浅析企业内网安全建设(3)

3.3.5终端安全策略管理

系统可以对客户端操作系统漏洞进行扫描，包括是否存在弱口令账号、是否启用Guest账号、账号口令是否很长时间没有修改、是否存在已知的黑客程序、是否安装了违禁软件、是否未安装必须安装的软件如防病毒软件、是否启用违禁进程等。所有这些漏洞信息都会在客户端按如下界面显示，提醒用户自己机器存在的安全漏洞，并且也会通知管理员。

系统可以设置双向防火墙策略来限制客户端的网络访问。包括可以设定客户端向外提供的网络服务、客户端可以访问的网络服务。通过黑名单、白名单的方式来制定终端的网络访问控制策略。

系统可以通过白名单、黑名单方式定义违禁软件，这些违禁软件被运行时可以产生告警事件通知管理员，或者直接禁止违禁软件的使用。

利用网络行为审计功能实现终端用户上网行为审计和控制，包括：通过白名单和黑名单，审计和控制Web网站的访问，可以禁止终端用户访问一些非法Web网站;通过白名单和黑名单，审计和控制通过POP3和SMTP服务器收发邮件，可以禁止终端用户通过外部邮箱收发邮件;对文件拷贝进行审计和控制;对MSN、QQ等聊天软件的使用进行审计和控制，可以禁止某个时间段内使用这些聊天工具;对BT、电驴等P2P软件的使用进行审计和控制，可以禁止这些P2P软件的使用。

3.3.6网络异常监控

系统客户端能够自动抵御ARP网关欺骗和DHCP欺骗，能够实现自动识别，并选用正确的网关MAC。当发现ARP网关欺骗时，能够自动向管理员报警。因为网络结构调整或者网络设备升级原因而更换网关设备时，无需更改终端的配置，终端能够自动适应，选择新的网关MAC地址。

3.3.7终端行为审计与控制

系统可以实现局域网内终端计算机的个人行为审计，包括：U盘控制功能，实现U盘的读写控制;定义终端设备能够通过哪些POP3和SMTP服务器收发邮件，禁止通过哪些POP3和SMTP服务器收发邮件，哪些需要进行审计;通过Web访问控制，可以限制桌面终端用户通过WebMail方式外传文件，从而防止文件非法外传;能够对桌面终端用户使用MSN/QQ等进行监控和管理，禁止其通过QQ/MSN外传文件，也能够防止桌面终端用户通过文件共享和FTP等的方式外传文件，从而保证了企业的核心机密数据不被泄漏。

另外，补丁分发、软件分发等功能较为简单，就不再详细描述。

4 结束语

随着信息技术的不断发展和进步，内网安全的管理也在不断的发展。从最初的资产管理、补丁分发，到准入控制、设备加密、行为审计，再到数据防泄漏、透明加密，随着技术的进步和内网安全理念的不断深入发展，内网安全的建设也越来越全面，越来越成熟。

目前，内网安全管理已经进入了整体防泄漏时代。准入控制和加密不能解决所有的问题，单纯的行为审计也没有任何意义。我们只有从企业信息安全管理的全局视角出发，对信息安全进行全方位、多角度的设计，统筹规划、统一安排，全面整合利用准入控制、网络监控、安全审计、权限管理、透明加密等多种手段，根据企业局域网内安全等级的不同，涉密级别的不同，部署级别不同、力度不一的梯度式防护系统，将管理、技术、审计、人员进行有机的结合，在企业内部构建一个立体化的整体安全网络，才能实现真正意义上的内网安全。