浅析内网安全产品之技术实现篇

对于网关型或旁路型的设备或软件系统，上一篇文章的介绍中也大体进行了说明，其原理是通过对网络数据包的协议分析与控制实现的。

对于旁路的设备或软件，在涉及到应用控制功能时，在大型的企业中应用时，可能会造成过多的伪造封包充斥用户网络，严重的将可能导致用户网络故障。（在不涉及到控制部分时将不会给用户网络造成任何的影响），在此就不再做介绍了。重点介绍看上去同类型的软件实现原理有哪些。

比较常见的防信息泄露系统有四种实现原理：
 
一、    通过网关方式部署，不需要安装客户端，直接进行网络数据的协议分析。
二、    非网关方式部署，不需要安装客户端，对网络进行监控和控制。
三、    纯粹的C/S传统架构实现，直接在用户终端上安装监管代理。
四、    完全通过对文档的加密及解密权限管理解决信息泄露的问题。

对于第一种方式，经过前面的介绍部分已经说明了。对于第二种方式，如果以非网关方式部署，并且不需要安装客户端即可对网络行为进行管理，客户在选择的时候就一定要慎重了。因为毫无疑问此种类型的产品是采用的ARP欺骗方式，冒充网关，将所有与真正网关通讯的数据包欺骗过来，进行审计记录后再根据设置的策略来决定是否断开或转发至真正的网关。在小规模的企业中使用可以考虑，毕竟此种类型的软件监管系统价格非常便宜。但上了一定规模的企业若要使用必须慎重，轻则影响网络性能，重则造成网络瘫痪。
 
IP-Guard采用的是传统的C/S架构，由客户端、服务器端和管理控制台三部分组成。所有客户端上监控的数据直接发送至服务器数据库进行存档和归类。管理控制台可以安装在任何一台需要进行管理维护的计算机上，通过用户的身份认证即可对整个监控系统进行管理。由于服务器和客户端都是直接联至企业的交换机，以目前企业的基础网络条件而言，100M交换环境是非常普及的，因此并不会给用户的互联网络造成影响。同时系统在开发设计时就考虑到了大企业用户群体对系统性能及网络资源占用的关注，因此在服务端与客户端的设计实现过程中采用了众多的优化设置和算法，用以保证大规模用户环境下的正常运作。

对于第四种通过文档加密和解密权限的划分来解决信息泄露的问题，虽然这是个不错的解决方式，但并不是唯一或者最完善的解决方案。原因如下：
 
一、某些文档加密系统声称功能如何强大，完全可以保护企业的涉密资料不被外泄，用户在感觉产品的开发理念及功能实现确实不错的同时，往往忽略了一个事实：安全保护程度的高低与用户体验的好坏往往是成反比的。为了达到很高的安全性，牺牲了可用性或可操作性结果是得不偿失。很多文档加密系统声称有如何完善的用户权限划分，可以根据不同的对象、不同的时间、不同的文档或目录进行权限的划分，有授权的用户可以查看，而其他任何非授权的方式得到文档后只能是密文一堆。但是在企业复杂的应用环境下，同一个文档涉可能涉及到不同的部门或者不同的审核者，权限之间往往会互相交错，最终导致混乱。比如A员工的设计方案文档加密后发送给部门经理B，B有可能需要协调不同的部门经理对该方案进行讨论，也可能是B直接将该文档发给总经理，总经理临时决定召开会议进行讨论，于是将该加密文档发送给了他认为该参与讨论的相关人员，但总经理怎么知道这些相关人员是否有打开加密文档的权限？随着企业的规模增大，这种权限的互相交错只会让管理人员疲于奔命，最后干脆弃之不用。

二、很多情况下企业的文档资料是需要外发给客户或合作伙伴。涉及到外发，就必定涉及到解密操作，否则你的客户或合作伙伴如何阅读？总不能要求你的合作伙伴也装上加密客户端连入公司的认证服务器进行权限的认证后方可阅读吧？一旦解密成明文外发出去或者有解密权限的人将资料解密后通过各种方式带走，基本上就已经失控，并且无法监控，毕竟加密系统并不是监控系统。

三、有些加密系统在所有加密资料需要外发前需要人工审核批准，此方法虽然可行，但得安排专人就做文档审核与批准工作，并且随时Standby，因为谁也无法预料企业中的员工什么时候就急着要下个订单或将产品设计资料发送给客户而等着审核批准。因此加密系统的实施还是需要有一定的适用条件和范围的。
 
因此，并不是说通过文件加密的方式来解决信息的泄露问题不可行，而是内网监控和审计的范围太广，加密系统主要从文档介质存储的安全角度来考虑问题，而对于企业内网的监控、管理或桌面终端的管控能力是非常有限的，所以要防止信息泄露，护卫信息安全，只有加密是不够的，需要从各方面考虑，通过详尽细致的操作审计、全面严格的操作授权、加之安全可靠的加密，在企业里建构一个完善的防护体系。

安全问题是复杂、多层次的问题，没有绝对的安全，通过技术和管理的相辅相成，才能最大程度地保卫信息安全。

写本文的目的，是希望从全面完整、专业及多年来在安全领域服务的经验角度来审视目前市场上五花八门的监控类系统，让用户能够基本了解不同产品之间的优缺点，从而为产品的选择提供一定的参考。

本文转载自：http://bbs.supercn.net/viewthread.php?tid=1795