企業(yè)網(wǎng)絡(luò)管理為何迷失方向?這其中有很大一部分原因，主要是在網(wǎng)絡(luò)安全體系設(shè)計中，有不少網(wǎng)絡(luò)管理人員犯了一些方向性的錯誤。其實，這些錯誤我在以前也犯過，還好后來及時調(diào)整過來。下面筆者就對這些談?wù)勛约旱目捶?，希望能夠?qū)Υ蠹矣兴鶐椭?/p>

　　迷失方向一：注重邊界安全，忽視內(nèi)部威脅

　　筆者在企業(yè)安全網(wǎng)絡(luò)管理這個領(lǐng)域內(nèi)，也是有一定的知名度的。平時在跟一些網(wǎng)絡(luò)安全管理人員討論企業(yè)網(wǎng)絡(luò)安全話題的時候，發(fā)現(xiàn)大家更多的是關(guān)注企業(yè)網(wǎng)絡(luò)邊界的安全，而忽視了來自于企業(yè)內(nèi)部的安全威脅。但是，根據(jù)有關(guān)權(quán)威部門的統(tǒng)計，企業(yè)安全網(wǎng)絡(luò)管理的安全威脅，真正的來自外部的威脅只占到20%，而80%的網(wǎng)絡(luò)安全威脅事件來自于企業(yè)內(nèi)部。來自互聯(lián)網(wǎng)的攻擊，無論是木馬、黑客還是惡作劇，都是很少，而且，對企業(yè)造成的影響也不是很大。但是，來自于企業(yè)內(nèi)部的安全威脅則日益突出。特別是員工隨意把企業(yè)內(nèi)部的機密信息泄露、甚至轉(zhuǎn)賣給企業(yè)的競爭對手，給企業(yè)造成了很多的損失?，F(xiàn)在就有很多類似的官司。如前不久就有一家公司的銷售經(jīng)理離職的時候，復(fù)制了公司的所有客戶信息與產(chǎn)品信息，離職后自己開辦了企業(yè)，挖走了公司很多的客戶。也有公司的技術(shù)骨干被企業(yè)的競爭對手挖走，隨著他們的離職，很多技術(shù)資料也被他們帶了過去，從而引發(fā)了官司。這里雖然也有人員管理上的問題，但是電子文檔管理不完善，這也是導(dǎo)致企業(yè)損失的一個不可推卸的失誤。

　　為此，筆者認為，相對于企業(yè)外網(wǎng)而言，內(nèi)部的威脅應(yīng)該更應(yīng)該引起網(wǎng)絡(luò)安全管理人員的重視。

　　如如何對電子文檔進行管理，限制無關(guān)人員的訪問，特別是對于電子文檔的復(fù)制、分發(fā)等需要進行嚴格的控制。如如何對于移動設(shè)備存儲進行管理，U盤等移動設(shè)備由于其體積小、容量大，所以是用來存儲電子文檔最好的工具之一，所以網(wǎng)絡(luò)安全管理人員需要采用有效的措施來規(guī)范移動存儲設(shè)備的使用，必要的時候禁用他。

　　對于如何應(yīng)對企業(yè)內(nèi)部的安全威脅，筆者有如何建議：

　　1、對電子文檔進行安全等級管理。對于安全等級級別高的電子文檔，如客戶信息、產(chǎn)品研發(fā)信息等等，需要采用加密等手段來保護文件的安全。如采用WINDOWS操作系統(tǒng)的EFS加密技術(shù)，當這些機密文件脫離特定的用戶，在其他電腦上都無法打開利用EFS加密過的文件。這無疑是保護企業(yè)機密文件安全的一種很好的手段。

　　2、規(guī)范移動存儲設(shè)備的使用。在一般情況下，需要禁止使用移動存儲設(shè)備。如我公司現(xiàn)在就是禁止各種移動存儲設(shè)備的使用，包括移動硬盤、U盤、MP3、外置刻錄光驅(qū)等等，都無法使用。這個技術(shù)手段也很簡單，就是禁用掉主機的USB接口即可。

　　3、監(jiān)控企業(yè)員工的郵件。除了移動存儲設(shè)備外，電子郵件也逐漸在成為企業(yè)信息安全帶頭號殺手之一。電子郵件由于其隱蔽性高、使用方便等等，已經(jīng)開始對企業(yè)的信息化安全產(chǎn)生了重大的威脅。所以，在有必要的情況下，需要對企業(yè)重要部門的員工郵件進行監(jiān)控。筆者現(xiàn)在的企業(yè)，采用的安全規(guī)則是，一般員工的話，都不能發(fā)送外部郵件，只有內(nèi)部員工之間的郵件可以對發(fā)。而有權(quán)限發(fā)送外部郵件的員工，他們的郵箱都受到監(jiān)控，什么時候給什么人發(fā)送了什么內(nèi)容的郵件，都可以追蹤到。如此的話，就可以最大限度的減少員工利用電子郵件工具泄露企業(yè)機密信息。

　　迷失方向二：西瓜、芝麻都要

　　在網(wǎng)絡(luò)安全管理中，很多企業(yè)還喜歡面面俱到，只有這么大的胃口，還西瓜、芝麻都想抓在手中。結(jié)果呢，就是揀了西瓜丟了芝麻。

　　如對于郵件監(jiān)控來說，很多企業(yè)采用的措施是對于所有的員工都采取監(jiān)控措施。一個公司幾百名員工，從大到企業(yè)副總、部門經(jīng)理，小到下面的司機，都對他們進行郵件監(jiān)控?？墒菐淼膯栴}就是，如何去查看這些監(jiān)控信息。若我們不能及時過濾這些監(jiān)控信息的話，則我們采取郵件監(jiān)控措施的話，根本沒有任何意義。所以，筆者認為，在企業(yè)網(wǎng)絡(luò)安全管理中，沒有必要做到面面俱到，而是應(yīng)該抓重點。

　　具體的來說，筆者有如下建議

　　一是重服務(wù)期安全，輕單機安全。企業(yè)的服務(wù)期中，存儲有企業(yè)大量的機密信息。如文件服務(wù)器存儲有很多企業(yè)的機密信息，如產(chǎn)品研發(fā)、測試資料等的功能;再如ERP服務(wù)器中，存有所有的客戶資料、訂單信息、產(chǎn)品物料清單等等。在實際工作中，我們應(yīng)該鼓勵用戶把相關(guān)的資料存儲在企業(yè)服務(wù)器中。因為在服務(wù)器上，我們可以采取統(tǒng)一的安全策略，如對相關(guān)信息進行及時備份、采取統(tǒng)一的訪問控制策略、利用服務(wù)期訪問日志記錄訪問信息等等。若管理策略定義的好的話，在服務(wù)器上文件的安全性比單機上要高的多。故，在安全管理中，我們應(yīng)該把管理的中心放到這些服務(wù)器中，要采用一切必要的措施，讓員工把信息存儲在文件服務(wù)器上。

　　二是對于信息的安全管理要輕重有別。我們都知道，文件訪問的效率與安全往往是背道而馳的。當文件安全性級別高，往往就需要添加很多訪問的限制，如需要員工憑用戶名與密碼才能夠訪問;或者需要用戶通過特定的途徑才能夠訪問;或者對于用戶訪問文件的地點有限制等等。一般來說，安全級別越高的文件，其訪問更加復(fù)雜，所以，訪問效率也就比較低。故我們網(wǎng)絡(luò)安全人員在設(shè)計安全體系的時候，需要在安全性與訪問效率之間取得均衡。而取得這個均衡的最好的一個方法，就是對信息實施“輕重有別”的管理方法。就拿筆者公司為例，企業(yè)員工的考勤信息一般都是公開的，所以，對這個信息就沒有必要采用很強的訪問控制策略，只需要限制未經(jīng)授權(quán)的用戶更改這個文件即可。而公司工資信息則是保密的，一般只有員工本人與少數(shù)的幾個人員才能夠獲悉，所以，對于工資明細這個文件就需要采用比較嚴格的訪問控制策略，對于訪問的人員、訪問的途徑等等都需要進行嚴格的控制。如此的話，才可以實現(xiàn)企業(yè)的要求。故，對企業(yè)的信息進行如此分級管理的話，我們就可以把更多的精力放在一些機密性程度比較高的信息上面;同時，對于一些機密程度不高的文件，就可以提高其的訪問效率。而不是不管三七二十一，一幫子打死。

　　三是必要的時候，把某些部門劃為禁區(qū)。如筆者現(xiàn)在的企業(yè)，產(chǎn)品研發(fā)部門是企業(yè)的核心，我們企業(yè)產(chǎn)品的專利樹目在國內(nèi)企業(yè)中是數(shù)一數(shù)二的，所以對于專利的保護就非常的重視。為了保護這些產(chǎn)品信息，特別是產(chǎn)品配方、產(chǎn)品測試資料的安全性，公司采用了虛擬局域網(wǎng)技術(shù)，把研發(fā)部門跟財務(wù)部門劃分成獨立的網(wǎng)絡(luò)，限制其他部門對于這兩個部門電腦的訪問。如此的話，就把這個兩個企業(yè)重要部門隔離開來，提高了這些主機的安全性。這對于企業(yè)的信息安全起到了很大的保護作用。所以，筆者建議，在網(wǎng)路設(shè)計的時候，就需要開始企業(yè)網(wǎng)絡(luò)與信息的安全。在有必要的時候，把一些重要的部門獨立的保護起來，從網(wǎng)絡(luò)底層限制其他用戶對其的訪問。

　　企業(yè)這么大多一個信息網(wǎng)絡(luò)，存在這么多的安全威脅，而且要往往不會配備很多的網(wǎng)絡(luò)安全人員，一般就一名到兩名。很多企業(yè)還沒有獨立的網(wǎng)絡(luò)安全管理人員，都是企業(yè)網(wǎng)絡(luò)管理員在兼職。所以，在這種背景下，若還要去爭取“面面俱到”的話，則最后的結(jié)果必然是功虧一簣，撿了芝麻，丟了西瓜。故筆者在這里強烈建議，我們在設(shè)計企業(yè)網(wǎng)絡(luò)安全管理體系的時候，需要輕重有別。大家在考慮問題的時候，可以參考我上面的意見。雖然有些地方可能不是百分之百的準確，可能還有一些沒有考慮到的點，但是，我相信，這些方法對于大家從整體上提高網(wǎng)絡(luò)與信息的安全性，是具有非常好的作用。因為我現(xiàn)在就是這么做的，而且已經(jīng)取得了非常明顯的效果。