马年春节刚过，一则“湖南冷水江市公务员工资‘被公开’”的消息即被媒体曝出。该信息泄露的事件是由于冷水江市财政部门在工资查询系统上设置了“123456”这样的弱密码，网友发现后将密码公布在网上，导致冷水江市公务员的工资详细信息被很多互联网用户浏览到。

这是一起单位内部信息外泄事件。表面上看，这是由于该工资查询系统与互联网连接，又缺乏必要的安全措施所致。然而，随着互联网、智能移动终端、云计算的应用，越来越多的企业或机构已经很难将自己的内网与外网(互联网)完全区分开，这也就给企业内部的安全防护带来了更为严峻的挑战。

“在IT消费化的趋势下，企业内网已经变得更开放，而且处于不断的变化之中。用户可以在任何时间、任何地点通过移动设备，便利地访问企业的内网与应用系统，但其终端的环境、网络环境等都面临着更多的风险，对企业自身的信息安全提出更大的挑战，真可谓便利性越高，风险就越高。”溢信科技产品总监黄凯告诉本报记者。

大约10年前，内网安全的理念诞生，这是因为当时企业大多注重对企业外部安全威胁的防护，往往忽略了来自企业内部的安全隐患。如今，新的IT形势让企业内部所面临的安全形势发生了变化，“内”与“外”的界限越来越模糊，而企业的安全需求却有增无减。

在这种环境中，如何才能保障企业的信息安全?相信企业内每一个IT管理者都会关心这个问题的答案。

移动安全需求最迫切

当前，移动设备给企业带来的安全威胁，已经成为各界最关注的问题。“员工携带智能移动终端给企业带来的安全威胁是目前企业最迫切需要解决的。”网康科技产品市场总监严雷认为。

不可否认，BYOD的趋势已经不可阻挡。如果为了安全给员工配发只能使用企业内部应用的定制手机，显然已经不合时宜;而与PC时代不同，任凭员工携带自己的智能移动设备接入企业的内部网络，又给企业带来了严峻的安全挑战。

如何摆脱企业在移动设备管理上的两难境地?严雷提供了一个思路：就是收缩企业内网的范围，并改变设备的管理方式。“在新的形势下，企业应该把内网严格定义为IT可控的域，PC、手机等个人计算设备都不应该算作内网的范围。”严雷认为，相对于原来“内外分明”的企业网络环境，现在要想保障企业的内网安全，显然更加困难。企业内网安全将从闸门式变为圆圈式，即企业将安全域收缩到一个范围内，在这个范围由各种安全防护措施形成围栏，在这之外均视为外网，同时在接入层部署安全访问控制策略。

“企业内部安全应该更多地关注服务器安全、数据安全、访问接入控制授权、日志、审计等方面。这是目前内网安全中比较合理，也比较务实的管理策略。”严雷告诉记者，而对于终端设备，以前的强管理方式已经不适用，现在只能采用“法无禁止即可为 ”的方式。

黄凯则给出了非常具体的企业移动安全建议。他告诉记者，第一，对PC环境的部分安全管理措施对BYOD也依然适用;第二，进行准入控制，只有安装了指定客户端安全软件的移动设备，才能接入企业内网。同时对移动设备可访问的网络进行规范，只允许其访问已通过安全检查的网络，以防接入到欺诈网络;第三，进行用户权限管理，移动设备远程访问企业应用服务器的账号和密码要有一定的复杂度，不同的人拥有不同的访问权限;第四，进行系统安全管理，对移动设备的操作系统进行正确配置，不允许随意安装未经安全认证的软件，并及时进行系统与程序更新。

“面对移动互联网给企业带来的巨大安全威胁，企业应该成立专门的安全管理小组，并明确每个人的权利与责任，同时采用专业的安全软件对移动设备进行统一管理，包括位置跟踪、通信加密、数据远程销毁等。”黄凯说，“企业还应该针对移动设备的特性建立相应的防护措施，对所有移动设备进行统一管理，对每一台移动设备进行注册与跟踪，当设备丢失时，能够及时锁定与追回，最起码要能够将其中的数据进行销毁，以防被他人利用。”

应用安全和数据安全是核心

明朝万达董事长、总裁王志海则告诉记者，无论是云计算的应用还是智能移动终端的普及，都让企业内网的物理边界逐渐消失。在这种情况下，围绕应用安全来构筑企业内网的逻辑边界，成为解决企业内部安全的有效手段。

国路安副总经理李宴祥表示，传统的安全手段无法控制“人”的操作行为，只能依靠应用自身携带的安全功能。但许多应用虽然具备身份认证及粗粒度的权限控制措施，却没有考虑到访问过程和访问行为的安全。因此，依赖传统安全设备或是应用自带的功能，都不能满足用户对业务应用防护的高安全等级要求。

“现在，企业内部安全的核心有两个方面，一个是应用安全，另一个是数据安全。”王志海指出，“应用是无处不在的，比如OA、ERP这样的企业常见应用，员工无论是在公司内还是出差时都要用，甚至有些企业的合作伙伴也要用。虽然在这些场景中，已经无法确定企业内网的物理边界，但是企业可以跟随应用的逻辑边界来进行安全防护，从而保障企业的数据安全。要做到应用的数据流到哪里，相应的防护就到哪里。”

在王志海看来，数据安全在企业安全中扮演着非常重要的角色，数据安全也将具有非常强劲的市场需求，毕竟，任何IT环境中，最核心的就是数据。“数据流动越充分，IT的价值越大。归根结底，数据安全就是用户对数据权限的细化管理。”王志海告诉记者，“当前大多数安全体系将权限管理力度做到了系统级，但没有到数据级。而明朝万达的数据安全解决方案，基于密码技术实现了大量应用，可以做到数据级的权限管理，比如可以实现一条数据让什么人看、不让什么人看、在哪能看、能看多久等一系列操作。”

“当然，数据安全是一个目标，它需要很多技术协同来解决问题，比如加密技术、身份认证、终端管控等。简单的文档加密等防护措施并不能等同于数据安全。”王志海说。

管理更精细

显然，企业如今所面临的安全形势更为复杂，企业的内网安全体系应该从数据、行为和设备等几个方面着手。黄凯告诉记者，企业需要对内部敏感数据的存储、使用和流转进行安全审计、控制和保护;要对用户的行为进行管理，禁止一些不规范或者可能泄露机密的行为;还要对外接的设备、外来的机器或者智能终端进行管理和控制。

严雷则建议企业在进行内部安全防护时遵循“堵不如疏、繁不如简”的原则。“企业在建设内网安全或移动安全时，很容易陷入一个怪圈，就是发现企业内部要处置的安全隐患千头万绪，越是希望进行深入全面的防护，就发现其中的漏洞越多。实际上，安全是基于风险的投资，企业也不应该试图寻找绝对的安全。我倒是建议企业不需要过于复杂的安全管理策略，而是根据二八原则，把管理域收缩到企业可管理的范围内，把黑名单变为白名单。”严雷说。

“代码特征越来越复杂，但是恶意行为是有限的。所以下一代安全是根据网络上的行为特征评估企业的安全状况。当然，这些行为特征也不是事先定义好的，我们是通过尽可能的可视化，将网络上的各种行为展现出来，通过基线对比、典型恶意行为告警等方式告诉企业其内部出现了哪些问题。”严雷说。

这就和传统的、相对固化的安全策略产生了明显的区别。“现在，要求企业的网络管理者要经常观察设备，根据网络上行为的变化调整策略。网康的设备也提供了非常多的参数，包括不同的应用、部门、人、安全级别、时间、位置、终端类型等，安全策略可调整的余地非常大。”严雷说。

黄凯认为，企业要真正实现内部的安全，首先就要从管理层面深入了解企业内部数据的存储和流转的过程，分析可能存在的安全漏洞和风险，制订相应的政策和规范，并使用技术手段来保证规定的落实;同时，企业还应该对员工进行安全知识和管理规则的培训和指引，尽量使得员工能认同并遵守相应的规定。在技术层面，企业的安全技术要能够准确地识别用户的身份和权限，能分析相应的行为是否包含敏感的信息并予以控制和审计。企业应该对不同级别的用户、不同的信息区域设定不同严格程度的管理策略。

形成安全闭环

毫无疑问，技术和管理两者是相辅相成的。对于安全来说，管理是至关重要的，而技术是使得管理能得以落实的基础。“在企业进行数据安全防护时，首先就要对企业内部的数据、审批流程和权限进行梳理，这对企业自身管理水平的提升非常有益。”王志海说。然而，作为企业的管理者，最为重要的是提升对信息安全的重视程度。

“过去，总有一种论调是安全不能影响业务的发展。在企业中，信息安全部门也往往在IT部门中处于弱势地位。”王志海告诉记者，企业对信息安全重视程度不够的情况普遍存在，同时引发了很多问题。比如，企业的很多应用在开发时并没有充分考虑安全性，而是在开发完成后为了合规再堆砌一些安全产品，或者是在进行安全投入时，只想单纯地购买产品，不希望将安全体系与现有的应用结合起来，这样的应用安全性可想而知。

“我们认为，未来的安全产品应该以中间件的方式提供。其提供的接口可以让用户在应用开发时进行调用，这样才能让安全跟用户更紧密地走在一起，为用户提供更牢固的安全防护解决方案。”王志海说。

王志海认为，企业安全要形成闭环，特别是在数据安全层面形成闭环。因为信息安全遵从木桶原理，只有在企业数据上实现全生命周期、全网的加密，并结合身份识别、访问控制等各类安全措施，才能最大程度保障企业安全。

GLA天璿可信应用安全系统：

符合等保三级以上要求

一个企业可能由很多安全设备构筑起一道防线，但是在新的形势下，如果不能转变固有的安全策略，看似固若金汤的网络必然在各种应用的过程中出现新的弱点，而这恰恰是黑客探测或是社交攻击的入口。

管理员是不是需要为每套新上线的业务系统都单独配备安全保护呢?或是对已经长期服役的业务系统来一次代码“大换血”呢?当然，如果企业有足够的时间和资金，也可以启动这个浩大的工程。但是，任何一个企业都会在投入与安全之间寻求平衡点，而一个好的方式就是在业务系统和访问者之间增加一名”守门员“，阻止非法用户闯入，保护赖以生存的核心数据。

GLA天璿可信应用安全系统能够很好地解决既有应用系统与应用安全防护机制之间的兼容问题，可以保证在不改变应用和应用系统的前提下，提高应用的安全保证能力。因此，可以保证应用开发人员和应用软件专注于业务处理逻辑本身，全面提高了业务处理效率，更便于系统的故障隔离。另外，GLA天璿可信应用安全系统可针对使用第三方CA证书的行业用户，提供数字证书、用户名/口令字、IP地址和USB KEY等多因子身份认证方式。

在具体使用过程中，管理员可以利用实现基于角色(岗位)的访问控制，以及基于SSL协议的安全加密传输通道，确保存取访问和传输过程的安全。在易用性方面，可信应用安全系统为用户提供透明应用，实现了用户应用流程不变、操作习惯不变。而特有的知识库自学习功能，更可进一步辅助系统安全管理员制定安全策略，减少安全运维管理的工作负担。

方案点评

该产品针对应用层威胁的特点，并确保行业用户可以遵循国家信息安全等级保护的要求，国路安开发了满足用户应用安全防护要求的“可信应用安全系统”。该系统按照国家信息安全等级保护政策中对三级以上(含三级)系统的安全要求进行开发，采用了应用业务逻辑与安全防护逻辑分离的设计思路。通过前置主机的方式，在应用服务器前以透明接入方式部署GLA天璿可信应用安全系统，在不改变现有应用的前提下，通过身份认证、访问控制、安全审计、安全传输、防攻击等功能和技术，在应用层实现对业务应用系统访问的全过程、系统化的安全管理控制。

网康上网行为管理ICG：

准确识别 精细管控

如果说新形势下，企业的内网安全应该聚焦在应用上，那么对企业内部运行的应用进行准确的识别和管控是十分必要的。当然，安全威胁逐渐向应用层转移，应用安全越来越受到重视也是大势所趋。

如今，很多企业都会依托互联网开展各种活动，既包括外部营销又包括内部办公。然而，与互联网连接就意味着企业风险的极大增加。互联网充斥着各种良莠不齐的信息，公司员工在获取有用信息的同时，也容易被不良内容侵蚀;互联网上各类应用带来工作的便利的同时，也会带来员工工作效率下降。

此外，从企业的网络环境角度来看，为了业务发展，企业进行了大量的IT设备与带宽资源投资，意图提升关键业务的应用质量，提升整体办公效率。但是宝贵的带宽资源却被各类P2P应用、在线视频、娱乐网站访问等挤占，这不仅造成带宽资源被大量浪费，还使得公司的正常业务得不到应有的带宽保障，关键业务的质量降低，比如视频会议的停顿、ERP访问速度慢、邮件无法正常收发等。

“要对企业内网进行有效的安全防护和管控，企业就要做到对设备、人、所访问的应用进行精确的识别。”网康科技产品市场总监说，网康的安全设备因为基于应用层，所以可以做到“火眼金睛，什么都可以看到”。

NS-ICG(Netentsec Internet Control Gateway)网康上网行为管理是一款专业的硬件上网行为管理产品。为用户提供专业的用户管理、应用控制、网页过滤、内容审计、流量管理和行为分析等功能。它可以帮助客户达成上网行为可视、减少安全风险，减少信息泄密、遵从法律法规、提升工作效率、优化带宽资源。该上网行为管理设备可以广泛应用于政府、金融、能源、教育、运营商、大型企业等领域，帮助单位管理者全面有效地管理上网行为。

严雷告诉记者，网康产品最突出的地方是扎实和原生性创新。“网康强大的产品团队在长期的实践中缔造了扎实的、以用户需求出发的产品。比如，网康可以为了把日志查询速度提高几秒而花费很大的功夫。另外，网康拥有美国硅谷的创新基因，还是一家技术型企业。比如网康的下一代防火墙支持云查杀、根据网络行为分析捕获僵尸主机、数据防泄露等功能，都是原生性的创新，并在国内同类产品中取得领先。”严雷说。

“无论是上网行为管理还是下一代防火墙，网康的应用安全设备功能丰富，可以在企业内网安全中扮演着各种角色。”严雷介绍，比如在海尔、美的等网康的用户中，除去常见的网址过滤、应用访问控制之外，它们还利用网康的设备进行分部门、分区域的上网行为数据分析，并将各部门、员工的上网行为与绩效联系起来，为企业的内部管理提供支持;此外，另一些客户利用网康设备进行邮件外发审计，曾经成功发现员工将企业机密数据泄露的行为，起到了数据防泄露的作用。

事实上，网康经过多年来在应用安全领域的耕耘，得到了越来越多用户的认可。它的用户既有百度、阿里等互联网公司，也覆盖了银行、保险、政府等传统行业。“并不是说我们比别人更聪明，而是因为网康在这个领域做得时间足够长，在摸爬滚打中不断完善并前进。”严雷说。

方案点评

该产品软硬件一体，具有较高的性能和稳定性，除去上网行为管理通常的功能外，还可以提供智能化的主动防御，利用数据分析发现企业内网安全隐患，并进行可视化的呈现。该产品可以识别3000万个站点的网页内容，具有较高的网页识别能力：内置3000多种主流网络应用协议库，无论应用的IP、端口如何变化，甚至加密也可以准确识别，具有较高的应用识别能力。