随着网络的发展和普及，信息安全与每个人息息相关，包含方方面。每个人既是独立个体又必须和社会交换资源。这就需要把控一个尺度。

要了解信息安全，首先需要对信息有个大体了解。从拥有者和使用者分类分为，个人，企业（个体工商户，集团，公司），国家（军事，银行），公共服务（医院，税务，公园）等。

信息安全从存储介质上分：移动存储(U盘，光盘，磁盘，硬盘，磁带)，移动设备（手机，PDA，mini计算机，pad），计算机（个人计算机，企业个人电脑），内部服务器（fileweb，ftp，直播源），云存储（海康云，阿里云，百度云，金山云等），企业自建云，公司混合云，私有云

互联网应用的飞速发展和普及，网络安全越来越受到各级用户的普遍关注。

在个人买房后很多装修公司给你打电话，贷款公司接踵而来，当你开公司，各种代办公司，地图公司，产品公司就会给你打电话。

这里我们不针对个人信息安全做讨论，也不做国家信息安全讨论。我做企业信息安全讨论。

企业信息安全现在状况

传统企业信息安全主要由规章制度，法律约束，防火墙构成。随着企业信息化越来越多传统的安全架构设计存在巨大的缺陷。

职员离职或者发生矛盾，企业信息泄露不胜枚举，传统安全更多在于信息的保护如果加密磁盘，私有云，excel加密，文档加密，文件夹加密，系统权限，防火墙拦截。都是针对数据安全的管理方向。信息之所以会泄露其根本不在于信息而在于人的行为，因此传统的的安全存在问题。

传统的防火墙，譬如医院，交警，气象局，政务大厅通过边界网关+高强度防火墙（深信服，华为，安全狗，360安全大脑，阿里云御城呵）等，这些防御技术看似无坚不摧但是有个巨大缺陷，在信息外围建立了保护屏障，但是一旦内部有一台中毒，感染那么就会畅通无阻，如同2018年的永恒之蓝勒索病毒，一旦内网中毒，将大面积中招。表面看起来是病毒厉害实际上是安全防护的缺失，当然我没有否定前人的意思，先人们设计的防火墙还是非常好用，发挥着巨大作用，但是随着互联多样化，就显得力不从心。这需要更多正义人士共同抵御新的攻击，保护信息安全。

新信息安全保护分类

信息安全分类：内鬼、强敌，也可以说成：上网行为（人和计算机）+防火墙。

传统防火墙的安全防火相当于强敌攻入城堡，防火墙负责抵御外敌。传统的防火墙设置在网络边界，在内部企业网和外部互联网之间构成一个屏障，进行网络存取控制，所以称为边界防火墙（Perimeter Firewall）。

边界网络最大的缺点就是没有对内鬼做防护。

目前针对内鬼的就是上网行为管理，一般可以限制访问网络，qq，微信，看电影，电影内容。从设定上我们不难看出企业主要担心职员上班在做其他事情。

然而内鬼实际上比强敌更可怕，因为内鬼很容易带走公司资料，也了解公司资料分类，了解公司资料重要级别，一旦自立门户，去对手公司相当可怕。

企业信息安全泄露大多数来自内鬼

统计，80%的攻击和越权访问来自与内部，边界防火墙在对付网络内部威胁时束手无策。因为传统IPIPIPIPSec 、 SSH 、 SSL 等） IP SSL VPN IP。

1.设计公司，职员离职将CAD图带走，使企业无法修改设计图和无法交付。

2.职员离职删库，导致公司业务瘫痪。

3.公司采购与供应商串通，泄露招标信息，泄露竞标价格。

4.销售获取公司产品配方售卖与对手公司

5.U盘复制公司培训资料，外带

6.职员将信息通过邮件发出，上传自己云盘。

7.职员篡改销售数据。

8.IT运维作为数字资源一把手没有监管和监视，审计，导致篡改数据。

9.公司随意带电脑和U盘一台中毒，全公司中招。

企业信息安全防火-内鬼防火制度篇

制度上防止内鬼：有很多公司上班禁止携带个人设备，包含手机，U盘，如果工作中需要用到U盘拷贝资料，会发需要准备资料的名称和文件向主管申请，审批通过后由专人拷贝到U盘，带到客户公司，传输电脑上，再有职员进行操作。

不难看出除非职员有过目不忘，否则很难将资料带走。

传统防火墙缺陷

1.内部安全隐患没有涉及

传统的防火墙只对企业网络的周边提供保护。防火墙会从外部网络进入企业内部局域网的流量进行过滤和审查，但是，他们并不能确保企业内部网络内部用户之间的安全访问。这就好比给一座办公楼的大门安装防盗门，但是办公楼内的每个工作室却四门大开一样，一旦有人通进入办公楼，就可以随意出入办公楼内任何一个房间。要处理这种安全性隐患的最简单办法便是为楼内每个房间都配置防盗锁。边界式防火墙的作用就相当于整个企业网络大门的那把锁，但它并没有为每个客户端配备相应的安全“大锁”，与上述所举只给办公楼大门配锁，而每个房间的大门却敞开所带来的安全性隐患的道理是一样的。

2.效率低故障率高

由于边界式防火墙把检查机制集中在网络边界处的单点上，产成了网络的瓶颈和单点故障隐患。所以墙边界防火墙难以平衡网络效率与安全性设定之间的矛盾，无法为网络中的每台服务器订制规则，它只能使用一个折衷的规则来近似满足所有被保护的服务器的需要，因此或者损失效率，或者损失安全性。

3.安全拦截规则缺陷

传统的的防火墙基本采用一刀切的方式，无法满足现代式的互联网安全，主要原因是防火墙与业务系统孤立，独立运行。

一般服务器上有多个服务，一刀切的边界防火墙模式显得力不从心。

举例说明：

限制访问频率矛盾，

不难看出，针对普通企业复杂的业务防火墙的频率限制无法发挥，这导致DDOS攻击没法一刀切。很多公司采取了多节点模式，即将高频与低频分离。

简单方案：发文章只有内网可以访问，内网不做限制。但是这么一来内网安全就彻底放开了。

如果图片携带病毒就不会检测，一般发布带有病毒的图片那么全网很多地方都会中招。

导致这个问题主要是防火墙业务与业务系统不能形成统一战线。

4.防火墙的出站设计缺陷

一般本地计算机安装软件时候如果有访问网络的需求会直接请求彻底放行，出站采用的方式有：信任程序（所有端口），信任端口（所有程序），信任地址（任何ip，程序）。

看似完美，市面上的大多数的出站软件（上网行为）没有对数据，sql注入，后门传数据进行过滤审查，普通的上网行为也没有拦截日志，这导致我们无法对实际的安全作出准确判断。

譬如职员把公司资料通过邮箱外传，拷贝这种设计公司秘密的操作都没有审计，一旦有内鬼那么就可以肆无忌惮的传输资料。

5.规则创建缺陷

出于安全考虑防火墙没有提供api，socket等方式实现动态规则更新。市面上号称最安全的安全审计网关也无非是通过：防火墙自己学习+人工配置。这看起来很安全，但是随着加密技术成熟，防火墙无法解密传输的数据内容，这也导致无法审计内容，这时候如果业务系统发现需要拦截规则就无法传递给防火墙。

网络信息传播线路

信息传播途径：互联网（DNS服务器，数字证书服务器）→路由器→硬件网关→操作系统网卡（驱动软件）→系统防火墙→web、应用防火墙→应用服务器防护→业务系统应用层防护

从传播路径和途径我们不难看出防火墙只是其中一个环节，要想企业信息安全仅仅只依靠防火墙，和信息审计服务器远远不够。

新企业信息安全设计方向

分布式防火墙

1.Internet访问控制

依据工作站名称、设备指纹等属性，使用“Internet访问规则”，控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的Internet Web服务器

2.应用访问控制

通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测，控制来自局域网/Internet的应用服务请求，如SQL数据库访问、IPX协议访问等。

3.网络状态监控

实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息

4.黑客攻击的防御

抵御包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段

5.日志管理

对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。

6.防火墙与业务系统相互作用

防火墙遇到紧急事件可以通知业务系统采取措施。

业务系统遇到紧急情况可以通知防火墙拦截。

7.上网行为管理审计和日志

传统上网行为拦截只针对特定网址，特定应用拦截，而对授信的应用没做限制，例如sql病毒，图片病毒，这些文件感染那么上网行为不会监管，这就出现了2018年永恒之蓝病毒那样，一台中毒，整个局域网都受到牵连。不仅要做好出口拦截，还要做好出口日志审计（传文件，传邮件，共享打印，图片扫描，文档扫描，压缩文件病毒）。