如果为了安全给员工配发只能使用企业内部应用的定制手机，显然已经不合时宜；而与PC时代不同，任凭员工携带自己的智能移动设备接入企业的内部网络，又给企业带来了严峻的安全挑战。

如何摆脱企业在移动设备管理上的两难境地？严雷提供了一个思路：就是收缩企业内网的范围，并改变设备的管理方式。“在新的形势下，企业应该把内网严格定义为IT可控的域，PC、手机等个人计算设备都不应该算作内网的范围。”严雷认为，相对于原来“内外分明”的企业网络环境，现在要想保障企业的内网安全，显然更加困难。企业内网安全将从闸门式变为圆圈式，即企业将安全域收缩到一个范围内，在这个范围由各种安全防护措施形成围栏，在这之外均视为外网，同时在接入层部署安全访问控制策略。

“企业内部安全应该更多地关注服务器安全、数据安全、访问接入控制授权、日志、审计等方面。这是目前内网安全中比较合理，也比较务实的管理策略。”严雷告诉记者，而对于终端设备，以前的强管理方式已经不适用，现在只能采用“法无禁止即可为 ”的方式。

黄凯则给出了非常具体的企业移动安全建议。他告诉记者，第一，对PC环境的部分安全管理措施对BYOD也依然适用；第二，进行准入控制，只有安装了指定客户端安全软件的移动设备，才能接入企业内网。同时对移动设备可访问的网络进行规范，只允许其访问已通过安全检查的网络，以防接入到欺诈网络；第三，进行用户权限管理，移动设备远程访问企业应用服务器的账号和密码要有一定的复杂度，不同的人拥有不同的访问权限；第四，进行系统安全管理，对移动设备的操作系统进行正确配置，不允许随意安装未经安全认证的软件，并及时进行系统与程序更新。

“面对移动互联网给企业带来的巨大安全威胁，企业应该成立专门的安全管理小组，并明确每个人的权利与责任，同时采用专业的安全软件对移动设备进行统一管理，包括位置跟踪、通信加密、数据远程销毁等。”黄凯说，“企业还应该针对移动设备的特性建立相应的防护措施，对所有移动设备进行统一管理，对每一台移动设备进行注册与跟踪，当设备丢失时，能够及时锁定与追回，最起码要能够将其中的数据进行销毁，以防被他人利用。”

应用安全和数据安全是核心

明朝万达董事长、总裁王志海则告诉记者，无论是云计算的应用还是智能移动终端的普及，都让企业内网的物理边界逐渐消失。在这种情况下，围绕应用安全来构筑企业内网的逻辑边界，成为解决企业内部安全的有效手段。

国路安副总经理李宴祥表示，传统的安全手段无法控制“人”的操作行为，只能依靠应用自身携带的安全功能。但许多应用虽然具备身份认证及粗粒度的权限控制措施，却没有考虑到访问过程和访问行为的安全。因此，依赖传统安全设备或是应用自带的功能，都不能满足用户对业务应用防护的高安全等级要求。

“现在，企业内部安全的核心有两个方面，一个是应用安全，另一个是数据安全。”王志海指出，“应用是无处不在的，比如OA、ERP这样的企业常见应用，员工无论是在公司内还是出差时都要用，甚至有些企业的合作伙伴也要用。虽然在这些场景中，已经无法确定企业内网的物理边界，但是企业可以跟随应用的逻辑边界来进行安全防护，从而保障企业的数据安全。要做到应用的数据流到哪里，相应的防护就到哪里。”