无数个地方引用了这样一句话：85%以上的安全事件出自内网；可口可乐也有一句话保住了秘密就保住了市场；力拓案、彩票门引起了全国上下和的关注……

　　买了防火墙、防病毒、入侵检测就可以高枕无忧？

　　无论是还是企业，相对于门户网站被等而形象工程被，内鬼造成的损失往往更大：U盘拷贝机密文档、文件打印测试报告、管理员对服务器的文件任意操作、数据库被非法复制、涉及单位核心机密的信息资产消失于无形，却无处追踪。。。。。。

　　技术门诊是51CTO社区品牌栏目，每周邀请一位客座专家，为广大技术网友解答疑问。从热门技术到前沿知识，从技术答疑到职业规划。每期一个主题，站在最新最热的技术前沿为你引航！

　　本期技术门诊我们邀请到网络安全专家、资深安全顾问张百川专家,以内网安全建设为讨论点，和大家讨论交流内网安全管理中遇到的问题及相应的解决方案。希望本次门诊能引起大家对内网安全的关注，共同为企业核心资产而努力！

　　本期专家：张百川

　　擅长领域：网络安全

　　专家简介：陕西电信实业公司资深安全顾问，曾任汉邦软科集团西北大区技术经理。MCSE、MCDBA、Linux网络管理工程师，多年信息与网络安全从业经验，对涉密网建设有深刻理解和认识，参与或主持了超过50个涉密网项目，客户遍及、航空、航天、兵器、电子等行业，具有丰富的安全理论和实践经验。对桌面终端安全、漏洞扫描与评估、WEB安全、数据库安全、运维操作管理等有深入研究。以A：为名在《黑客防线》《黑客X档案》《电脑安全专家》等专业安全发表文章30余篇。

　　查看本期门诊精彩实录：

　　参与最新技术门诊：

　　精选本期网友提问与专家解答，以供网友学习参考。

　　Q：张老师，您好!很高兴有机会向您讨教。先简单叙述一下目前我所在公司的现实：

　　公司分有五个主要的部门，各部门网络相对，内网外网相结合，除了每台机器装有单机版的杀毒软件没有其他任何安全。对于所谓的公司核心机密，主要是采取一小部分USB接口。也许管理层应了这句话：用人不疑，疑人不用。

　　用几个字概括一下：很险很。各部门文件共享主要是工作组形式，现在已经出很多的问题。但是禁用USB员工说输出文件不方便，采取域管理或许能稍微缓解。员工行为管理及相关知识培训做过，并且每期的公司内刊都刊登了相应文章，但是效果不明显。可否请问老师：我需要从哪方面下手？或者着重解决哪方面？谢谢！

　　A：看您单位所处的行业和对资料的重视程度，每个单位的实际情况都不同，因此不可能有一个通用方案适合所有的单位。另外安全性和便捷性总是有些相悖的，关键看信息资产的重要程度，如果十分重要，则老板看中，员工也都看重。内训是要做的，但是尽量采用现场操作的方式，毕竟影像比嘴说更有效果。个人评估下资产重要性，按照重要性进行安全防护，如果有兴趣，可以搜一下等级，网上相关资料很多。常见内网控制手段：主机审计、介质管理、文档加密、分发控制。

　　Q：当企业内部都部署来防火墙、防病毒、入侵检测等设备之后，还是存在等一些内部资料外漏的情况，我们需要怎么来解决这类情况呢。

　　A：企业部署了fw、av、ids，虽然可以、检测一些行为和恶意代码，但对于主机而言，usb端口、红外、蓝牙端口无任何防范措施，U盘、移动硬盘、智能手机还是可以随时使用，因此依然不安全。现在内网安全的几个热门产品是：终端安全管理系统、移动存储介质管理系统、计算机端口控制系统、文档加密系统、文档权限分发控制系统，另外，针对通过网页提交、电子邮件发送、Telnet、FTP方式的信息丢失，可以通过上网行为管理系统、网络审计系统来实现。

　　Q：小型企业必需具备的安全设备有哪些呢？

　　A：规模、应用、需求，这几个都得知道。因为我不知道您说的小型企业具体规模多大，10台？100台？500台？另外也和行业有关，不同的行业有不同的业务（应用）系统和实际需求。不过防火墙、防病毒是必须的。内网如果担心核心资料外泄，那么数据防泄漏产品也是需要的。

　　Q：windows2003WRM要怎么去部署来邮件的安全？（内网数据安全）

　　WRM我们一般都部署来对OFFCIE文档的权限进行设置，比如只充许域中某个用户只有只读，而对文档没有复制的权限，它也可以用EXCHANGE。通常我们内网中邮件传输是不加密的，通过一些手段可以获取得到。通过WRM我们可以对邮件及附件进行加密和权限设置。它与证书加密有什么区别，具体要怎么去部署？

　　A：据我所知，WRM可以利用Windows自己架设的CA实现邮件安全，而现在《中华人民国电子签名法》认可了第三方数字证书，当然这个有个名单。有个资料可以参考：

　　Q：如果用IPSEC对内网传输进行加密的话，传输效率有多大影响？

　　A：加密后效率为正常的70-80%，但是如果采用加速方案，效果好一些。如思科、服的产品，有加速效果。

　　Q：如果用ISA2006做为内网的防火墙，一般要怎么样来配置比较好？（策略配置多了，影响效率，少了就不安全了。所以感觉很矛盾）

　　A：安全产品的配置应遵循最小授权原则，安全和效率、易用性总是不成正比的。由于ISA基于Windows，因此系统自身的安全性也对其有影响，如果可能尽量采用有国家相关资质的硬件防火墙。安全总是相对的，可以根据具体的业务，适当调整策略。

　　Q：我想问我要公司的人上某些网站，例如开心网，但如果里面的人会用代理去登陆，那我的ACL就起不了作用了，而且代理的网站那么多，我不可能全部手动封完，请问有什么好方法?

　　A：禁用代理，这个上网行为管理系统可以实现，并且比用ACL强大的多。您可以在百度或Google搜下，百度首页都几乎全部是推广的了。呵呵

　　Q：对于内网安全这块，如何选择实用的网管软件？请专家推荐几个（像聚生网管这类通过ARP的不要）

　　A：您提到了聚生网管，应该是上网行为管理、流量控制之类的了。软件用的相对少一些，要做的更彻底，选用硬件产品：网康、服、AceNet、L7都是不错的选择，不但可以对单个用户进行流量限定，亦可对某种应用限速，如对迅雷限速，或者给某个用户限定多少次请求，或每个用户每天能有多少流量可用。对各种迅雷、电驴等有良好的效果。你可以搜一下我说的这几个产品。

　　Q：我的是有一台ISA服务器，一台DC，安装了IAS服务。在ISA启用了WEB代理，并且启用了RAIDUS身份验证。但身份验证都没成功，DC上的日志如下：