IT环境逐渐开放 企业内网安全如何保障（2）

在王志海看来，数据安全在企业安全中扮演着非常重要的角色，数据安全也将具有非常强劲的市场需求，毕竟，任何IT环境中，最核心的就是数据。“数据流动越充分，IT的价值越大。归根结底，数据安全就是用户对数据权限的细化管理。”王志海告诉记者，“当前大多数安全体系将权限管理力度做到了系统级，但没有到数据级。而明朝万达的数据安全解决方案，基于密码技术实现了大量应用，可以做到数据级的权限管理，比如可以实现一条数据让什么人看、不让什么人看、在哪能看、能看多久等一系列操作。”

“当然，数据安全是一个目标，它需要很多技术协同来解决问题，比如加密技术、身份认证、终端管控等。简单的文档加密等防护措施并不能等同于数据安全。”王志海说。

管理更精细

显然，企业如今所面临的安全形势更为复杂，企业的内网安全体系应该从数据、行为和设备等几个方面着手。黄凯告诉记者，企业需要对内部敏感数据的存储、使用和流转进行安全审计、控制和保护；要对用户的行为进行管理，禁止一些不规范或者可能泄露机密的行为；还要对外接的设备、外来的机器或者智能终端进行管理和控制。

严雷则建议企业在进行内部安全防护时遵循“堵不如疏、繁不如简”的原则。“企业在建设内网安全或移动安全时，很容易陷入一个怪圈，就是发现企业内部要处置的安全隐患千头万绪，越是希望进行深入全面的防护，就发现其中的漏洞越多。实际上，安全是基于风险的投资，企业也不应该试图寻找绝对的安全。我倒是建议企业不需要过于复杂的安全管理策略，而是根据二八原则，把管理域收缩到企业可管理的范围内，把黑名单变为白名单。”严雷说。

“代码特征越来越复杂，但是恶意行为是有限的。所以下一代安全是根据网络上的行为特征评估企业的安全状况。当然，这些行为特征也不是事先定义好的，我们是通过尽可能的可视化，将网络上的各种行为展现出来，通过基线对比、典型恶意行为告警等方式告诉企业其内部出现了哪些问题。”严雷说。

这就和传统的、相对固化的安全策略产生了明显的区别。“现在，要求企业的网络管理者要经常观察设备，根据网络上行为的变化调整策略。网康的设备也提供了非常多的参数，包括不同的应用、部门、人、安全级别、时间、位置、终端类型等，安全策略可调整的余地非常大。”严雷说。

黄凯认为，企业要真正实现内部的安全，首先就要从管理层面深入了解企业内部数据的存储和流转的过程，分析可能存在的安全漏洞和风险，制订相应的政策和规范，并使用技术手段来保证规定的落实；同时，企业还应该对员工进行安全知识和管理规则的培训和指引，尽量使得员工能认同并遵守相应的规定。在技术层面，企业的安全技术要能够准确地识别用户的身份和权限，能分析相应的行为是否包含敏感的信息并予以控制和审计。企业应该对不同级别的用户、不同的信息区域设定不同严格程度的管理策略。

形成安全闭环

毫无疑问，技术和管理两者是相辅相成的。对于安全来说，管理是至关重要的，而技术是使得管理能得以落实的基础。“在企业进行数据安全防护时，首先就要对企业内部的数据、审批流程和权限进行梳理，这对企业自身管理水平的提升非常有益。”王志海说。然而，作为企业的管理者，最为重要的是提升对信息安全的重视程度。

“过去，总有一种论调是安全不能影响业务的发展。在企业中，信息安全部门也往往在IT部门中处于弱势地位。”王志海告诉记者，企业对信息安全重视程度不够的情况普遍存在，同时引发了很多问题。比如，企业的很多应用在开发时并没有充分考虑安全性，而是在开发完成后为了合规再堆砌一些安全产品，或者是在进行安全投入时，只想单纯地购买产品，不希望将安全体系与现有的应用结合起来，这样的应用安全性可想而知。

“我们认为，未来的安全产品应该以中间件的方式提供。其提供的接口可以让用户在应用开发时进行调用，这样才能让安全跟用户更紧密地走在一起，为用户提供更牢固的安全防护解决方案。”王志海说。

王志海认为，企业安全要形成闭环，特别是在数据安全层面形成闭环。因为信息安全遵从木桶原理，只有在企业数据上实现全生命周期、全网的加密，并结合身份识别、访问控制等各类安全措施，才能最大程度保障企业安全。

GLA天璿可信应用安全系统：

符合等保三级以上要求

一个企业可能由很多安全设备构筑起一道防线，但是在新的形势下，如果不能转变固有的安全策略，看似固若金汤的网络必然在各种应用的过程中出现新的弱点，而这恰恰是黑客探测或是社交攻击的入口。

管理员是不是需要为每套新上线的业务系统都单独配备安全保护呢？或是对已经长期服役的业务系统来一次代码“大换血”呢？当然，如果企业有足够的时间和资金，也可以启动这个浩大的工程。但是，任何一个企业都会在投入与安全之间寻求平衡点，而一个好的方式就是在业务系统和访问者之间增加一名”守门员“，阻止非法用户闯入，保护赖以生存的核心数据。

GLA天璿可信应用安全系统能够很好地解决既有应用系统与应用安全防护机制之间的兼容问题，可以保证在不改变应用和应用系统的前提下，提高应用的安全保证能力。因此，可以保证应用开发人员和应用软件专注于业务处理逻辑本身，全面提高了业务处理效率，更便于系统的故障隔离。另外，GLA天璿可信应用安全系统可针对使用第三方CA证书的行业用户，提供数字证书、用户名/口令字、IP地址和USB KEY等多因子身份认证方式。

在具体使用过程中，管理员可以利用实现基于角色(岗位)的访问控制，以及基于SSL协议的安全加密传输通道，确保存取访问和传输过程的安全。在易用性方面，可信应用安全系统为用户提供透明应用，实现了用户应用流程不变、操作习惯不变。而特有的知识库自学习功能，更可进一步辅助系统安全管理员制定安全策略，减少安全运维管理的工作负担。

方案点评