浅析企业内网安全建设(2)

3.1.3全局性原则

解决安全问题不只是一个技术问题，要从组织、流程、管理上予以整体考虑、解决。

3.2 内网安全建设架构

企业的内网安全系统建设应建立一个统一的集成化的管理平台，有整体的终端安全视图，呈现整个计算机网络系统中所有终端设备的安全运行状况。管理员不仅可以看到终端安全的运行状况，终端的安全设置，也能够看到终端的软件配置、硬件配置、终端的物理位置等信息。

通过统一的集成化的管理平台，管理员可以完成所有与终端安全管理维护相关的各种任务，包括用户身份认证，网络准入控制管理，网络拓扑发现及设备快速定位，终端安全策略设置(主机安全漏洞策略、防病毒安全策略、非法外联策略、网络访问审计策略等)，网络异常监控，移动介质管理，终端软件及补丁管理，终端的远程管理和维护，终端资产管理等多个方面。

3.3 安全功能模块

3.3.1准入控制管理

系统对于非法进入企业内网的终端进入进行监控与管理。管理员将网络资源划分为不同的区域以便不同的终端访问不同区域的网络资源：访客区、修复区和正常工作区。划分方式可以是VLAN或者基于IP的访问控制列表。通过网络准入控制杜绝非法外来电脑接入内部网络;同时将有问题的客户机隔离或限制其访问，直到这些有问题的客户机修复为止，这样，一方面可以防止这些客户机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头。

对于非法主机，系统可以主动阻止其访问任何网络资源，从而保证非法主机不对网络产生影响，无法有意或无意的对网络进行攻击或者试图窃密。

3.3.2网络拓扑发现及IT资产管理

通过二层拓扑发现功能可以发现网络中的所有IT设备，包括网络设备、主机设备、网络打印机、终端设备等。实现跨网络、跨路由发现设备，支持不同厂商网络设备混合构建的异构网络设备发现。通过二层拓扑发现，能够获得网络设备之间、主机和网络设备之间的物理连接关系，获得设备的基本信息如IP地址、MAC地址、设备名、在线

利用局域网终端计算机代理客户端的安装，系统可以自动终端详细的软硬件配置信息，包括CPU、主板信息、内存信息、硬盘信息、光驱信息、网卡信息、外设信息、操作系统信息等各种计算机系统信息。同时，系统可以自动收集分析终端计算机安装的软件信息，包括安装的软件名、软件厂商、版本、语言、安装日期等。

通过上述技术，管理员可以可以快速发现接入网络的所有设备(无需准入控制)，无论接入网络的终端是否安装个人防火墙，均可以对其快速发现并予以定位，实现企业局域网设备的实时监控。系统智能实现自动监测系统软硬件资产的变动，记录日志并可以产生报警，同时可以根据策略自主采用响应措施，防止资产变更给客户端或者网络带来更大的危害。

3.3.3移动介质管理

移动介质的管理一直是企业IT管理中的难点，也是最容易出现安全问题的设备，对移动介质的管理主要在以下几点上进行控制：外部的或非法的移动存储设备不能随意的进入IT系统，必须经过一个安全的注册认证流程来实现对管理;经过注册的内部移动存储设备的使用要进行监管，未经授权无法到外部使用，进行加密存储;为了防御移动介质的自运行程序，在使用移动介质时，无法运行移动介质中的可执行程序;对移动介质的文件传输进行审计或禁止。

3.3.4客户端反卸载功能

终端计算机客户端代理具有自我保护功能，可以防止客户端用户随意卸载、停止代理或者删除代理的安装目录下文件。管理员必须有卸载口令才能对客户端进行卸载操作，而且卸载口令可以动态变化并下发到终端上。

即使终端客户通过格式化系统盘并重装操作系统来卸载客户端，系统也可以通过与网络准入控制功能的联动来实现对该终端的强制控制，当终端再次接入内网后，网络准入控制系统会自动把该终端划到访客区中，该终端必须重新安装客户端来实现进入网络。