企业网络机密保护原理和方法有哪些

越来越多的企业使用网络，导致企业机密在网络中逐渐传播，给企业的安全带来了极大的苦恼:企业机密如何安全保护？万一泄露出去了呢？如何有效管理和防范？都是疑问。

于是很多企业开始考虑采购各种设备来解决上述问题。主要手段有:禁用USB等外设，过滤监控邮件、QQ等发送手段。但是，在采取了这些措施之后，如何大致判断这些安全措施是否有效或到位呢？这还是个问题。我估计很多人都没怎么考虑过，只能抱着怀疑的心态等待进一步的发展。

保密是一个非常庞大的话题，越深入调查，我们会发现它是一个无穷无尽的领域。当被问到:投入这么多钱，就不能买个安心吗？但答案只能是:当你想追求完全不设防的保密时，恐怕再多的投入都不够。保密有很多层次，可以逐步加深。但是每一关都要遵循一定的原则。作为一篇简介文章，我不想介入完全保密原则的介绍。其实我只是想做一点探讨，因为对于企业来说，在投入和执行上可能更现实一些。

首先需要介绍一下信息保密的特殊性，要从信息的本质说起。信息是什么？这是一个很模糊的概念。它是一串数字，但比数字更难理解。也许是一张图片，也许是一段文字。简而言之，都是信息。在计算机中，处理信息的手段被戏称为“软件”。这个软词构成了信息的特征表示。什么是“软”？柔软没有固定的形状。当你紧紧握住一块油脂时，油脂会轻轻地从你的手掌心滑出来。或者你拿起一把水，它会从你的手指间溜走。软件就是这样，抓不住。又大又隐形，只能装在容器里。

信息的流动非常容易。例如，人们可以将一个文件复制到另一个地方，从一个文件中粘贴一个部分，或者将它保存为另一个文件。或者发邮件，或者在网上填写信息，等等。即使没有人参与，也有好的病毒木马会到处搜索文件，悄悄的或者暴力的到处发，等等。当这样的事件发生时，信息到处流动，它可以变形或缩短，但简言之，它只是到处传播。

了解信息的特性，为信息管理(当然包括保密)提供决策依据。如果你想在企业中保存信息，你应该使用容器来保存信息。如果你试图用动物园用来养马或驴的铁笼来保护信息，动物当然出不来，但信息会无声无息地流出来。

在信息保护的概念中，网络是信息的载体。要形成一个容器，企业的网络要放在里面。形成这种容器的手段叫做“隔离”。

在许多行业中，隔离已经变得司空见惯。它为信息隔离创造了不可逾越的边界，从而阻断了信息外流的可能。

隔离最简单的例子就是拔掉电脑的网线。这样就切断了信息在网络上流动的可能性，人们就无法从网络上复制信息。即使病毒木马努力发送，也只会消耗硬盘上的一些额外空间。

这个简单的例子简单地说明了隔离的重要性。隔离的意义在于:不仅在正常情况下信息不能流出，而且在异常情况下，甚至失控的恶劣情况下，信息也会得到相当的保护，至少不能离开这个“容器”。

所以，强信息保密性至少要建立在一个基础上，那就是网络隔离，通常称为物理隔离。物理隔离是网络安全的坚实基础。

但作为普通的企业网，也有实际困难。虽然物理隔离是一种比较理想的解决方案，但这意味着高成本，不是指硬件投入成本，还包括运营成本和管理成本。企业总是需要有互联网的沟通渠道，但是物理隔离是反对的，所以只能保留两个网络，一个内网，一个外网专用于上网。总是有相应的数据要交换，有两个隔离的网络要维护，所以成本要高很多。

但是即使隔离非常困难，仍然需要用隔离的概念来衡量一个网络的安全建设。如果一个必须保密的企业没有被物理隔离，那么他需要知道保密的严格性是达不到的。对于想要保持一定程度的保密性的企业来说，我觉得或许可以将逻辑上的内网和外网进行适当的划分，而不是简单的将网络连接在一起。如果内外网不能完全隔离，还需要限制互通的接口，比如一台或几台在内外网之间交换数据的PC，这也在一定程度上实现了隔离。

很多公司干脆把电脑连上互联网，希望用过滤的方法来实现网络安全，比如监控QQ和邮箱。从上面的讨论来看，这就像是在水流动的时候用筛子来强行过滤。但水也是信息，信息也是水。水一流出，信息就无声无息地附着在上面飘走了，不会被筛子筛掉。压缩文件，然后更改其后缀，使其成为图像文件。再找几个文件，挤在一起，改个名字。经过几次操作，软件的性质会越来越明显，原来的性质已经看不到了，但信息其实还是包含在里面的。发出去的时候不会有什么筛子去甄别这个文件是什么，也不会被筛出来。

这里反复强调了一个概念，就是信息是软件，网络保密不能用通常对待硬实体的方法来守。如果违背了这个原则，那么保密事实上就无法实现。