知識(shí)產(chǎn)權(quán)對(duì)依靠智力資本實(shí)現(xiàn)發(fā)展的現(xiàn)代企業(yè)尤其關(guān)鍵，一旦研發(fā)成果或銷售機(jī)密被競(jìng)爭(zhēng)對(duì)手獲取，企業(yè)的核心競(jìng)爭(zhēng)力很可能在瞬間化為烏有。然而，在利用各種網(wǎng)絡(luò)安全防護(hù)手段對(duì)抗外部威脅的同時(shí)，傳統(tǒng)的內(nèi)網(wǎng)安全架構(gòu)與缺乏實(shí)效性的監(jiān)管措施已使得數(shù)據(jù)泄密事件頻發(fā)。

內(nèi)網(wǎng)安全遭遇挑戰(zhàn) 需求與現(xiàn)實(shí)差距甚遠(yuǎn)

據(jù)Gartner調(diào)查數(shù)據(jù)顯示，時(shí)下有超過85%的安全威脅來自企業(yè)內(nèi)網(wǎng)，而在針對(duì)企業(yè)內(nèi)網(wǎng)的信息竊取和監(jiān)守自盜中，30%-40%是企業(yè)高管或員工通過盜取電子文檔來獲取機(jī)密信息的，其中14%的目標(biāo)針對(duì)專利信息竊取。由此可以看出，雖然很多企業(yè)的信息安全防護(hù)體系都將外部的威脅設(shè)為重中之重，但數(shù)據(jù)泄露事件卻愈演愈烈，許多創(chuàng)新的產(chǎn)品信息、業(yè)務(wù)計(jì)劃、客戶資料等涉密數(shù)據(jù)信息都暴露在外。

大量引以為戒的案例，致使許多現(xiàn)代企業(yè)都在調(diào)整安全資金投入的方向，并在改善內(nèi)網(wǎng)安全環(huán)境的同時(shí)推出了更為嚴(yán)格的懲戒制度。但在內(nèi)網(wǎng)安全實(shí)踐的道路上，許多管理者卻發(fā)現(xiàn)目標(biāo)與現(xiàn)實(shí)之間存在著很大的差距。首先是網(wǎng)絡(luò)中要不斷地加入或升級(jí)防火墻、IDS、準(zhǔn)入控制、行為審計(jì)等安全邊界設(shè)備，大量的信息化資金被占用。其次，在終端設(shè)備上安裝的防病毒軟件、終端安全控制軟件、移動(dòng)存儲(chǔ)介質(zhì)管理軟件、防非法外聯(lián)軟件、DLP軟件等等，都導(dǎo)致運(yùn)維部門承受著人力匱乏、技術(shù)落后、執(zhí)行力低下等極其不相稱的安全職責(zé)。

作為承載“智慧財(cái)富”的載體，現(xiàn)代企業(yè)信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)卻日漸加劇。對(duì)此，國(guó)路安認(rèn)為，有兩個(gè)關(guān)鍵因素導(dǎo)致內(nèi)網(wǎng)安全提升效果不佳：首先是在傳統(tǒng)的防護(hù)結(jié)構(gòu)中，每臺(tái)終端及應(yīng)用操作人員都是系統(tǒng)與外部環(huán)境之間的邊界，這類邊界數(shù)量多、分布范圍廣、類型復(fù)雜、安全管理控制難度大;二是安全機(jī)制問題，傳統(tǒng)安全機(jī)制主要采用“黑名單”安全機(jī)制，比如殺毒軟件或入侵檢測(cè)，但是生產(chǎn)系統(tǒng)具有相對(duì)明確的操作人員和運(yùn)行流程，呈現(xiàn)出明顯的“白名單”管理特征，因此在生產(chǎn)系統(tǒng)中采用“黑名單”傳統(tǒng)機(jī)制，難以避免系統(tǒng)安全性能低、安全效果差的缺點(diǎn)。

從架構(gòu)到過程 “閉環(huán)應(yīng)用“嚴(yán)防數(shù)據(jù)泄露

為了解決現(xiàn)代企業(yè)內(nèi)網(wǎng)安全遇到的財(cái)力與人力難題，國(guó)路安推出了具有創(chuàng)新價(jià)值的“云縱深防御”解決方案。云縱深防御架構(gòu)通過安全虛擬化技術(shù)和應(yīng)用安全網(wǎng)關(guān)系統(tǒng)，將應(yīng)用系統(tǒng)(包括應(yīng)用終端和應(yīng)用服務(wù)器)整體部署到“云”端(即傳統(tǒng)的數(shù)據(jù)中心或機(jī)房)，從而有效減少應(yīng)用系統(tǒng)與外部環(huán)境之間的邊界數(shù)量和邊界種類。另外，“云縱深防御”還采用“白名單”安全機(jī)制對(duì)應(yīng)用操作人員及其操作行為進(jìn)行安全控制和規(guī)范，從而根本提高應(yīng)用系統(tǒng)的安全性和安全效率。

“云縱深防御”部署圖

在產(chǎn)品、研發(fā)等涉密部門，通過安全云桌面系統(tǒng)，將內(nèi)網(wǎng)信息系統(tǒng)的應(yīng)用邊界轉(zhuǎn)移到機(jī)房，用戶僅能通過機(jī)房?jī)?nèi)的應(yīng)用終端訪問涉密的應(yīng)用系統(tǒng)，而日常的上網(wǎng)行為則與工作內(nèi)容完全隔離。在這個(gè)“閉環(huán)”網(wǎng)絡(luò)中，用戶的操作終端與應(yīng)用終端之間是物理分離的，它們之間的信息交換只能通過安全云桌面系統(tǒng)，從結(jié)構(gòu)上減少了系統(tǒng)的安全風(fēng)險(xiǎn)，并降低了手動(dòng)更新與維護(hù)管理的難度。另外，作為雙重保護(hù)，云桌面中的應(yīng)用程序只能通過在基于密碼技術(shù)加密的“白名單”機(jī)制下運(yùn)行，只有授權(quán)程序方可安裝和訪問，這有效防范了各種已知或未知的木馬病毒。

技術(shù)服務(wù)于應(yīng)用，不可反之。正因如此，每一個(gè)決策者都不愿意為了新技術(shù)而大幅調(diào)整應(yīng)用，因?yàn)檫@需要相當(dāng)一段時(shí)間讓員工“再調(diào)整、再適應(yīng)”。對(duì)此，云縱深防御中采用了國(guó)路安獨(dú)有的業(yè)務(wù)系統(tǒng)前置應(yīng)用安全網(wǎng)關(guān)，在不改變應(yīng)用的前提下，對(duì)各區(qū)域應(yīng)用進(jìn)行協(xié)議代理和訪問控制。前置安全網(wǎng)關(guān)可實(shí)現(xiàn)基于CA證書的身份認(rèn)證，以及細(xì)粒度、標(biāo)記化的訪問控制，并確保整個(gè)應(yīng)用過程可審計(jì)、可加密、可追蹤。同時(shí)，由于所有的控制是針對(duì)應(yīng)用而非針對(duì)物理資源，因此，即使采用VPN等遠(yuǎn)程訪問，同樣實(shí)現(xiàn)了云計(jì)算環(huán)境下的應(yīng)用安全隔離和訪問控制。

數(shù)據(jù)已經(jīng)成為現(xiàn)代企業(yè)改變現(xiàn)在、應(yīng)對(duì)未來的黃金籌碼，而它一旦遭遇盜取落入不法之徒手中，也將成了懸在人們頭上的達(dá)摩克利斯之劍。因此，現(xiàn)代企業(yè)的知識(shí)產(chǎn)權(quán)不但需要外部法規(guī)等各項(xiàng)措施的協(xié)同保護(hù)，同時(shí)也需要在內(nèi)部環(huán)境中形成積極有效的措施，以此讓企業(yè)最重要的“成長(zhǎng)基因”得到真正保護(hù)。