内网安全管理的特点和产品的选择(1)

古人云："知己知彼，百战不殆。"想要保障企业内网的安全，肯定要对内网安全的定义以及范围有所了解，就像看病一样，要"对症下药"。

内网安全的范围

内网安全直接影响到企业信息的机密性，所以怎么强调都不是过分的事情，若想要做好内网的安全防范，对于其特点就要有一个明确的理解。

一位外企信息安全官李洋曾谈到："内网安全问题主要来源于两方面，一个是从外到内的（交界、边界安全），另一方面是从内到外的。根据不同来源的安全问题，会有不同的防范措施。"

的确如此，当说道安全问题，一方面很自然地就想到要如何防范来自互联网的攻击，如何防范攻击者入侵到内部网络，如何控制远程接入的访问权限等等，这些就是从外到内的安全问题；另一方面还要控制从企业内网到外网的访问，内部移动设备的接入，分发管理等等。

可见，内网安全具有一个双向交互的管理特点，所以单从一方面去管理是不全面的，因此，在技术方面就会造成一定的管理难度。然而，除了技术方面，内网安全管理的难点还包括行业差异和制度的建立两个方面。

内网安全管理的难点

第一：企业的IT建设、行业的不同需求造成的安全管理会有很大的差异。有的企业可能是注重于数据的防泄漏，有的企业可能注重于员工日常的上网行为控制，还有的企业更注重于内外网的接入和访问等等。相较于外网的防护，内网安全更加杂而乱，没有一个常规的防范标准。

第二：内网安全所涉及的技术和产品也非常多。身份验证，权限控制，系统管理，行为管理，网络监控，应用管理等等，这么多相关的技术和产品让安全人员应接不暇，根本上也是因内网安全需求的复杂度而引发的。

第三：制度不完善。很多企业在遇到内网安全问题的时候，往往不是因为技术方面的不足，而是人员管理的问题。很多员工并不是安全人员，不会意识到某些操作会带来安全威胁。例如，A企业安装了上网行为管理产品，控制员工的网络使用。然而某员工还是通过3G网络接入外网，造成了数据泄漏。若在数据泄漏之前，公司明文规定严禁以任何形式接入外网，并有效地推动此规定的实施，想必这样的事情也不会轻易发生。

可以说，在一定程度上规范制度的建立是为了进行更好的人员管理，那么针对内网安全，在制度和人员管理方面应该注意哪些问题呢？

制度的建立和人员管理

针对制度的建立和人员管理问题，李洋对此也深有感触，他道："针对不同的行业，会有不同的人员管理需求（制度，规定章程方面）。

例如，金融行业，在金融行业的IT的治理，面对不同的部门，不同的阶层，制定不同的安全等级，达到一个安全目标。

例如，普通员工的日常工作安全标准，运维人员的安全标准，管理人员的安全标准都是不同的。如果落实在章程中，会非常的细致，比如在职人员的安全管理，离职人员的安全管理等等。

另外，人对工具使用。针对安全工具（产品）的使用，以及日常办公软件的使用，因为每个人的素质不同，对于这些工具的使用，安全防范意识是不同的。"

可见，由于人为因素的加入，让内网安全管理变得更复杂。那如何制定一个适合企业的内网安全管理制度呢？在这里提出如下几个建议：

◆了解自身业务需求

日常业务操作是企业的命脉，因此从根本出发，在业务工作流程中分析员工的日常工作行为，找出薄弱环节，制定符合业务需求的工作规范。

◆了解安全风险

要弄清楚企业内网有可能面临哪些风险，现有条件下对这些风险的承受程度如何。只有在了解了这些风险的前提下，才能制定相关的防范措施和应急措施，从而保障业务的连续性。

◆提高员工素质

实际上大多数安全问题都是由人直接或间接造成的，因此，培养以及提高内部人员的职业素质，信息和网络安全素质，制定合理的安全管理制度和工作流程，是非常有必要的。

安全总是相对的，百密总会有一疏，但是要尽量将企业的安全制度和措施相结合起来，环环相扣，其中还有最重要的一点：想尽一切办法去实施这些制度！

有了内网安全制度和人员管理机制后，我们就需要结合一些安全产品来加强内网的防护，那么下面我们就来谈谈安全产品的选择问题。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]