企業網路保密的原理和方法

作者 : 清揚創新

企業網路建起來，使用也越來越多，企業的機密逐漸的散佈在網路中，這給企業的長久運營的安全帶來了很大的苦惱：企業的機密怎麼能穩妥的得到保護呢？洩露出去怎麼辦？如何有效的管理和防範呢？都是一個個的問題。

於是很多企業開始考慮採購各種各樣的設備，以解決上述的問題。主要的手段是：禁用USB等外設，對郵件、QQ等發送手段做過濾和監控。但是採用了這些手段後，怎麼來大致的判斷這些保密措施是否有效或到位呢，這個仍然是個問題，我猜想很多人也沒太多考慮，只能在將信將疑的心理中等待進一步的發展。

保密是個非常龐大的話題，越是深入考察，就會發現是個不可窮盡的領域。當面臨問：這麼多錢都投進去了，難道還買不到一個安心嗎？但是回答只能是：當你想追求完全無械可擊的保密時，再多的投入恐怕都是不夠的。保密有很多的層次，可以逐漸的深入。但是每一個層次，都要遵循一定的原理。作為一個簡短的介紹文章，並不想來介入完整的保密原理的介紹。其實只想做一點點的討論，因為這樣對企業來說，從投入和實現上考慮，也許更現實些。

首先，我們需要來介紹一下資訊保密的特殊之處，這要從資訊的本質來講起。資訊是什麼？這是一個很含糊的概念。它是一串數位，但是比數位更讓人難以理解。也許是一個圖，也許是一段文字。總之，都是資訊。在電腦中，處理資訊的手段，被冠以一個名字，叫“軟”件。這個軟字，構成了資訊的特徵表像。什麼是“軟”？軟就是沒有不變的形狀，當你用力握住一塊脂膏時，脂膏輕輕的從你的掌後跟滑了出去。或者你掬起一捧水，水也從你指縫中溜走了。軟體就是這樣，不可把握，其大無象，其小無形，只能拿個容器來盛載其中。

資訊的流動是非常容易的，比如，人可以拷貝一個檔到另一個地方，或者從一個檔中粘貼一部分，或者另存為另一個檔。或者發個郵件，或者上網填個資訊，等等。即使沒有人的介入，也有好事的病毒和木馬會到處搜索文件，並悄悄的或猛烈的到處亂髮，等等。當諸如此類的事件發生時，資訊就四處的流動，也可以變形，也可能截短，但是總之就是四處擴散了。

理解資訊的特徵，就為對資訊的管理（當然包括保密）提供了決策的依據。如果，你希望能保留資訊在企業裡，就要用容器來盛載資訊。要是你試圖用一個動物園用來關馬或驢的鐵籠子來保護資訊，那麼動物當然出不來了，但是資訊卻將無聲的流了出來。

在資訊保護的概念裡，網路是資訊的載體，要構成一個容器，就要把企業的網路也放置其中，形成這個容器的手段，叫“隔離”。

在很多行業中，隔離已經司空見慣。隔離給資訊製造了一個無從跨越的界限，從而封堵了資訊流出的可能性。

隔離最簡單的例子，就是把一台電腦的網線給拔掉。那麼這就斷絕了資訊在網路上流動的可能性，人們將沒法從網路上拷貝資訊，病毒木馬即使再努力發送也只能在硬碟上徒耗一些多餘的空間。

這個簡單的例子已經簡單說明了隔離的重要性，隔離的意義在於：不僅在正常情況下讓資訊無法流出，在異常情況下，甚至失控的惡劣條件下，資訊也將得到相當的保護，至少無法離開這個“容器”了。

所以，強有力的資訊保密，至少要建立在一個基礎上，就是網路的隔離，通常叫物理隔離。物理隔離是網路保密的堅實的基礎。

但是作為一個普通企業的網路，也有現實的困難。因為物理隔離雖然是個相對理想的方案，但是卻意味著較高的成本，這個成本並不完全指硬體的投入成本，也包括運營成本和管理成本。企業總是需要有互聯網的通信管道，但是物理隔離卻反對這樣做，所以只能保留2個網路，一個內網，一個專門用來上網的外網。總有相應的資料需要做交換，也有2個隔離的網路需要維護，所以成本就高了很多。

但是即使隔離是很困難的，仍然需要用隔離的概念來衡量一個網路的保密建設。對必須實現強度保密的企業，不實現物理隔離，那麼他就需要知道，保密的嚴格是無法實現的。對於希望有一定保密力度的企業，我以為，也許可以通過適當的通過劃分邏輯的內網和外網，而不是簡單的把網路連在一起。如果內外網之間不能完全隔離，那麼也需要限制互通的介面，比如限制在一台或若干台在內外網之間交換資料的PC，這也是在一定程度上實現隔離。

很多單位把電腦簡單的連在一起，又接在互聯網上，希望使用過濾手段來實現網路保密，比如監控QQ和郵件。從上面的討論來說，好比是用一把篩子，在水流過時用力的篩。但是水也是資訊，資訊也是水，當水流過時，資訊無聲的依附在裡面，飄走了，不會讓篩子篩出來。把一個檔案壓縮一下，再換個尾碼，變成一個圖像檔。再找幾個檔擠在一起壓縮一下，再換個名字。多操作幾次，軟體的本性將越來越明顯，已無法看出原來的本色，但是資訊實際卻仍然含在其中。發出去時將不會有任何篩子能識別這個檔是什麼，不會把這個檔給篩出來的。

這裡再三強調了一個概念，就是：資訊是軟體，網路保密不能用平時對待硬實體的方法，違反了這個原則，那麼實際上保密是無法實現的。

最後，來介紹一個軟體的管理方案，就是清揚內網管理軟體在企業資訊保密中可以用來管理的一些應用。

看到這裡，有人大怒起來：廣告，廣告，又是廣告！！！

這篇文章不是小說，沒有掌聲和喝彩，所以生硬而苦澀，也不準備去評獎或發表，所以簡短而篇小。不過，也不是全無用處。說實在的，總是需要有具體的示例啊，所以介紹一下清揚內網管理軟體的功能也是做一點參考啊。

作為對上面的網路保密方案的應用，清揚內網管理軟體非常強調的是隔離的管理，所以有：

對撥號和非法外聯的管理，包括對撥號的禁止手段，代理伺服器的檢測和清理手段，非法外聯的檢測等。這是從內網不要連接外網的角度來管理的。

對USB盤、光碟機、軟盤機等外設的管理，這主要是加強對用終端外設的資訊流出的防範。

對外來接入的管理，這主要是指未經允許的筆記本接入內網造成的保密威脅。對大型的網路來說，有可網管的交換機的情況下，可使用清揚運行管理軟體來自動禁止外來筆記本接入內網。一般的網路則使用內網管理軟體來檢測陌生筆記本接入也可以起到良好的效果。

以上主要是隔離的管理功能。

此外，還有對全網PC的檔操作的審計，對檔在網路中的擴散是個有效的跟蹤和發現。

用螢幕監控等功能也是一種行為的審計手段。

對病毒木馬也有一定的查殺功能。（注：這可不是殺毒軟體，是用進程或其他電腦物件的審計分析的方法來從另一個側面監控和管理網路，是清揚內網管理軟體發展的一種努力，將為防毒體系的一個新的補充，等回頭再其他的介紹中來提及這個問題）