问：安全网关通常来说是种不错的Web防御机制，但在像我们这样的保健机构中，我们的内科医生需要访问像YouTube的网站。从战略和技术的角度来看，最好采取什么样的方式来访问网站内容，而且在访问的同时确保环境中的网络安全？

　　答：在理想条件下，每一个内科医生都有两个计算机，一个用于连接到提供病人数据访问的内网上，另一个被完全地用于访问因特网。乍一看来，这种电子研究室可能很昂贵，但这取决于你所拥有的内科医生的数目。但相比安装和维护额外的安全设备来保护内网远离网络威胁的成本，之前的做法可能会更具成本效益。这种方式属于明确的计算机物理隔离，将访问因特网的计算机和访问并处理高度敏感的个人信息的计算机区分开来。

　　如果无法提供单独访问因特网的计算机，那么最好通过安全架构备份强健的安全策略来减轻风险，提供法规遵从并保护敏感数据。为防止数据泄漏和管理雇员的工作，控制措施必须能够有效地监视和控制所有的IP入流量和出流量。因此，作为对标准HTTP流量的补充，有必要查看email、VoIP、即时通信信息、文件传输或其他的通过IP的公司应用。这能够通过许多不同的技术来实现，包括网络包过滤、数据泄漏防范和安全网关。

　　鉴于大多数周边技术实际上是设计来保护网站和应用程序而非内网用户的，你肯定已经通过添加安全网关的方式来主动防护你的网络。网络安全网关保护内网用户在网上冲浪时免受威胁，这和网络应用防火墙（WAFs）不同，WAFs是设计来防御网站和应用攻击的。

　　为有效地防护和管理公司网络，特别是那些敏感医疗数据的传输，需要对状况、趋势和与所有网络活动相关的事件有深入了解，而安全网关能够提供实时监控和用户活动分析。大多数的安全网关都能控制所有在其中穿过的信息渠道。由于网关扫描出站内容以阻止敏感数据流出网络，这样可以更容易地协调内容策略并支持法规遵从。

　　如今恶意网站不断地攀升，我推荐使用最新的基于信誉的URL过滤技术的Web安全网关，它需要保持在最新状态。例如，Trend Micro公司的网关安全产品将URL过滤与实时网站信誉以及内容扫描的技术结合了起来。同样，在你所处的需求复杂的环境中，精细控制尤为重要，要阻止用户访问他们不需要访问的网页内容和网站（例如YouTube或ActiveX和MP3文件的内容），或设置为只允许在特定时间段访问。阻止对不适宜的网站的访问，特别是音乐和视频网站，这样可以很大程度上减少网络利用率。

　　当然，你不应该完全依赖网关产品。基于客户端的保护，例如反病毒和反恶意软件是最重要的第二层保护。然而，基于客户端的防护需要扩大和提高你所有网络用户的安全意识，特别要关注你可接受的网络使用和数据处理策略。由于如今网络钓鱼攻击如此常见，需要确保员工准备好应对社会工程攻击，这样他们就能够识别和抵制它们。将你系统上的数据设置好敏感级别，你的人力资源部门应当彻底审查受雇为IT管理人员的员工，例如系统和数据库管理员，因为他们也将访问这些信息。需要设置好策略和程序以实现对敏感信息的不同访问级别控制，还要对闲置和传输中的数据进行加密。

　　最后，健康保险便利和义务法案HIPAA指出组织机构必须有能力对访问进行控制，并对意外或刻意泄露到未经授权人员的信息进行保护，还要对传输中的信息进行保护。我将检查你的合规部门，对你现行的策略和控制是否履行了法律义务进行核实。如果你的内科医生用于访问敏感数据的个人电脑能够直接访问因特网，这将阻碍你机构的法规遵从行为。