安全没有100% 内网管理更重要

    在北京，大大小小的研究院、研究机构有多少家，恐怕没有几个人能说得清楚。正是这些性质不同、规模不等的研究机构，默默研究着各项技术、产品，最终转化为造福人类的科技生产力。中国船舶工业综合技术经济研究院就是这样的一家研究院。

    为了保护知识产权不被侵犯，研究院的科技成果不随意外流，中国船舶工业综合技术经济研究院开始考虑完善内部安全管理体系。其中，选择合适的防范内部信息泄漏的方案成为首先考虑的问题。

    防什么？

    早在2003年3月，中国船舶工业综合技术经济研究院网络中心主任佟占杰在网上看到了“防水墙”的介绍文章，一下子就被这个新颖的概念吸引住了。“原来还以为是防火墙三个字写错了呢，其实是一个比较新的理念。这套系统是防止内部信息向外流。”

    于是，在网络安全技术方面非常精通的佟占杰找来多个类似的产品开始测试。

    时间很快，一年的时间过去了。到了2004年年中的时候，所有的测试基本结束。结果是，中软的防水墙系统在功能、产品化等方面占有一定的优势。

    但选型慎重的佟占杰并没有马上决定购买，而是和中软协商，先期试用一段时间。直到2004年12月，防水墙系统才正式投入使用。

    中国船舶工业综合技术经济研究院的内网是专网，涉及涉密的信息，一旦上互联网的用户不慎将木马等恶意病毒带入网内，后果就不堪设想。那么，中国船舶工业综合技术经济研究院部署防水墙系统究竟是为了实现哪些防范措施呢？一方面，希望系统能够跟踪、审查到每个计算机用户的浏览网页、下载记录，另一方面系统能否跟踪、审查到每个计算机用户使用软硬件的状态。简而言之，就是这个用户打印了哪些文件、从网上下载了哪些文件，系统都能监测到。从这个意义上讲，每个用户的计算机使用行为都在可控的范围之内了。

    现如今，计算机和网络已经成为企业的重要信息载体和传输渠道。但是，在享受计算机以及计算机网络所带来的方便性的同时，安全隐患也不时显露，特别是企业内部重要信息的外泄事件时有发生。

    一份调查显示，发生信息外泄的原因，有的是员工的误操作，也有的是内部人员有意直接对重要的服务器进行操控从而破坏信息，或从内部网络访问服务器，下载重要的信息并盗取出去造成的。

    如果没有一套技术手段到管理体系都较为完备的内部安全管理体系，要想防范内部信息的泄漏是一件难事。

    怎么防？

    在实际工作中，佟占杰意识到，导致内部信息泄漏的途径很多，传输介质未经授权的使用是一个重要原因。例如，非法拷贝敏感信息和秘密信息到磁盘、光盘、USB盘；存储过秘密信息的磁盘当作废旧磁盘，给他人使用；存有秘密信息的硬盘不经处理或无人监督就带出修理，修理时没有技术人员在场等等。更为极端的例子是存有秘密信息的磁盘被盗，或者存储在媒体中的秘密信息在联网时被泄露或被窃取等等。

    因此，控制好计算机用户的合理、合法使用是重要的。根据企业安全管理的策略，可以设定每一个用户的终端对移动存储设备的使用权限。例如，限制打印、禁止拷贝，或者对被复制到移动存储设备的信息进行加密处理等等。

    佟占杰认为，中软防水墙系统提供了对敏感文件的安全防护，采用了不对称RSA算法，用户、小组和全域具有各自独立的密钥对，用户可以根据实际需要对不同范围用户群采用不同的加密方式。而且中软防水墙从网络通讯的防护、移动存储的防护、打印机的防护等方面体现了保护用户敏感信息和秘密信息不被非法泄漏的设计理念。

    在最新推出的7.2版本中，还完善了审计功能，以便于一旦出现安全事件，可以及时准确地追溯到相关的责任人。 在记者采访中，佟占杰表示，再好的信息安全防护系统，如果没有好的管理制度、管理策略相配套，也会形同虚设。因此，企业部署了一套信息安全系统，这仅仅是安全管理的开始，而不是结束。因为，安全没有百分百！