在真實(shí)的世界里，確實(shí)有很多因技術(shù)因素而造成的內(nèi)網(wǎng)安全困局，其中最重要的就是混雜平臺(tái)問(wèn)題。即使在一些小企業(yè)當(dāng)中，也可能存在著超過(guò)一種以上的操作系統(tǒng)環(huán)境。比如那些需要Windows操作系統(tǒng)處理日常辦公業(yè)務(wù)，同時(shí)又需要iMac進(jìn)行設(shè)計(jì)工作的廣告公司。而一些組織雖然只使用一個(gè)廠商提供的操作系統(tǒng)，由于計(jì)算機(jī)硬件配置參差不齊，很難保證使用相同版本的操作系統(tǒng)。

　　就我們所見(jiàn)的一個(gè)酒店客戶(hù)來(lái)說(shuō)，Novell的服務(wù)器系統(tǒng)是經(jīng)常用來(lái)支撐酒店業(yè)務(wù)軟件運(yùn)行的，而相匹配的終端甚至包括了遺留的DOS系統(tǒng)。通常文件服務(wù)和Web服務(wù)的控制要由windows 2003 Server或更高版本的服務(wù)器操作系統(tǒng)來(lái)完成，而辦公區(qū)域則混合著從windows 98到Windows XP等不同版本的桌面操作系統(tǒng)。

　　最直接的一點(diǎn)，由于混雜的操作系統(tǒng)種類(lèi)，該酒店的管理員在處理防病毒、補(bǔ)丁更新、數(shù)據(jù)備份乃至各種內(nèi)部應(yīng)用服務(wù)的時(shí)候，都需要為這種情況付出大量的額外努力。

　　而在設(shè)備管理和跟蹤的過(guò)程中，也經(jīng)常會(huì)出現(xiàn)一些死角，導(dǎo)致偶有未被登錄在案的計(jì)算機(jī)節(jié)點(diǎn)在網(wǎng)絡(luò)中工作而卻茫然不知?？梢哉f(shuō)，投入到信息安全的成本有很大一部分都因?yàn)榛祀s平臺(tái)問(wèn)題而被浪費(fèi)掉了，這導(dǎo)致的最直接結(jié)果就是沒(méi)有更多的資源來(lái)真正提升內(nèi)網(wǎng)安全防護(hù)的質(zhì)量，從而形成了一個(gè)內(nèi)網(wǎng)安全泥潭。

　　在看到羅列與此的這些問(wèn)題時(shí)，安全管理員一定會(huì)有似曾相識(shí)的感覺(jué)。這個(gè)列表中的問(wèn)題都相當(dāng)常見(jiàn)而且流行，可以作為內(nèi)網(wǎng)安全的優(yōu)先關(guān)注點(diǎn)，也可以作為在選擇內(nèi)網(wǎng)安全工具和技術(shù)解決方案時(shí)的映射目標(biāo)，最重要的是我們需要正確地認(rèn)識(shí)使用哪些技術(shù)可以有效地處理這些問(wèn)題。

　　目前，國(guó)內(nèi)也有很多CIO選擇TIPS安全防護(hù)平臺(tái)，對(duì)內(nèi)網(wǎng)進(jìn)行有效管理。通過(guò)建立四級(jí)的防護(hù)體系：首先就是以硬件級(jí)防護(hù)為基礎(chǔ)，建立可信可控的信息系統(tǒng);其次，建立四級(jí)可信認(rèn)證機(jī)制的縱深防御體系;接著是實(shí)現(xiàn)身份鑒別、介質(zhì)管理、數(shù)據(jù)保護(hù)、安全審計(jì)、實(shí)時(shí)監(jiān)控等一系列基本防護(hù)要求;最后，安全性、管理性并重，系統(tǒng)既突出安全性，更注重可管理性

　　系統(tǒng)安全補(bǔ)丁自動(dòng)分發(fā)

　　很多管理員都知道微軟提供了應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)的產(chǎn)品補(bǔ)丁更新解決方案，但是卻不見(jiàn)得都部署和使用過(guò)這種方式的更新，畢竟接入互聯(lián)網(wǎng)下載安全更新實(shí)在是太方便了。然而，在現(xiàn)實(shí)的應(yīng)用環(huán)境中，并不是所有時(shí)候都可以簡(jiǎn)單地讓所有終端計(jì)算機(jī)都不受控制地接入互聯(lián)網(wǎng)。

　　Windows服務(wù)器更新服務(wù)(WSUS)是相對(duì)常用的補(bǔ)丁更新工具，運(yùn)行于服務(wù)器操作系統(tǒng)上，能夠向各種版本的、包含更新代理機(jī)制的桌面Windows操作系統(tǒng)傳遞和部署更新文件。而對(duì)于需要重啟控制、計(jì)劃安排、更新清單和更豐富管理界面的用戶(hù)來(lái)說(shuō)，付費(fèi)的系統(tǒng)管理服務(wù)器(SMS)將是一個(gè)不錯(cuò)的選擇。

　　不過(guò)，在遇到混雜平臺(tái)環(huán)境時(shí)，微軟的產(chǎn)品就無(wú)法滿(mǎn)足需要了，企業(yè)可能需要求助于CA的Unicenter這樣的第三方商業(yè)產(chǎn)品來(lái)管理各種不同操作系統(tǒng)的補(bǔ)丁更新。對(duì)于Linux等非微軟操作系統(tǒng)來(lái)說(shuō)，對(duì)面向企業(yè)應(yīng)用環(huán)境的更新分發(fā)工具的需要似乎還沒(méi)有那么迫切，不過(guò)隨著這些操作系統(tǒng)使用比例的提高，也是該重視起來(lái)的時(shí)候了。

　　加密電子文檔同時(shí)不影響正常使用

　　對(duì)于數(shù)據(jù)安全來(lái)說(shuō)，根據(jù)數(shù)據(jù)所對(duì)應(yīng)的安全等級(jí)進(jìn)行適當(dāng)?shù)募用鼙Ｗo(hù)是最基本的手段之一。就那些相對(duì)公開(kāi)化的業(yè)務(wù)應(yīng)用來(lái)說(shuō)，基于公鑰加密和證書(shū)認(rèn)證等手段的體系是相對(duì)比較成熟和流行的，而PKI則是其中最典型的代表。一般常用的CA體系架構(gòu)相對(duì)簡(jiǎn)便，也具有絕大多數(shù)用戶(hù)所需的功能。

　　從存儲(chǔ)數(shù)據(jù)的各個(gè)計(jì)算機(jī)節(jié)點(diǎn)來(lái)說(shuō)，現(xiàn)在有大量免費(fèi)的加密工具和數(shù)據(jù)擦除工具可用。不過(guò)其提供的保密級(jí)別往往較低，而且在操作系統(tǒng)層以及應(yīng)用層進(jìn)行加密，往往會(huì)衍生出其他的安全問(wèn)題。對(duì)于密級(jí)較高的電子文檔，應(yīng)該盡可能應(yīng)用BIOS防護(hù)卡等硬件設(shè)備，限制數(shù)據(jù)的存取，并通過(guò)芯片級(jí)加密保護(hù)硬盤(pán)上的數(shù)據(jù)。

　　另外，目前基于USB接口的存儲(chǔ)設(shè)備比如U盤(pán)、移動(dòng)硬盤(pán)等，也可以通過(guò)智能判斷和權(quán)限控制功能，來(lái)對(duì)其中的數(shù)據(jù)進(jìn)行更好的安全管理。在更加高端的領(lǐng)域，用戶(hù)可能需要對(duì)數(shù)據(jù)的流向采取非常嚴(yán)格的控制，甚至規(guī)定必須使用簽收刻錄光盤(pán)的方式來(lái)交換某些數(shù)據(jù)。對(duì)于這類(lèi)問(wèn)題國(guó)內(nèi)廠商已經(jīng)提出了不少有效的解決方案。

　　例如鼎普科技的數(shù)據(jù)單向?qū)牍芾硐到y(tǒng)就相當(dāng)具有創(chuàng)新意義，這個(gè)系統(tǒng)利用了光纖單向傳輸?shù)奶匦?，在物理層保證數(shù)據(jù)的流向正確。在使用過(guò)程中，鼎普科技的設(shè)備一端連入存儲(chǔ)涉密數(shù)據(jù)的計(jì)算機(jī)終端，一端連入U(xiǎn)盤(pán)等數(shù)據(jù)源，即可實(shí)現(xiàn)數(shù)據(jù)的安全存入，而不會(huì)出現(xiàn)涉密數(shù)據(jù)被非法泄漏的問(wèn)題。從中可以看出，作為以文檔加密作為內(nèi)網(wǎng)安全起點(diǎn)的國(guó)內(nèi)用戶(hù)來(lái)說(shuō)，也許確實(shí)只有國(guó)內(nèi)的廠商才真正了解國(guó)內(nèi)用戶(hù)的需求。

　　防止擴(kuò)散的無(wú)線信號(hào)泄漏組織的有價(jià)值數(shù)據(jù)

　　以Wi-Fi為代表的無(wú)線局域網(wǎng)技術(shù)似乎已經(jīng)成為便利性與安全性相互制約的一個(gè)經(jīng)典示例了。盡管Wi-Fi本身的安全性一直相對(duì)脆弱，但是在內(nèi)部網(wǎng)絡(luò)中提供無(wú)線接入能力仍舊成為越來(lái)越多企業(yè)的選擇。對(duì)于Wi-Fi無(wú)線接入點(diǎn)的管理應(yīng)該具有相對(duì)較高的安全強(qiáng)度和級(jí)別，至少不能將其與其它普通的網(wǎng)絡(luò)節(jié)點(diǎn)等同視之。

　　應(yīng)用WPA加密無(wú)線數(shù)據(jù)通信是必要的，盡管只要攻擊者有足夠的耐心，還是可能從嗅探到的數(shù)據(jù)中破解密鑰，但是其難度相對(duì)于WEP等舊有加密方式來(lái)說(shuō)無(wú)疑要困難得多。如果需要更高的安全級(jí)別，可以考慮在無(wú)線鏈路上增加令牌驗(yàn)證和VPN訪問(wèn)控制等手段，以提供較強(qiáng)的安全控管能力。

　　對(duì)各種移動(dòng)終端進(jìn)行接入控制

　　對(duì)于筆記本電腦以及越來(lái)越多的智能手機(jī)終端，企業(yè)所能做的安全管理似乎總顯得有些力不從心。除了對(duì)無(wú)線局域網(wǎng)接入進(jìn)行控制之外，這類(lèi)終端可能引起的問(wèn)題還有很多。藍(lán)牙作為極為通用和具有時(shí)尚意味的連接方式，安全性卻存在一些脆弱點(diǎn)。

　　為了更好地和其它藍(lán)牙設(shè)備進(jìn)行連接，藍(lán)牙往往被設(shè)置成相對(duì)較低的安全認(rèn)證等級(jí)，而事實(shí)上很多設(shè)備在出廠時(shí)默認(rèn)就被設(shè)為最低的級(jí)別，比如大部分的手機(jī)產(chǎn)品都是如此。由于僅在鏈路層提供有限的安全控制，所以藍(lán)牙安全更多地依賴(lài)于上層協(xié)議甚至應(yīng)用層來(lái)進(jìn)行安全管理。

　　想真正實(shí)現(xiàn)藍(lán)牙安全應(yīng)該強(qiáng)制性地在藍(lán)牙傳送數(shù)據(jù)時(shí)結(jié)合其它安全驗(yàn)證措施。雖然這通常很難處理，但不應(yīng)該被忽視。對(duì)于手持設(shè)備來(lái)說(shuō)，WAP站點(diǎn)訪問(wèn)是提供業(yè)務(wù)處理和辦公信息獲取的通行方式之一。WTLS協(xié)議雖然出于性能考慮已經(jīng)做了一些簡(jiǎn)化，但是仍是一種具有較高安全性的解決方案。

　　另外一個(gè)通行的原則是盡量將WAP網(wǎng)關(guān)置于防火墻保護(hù)之后，因?yàn)閿?shù)據(jù)在到達(dá)WAP網(wǎng)關(guān)后往往會(huì)被解密而失去了WTLS的保護(hù)，在其流出WAP網(wǎng)關(guān)之后往往容易被俘獲。