关于内网安全保护技术

近一个时期，各种内网安全技术的发布应接不暇：先有Array推动网络边界的安全准入，接下来是RSA动态密码在金融机构内网的成功部署，后有Nevis、ConSentry推动内网安全交换机的发展， 后到国内的卫士通发布基于数字证书加密的内网“一Key通”方案。算上此前Cisco、Juniper和微软的硬软准入与保护技术，当前国内的内网安全保护技术可以说是“派系林立”。



对此，Juniper的安全专家梁小东曾指出，这些内网安全保护技术的推出反映了市场的迫切需要，不同技术的应用范围就是在于实现的手段和用户 终的接受程度。上周记者曾在评论中指出，用户对于技术的选择很大程度上取决于自身的管理习惯和应用水平。事实上，在内网安全部署中，这个准则体现的更加明显。



此前，Array中国区总经理赵耀先生总结说，硬件的内网安全技术主要是依*接入层和分布层的交换机实现，而软件的全网安全是依*企业的AD域管理来实现。而边界的准入安全则是从内外网的交互中实现，这体现了不同企业的关注重点：彻底的安全建设或者分层的安全建设抑或基于功能点的安全控制。



而RSA的安全专家万军表示，基于动态密码的内网安全可以具备灵活性和易部署的特点。事实上，不改变基础架构的内网安全保护技术对于技术力量有限的中型企业和政府机构来说，非常有吸引力。



另外，卫士通的安全专家彭红认为，当前国内发生的内网安全事件中有80%的隐患来自于内网的中心，而以前企业的侧重点都是在防外。就是加防火墙、加防病毒，都是侧重在防外这一块。她认为，今后内网安全保护的重点将会落到内网的核心。对此，Nevis的中国区首席代表张弛也持类似的看法，基于内网核心的保护将会是未来企业防御的重点。



记者的感觉是，基于核心层的内网安全保护技术目前是各派中势力 小的，但将来很有可能成为一大看点。原因很简单：核心的总是被人关心的。据彭红透露，从核心的安全管控出发，内网安全将会针对三个主体，一是内网使用的用户，二是内网的信息系统，三是内网的信息资源。对企业应用来说，首先面临的问题就是身份认证，包括行为监控和权限监控。其次，针对信息系统，需要进行终端和服务器的双重保护，包括各种网络认证。而对于内网信息，需要对容易造成信息外泄的介质与渠道进行控制，包括对端口进行控制。



在这个基础上，无论是卫士通利用数字证书从核心层信息传输上进行加密，还是Nevis和ConSentry直接在核心层交换机上嵌入安全功能，其基本的思路是类似的，即从网络核心入手，利用技术手段维护信息流的安全传送。相对而言，无论是用Key还是ActiveX插件，对于后台的影响都不大。