首页 > 信息安全 > 正文

浅谈企业网络机密防泄露

2010-10-07 22:24:13  来源:安全在线

摘要:企业网络的使用越来越多,导致企业的网络机密逐渐的散布在网络中,这给企业的安全带来了很大的苦恼:企业的机密怎么能稳妥的得到保护呢?泄露出去怎么办?如何有效的管理和防范呢?都
关键词: 防泄露 热点 推荐网

  随着网络应用在企业中的逐渐广泛,企业网络机密的保护成为了个大企业心中的一个问号。众所周知,网络的最大优势就是实现资源共享,那么企业的网络机密信息如何在这个大前提中得到保护呢?

  于是很多企业开始考虑采购各种各样的设备,以解决上述的问题。主要的手段是:禁用USB等外设,对邮件、QQ等发送手段做过滤和监控。但是采用了这些手段后,怎么来大致的判断这些保密措施是否有效或到位呢,这个仍然是个问题,我猜想很多人也没太多考虑,只能在将信将疑的心理中等待进一步的发展。

  保密是个非常庞大的话题,越是深入考察,就会发现它是个不可穷尽的领域。当问道:这么多钱都投进去了,难道还买不到一个安心吗?但是回答只能是:当你想追求完全无械可击的保密时,再多的投入恐怕都是不够的。保密有很多的层次,可以逐渐的深入。但是每一个层次,都要遵循一定的原理。作为一个简短的介绍文章,并不想来介入完整的保密原理的介绍。其实只想做一点点的讨论,因为这样对企业来说,从投入和实现上考虑,也许更现实些。

  首先,我们需要来介绍一下网络机密信息保密的特殊之处,这要从信息的本质来讲起。信息是什么?这是一个很含糊的概念。它是一串数字,但是比数字更让人难以理解。也许是一个图,也许是一段文字。总之,都是信息。在计算机中,处理信息的手段,被冠以一个名字,叫“软”件。这个软字,构成了信息的特征表象。什么是 “软”?软就是没有不变的形状,当你用力握住一块脂膏时,脂膏轻轻的从你的掌后跟滑了出去。或者你掬起一捧水,水也从你指缝中溜走了。软体就是这样,不可把握,其大无象,其小无形,只能拿个容器来盛载其中。

  信息的流动是非常容易的,比如,人可以拷贝一个文件到另一个地方,或者从一个文件中粘贴一部分,或者另存为另一个文件。或者发个邮件,或者上网填个信息,等等。即使没有人的介入,也有好事的病毒和木马会到处搜索文件,并悄悄的或猛烈的到处乱发,等等。当诸如此类的事件发生时,信息就四处的流动,也可以变形,也可能截短,但是总之就是四处扩散了。

  理解信息的特征,就为对信息的管理(当然包括保密)提供了决策的依据。如果,你希望能保留信息在企业里,就要用容器来盛载信息。要是你试图用一个动物园用来关马或驴的铁笼子来保护信息,那么动物当然出不来了,但是信息却将无声的流了出来。

  在信息保护的概念里,网络是信息的载体,要构成一个容器,就要把企业的网络也放置其中,形成这个容器的手段,叫“隔离”。

  在很多行业中,隔离已经司空见惯。隔离给信息制造了一个无从跨越的界限,从而封堵了信息流出的可能性。

  隔离最简单的例子,就是把一台电脑的网线给拔掉。那么这就断绝了信息在网络上流动的可能性,人们将没法从网络上拷贝信息,病毒木马即使再努力发送也只能在硬盘上徒耗一些多余的空间。

  这个简单的例子已经简单说明了隔离的重要性,隔离的意义在于:不仅在正常情况下让信息无法流出,在异常情况下,甚至失控的恶劣条件下,信息也将得到相当的保护,至少无法离开这个“容器”了。

  所以,强有力的信息保密,至少要建立在一个基础上,就是网络的隔离,通常叫物理隔离。物理隔离是网络保密的坚实的基础。

  但是作为一个普通企业的网络,也有现实的困难。因为物理隔离虽然是个相对理想的方案,但是却意味着较高的成本,这个成本并不完全指硬件的投入成本,也包括运营成本和管理成本。企业总是需要有互联网的通信渠道,但是物理隔离却反对这样做,所以只能保留2个网络,一个内网,一个专门用来上网的外网。总有相应的数据需要做交换,也有2个隔离的网络需要维护,所以成本就高了很多。

  但是即使隔离是很困难的,仍然需要用隔离的概念来衡量一个网络的保密建设。对必须实现强度保密的企业,不实现物理隔离,那么他就需要知道,保密的严格是无法实现的。对于希望有一定保密力度的企业,我以为,也许可以通过适当的通过划分逻辑的内网和外网,而不是简单的把网络连在一起。如果内外网之间不能完全隔离,那么也需要限制互通的接口,比如限制在一台或若干台在内外网之间交换数据的PC,这也是在一定程度上实现隔离。

  很多单位把计算机简单的连在一起,又接在互联网上,希望使用过滤手段来实现网络机密保密,比如监控QQ和邮件。从上面的讨论来说,好比是用一把筛子,在水流过时用力的筛。但是水也是信息,信息也是水,当水流过时,信息无声的依附在里面,飘走了,不会让筛子筛出来。把一个文件压缩一下,再换个后缀,变成一个图象文件。再找几个文件挤在一起压缩一下,再换个名字。多操作几次,软体的本性将越来越明显,已无法看出原来的本色,但是信息实际却仍然含在其中。发出去时将不会有任何筛子能识别这个文件是什么,不会把这个文件给筛出来的。

  这里再三强调了一个概念,就是:信息是软体,网络保密不能用平时对待硬实体的方法,违反了这个原则,那么实际上保密是无法实现的。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。