薩特有句名言“他人就是地獄”，這位存在主義者的激進言論，也許放到今天的網絡安全的環境中卻頗為適合。因為所有驚心動魄的安全事件都來自于“人”，而攻擊者與防護者之間的較量，最終都將是“人”與“人”的較量。
在以往的問責體系中，我們往往喜歡說“對事不對人”。然而，安全技術今日的發展，使得僅僅鎖定“安全事件”來展開防護工作或者建立防護體系已經遠遠不夠。目前，新一代身份認證技術、端點管理技術、網絡準入控制技術、以及上網行為管理技術等的快速發展，使得以“人”為核心的安全體系建設成為可能。
“人防”成為新重點
在IDC連續6年的信息安全年度報告中，有一條結論一直被廣為引用，那就是企業所面對的信息安全問題，超過80%來自于內部。而這80%的內部隱患中，幾乎七成與員工個體行為有關。為此有安全專家認為，以“安全事件”為核心的防御體系正在成為歷史，2007年安全的重點已經轉入“人防”，即對企業內部員工的管理與控制。
當然，這種轉入并非一蹴而就，事實上即便在安全事件頻發的今天，仍有大量的用戶對于“人防”感到陌生，以至于疏于防范造成安全隱患的案例不絕于耳。在此，首先有必要糾正用戶對于安全管理的對象的認知。
合勤網絡的產品總經理范振華在接受采訪時表示，當前網絡安全的對象不僅僅是各種安全設備，在網絡安全策略部署到相關設備后，網絡使用者的行為往往成為安全考慮的盲點。
事實上，人的行為錯綜復雜且難以預料，不僅僅是安全防范的重點，也是難點。深信服的安全產品經理鄔迪認為，在網絡安全領域，人的防護和管理在多個方面都有涉及，其中用戶較為熟悉的是來自Internet的惡意攻擊和入侵，在這方面，多數用戶做的工作還是比較多的。而局域網中，則存在著更多的需要“管人”的地方，例如內網用戶共享P2P文件使企業的帶寬被吞噬，或通過IM、郵件等方式泄漏了企業的機密信息，或是在網上發表不良言論等等。對于后者，一些用戶已經意識到了其風險，并在采取措施。但對于中國大多數用戶來講，還沒有完全意識到局域網不良行為帶來了安全隱患。
對此，網康科技CEO袁沈鋼舉例說，根據多年的經驗，一般企業員工的網絡訪問行為如果不加控制，就會帶來三種風險：第一，帶寬被蠶食。企業帶寬雖然不斷擴大，業務應用卻依然得不到滿足，這就是網絡資源濫用的直接后果了，因為不加限制的P2P下載、在線視頻等就是網絡帶寬的最大殺手；第二，效率被降低。炒股、聊天、購物、游戲等行為，與工作無關的視頻、語音、圖片、文檔的上傳和下載，必然帶來嚴重的生產力流失；第三，機密被泄漏。EMC“郵件門”事件、惠普“電話門”事件等，都在告訴我們一個事實，通過外發郵件、BBS論壇等導致內部機密信息泄漏的現象越來越普遍。企業/機構賴以生存的機密信息，很可能會被在職甚至離職員工有意或無意地泄露出去。
他表示，只有從管理的角度，制定具體到使用人員的細粒度策略，提高對內容訪問的控制力度、對上網行為的控制和審計，防患于未然，才能降低因網絡帶來的安全風險。
越來越多的證據顯示，網絡安全所提供的服務是面向內網使用者的，內網使用者必須具備“安全意識”。在實際企業的網絡安全部署中，要求每位員工時時提高安全意識當然是一個理想，更多的時候企業把“安全意識”認為是IT網絡管理員的職責。
為此，目前大量的企業開始關注“用戶上網行為”，各網絡安全廠商也爭相把用戶上網行為管理列為產品開發重點。由簡單的“全面禁止”到“高細粒度”的判別機制，讓IT網管人員按需配置用戶上網策略，更能靈活地順應瞬息萬變的企業網絡環境。
從單點到集合
正如業內專家分析的那樣，對于人的管理復雜且具有多樣性。在這種情況下無疑提出了新的挑戰：傳統單點布局的安全產品必須做到統一、關聯，并與企業的管理策略相結合。
當然，這樣的要求同樣頗具挑戰。對此，國家應急響應中心的杜躍進博士表示，當前國內用戶必須從兩個方向上把握對人的管控思路：第一，盡量做到企業安全的自主、可控；第二，必須從策略和政策上要求員工自覺地遵守企業和國家的法律法規。
另外，他也提示說，所謂“對于人的管理”主要指的是對人行為的管理，而不是對思想意識的管理。行為安全技術是為了防范風險，對行為的輸入、過程與輸出、行為產生的環境、行為特性和與其它內容與行為關聯性進行綜合研究、分析、監控、管理，并發現問題點的技術。因此對用戶而言，一個有效的行為管理技術肯定是一套技術的集合，包括了：行為完整性防護技術、行為控制技術、行為過程記錄跟蹤技術、應用系統行為監控技術、終端行為監控技術、網絡行為監控技術、計算機系統行為監控技術、網絡遠程控制技術等等。
對于這種技術的集合，用戶在使用中還要進行進一步細分。因為不同領域、不同行業、不同層次的用戶在對于行為管理方面的需求是不一樣，這主要源于國家法規和內部所主要面臨的信息安全風險的不同。針對所面臨的不同用戶需求，可種技術可以加以組合。比如常見的統一的身份認證、訪問控制、系統審計和計費技術的組合，實現了對用戶各個應用系統的單點登錄，可以集中進行應用系統的用戶管理和權限控制。
他舉例說，一個有1000人PC的規模型局域網，其廣域網帶寬通常在100M左右，相對于局域網的帶寬和人數，廣域網的帶寬經常會面臨“緊缺”的情況，而內網用戶如果不加管理的共享P2P、大量下載和傳播視頻文件，那么廣域網帶寬很快就會被吞噬，而這也給病毒、蠕蟲的傳播帶來了“便利”。這時候，用戶就需要對內網產生的網絡行為做流量管理和安全控制。
而對于一些技術研究型公司、金融、政府客戶，由于內網存在諸多安全信息，其信息防泄漏的防范就需要用戶多加注意，廠商應該針對用戶的情況，對外發郵件（客戶端郵件/WebMail）、IM通訊、FTP上傳、BBS上傳等行為進行適當的管理和控制，并通過制定一系列安全措施，讓員工提高信息保密的安全意識。
從某些意義上說，用戶充分的安全意識甚至大于技術的某種集合。網康科技產品服務總監陸繼周先生就認為，安全威脅除了利用系統漏洞和安全產品的疏忽，更多的還是要借助社會工程學，借助缺乏安全意識的“人”的無意操作，才得以進駐網絡和系統。
在這種情況下，網絡安全所提供的服務是面向內網所有使用者的，而并非是企業的IT人員，這就要求內網使用者必須具備“安全意識”。而這也恰好解釋了目前越來越多的企業關注“用戶上網行為”的初衷——由簡單的“全面禁止”到“高細粒度”的判別機制，讓IT網管人員按需配置用戶上網策略，順應企業的網絡環境才是安全的最佳實現途徑。