內(nèi)網(wǎng)安全概念的提出和發(fā)展雖然經(jīng)歷了多年�,但是目前尚沒有形成統(tǒng)一的認識��,究其根源���,很大程度上在于眾多企業(yè)仍然對內(nèi)網(wǎng)安全認識上存在很大的誤區(qū)����,從而影響了企業(yè)對內(nèi)網(wǎng)安全的重視程度����。
內(nèi)網(wǎng)安全在國內(nèi)的市場自從2000年左右啟動至今,已經(jīng)走過了10年的歷程����,在這個過程中,內(nèi)網(wǎng)安全的概念不斷完善和豐富����,也在不斷的演進,但是��,時至今日��,依然缺乏統(tǒng)一的標準��,并由于眾多小型內(nèi)網(wǎng)安全產(chǎn)品廠商的進入����,造成了市場的混亂。與此相對應(yīng)的是��,各個高度信息化的單位��,對內(nèi)網(wǎng)安全產(chǎn)品的需求凸現(xiàn)����,如何選擇一個合適的內(nèi)網(wǎng)安全產(chǎn)品�����,已經(jīng)成為眾多網(wǎng)絡(luò)管理員和CIO的棘手問題���。
對內(nèi)網(wǎng)安全認識上的誤區(qū)
內(nèi)網(wǎng)安全概念的提出和發(fā)展雖然經(jīng)歷了多年,但是目前尚沒有形成統(tǒng)一的認識��,究其根源���,很大程度上在于眾多企業(yè)仍然對內(nèi)網(wǎng)安全認識上存在很大的誤區(qū)�����,從而影響了企業(yè)對內(nèi)網(wǎng)安全的重視程度���。這些認識誤區(qū)很大程度上因為缺乏相關(guān)的標準和政策指引所致。目前市場上對內(nèi)網(wǎng)安全的認識誤區(qū)主要分成以下三個方面:
1)監(jiān)控審計就是內(nèi)網(wǎng)安全:監(jiān)控審計系統(tǒng)主要提供了內(nèi)網(wǎng)安全用戶行為和計算機使用的事后審計功能���,同時針對部分計算機外設(shè)資源����、移動存儲設(shè)備和網(wǎng)絡(luò)資源等的使用提供了一定的控制措施。
2)終端管理就是內(nèi)網(wǎng)安全:終端管理系統(tǒng)主要提供了包括補丁分發(fā)�����、外設(shè)管理和網(wǎng)絡(luò)管理等功能����。
3)數(shù)據(jù)加密就是內(nèi)網(wǎng)安全:數(shù)據(jù)加密系統(tǒng)主要提供對用戶核心文檔資料的加密和保護��,防止用戶內(nèi)網(wǎng)人員有意或者無意將信息泄漏��。
上述觀點一直以來對內(nèi)網(wǎng)安全體系的構(gòu)建形成了誤導(dǎo)��,希冀通過單一的產(chǎn)品解決內(nèi)網(wǎng)安全面臨的問題�。而事實上,內(nèi)網(wǎng)的安全需要在事前的防范���、事件發(fā)生時的監(jiān)控以及在事件發(fā)生后的審計�、數(shù)據(jù)防泄密方面層層把關(guān)才能構(gòu)造一個完整的內(nèi)網(wǎng)安全體系����,因此,傳統(tǒng)的安全產(chǎn)品很難構(gòu)造如此完整的內(nèi)網(wǎng)安全體系�����。
正是因為這種認識上存在的誤區(qū),才導(dǎo)致了在選擇產(chǎn)品時嚴重偏離了實際的應(yīng)用價值���,結(jié)果是產(chǎn)品買回來部署上之后名不副實�����,不但沒有解決實際問題���,反而加重了網(wǎng)管員和CIO的工作負擔。
我們常常會聽到這樣或那樣的抱怨:
為什么部署了上網(wǎng)行為審計系統(tǒng)���,網(wǎng)絡(luò)維護量還是居高不下��,甚至不降反升呢�;
為什么通過終端管理軟件升級了最新的補丁���,加強了網(wǎng)絡(luò)維護���,但網(wǎng)絡(luò)內(nèi)的木馬病毒還是泛濫、工作量仍然很大呢;
面對非法設(shè)備和計算機的接入��,仍然不能主動告警����,及時阻斷,數(shù)據(jù)安全雖然得到了很好的保護�����,但是各種違規(guī)聯(lián)網(wǎng)��、任意的上傳下載等得不到有效地管理���,給正常業(yè)務(wù)系統(tǒng)造成了嚴重影響,員工工作效率低下���;
花了很大的精力把這些軟件部署上去�,但是一段時間后�,很多終端的Agent被卸載了。然而管理員卻無法知道哪些用戶的Agent已經(jīng)被卸載了��,使這些系統(tǒng)成了紙老虎��;
單位總是有一些IT牛人,他們對抗IT�����,不希望被管理���、被約束�����,總是想方設(shè)法通過各種手段繞開管理���,最終導(dǎo)致內(nèi)網(wǎng)管理系統(tǒng)無法得到全面的應(yīng)用,久而久之����,越來越多的人繞開了管理,系統(tǒng)的應(yīng)用效果大打折扣����;
由此可見,盡管越來越多的企業(yè)都已經(jīng)深刻認識到部署內(nèi)網(wǎng)安全產(chǎn)品的重要性�,但真正實施并成功運用的卻屈指可數(shù)。究其原因就是因為傳統(tǒng)的內(nèi)網(wǎng)安全產(chǎn)品在功能全面性���、客戶端保護��、準入控制方面存在短板����,這也成為了傳統(tǒng)內(nèi)網(wǎng)安全產(chǎn)品的阿喀琉斯之踵。
當前內(nèi)網(wǎng)安全市場的需求
隨著網(wǎng)絡(luò)泄密和其他信息安全事件的日益頻繁和嚴重�����,對現(xiàn)有內(nèi)網(wǎng)安全產(chǎn)品提出嚴峻的挑戰(zhàn)�。一方面目前市場上的內(nèi)網(wǎng)安全產(chǎn)品主要集中在電子文檔的安全管理、桌面行為管理等方面�,功能相對單一,各自為政�,且不同產(chǎn)品之間的協(xié)同性�、聯(lián)動性很差;另一方面用戶需求也越來全面���,除了基本的電子文檔安全和桌面安全外����,對于身份認證與授權(quán)�、文檔保護�����、USB存儲設(shè)備控制�����、行為審計等影響內(nèi)網(wǎng)安全的關(guān)鍵因素方面的要求也越來越重視�,這造成了目前內(nèi)網(wǎng)安全產(chǎn)品需求旺盛與現(xiàn)有產(chǎn)品難以滿足市場需求的矛盾����。
針對混合式網(wǎng)絡(luò)威脅的全面內(nèi)網(wǎng)安全一體化管理系統(tǒng)逐漸成為內(nèi)網(wǎng)安全技術(shù)領(lǐng)域的一大發(fā)展趨勢。全面內(nèi)網(wǎng)安全管理系統(tǒng)將文檔安全�、桌面行為管理、身份認證��、移動存儲管理����、網(wǎng)絡(luò)維護管理、網(wǎng)絡(luò)帶寬管理等多種安全功能有效集成在單一平臺上����。綜合解決不同網(wǎng)絡(luò)應(yīng)用層次的安全問題。以替代多個獨立的內(nèi)網(wǎng)安全產(chǎn)品��,既簡化了網(wǎng)絡(luò)部署、降低了成本���,又提高了內(nèi)網(wǎng)安全等級和管理效率�����。
針對上述問題�,金盾軟件公司從2004年就開始進行全面內(nèi)網(wǎng)安全管理系統(tǒng)相關(guān)領(lǐng)域的研究��,解決在保證用戶整體網(wǎng)絡(luò)性能的前提下�,具備文檔安全、桌面行為管理����、準入控制、移動存儲管理�����、網(wǎng)絡(luò)維護管理����、網(wǎng)絡(luò)帶寬管理等綜合安全功能的內(nèi)網(wǎng)安全技術(shù)��。2007年底在國內(nèi)首家推出了具有全面內(nèi)網(wǎng)安全管理思想的金盾CIS5系統(tǒng),并由此帶動國內(nèi)內(nèi)網(wǎng)安全行業(yè)向全面內(nèi)網(wǎng)安全系統(tǒng)技術(shù)革新的趨勢����,同時積極投入到基于軟硬件結(jié)合的新一代全面內(nèi)網(wǎng)安全系統(tǒng)的設(shè)計研究工作中。歷經(jīng)三年艱苦卓絕的工作��,終于在2010年年初出推出了全新一代軟硬結(jié)合的可信內(nèi)網(wǎng)安全管控平臺-金盾CIS7���,其核心理念上升到了準入控制保護��、全面內(nèi)網(wǎng)安全的新高度���,再一次站到了國內(nèi)內(nèi)網(wǎng)安全產(chǎn)品市場的最前沿。
16大金盾CIS7產(chǎn)品解決方案
金盾全面內(nèi)網(wǎng)安全與網(wǎng)絡(luò)行為管理系統(tǒng)V7.0(Gold Shield Comprehensive Intranet Security & Network Behavior Management System)���,簡稱金盾CIS7,是金盾軟件公司自主研發(fā)的全新一代軟硬結(jié)合的可信內(nèi)網(wǎng)安全管控平臺���,屬國內(nèi)首創(chuàng),國際領(lǐng)先�����,其可靠的性能和強大的全面內(nèi)網(wǎng)管控能力位居國內(nèi)內(nèi)網(wǎng)安全市場競爭力第一����。
金盾CIS7是在采用最新信息安全技術(shù)和全面內(nèi)網(wǎng)安全管理及終端統(tǒng)一威脅管理 先進管理理念的基礎(chǔ)上推出的具有劃時代意義的革命性產(chǎn)品��。她不但全面整合了監(jiān)控軟件�����、網(wǎng)管軟件��、加密軟件��、內(nèi)網(wǎng)安全等產(chǎn)品的功能��,同時吸取微軟的網(wǎng)絡(luò)接入保護(NAP, Network Access Protection)和思科網(wǎng)絡(luò)準入控制(NAC, Network Access Control)技術(shù)的精髓���,創(chuàng)造性的推出了軟硬件結(jié)合的金盾網(wǎng)絡(luò)接入控制保護系統(tǒng)GD-NACP(Network Access Control Protection)。
金盾CIS7提煉并升華了國內(nèi)近5000用戶的需求及應(yīng)用���,對癥下藥歸納出了16大解決方案�,分別是:健康狀態(tài)檢查解決方案�、外設(shè)管理解決方案、USB移動存儲解決方案�����、桌面安全解決方案�、行為規(guī)范解決方案、屏幕管理解決方案�、行為監(jiān)控解決方案、圖檔加解密解決方案�、圖檔控管解決方案、IP地址管理解決方案�、IT資產(chǎn)管理解決方案、補丁管理解決方案�、端口流量管理解決方案、網(wǎng)管工具解決方案�����、準入控制管理解決方案��、報警管理解決方案以及決策支持等��,涵蓋了全面內(nèi)網(wǎng)安全的諸方面��,用戶可按需配置��,模塊組合���,迅速搭建適合自己的安全管控平臺��。
沒有準入控制的內(nèi)網(wǎng)安全不是真正的內(nèi)網(wǎng)安全
在內(nèi)網(wǎng)安全管理中�,安全策略的控制與實施是實現(xiàn)所有終端管理功能的基礎(chǔ)所在。采用安全策略控制技術(shù)能夠?qū)K端用戶進行安全狀態(tài)檢查�����,將不合法的終端進行隔離�����、強制修復(fù)�,從而有效促進內(nèi)網(wǎng)的合規(guī)建設(shè),提升客戶滿意度�。
金盾CIS7產(chǎn)品的設(shè)計遵從了這一初衷,針對準入控制保護的功能和客戶端被破壞后主動被發(fā)現(xiàn)并完全隔離這一軟件產(chǎn)品幾乎是不能實現(xiàn)完成的任務(wù)�����,金盾公司在全面研究了思科NAC的和微軟NAP的技術(shù)�,吸取其精髓,立足國情一舉解決了困擾內(nèi)網(wǎng)安全行業(yè)多年的詬病����,成功開發(fā)了金盾準入控制保護(GD-NACP)。本功能的實現(xiàn)具有劃時代意義,它不僅僅是給用戶提供了一套硬件產(chǎn)品����,更重要的是幫助用戶制定了使用網(wǎng)絡(luò)的規(guī)則和制度�,建立了一套系統(tǒng)、全面��、可信的內(nèi)控管理體系��。既保證了合法用戶正常工作的可控���、有序�、高效運行��,又將非法入侵用戶隔離于可信網(wǎng)絡(luò)之外�。
江蘇某大型制造業(yè)位于蘇南重鎮(zhèn),主營為精密儀器和設(shè)備的開發(fā)與銷售���,屬國內(nèi)行業(yè)內(nèi)一流企業(yè)��,整個公司的信息化程度很高���,早在2000年就部署了ERP、CRM、PDM等管理系統(tǒng)����,2000年企業(yè)高管把內(nèi)網(wǎng)安全的選型提上了日程,初期選擇了北京一國內(nèi)知名廠商為其部署了300多點的補丁管理和外設(shè)管理系統(tǒng)�,經(jīng)過近二周的部署后終于上線運行,系統(tǒng)管理員張某對于本套系統(tǒng)寄予厚望�,本系統(tǒng)也發(fā)揮了其應(yīng)有的價值,在外設(shè)規(guī)范管控和補丁的及時分發(fā)方面發(fā)揮了重大作用���,但隨著時間的推移發(fā)現(xiàn)客戶端越來越少�����,最后能上線的機器僅有50多點����,公司雖有制度��,但扯皮現(xiàn)象嚴重�����,員工不承認是破壞了客戶端程序����,而網(wǎng)管張某又無計可施�,隨著客戶端程序的丟失�,外設(shè)管控又開始混亂,網(wǎng)絡(luò)的病毒肆虐����,公司把產(chǎn)品應(yīng)用不力責任推到張某的身上�����,并追究了其責任���。同時隨著內(nèi)網(wǎng)問題的日益突出����,產(chǎn)品也越來越不能滿足其要求���,內(nèi)網(wǎng)審計��、文檔保護等功能也越來越急迫���,因此信息中心主任孫某決定重新選擇一套功能較全面的管控系統(tǒng)�,于是上海某國內(nèi)知名廠商進入了高管的視野��,本產(chǎn)品無論在客戶端的運行穩(wěn)定性和抗破壞能力以及功能全面性上較原來有很大的提升��,孫主任決定親自掛帥�����,經(jīng)過測試�����,招投標后�����,最終選擇了本產(chǎn)品����。同樣本產(chǎn)品在運行初期,部署的600點客戶端運行穩(wěn)定��,效果良好���,不久同樣的問題出現(xiàn)了���,客戶端越來越少����,在2008年產(chǎn)品就出現(xiàn)了70%客戶端不能上線情況����,廠商派工程師不斷去協(xié)助安裝客戶端,但員工想方設(shè)法破壞客戶端�,而且部分技術(shù)牛人還專門找到了能一招制敵的絕招,在2分鐘內(nèi)就能完全卸載客戶端程序����。而軟件產(chǎn)品不能有效杜絕客戶端遭受惡意破壞�����,更嚴重的是不能對非法終端采取措施�,于是公司部分中層管理人員和員工長期對安全產(chǎn)品的排斥情緒全面爆發(fā),原來在高管的支持下孫主任制定的相關(guān)內(nèi)網(wǎng)安全規(guī)范也被束之高閣����,最后整個產(chǎn)品在2010年年初被全部終止,優(yōu)秀的內(nèi)網(wǎng)安全產(chǎn)品在這個優(yōu)秀的企業(yè)身上宣告失敗�。
縱觀國內(nèi)內(nèi)網(wǎng)安全系統(tǒng)應(yīng)用失敗的大小案例����,不勝枚舉�,究其本質(zhì)原因,軟件功能再優(yōu)秀���,但是客戶端丟失后�����,就失去了控制��,更讓網(wǎng)管無奈的是傳統(tǒng)內(nèi)網(wǎng)安全產(chǎn)品不能從根本上對非法終端采取措施�。在我們這個人情甚至重于制度的國情下��,如果廠商不從技術(shù)上協(xié)助網(wǎng)管制定一套嚴厲的�����、不可逾越的網(wǎng)絡(luò)使用規(guī)范��,恐怕沒有幾個人被管控����,而你只能是束手無策�����、無計可施�。
準入控制解決了內(nèi)網(wǎng)安全的第一步的問題�����,也是一個最基本問題�。通過準入控制一方面從根本上解決了客戶端的安裝部署及防卸載問題,另一方面有效的保證了全面內(nèi)網(wǎng)安全軟件安全策略的執(zhí)行和相關(guān)網(wǎng)絡(luò)管理政策的落實��。
沒有準入控制的內(nèi)網(wǎng)安全�����,不是真正的內(nèi)網(wǎng)安全��,在中國注定會失敗這句看似危言聳聽的盛世格言已經(jīng)成為廣大客戶普遍認可的觀點!
