萨特有句名言“他人就是地狱”，这位存在主义者的激进言论，也许放到今天的网络安全的环境中却颇为适合。因为所有惊心动魄的安全事件都来自于“人”，而攻击者与防护者之间的较量，最终都将是“人”与“人”的较量。
在以往的问责体系中，我们往往喜欢说“对事不对人”。然而，安全技术今日的发展，使得仅仅锁定“安全事件”来展开防护工作或者建立防护体系已经远远不够。目前，新一代身份认证技术、端点管理技术、网络准入控制技术、以及上网行为管理技术等的快速发展，使得以“人”为核心的安全体系建设成为可能。
“人防”成为新重点
在IDC连续6年的信息安全年度报告中，有一条结论一直被广为引用，那就是企业所面对的信息安全问题，超过80%来自于内部。而这80%的内部隐患中，几乎七成与员工个体行为有关。为此有安全专家认为，以“安全事件”为核心的防御体系正在成为历史，2007年安全的重点已经转入“人防”，即对企业内部员工的管理与控制。
当然，这种转入并非一蹴而就，事实上即便在安全事件频发的今天，仍有大量的用户对于“人防”感到陌生，以至于疏于防范造成安全隐患的案例不绝于耳。在此，首先有必要纠正用户对于安全管理的对象的认知。
合勤网络的产品总经理范振华在接受采访时表示，当前网络安全的对象不仅仅是各种安全设备，在网络安全策略部署到相关设备后，网络使用者的行为往往成为安全考虑的盲点。
事实上，人的行为错综复杂且难以预料，不仅仅是安全防范的重点，也是难点。深信服的安全产品经理邬迪认为，在网络安全领域，人的防护和管理在多个方面都有涉及，其中用户较为熟悉的是来自Internet的恶意攻击和入侵，在这方面，多数用户做的工作还是比较多的。而局域网中，则存在着更多的需要“管人”的地方，例如内网用户共享P2P文件使企业的带宽被吞噬，或通过IM、邮件等方式泄漏了企业的机密信息，或是在网上发表不良言论等等。对于后者，一些用户已经意识到了其风险，并在采取措施。但对于中国大多数用户来讲，还没有完全意识到局域网不良行为带来了安全隐患。
对此，网康科技CEO袁沈钢举例说，根据多年的经验，一般企业员工的网络访问行为如果不加控制，就会带来三种风险：第一，带宽被蚕食。企业带宽虽然不断扩大，业务应用却依然得不到满足，这就是网络资源滥用的直接后果了，因为不加限制的P2P下载、在线视频等就是网络带宽的最大杀手；第二，效率被降低。炒股、聊天、购物、游戏等行为，与工作无关的视频、语音、图片、文档的上传和下载，必然带来严重的生产力流失；第三，机密被泄漏。EMC“邮件门”事件、惠普“电话门”事件等，都在告诉我们一个事实，通过外发邮件、BBS论坛等导致内部机密信息泄漏的现象越来越普遍。企业/机构赖以生存的机密信息，很可能会被在职甚至离职员工有意或无意地泄露出去。
他表示，只有从管理的角度，制定具体到使用人员的细粒度策略，提高对内容访问的控制力度、对上网行为的控制和审计，防患于未然，才能降低因网络带来的安全风险。
越来越多的证据显示，网络安全所提供的服务是面向内网使用者的，内网使用者必须具备“安全意识”。在实际企业的网络安全部署中，要求每位员工时时提高安全意识当然是一个理想，更多的时候企业把“安全意识”认为是IT网络管理员的职责。
为此，目前大量的企业开始关注“用户上网行为”，各网络安全厂商也争相把用户上网行为管理列为产品开发重点。由简单的“全面禁止”到“高细粒度”的判别机制，让IT网管人员按需配置用户上网策略，更能灵活地顺应瞬息万变的企业网络环境。
从单点到集合
正如业内专家分析的那样，对于人的管理复杂且具有多样性。在这种情况下无疑提出了新的挑战：传统单点布局的安全产品必须做到统一、关联，并与企业的管理策略相结合。
当然，这样的要求同样颇具挑战。对此，国家应急响应中心的杜跃进博士表示，当前国内用户必须从两个方向上把握对人的管控思路：第一，尽量做到企业安全的自主、可控；第二，必须从策略和政策上要求员工自觉地遵守企业和国家的法律法规。
另外，他也提示说，所谓“对于人的管理”主要指的是对人行为的管理，而不是对思想意识的管理。行为安全技术是为了防范风险，对行为的输入、过程与输出、行为产生的环境、行为特性和与其它内容与行为关联性进行综合研究、分析、监控、管理，并发现问题点的技术。因此对用户而言，一个有效的行为管理技术肯定是一套技术的集合，包括了：行为完整性防护技术、行为控制技术、行为过程记录跟踪技术、应用系统行为监控技术、终端行为监控技术、网络行为监控技术、计算机系统行为监控技术、网络远程控制技术等等。
对于这种技术的集合，用户在使用中还要进行进一步细分。因为不同领域、不同行业、不同层次的用户在对于行为管理方面的需求是不一样，这主要源于国家法规和内部所主要面临的信息安全风险的不同。针对所面临的不同用户需求，可种技术可以加以组合。比如常见的统一的身份认证、访问控制、系统审计和计费技术的组合，实现了对用户各个应用系统的单点登录，可以集中进行应用系统的用户管理和权限控制。
他举例说，一个有1000人PC的规模型局域网，其广域网带宽通常在100M左右，相对于局域网的带宽和人数，广域网的带宽经常会面临“紧缺”的情况，而内网用户如果不加管理的共享P2P、大量下载和传播视频文件，那么广域网带宽很快就会被吞噬，而这也给病毒、蠕虫的传播带来了“便利”。这时候，用户就需要对内网产生的网络行为做流量管理和安全控制。
而对于一些技术研究型公司、金融、政府客户，由于内网存在诸多安全信息，其信息防泄漏的防范就需要用户多加注意，厂商应该针对用户的情况，对外发邮件（客户端邮件/WebMail）、IM通讯、FTP上传、BBS上传等行为进行适当的管理和控制，并通过制定一系列安全措施，让员工提高信息保密的安全意识。
从某些意义上说，用户充分的安全意识甚至大于技术的某种集合。网康科技产品服务总监陆继周先生就认为，安全威胁除了利用系统漏洞和安全产品的疏忽，更多的还是要借助社会工程学，借助缺乏安全意识的“人”的无意操作，才得以进驻网络和系统。
在这种情况下，网络安全所提供的服务是面向内网所有使用者的，而并非是企业的IT人员，这就要求内网使用者必须具备“安全意识”。而这也恰好解释了目前越来越多的企业关注“用户上网行为”的初衷——由简单的“全面禁止”到“高细粒度”的判别机制，让IT网管人员按需配置用户上网策略，顺应企业的网络环境才是安全的最佳实现途径。