企業網絡的使用越來越多，導致企業的機密逐漸的散布在網絡中，這給企業的安全帶來了很大的苦惱：企業的機密怎么能穩妥的得到保護呢？泄露出去怎么辦？如何有效的管理和防范呢？都是一個個的問題。

于是很多企業開始考慮采購各種各樣的設備，以解決上述的問題。主要的手段是：禁用USB等外設，對郵件、QQ等發送手段做過濾和監控。但是采用了這些手段后，怎么來大致的判斷這些保密措施是否有效或到位呢，這個仍然是個問題，我猜想很多人也沒太多考慮，只能在將信將疑的心理中等待進一步的發展。

保密是個非常龐大的話題，越是深入考察，就會發現它是個不可窮盡的領域。當問道：這么多錢都投進去了，難道還買不到一個安心嗎?但是回答只能是：當你想追求完全無械可擊的保密時，再多的投入恐怕都是不夠的。保密有很多的層次，可以逐漸的深入。但是每一個層次，都要遵循一定的原理。作為一個簡短的介紹文章，并不想來介入完整的保密原理的介紹。其實只想做一點點的討論，因為這樣對企業來說，從投入和實現上考慮，也許更現實些。

首先，我們需要來介紹一下信息保密的特殊之處，這要從信息的本質來講起。信息是什么?這是一個很含糊的概念。它是一串數字，但是比數字更讓人難以理解。也許是一個圖，也許是一段文字。總之，都是信息。在計算機中，處理信息的手段，被冠以一個名字，叫“軟”件。這個軟字，構成了信息的特征表象。什么是“軟”?軟就是沒有不變的形狀，當你用力握住一塊脂膏時，脂膏輕輕的從你的掌后跟滑了出去?；蛘吣戕淦鹨慌跛?，水也從你指縫中溜走了。軟體就是這樣，不可把握，其大無象，其小無形，只能拿個容器來盛載其中。

信息的流動是非常容易的，比如，人可以拷貝一個文件到另一個地方，或者從一個文件中粘貼一部分，或者另存為另一個文件?；蛘甙l個郵件，或者上網填個信息，等等。即使沒有人的介入，也有好事的病毒和木馬會到處搜索文件，并悄悄的或猛烈的到處亂發，等等。當諸如此類的事件發生時，信息就四處的流動，也可以變形，也可能截短，但是總之就是四處擴散了。

理解信息的特征，就為對信息的管理（當然包括保密）提供了決策的依據。如果，你希望能保留信息在企業里，就要用容器來盛載信息。要是你試圖用一個動物園用來關馬或驢的鐵籠子來保護信息，那么動物當然出不來了，但是信息卻將無聲的流了出來。

在信息保護的概念里，網絡是信息的載體，要構成一個容器，就要把企業的網絡也放置其中，形成這個容器的手段，叫“隔離”。

在很多行業中，隔離已經司空見慣。隔離給信息制造了一個無從跨越的界限，從而封堵了信息流出的可能性。

隔離最簡單的例子，就是把一臺電腦的網線給拔掉。那么這就斷絕了信息在網絡上流動的可能性，人們將沒法從網絡上拷貝信息，病毒木馬即使再努力發送也只能在硬盤上徒耗一些多余的空間。

這個簡單的例子已經簡單說明了隔離的重要性，隔離的意義在于：不僅在正常情況下讓信息無法流出，在異常情況下，甚至失控的惡劣條件下，信息也將得到相當的保護，至少無法離開這個“容器”了。

所以，強有力的信息保密，至少要建立在一個基礎上，就是網絡的隔離，通常叫物理隔離。物理隔離是網絡保密的堅實的基礎。

但是作為一個普通企業的網絡，也有現實的困難。因為物理隔離雖然是個相對理想的方案，但是卻意味著較高的成本，這個成本并不完全指硬件的投入成本，也包括運營成本和管理成本。企業總是需要有互聯網的通信渠道，但是物理隔離卻反對這樣做，所以只能保留2個網絡，一個內網，一個專門用來上網的外網。總有相應的數據需要做交換，也有2個隔離的網絡需要維護，所以成本就高了很多。

但是即使隔離是很困難的，仍然需要用隔離的概念來衡量一個網絡的保密建設。對必須實現強度保密的企業，不實現物理隔離，那么他就需要知道，保密的嚴格是無法實現的。對于希望有一定保密力度的企業，我以為，也許可以通過適當的通過劃分邏輯的內網和外網，而不是簡單的把網絡連在一起。如果內外網之間不能完全隔離，那么也需要限制互通的接口，比如限制在一臺或若干臺在內外網之間交換數據的PC，這也是在一定程度上實現隔離。

很多單位把計算機簡單的連在一起，又接在互聯網上，希望使用過濾手段來實現網絡保密，比如監控QQ和郵件。從上面的討論來說，好比是用一把篩子，在水流過時用力的篩。但是水也是信息，信息也是水，當水流過時，信息無聲的依附在里面，飄走了，不會讓篩子篩出來。把一個文件壓縮一下，再換個后綴，變成一個圖象文件。再找幾個文件擠在一起壓縮一下，再換個名字。多操作幾次，軟體的本性將越來越明顯，已無法看出原來的本色，但是信息實際卻仍然含在其中。發出去時將不會有任何篩子能識別這個文件是什么，不會把這個文件給篩出來的。

這里再三強調了一個概念，就是：信息是軟體，網絡保密不能用平時對待硬實體的方法，違反了這個原則，那么實際上保密是無法實現的。

【編輯推薦】

1. 企業數據丟失保護數據安全DLP技術解決方案
2. 中小企業部署數據加密解決方案的***做法