清扬内网管理-信息保密|网络管理|网络安全|保密管理|保密安全|内网管理|内网安全|禁用USB盘|屏蔽U盘|信息管理|信息流动|网络隔离|物理隔离|网络保密|禁用QQ|非法外联|外设管理|内网管理|内网安全|外来接入管理|隔离管理|查杀病毒|查杀木马|文件监控|补丁管理|补丁自动更新

企业网络保密的原理和方法

　　企业网络建起来，使用也越来越多，企业的机密逐渐的散布在网络中，这给企业的长久运营的安全带来了很大的苦恼：企业的机密怎么能稳妥的得到保护呢？泄露出去怎么办？如何有效的管理和防范呢？都是一个个的问题。
　　于是很多企业开始考虑采购各种各样的设备，以解决上述的问题。主要的手段是：禁用USB等外设，对邮件、QQ等发送手段做过滤和监控。但是采用了这些手段后，怎么来大致的判断这些保密措施是否有效或到位呢，这个仍然是个问题，我猜想很多人也没太多考虑，只能在将信将疑的心理中等待进一步的发展。
　　保密是个非常庞大的话题，越是深入考察，就会发现是个不可穷尽的领域。当面临问：这么多钱都投进去了，难道还买不到一个安心吗？但是回答只能是：当你想追求完全无械可击的保密时，再多的投入恐怕都是不够的。保密有很多的层次，可以逐渐的深入。但是每一个层次，都要遵循一定的原理。作为一个简短的介绍文章，并不想来介入完整的保密原理的介绍。其实只想做一点点的讨论，因为这样对企业来说，从投入和实现上考虑，也许更现实些。
　　首先，我们需要来介绍一下信息保密的特殊之处，这要从信息的本质来讲起。信息是什么？这是一个很含糊的概念。它是一串数字，但是比数字更让人难以理解。也许是一个图，也许是一段文字。总之，都是信息。在计算机中，处理信息的手段，被冠以一个名字，叫“软”件。这个软字，构成了信息的特征表象。什么是“软”？软就是没有不变的形状，当你用力握住一块脂膏时，脂膏轻轻的从你的掌后跟滑了出去。或者你掬起一捧水，水也从你指缝中溜走了。软体就是这样，不可把握，其大无象，其小无形，只能拿个容器来盛载其中。
　　信息的流动是非常容易的，比如，人可以拷贝一个文件到另一个地方，或者从一个文件中粘贴一部分，或者另存为另一个文件。或者发个邮件，或者上网填个信息，等等。即使没有人的介入，也有好事的病毒和木马会到处搜索文件，并悄悄的或猛烈的到处乱发，等等。当诸如此类的事件发生时，信息就四处的流动，也可以变形，也可能截短，但是总之就是四处扩散了。
　　理解信息的特征，就为对信息的管理（当然包括保密）提供了决策的依据。如果，你希望能保留信息在企业里，就要用容器来盛载信息。要是你试图用一个动物园用来关马或驴的铁笼子来保护信息，那么动物当然出不来了，但是信息却将无声的流了出来。
　　在信息保护的概念里，网络是信息的载体，要构成一个容器，就要把企业的网络也放置其中，形成这个容器的手段，叫“隔离”。
　　在很多行业中，隔离已经司空见惯。隔离给信息制造了一个无从跨越的界限，从而封堵了信息流出的可能性。
　　隔离最简单的例子，就是把一台电脑的网线给拔掉。那么这就断绝了信息在网络上流动的可能性，人们将没法从网络上拷贝信息，病毒木马即使再努力发送也只能在硬盘上徒耗一些多余的空间。
　　这个简单的例子已经简单说明了隔离的重要性，隔离的意义在于：不仅在正常情况下让信息无法流出，在异常情况下，甚至失控的恶劣条件下，信息也将得到相当的保护，至少无法离开这个“容器”了。
　　所以，强有力的信息保密，至少要建立在一个基础上，就是网络的隔离，通常叫物理隔离。物理隔离是网络保密的坚实的基础。
　　但是作为一个普通企业的网络，也有现实的困难。因为物理隔离虽然是个相对理想的方案，但是却意味着较高的成本，这个成本并不完全指硬件的投入成本，也包括运营成本和管理成本。企业总是需要有互联网的通信渠道，但是物理隔离却反对这样做，所以只能保留2个网络，一个内网，一个专门用来上网的外网。总有相应的数据需要做交换，也有2个隔离的网络需要维护，所以成本就高了很多。
　　但是即使隔离是很困难的，仍然需要用隔离的概念来衡量一个网络的保密建设。对必须实现强度保密的企业，不实现物理隔离，那么他就需要知道，保密的严格是无法实现的。对于希望有一定保密力度的企业，我以为，也许可以通过适当的通过划分逻辑的内网和外网，而不是简单的把网络连在一起。如果内外网之间不能完全隔离，那么也需要限制互通的接口，比如限制在一台或若干台在内外网之间交换数据的PC，这也是在一定程度上实现隔离。
　　很多单位把计算机简单的连在一起，又接在互联网上，希望使用过滤手段来实现网络保密，比如监控QQ和邮件。从上面的讨论来说，好比是用一把筛子，在水流过时用力的筛。但是水也是信息，信息也是水，当水流过时，信息无声的依附在里面，飘走了，不会让筛子筛出来。把一个文件压缩一下，再换个后缀，变成一个图象文件。再找几个文件挤在一起压缩一下，再换个名字。多操作几次，软体的本性将越来越明显，已无法看出原来的本色，但是信息实际却仍然含在其中。发出去时将不会有任何筛子能识别这个文件是什么，不会把这个文件给筛出来的。
　　这里再三强调了一个概念，就是：信息是软体，网络保密不能用平时对待硬实体的方法，违反了这个原则，那么实际上保密是无法实现的。
　　最后，来介绍一个软件的管理方案，就是清扬内网管理软件在企业信息保密中可以用来管理的一些应用。
　　看到这里，有人大怒起来：广告，广告，又是广告！！！
　　这篇文章不是小说，没有掌声和喝彩，所以生硬而苦涩，也不准备去评奖或发表，所以简短而篇小。不过，也不是全无用处。说实在的，总是需要有具体的示例啊，所以介绍一下清扬内网管理软件的功能也是做一点参考啊。
　　作为对上面的网络保密方案的应用，清扬内网管理软件非常强调的是隔离的管理，所以有：
　　对拨号和非法外联的管理，包括对拨号的禁止手段，代理服务器的检测和清理手段，非法外联的检测等。这是从内网不要连接外网的角度来管理的。
　　对USB盘、光驱、软驱等外设的管理，这主要是加强对用终端外设的信息流出的防范。
　　对外来接入的管理，这主要是指未经允许的笔记本接入内网造成的保密威胁。对大型的网络来说，有可网管的交换机的情况下，可使用清扬运行管理软件来自动禁止外来笔记本接入内网。一般的网络则使用内网管理软件来检测陌生笔记本接入也可以起到良好的效果。
　　以上主要是隔离的管理功能。
　　此外，还有对全网PC的文件操作的审计，对文件在网络中的扩散是个有效的跟踪和发现。
用屏幕监控等功能也是一种行为的审计手段。
　　对病毒木马也有一定的查杀功能。（注：这可不是杀毒软件，是用进程或其他计算机对象的审计分析的方法来从另一个侧面监控和管理网络，是清扬内网管理软件发展的一种努力，将为防毒体系的一个新的补充，等回头再其他的介绍中来提及这个问题）
　　有兴趣的可以在www.qycx.com下载清扬内网管理软件来试用，也许有些用呢。
　　新建了个企业网络的管理技术群，用来讨论企业网络的管理技术，欢迎一起加入。
　　群号1459617

清扬创新　　