企業(yè)網(wǎng)絡(luò)機(jī)密保護(hù)受到了越來(lái)越多的關(guān)注，一個(gè)個(gè)血淋淋的機(jī)密泄露例子讓人不禁膽寒。企業(yè)網(wǎng)絡(luò)機(jī)密泄露不僅損失了企業(yè)資金，還使得企業(yè)的信譽(yù)受到打擊。很多企業(yè)開(kāi)始考慮采購(gòu)各種各樣的設(shè)備，以解決上述的問(wèn)題。主要的手段是：禁用USB等外設(shè)，對(duì)郵件、QQ等發(fā)送手段做過(guò)濾和監(jiān)控。但是采用了這些手段后，怎么來(lái)大致的判斷這些保密措施是否有效或到位呢，這個(gè)仍然是個(gè)問(wèn)題，我猜想很多人也沒(méi)太多考慮，只能在將信將疑的心理中等待進(jìn)一步的發(fā)展。

企業(yè)網(wǎng)絡(luò)機(jī)密保護(hù)是個(gè)非常龐大的話題，越是深入考察，就會(huì)發(fā)現(xiàn)它是個(gè)不可窮盡的領(lǐng)域。當(dāng)問(wèn)道：這么多錢(qián)都投進(jìn)去了，難道還買(mǎi)不到一個(gè)安心嗎?但是回答只能是：當(dāng)你想追求完全無(wú)械可擊的保密時(shí)，再多的投入恐怕都是不夠的。保密有很多的層次，可以逐漸的深入。但是每一個(gè)層次，都要遵循一定的原理。作為一個(gè)簡(jiǎn)短的介紹文章，并不想來(lái)介入完整的保密原理的介紹。其實(shí)只想做一點(diǎn)點(diǎn)的討論，因?yàn)檫@樣對(duì)企業(yè)來(lái)說(shuō)，從投入和實(shí)現(xiàn)上考慮，也許更現(xiàn)實(shí)些。

首先，我們需要來(lái)介紹一下信息保密的特殊之處，這要從信息的本質(zhì)來(lái)講起。信息是什么?這是一個(gè)很含糊的概念。它是一串?dāng)?shù)字，但是比數(shù)字更讓人難以理解。也許是一個(gè)圖，也許是一段文字。總之，都是信息。在計(jì)算機(jī)中，處理信息的手段，被冠以一個(gè)名字，叫“軟”件。這個(gè)軟字，構(gòu)成了信息的特征表象。什么是“軟”?軟就是沒(méi)有不變的形狀，當(dāng)你用力握住一塊脂膏時(shí)，脂膏輕輕的從你的掌后跟滑了出去。或者你掬起一捧水，水也從你指縫中溜走了。軟體就是這樣，不可把握，其大無(wú)象，其小無(wú)形，只能拿個(gè)容器來(lái)盛載其中。

信息的流動(dòng)是非常容易的，比如，人可以拷貝一個(gè)文件到另一個(gè)地方，或者從一個(gè)文件中粘貼一部分，或者另存為另一個(gè)文件。或者發(fā)個(gè)郵件，或者上網(wǎng)填個(gè)信息，等等。即使沒(méi)有人的介入，也有好事的病毒和木馬會(huì)到處搜索文件，并悄悄的或猛烈的到處亂發(fā)，等等。當(dāng)諸如此類的事件發(fā)生時(shí)，信息就四處的流動(dòng)，也可以變形，也可能截短，但是總之就是四處擴(kuò)散了。

理解信息的特征，就為對(duì)信息的管理（當(dāng)然包括企業(yè)網(wǎng)絡(luò)機(jī)密保護(hù)了）提供了決策的依據(jù)。如果，你希望能保留信息在企業(yè)里，就要用容器來(lái)盛載信息。要是你試圖用一個(gè)動(dòng)物園用來(lái)關(guān)馬或驢的鐵籠子來(lái)保護(hù)信息，那么動(dòng)物當(dāng)然出不來(lái)了，但是信息卻將無(wú)聲的流了出來(lái)。

在信息保護(hù)的概念里，網(wǎng)絡(luò)是信息的載體，要構(gòu)成一個(gè)容器，就要把企業(yè)的網(wǎng)絡(luò)也放置其中，形成這個(gè)容器的手段，叫“隔離”。

在很多行業(yè)中，隔離已經(jīng)司空見(jiàn)慣。隔離給信息制造了一個(gè)無(wú)從跨越的界限，從而封堵了信息流出的可能性。

隔離最簡(jiǎn)單的例子，就是把一臺(tái)電腦的網(wǎng)線給拔掉。那么這就斷絕了信息在網(wǎng)絡(luò)上流動(dòng)的可能性，人們將沒(méi)法從網(wǎng)絡(luò)上拷貝信息，病毒木馬即使再努力發(fā)送也只能在硬盤(pán)上徒耗一些多余的空間。

這個(gè)簡(jiǎn)單的例子已經(jīng)簡(jiǎn)單說(shuō)明了隔離的重要性，隔離的意義在于：不僅在正常情況下讓信息無(wú)法流出，在異常情況下，甚至失控的惡劣條件下，信息也將得到相當(dāng)?shù)谋Ｗo(hù)，至少無(wú)法離開(kāi)這個(gè)“容器”了。

所以，強(qiáng)有力的信息保密，至少要建立在一個(gè)基礎(chǔ)上，就是網(wǎng)絡(luò)的隔離，通常叫物理隔離。物理隔離是網(wǎng)絡(luò)保密的堅(jiān)實(shí)的基礎(chǔ)。

但是作為一個(gè)普通企業(yè)的網(wǎng)絡(luò)，企業(yè)網(wǎng)絡(luò)機(jī)密保護(hù)也有現(xiàn)實(shí)的困難。因?yàn)槲锢砀綦x雖然是個(gè)相對(duì)理想的方案，但是卻意味著較高的成本，這個(gè)成本并不完全指硬件的投入成本，也包括運(yùn)營(yíng)成本和管理成本。企業(yè)總是需要有互聯(lián)網(wǎng)的通信渠道，但是物理隔離卻反對(duì)這樣做，所以只能保留2個(gè)網(wǎng)絡(luò)，一個(gè)內(nèi)網(wǎng)，一個(gè)專門(mén)用來(lái)上網(wǎng)的外網(wǎng)。總有相應(yīng)的數(shù)據(jù)需要做交換，也有2個(gè)隔離的網(wǎng)絡(luò)需要維護(hù)，所以成本就高了很多。

但是即使隔離是很困難的，仍然需要用隔離的概念來(lái)衡量一個(gè)網(wǎng)絡(luò)的保密建設(shè)。對(duì)必須實(shí)現(xiàn)強(qiáng)度保密的企業(yè)，不實(shí)現(xiàn)物理隔離，那么他就需要知道，保密的嚴(yán)格是無(wú)法實(shí)現(xiàn)的。對(duì)于希望有一定保密力度的企業(yè)，我以為，也許可以通過(guò)適當(dāng)?shù)耐ㄟ^(guò)劃分邏輯的內(nèi)網(wǎng)和外網(wǎng)，而不是簡(jiǎn)單的把網(wǎng)絡(luò)連在一起。如果內(nèi)外網(wǎng)之間不能完全隔離，那么也需要限制互通的接口，比如限制在一臺(tái)或若干臺(tái)在內(nèi)外網(wǎng)之間交換數(shù)據(jù)的PC，這也是在一定程度上實(shí)現(xiàn)隔離。