內網安全是信息安全的重要組成部分，歷年頻發的內網安全事件使得企業對其備受重視。然而，"內網安全"一詞出現了近十年，卻一直沒有明確的定義。在防護內網安全過程中，往往對網絡、終端、外設等各個方面設防，那么其核心到底在何處？我們近期采訪了知名業界專家、企業代表、廠商專家，集結三方與您一起探討這個問題。

眾所周知，傳統網絡安全主要防治來自網絡外部的威脅，因而主要防護的是網絡邊界的安全，主要采用防病毒軟件、防火墻等手段進行防護。而內網安全不僅需要防護網絡邊界，還要確保存在于內網中的終端、服務器、網絡的安全，同時防止員工即人的泄密。對此，業界主要采用認證、授權、審計、準入、監控、加密等多種手段來保護內網安全。

之所以需要多種手段，這與企業內部信息化的建設使得內網問題不斷演化不無關系。內網安全問題一直在演化，早期內網安全產品主要以桌面防護為主，主要是通過連接控制、補丁分發、設備加密等手段保證安全。當內網安全產品相對成熟，文檔加密、安全管理、主機監控與審計、移動存儲介質管理、網絡準入控制等技術產品隨著企業信息化發展，相繼在內網安全領域走熱。內網安全的范疇在不斷變化，定義也就無從說起。時至今日，"內網安全"并沒有一個官方的定義。制造業信息化專家黃培博士認為："'內網安全'這個概念一直沒有明確定義，是因為'內網安全'的范圍在不斷的變化，它本身就是一個泛指。"

在溢信科技產品總監黃凱看來 ，"內網安全"范疇之所以不斷變化，因為"內網安全"更像是一個理念，而非簡單的概念。相比于傳統安全是假設威脅來自于系統外部，"內網安全"的假設信息系統內部存在著潛在的來自網絡、終端、外設以及 "人"這個不確定的因素的多方威脅。實際上，包括監控、準入控制、加密等不同的技術，可以理解成數據安全保護技術在不同時間段的階段性技術，每一個時期都有一個熱點。比如早期是監控，爾后出現了可以即時阻斷的防水墻和過濾技術、高強度的加密技術，再后面出現的準入控制等等。"行業的發展證明，內網安全并不是某一項技術，而是以內網的數據保密為中心，結合多種技術形成的信息防泄漏體系。"

由于保證內網安全的手段有眾多，需要多種技術，各個技術各司其職，對于內網安全的核心在何處，爭端也不少。有人認為是監控--掌握全局；有人認為是桌面管理--桌面是主陣地；有人認為是準入控制--不準接入；也有人認為內網安全的核心是信息防泄漏--數據是王道。不難看出，在黃凱眼中，內網安全的核心是信息防泄漏。"從理念上來說，內網安全最核心的點應該是在數據安全，反映在產品上就是信息防泄漏解決方案，它是包括加密、管理、審計、監控等多個方面的整體方案，這種方案也是目前市場的重點，比如溢信科技最近提出的信息防泄漏的'整體防護理念'和'IP-guard整體信息防泄漏解決方案'"。

信息防泄漏體系包含多種技術，而要做到信息防泄漏，也必須從多方面入手。"歸根結底，內網安全核心就是如何通過各種技術、手段、工具以及管理方法來阻止內網數據的泄漏。"信息安全專家李洋博士說道。"落到對應的點上，內網安全的核心就是數據安全和管理安全。"數據安全指對信息在數據收集、處理、存儲、檢索、傳輸、交換、顯示、擴散等過程中的保護，使得在數據處理層面保障信息依據授權使用，不被非法冒充、竊取、篡改、抵賴。主要涉及信息的機密性、真實性、完整性、不可抵賴性等。管理安全是指在信息安全的保障過程中，除上述技術保障之外的與管理相關的人員、制度和原則方面的安全措施。二者相結合，才能保證內網安全。游俠安全網站長張百川也表示贊同這種看法，除了技術上保證數據安全，還要通過權限控制等管理手段去保證技術的落實、填補技術的空缺。

技術和管理是相輔相成的。尤其在內網，人的因素被放大，技術對管理的需求也就放大?？v觀內網數據泄密的案例，從源頭上都與用戶的安全意識、操作習慣等密切相關，縱然技術能解決主動、被動的人為泄密，而要從根本上降低信息泄露的風險，還需要從管理上建設。作為用戶端，企業對此深有體會。鄭州三全食品股份有限公司 CIO 周清湘強調"內網安全"的核心在于技術手段與管理舉措的完備結合。他對"內網安全"的定義是指內網所承載的信息進行合理的授權使用以及授權之外的防泄漏措施。可以看到，"授權使用"也是對人的管理。

在技術和管理的博弈中，三一重工股份有限公司研究總院信息化經理譚俊峰更偏重管理。他認為內網安全的核心是合理的體制制度及有效執行，包括規劃、實施、日常管理等。這與三一重工的企業現狀不無關系。在大企業中，技術手段只是維護的一部分，而管理則是企業保證長治的必須手段。在這些CIO們眼中，管理是根本上解決問題的，技術是輔助手段。

綜上所述，筆者認為，內網安全的核心在于信息防泄漏，實現手段是技術和管理，這是無可厚非的共識。隨著互聯網2.0的興起，網絡環境變得更為復雜，對企業非常重要的敏感數據的安全已經越來越難以保證。從無數個案例中可以看出，敏感數據對企業的重要性，因此數據安全應該作為內網安全乃至信息安全的重中之重。調查顯示，2010年中國至少49%的企業表示至少有過一次數據泄漏事件，因內部原因造成的數據泄漏較上一年增加了兩倍，并且還在高速的增長。信息防泄漏已經成為既黑客攻擊之后，企業關注的焦點。

在技術實現手段上，無論是監控、桌面管理、準入控制還是加密、審計等等，最終都將為信息防泄漏服務，它們都是信息防泄漏體系中的一環。隨著企業信息化的發展，內網安全的范疇也在不斷變化，只有全面的體系才能保證內網安全。此外，通過單方面的技術手段是解決不了內網安全問題的，由于內網中有不確定的"人"的因素，因此，企業內部管理也是非常重要的一方面。作為產品提供商，溢信科技強調，產品只是幫助用戶解決問題的一種技術手段，企業自身的管理和制度對于內網安全保護，都是非常重要的環節。而從企業的回答來看，作為企業代表，周清湘非常明確的認可了這一點。

內網安全，心在信息防泄漏，要實現它，技術和管理二者缺一不可。常言道"三分技術、七分管理"，但是有人說"四分技術、六分管理"，更有人說"二分技術、八分管理"，您認為呢？請關注"內網安全"十年之"辯"系列之二："內網安全，何馬當先？"