内网管理

关键词： 内网 计算机技术 网络 技术

内网管理（精选十篇）

内网管理 篇1

网络安全防范的手段大多强调对来自外部的主动攻击进行防御、检测和处理，并使内部主机承担更多的信任。但是，据统计数字表明，相当多的安全事件均是由于内网用户有意或无意的误操作而造成的。

为保护内网的安全，有很多单位对内外网进行物理隔离或者采用内网边界安全防护技术，即在网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等，对网络入侵进行监控和防护，抵御来自外部的攻击、防止网络资源、信息资源遭受损失，保证业务流程的有效进行。上述措施，一方面是国家有关部门的保密规定；另一方面也是由于没有很好的解决方案，不得已而为之。即使采取上述措施，内网的安全问题还是相当突出，失密泄密的事件时有发生，这就充分说明了对内网进行安全防范、安全检测和安全管理的艰巨性和复杂性。

2 内网安全观念缺乏的背景

相比起外部网络，很多单位内网建设工作起步相对较晚。很多人受传统观念的影响，认为相比起黑客横行、病毒众多的外部互联网，内网就好比个小小的世外桃源，由于和外部网络物理隔绝，因此不需要担心泄密、病毒影响等等；也有很多人（甚至包括一部分网络管理员）认为，所谓内网安全工作，主要是针对计算机病毒而言，只需要简单地在每台客户端安装杀毒软件和防火墙，就可以高枕无忧。事实上，同迅猛发展的Internet不同，内网的发展是渐进性的，其发展趋势是由：单机→无网关简单互联→局域网→目前的广域网。在这个发展过程当中，有一种传统的思维方式被传承了下来，即认为：“脱离Intemet网络的系统是安全的”，这种思维方式产生的历史背景在于，我国的信息化网络发展过程同国外欧美发达国家正好相反，欧美发达国家是最先有的是内部局域网络，然后逐渐发展到今天的Internet；而我国则是先实现公共网络计算机联网、并同国际干线网络联接，再通往千家万户。各个单位在建立内网信息化的过程中，认为所谓的网络安全，主要是针对国际互联网而言，而内部局域网络由于和Internet互不相干，所以在安全方面不需要耗费太多的精力。

3 内网安全威胁及其管理复杂性的分析

以我台最初的内网为例，虽然已经采取了多种方式相结合的安全防护手段，包括：物理隔离、边界防护、政策法规施施等，但事实上，由于网络复杂、终端数目庞大、工作人员使用水平参差不齐等多种原因，导致了网络安全防护系统也未能达到真正理想的效果。而各个终端的不安全行为所导致的信息泄密、病毒传播等问题，无疑是造成内网瘫痪、重要数据损坏、涉密信息泄露等安全事故的严重隐患。

显然，仅仅依靠现有的边界防护，而忽略了网络终端的保障，是无法做到真正意义上的网络安全的，这无疑也加剧了网络管理和安全防范的难度和强度。

由于先前我台缺失终端安全措施，使得许多恶意攻击利用系统漏洞潜入信息服务器和计算机；而目前的防御体系和应急预案仍然尚未能做到快速准确地定位及数据的及时恢复，使得专用内网的信息安全处于前所未有的风险之中，综合起来，主要包括如下几方面的问题:

(1）非法外联：内网终端通过人为链接外网、无线网卡或者手机上网卡等方式直接接入外网，旁路设备在网络边界的安全措施。当内网终端通过非法外联的途径，直接连接的外部网络时，网络边界的访问控制措施形同虚设。

(2）非授权接入：移动终端（笔记本电脑等）和新增设备未经过安全检查和处理违规接入内网或缺乏完善的计算机入网注册登记监管手段和注册管理机制，以致未经允许擅自接入的计算机设备，就很可能造成内网信息的泄露、病毒和木马的传播等不安全因素。而且，非授权接入，具有随机性、隐蔽性和不稳定性的特征，人工检测起来比较困难。

(3) IP地址的盗用：内网中有些访问的权限建立在具体的IP地址的基础之上（即采用的是静态地址），有些人会采取盗用其它合法主机的IP地址，来达到越权访问或者是掩盖网络访问痕迹的目的。

(4）内网的漏洞：如果内网中的服务器、网络设备与终端配置不当，会致使系统存在严重的漏洞，这种存在漏洞的终端一旦遭到了攻击者的利用，将会作为进一步攻击内网的跳板，近年来，频繁爆发的各种网络蠕虫以及木马都是通过这种攻击方式，对内网进行侵扰的。

(5）移动存储设备：移动存储设备主要包括U盘、移动硬盘和光盘等，作为文档交换和共享的工具，常成为病毒木马的传播载体，著名的Autorun病毒、摆渡木马、蠕虫病毒等都以移动存储设备作为载体进行传播、破坏和窃取内网资源的。

(6）网络出现病毒、蠕虫攻击等安全问题后，被感染的终端将成为网络内部的传染源，使得更多的终端遭到病毒、木马和蠕虫等侵袭，发生大规模病毒事件，网管无法快速确定病毒事件源头、找到网络中的薄弱环节，很难有效做到事后分析、加强安全预警；更不能做到对安全事件源的实时、快速、精确定位和远程阻断隔离的操作。

针对上述种种问题，同时考虑到网络规模、网管复杂程度、人员的实际使用水平等因素，网络管理员所面临的网络管理问题十分棘手，传统的管理模式和管理工具已无法满足新形势下的安全需求（见图1），假如上述问题长期得不到解决，将会造成不可预测的严重后果。

为此，内网在安全应用方面，需要有一套凭靠技术手段、网络部署灵活、防护力度落实到各个终端、符合用户习惯、安全措施具体的安全保障办法和措施；需要切实分析具体情况和其它可行性因素，充分考虑安全防护级别的具体要求，合理进行系统功能模块化的分解，根据内网的安全需求设计内网的安全管理方案，在完成大规模部署、节约成本的同时，大幅度提升网络的安全性能和可用性能。

4 内网安全管理系统在实际中的应用

为了进一步提高内网的安全性和稳定性，我台安装了内网安全管理系统，该系统比较全面地对内网进行了系统性、科学性的管理，可以说从跟本上解决了我台内网的安全隐患。该系统依靠技术手段，对内网的信息资源进行收集和汇总，便于网管人员掌握内网的各种情况，并且针对内部网络中的各个环节制定了不同的策略，对各种具体情况作出相应的处理，有效地做到了管理与监控相结合。从功能上分，该系统可以分为软硬件资产管理、终端安全加固、用户行为监控、移动存储介质管理、补丁分发管理、病毒集中防范以及报警及报表管理等几个部分，如图2所示。

(1）软硬件资产的管理

台站所有终端必须通过注册才能够登陆内网，网络管理员可以通过管理系统平台对所有注册终端的硬件状态信息（具体包括客户端计算机名，CPU型号及主频、内存大小、硬盘、光驱、键盘、鼠标、主板、操作系统及版本、IE浏览器及版本等）、软件状态信息、连网情况信息等进行管理。图3为台站内某个终端硬件状态信息。

(2）终端安全加固

内网安全管理系统对台站所有注册终端的软件资源进行统一监控，网络管理员可根据条件，查询指定软件和违规软件的安装情况，对违反规定而导致安全防护措施薄弱的客户端，进行警告或断网等处理，以此提醒或者切断可能成为传染源的终端，防患于未然。

该系统还可以对已经注册的终端开启IP地址与MAC地址绑定的策略，既能够防止ARP病毒的侵扰，也能够实现对终端在进行非法外联的行为时，进行警告和断网处理（如图4所示），并且可以杜绝工作人员任意修改客户端的IP地址。

我台自从对内网终端进行了该策略的部署之后，再没有出现过网络ARP病毒以及内网客户端非法连接外网的情况。

对于没有经过注册的外来终端或网络设备，内网安全管理系统能够进行非授权接入的管理，即在内网中一旦发现有外来终端或设备的接入时，系统能够自动侦测到该终端或设备，并且会及时地通知网络管理人员，对其进行断网处理，如图5所示。

另外，内网安全管理系统能够管理终端外设端口、实现终端注册表监控以及终端流量异常的监控等，加强了原本由于我台工作人员使用水平的局限而导致的终端安全的脆弱性和网络管理的复杂性，巩固了终端安全。

(3）用户行为监控

内网安全管理系统通过技术手段，落实各种管理条例，增强了我台工作人员的安全和保密意识，保护内部的信息不外泄。系统可对工作人员上网访问行为、各种文件操作、网络文件输出等行为进行监控，还可对审计结果提供详实的报表，有利地保障了的内网的信息安全，规范了工作人员的安全行为，强化了安全意识。图6为终端点对点行为监控的界面。

(4) 移动存储介质的管理

移动存储介质的的不规范管理可以说是我台比较严重的问题，可以说它是病毒传播以及保密文件泄露的一个主要途径。内网安全管理系统要求对内网中所有使用的移动存储介质，必须经过管理员注册才能使用，并且注册时要进行全面格式化，经过注册过的移动存储介质不能在我台内网以外的网络终端中使用，经过注册的移动存储设备，普通工作人员是无法再进行注销操作的，图7为台站可移动存储审计策略的界面。这样，有效地避免了因移动介质在外部网络与内网之间进行混用，而造成的机密泄露以及病毒、木马程序由外部网络传播到内网的危险，可以说内网安全管理系统帮我们解决了困扰已久的大问题。

(5）补丁分发管理

由于以前我台实现了内外网隔离，所以内网各终端操作系统的漏洞始终无法进行补丁安装，对内网的安全性造成了极大的威胁。内网安全管理系统集补丁安全认证、补丁测试、补丁发放、补丁安装等功能于一体，实现补丁测试、认证、分发综合管理等功能，将认证后的补丁通过统一管理平台向各网络终端进行配送；确保工作人员最终应用补丁的安全性，避免由于终端脆弱性而导致的恶意入侵及病毒传播，同时合理控制网络流量防范拥塞，有效地保障了我台内网的正常稳定运行，图8为台站补丁自动分发策略界面。

(6）病毒集中防范

为了防止内网遭到病毒的侵扰，我台还在内网架设了网络版的病毒服务器，并且通过内网安全管理系统进行集中防范管理，及时对病毒库进行更新，并且针对整个网络制定安全可靠的查杀病毒策略，可以对整个内网进行监控，一旦发现病毒，可以及时进行查杀，使病毒对内网的侵扰减到最小。

(7）报警和报表管理

内网安全管理系统可以对内网中所有的数据进行汇总，并统计成报表，包括：IP地址的占用情况、内网终端数量、各个终端软硬件资产信息、各终端所进行的任何操作以及网络流量等等，各种报表提供给网络管理人员，便于网络管理人员掌握网络所有情况，当内网中任何一个环节出现违规行为时，系统都会自动报警，通知网络管理人员及时处理。这样，就做到对网络运维情况和违规行为等有据可查，图9为台站报警数据汇总界面。

内网安全管理系统可以说是在充分考虑了数据交互和网络的可管理性的基础之上，将内部网络终端的安全管理从终端状态、行为、事件等三个方面来进行防御，并遵循网络防护和端点防护并重的理念，实现了内部网络终端的可控管理，该系统在我台的成功应用也充分证明了这一点。

5 结束语

内网边界管理系统 篇2

一、网络边界背景

早期的网络只是为了使分布在不同区域的人们资源共享和通信而建立的。网络发展到今天，全世界的计算机联成了网络。而网络安全也随之而来。信息泄密、外来攻击、病毒木马等等，越来越多的网络安全问题让网络管理者难以应对，而如将内网与外网完全隔开，就会形成信息的“孤岛”，业务无法互通，资源又重复建设，并且随着信息化的深入，在各种网络上信息共享需求也日益强烈。

二、网络边界防护手段

不同安全级别的网络相连，就产生了网络边界。一般来说，防止来自网络外界的入侵，就需要在网络边界上建立可靠的安全防御措施。

从防火墙技术的到多重安全网关技术，再到不同时连接两个网络的网闸技术，都是采用的关卡方式，“检查”的技术各有不同，但对黑客的最新攻击技术都不太好用，也没有监控的手段，对付“人”的攻击行为来说，只有人才是最好的对手。

三、现有边界防护技术的缺陷

面对各种各样包含新技术的攻击手段，现有的防护产品以及其附带的防护技术是否能实现预定功能。现有的安全管理员还不能对这些防护产品性能足够了解，就谈不上正确使用，把产品功能发挥出来。

再说网络边界防护是一个长期需要大投入的工程，一般的主管安全的领导及安全管理员根本不清楚遭受攻击的一些细节，安全管理员根本不知道该怎么防，往哪里防。

购买最新的安全防护产品，或是花大量的时间、资金培养几个资深的安全管理员，且不说两者能不能配合，能不能防住，使边界安全防护达到预期的目标，单单投入方面也不是现有的企业目前所能够承受的。

根据我国现阶段现状，政府和企业不可能在网络安全方面大量投入，而有限的资金又不能投入到最需要的地方去，造成大量的资金浪费。该防的没建设，目前不用防的反而建设了。

对于公开的攻击，只有防护一条路，比如对付DDOS的攻击；但对于入侵的行为，其关键是对入侵的识别，识别出来后阻断它是容易的，但怎样区分正常的业务申请与入侵者的行为是边界防护的重点与难点。

四、符合中国特色的边界管理

面对上述种种问题，现有边界防护技术和产品远远不能满足我国机构和企业的需要。那么我们必须转变思想，找出路！

既然我们现阶段有资金，人员及技术各方面的限制，不可能把网络边界打造成“钢墙铁壁”。没钱修“城墙”，守卫又不合格，那么只能多装摄像头，对所有的边界监控起来，达到不留“死角”的程度。一旦发现有攻击、入侵行为马上报警，马上处置，然后针对被攻击或入侵的薄弱地点，修一段“城墙”，重点防御。较低的投入，把现阶段安全问题管起来，最后达到一个可控可管，齐抓共管的局面。

网络边界安全问题主要可以分为两个方面，一个是由于外网接入到内网中，从而带来的网络安全问题，另一个是内网内部产生的网络安全问题。对于外网的接入，一般网络上都增加了防火墙、VPN路由器等来保证网络的安全，对于在内网出现的问题就没有设备来保证网络的安全问题了。浙江远望电子有限公司的内网边界检查系统出现就解决这个问题，从内部网络开始检查，查找相关的问题，找到问题的源头，进行预警，预警提示后在进行技术或人工手段来阻断相关的问题。远望内网边界检查系统也可以对外网的接入进行监测，通过预警把相应的情况报告给管理员，由管理员进行手动直接断开外来接入或通过网络上技术的手段进行网络断开。并且远望内网边界检查系统可以实现多级级联，逐级对网络进行安全管理。

五、远望内网边界检查管理系统

远望内网边界检查管理系统，通过对内网边界安全监测和管理，防止外来计算机、网络等通过非法手段接入内网，防止因内网边界问题而导致信息泄密，病毒木马入侵，带宽资源因没有注册的设备增加而被严重胡乱占用。通过违规外联和线路边界的发现和监测技术，配置网络边界发现策略，全面发现网内的设备边界和线路边界的异常情况，实现对违规行为的阻断，确保内网的安全。

通过技术手段对网内的设备边界和线路边界的异常情况进行实时扫描、自动检测，及时发现线路边界问题，把相关信息反映到管理员控制页面上。同时在规定时间内对通过非法接入内网等边界问题进行阻断。

油田内网安全管理策略探讨 篇3

关键词：油田；内部局域网；网络安全

中图分类号：TP399文献标识码：A文章编号：1007-9599 (2012) 03-0000-01

Oil Field Internal LAN Network Security Management Strategy

Han Haiyan

(Tianjin Dagang Oil Field Plant CRR,Cangzhou061103,China)

Abstract:In recent years,with the expanding of oilfield internal LAN,exposed the many safety issues.The existing safety management system has been difficult to meet the new requirements.To this end,we must clear the security risks faced by the current oil field within the network,then find the corresponding measures to reduce the risk of a variety of security issues.

Keywords:Oil;Internal LAN;Network security

油田内网是一个有各种网络硬件设备与信息系统所组成的复杂环境，具有应用系统多、重要数据多的显著特点。随着科学技术的进步，油田内网建设虽然取得了一定的进步，但是所面临的威胁也越来越多，为油田的信息安全与安全生产带来了巨大的挑战。

一、油田内网面临的安全隐患

（一）无法有效的监控入侵行为

在组建内网虽然利用防火墙将内外网之间分割了开来为内网带来了一定的安全性。但是如今的防火墙技术仍然是有缺陷的，这就使得防火墙无法避免某些安全风险，同时如今的网络攻击手段也在不断的更新，这就使得防火墙更加疲于应付。一些手段高明的黑客或者其他入侵者有能力找到防火墙中仍然存在的漏洞进行入侵，而有的入侵者本就在防火墙内，这样的入侵行为很难被检测到，而且内网中的用户也基本没有能力进行判断。

（二）无法有效的防御各种新型病毒与垃圾邮件

如今的病毒以及病毒的变种发展的十分迅速，还有各种垃圾邮件也是层出不穷，使得各种新的病毒与垃圾邮件流入到内网中，而且很难有效的进行拦截。现在的杀毒软件对新病毒与垃圾软件基本无能为力，功能强大的能够识别一些新的病毒但是误杀率较高，还有的杀毒软件具有类似“沙盒”一样的功能，能够将可疑的软件通过隔离运行的方式来进行预防，但是这些手段都存在着一定的缺陷，这就无法将所有的新型病毒都拒之门外，造成内部网络的病毒层出不穷，而且基本所有的杀毒软件与防火墙都不能够很好的防范垃圾邮件的传播。

（三）局域网中的安全漏洞无法进行有效的统计

在整个内网之中还没有能够完全统一各种应用，使得应用较多、较繁杂，例如都有的如www服务、NT服务、文件传输、域名服务；还有其他不同的单位所采用的数据库有可能就会不一样，如有的用的是SqlServer数据库，有的用的是Oracle数据库；同时防火墙、路由器也有可能采用的是不同的。任何一种应用都不可能是完全安全的，都会存在一定的缺陷或漏洞，有的是常见的已经知道的，有的则是还没有被发现的。而且各种新的漏洞则有层出不穷。因此对正内网进行漏洞扫描基本成为了一个重要的环节，但是现在的手段却很难实现这一个功能。

（四）对内网用户的监控手段不足

当前，随着信息技术的进步，网络攻击手段也层出不穷，但是还有很多都是来自于内部的攻击，有数据显示有网络攻击70%都是来自于内部。从企业的网络安全部署来看，很多都是对外防御，很少注意到内部安全，再加上内部人员大多数都缺少足够的信息安全意识，而且内部人员对内部的情况也最清楚，这就让内部的攻击更容易成功。对于现在的技术手段，如果是内部用户因为感染病毒而进行了非主动性的对内网的用户进行了攻击，那么就很难找到这台带毒计算机，如一台感染了蠕虫病毒的机器，会不断的向局域网内发包，但是用户却没有什么办法来确定是哪一台交换机的哪一个端口。

二、加强油田内网安全的措施

（一）采用入侵检测系统

虽然现在提倡使用入侵防御系统，但是入侵防御系统对于用户的要求较高，需要用户能够分别出哪些程序与进程是无害的。而油田局域网内的大多数用户并没有这个能力。因此应该在核心机上添加入侵检测系统，对于入侵检测系统所捕获的数据自有专业人士来进行分析，找出其中不正常的数据流。利用入侵检测系统当发现网络违规行为和未授权的网络访问时，入侵检测系统中一般都有相应的安全策略来对不同的情况进行响应，而且用户还能够自定义自己需要的安全策略。防火墙与入侵检测系统之间通过联动协议能够更好的对攻击进行防御，例如入侵检测系统通知防火墙拒绝此攻击，并且禁止源地址的继续访问。这样两者之间能够有效的互补不足。

（二）防火墙之后串联防毒网关，增强病毒查杀与垃圾邮件过滤功能

防毒网关在病毒杀除、关键字过滤（如色情、反动相关的字词）、垃圾邮件阻止等方面有着较强的功能，能有效的弥补杀毒软件与防火墙的不足，同时防毒网关还具有部分防火墙的功能，同时还能够对Vlan进行划分。防毒网关会对进出网络内部的数据进行检测，并对HTTP、FTP、SMTP、IMAP这四种协议的数据进行扫描，如果发现病毒就会采取相应的措施，例如隔离或者查杀。而且防毒网关还具有垃圾邮件的阻止功能也让油田内网免受垃圾邮件的干扰。

（三）应用漏洞扫描系统，规范各种应用

就现阶段而言网络漏洞扫描还是一种相当先进的系统安全评估技术，能够及时的发现内网中的各种安全漏洞。然而这种技术虽然十分先进，但是仍然存在缺陷。因此在选用网络漏洞扫描系统时要注意这样几个标准：（1）必须要通过国家相应的权威认证，目前主要有这些组织的认证，公安部信息安全产品测评中心、国家信息安全产品测评中心、解放军安全产品测评中心、国家保密局测评认证中心；（2）漏洞扫描系统的最新漏洞数量与升级速度，非专业的人员也要能够容易掌握系统的升级方法与漏洞更新方法；（3）漏洞扫描系统本身的安全性能，对于漏洞扫描系统本身的抗攻击能力与安全性必须要进行考查、确定；（4）是否支持分布式扫描，扫描系统必须要具有灵活、携带方便、穿透防火墙的特性，如果扫描所发出的数据包当中的一部分被路由器、防火墙过滤，那么将会降低扫描的准确性。

同时还必须要对各种应用进行进一步的规范，例如数据库，可以考虑是否能够采用同一种数据库，防火墙与网关是否可以考虑统一采购同一种产品。

三、结语

信息化建设推动了油田的发展，但是由此带来的内网安全问题也比较突出。内网安全问题严重的甚至会影响到油田的正常生产的进行，为油田带来巨大的损失。因此，必须要对油田当前内网的安全性形式进行仔细的分析，并找到解决的措施，将油田的内网安全风险尽可能的降低，为安全生产提供保障。

参考文献：

[1]刘利军,宋慧,克江.浅析油田网络安全的对策及应用[J].硅谷,2009,9

[2]唐宏,刘荣广,王蒙.油田计算机网络桌面安全管理系统的应用研究[J].内蒙古石油化工,2010,20

内网安全管理探析 篇4

随着计算机技术的高速发展,通信技术的日益成熟,计算机技术和通信技术的产物即计算机网络覆盖了整个世界。网络成了人们寻找信息、探求知识的最重要的途径,也成为了黑客炫耀技术战场。网络上的犯罪和计算机的病毒层出不穷,使网络信息的安全显示日益突出,网络安全一旦被破坏,影响会非常巨大。对于外网的安全问题,人们一般都足够重视,采取了网络隔离、防火墙技术等等安全策略,努力强化内部网络的出入口安全,但是对于内网的安全威胁却并没有引起足够的重视。如果网络安全威胁来自内部,它的破坏力往往是巨大的。因为内部的黑客非常熟悉内网的涉密信息以及各种安全措施,所以一旦被侵入,内网所有数据都有可能丢失或损坏。所以,对于内部网络以及终端的安全进行有效的安全防护是必不可少的。

2 内部网络所面临的各种安全问题及解决方法

2.1 病毒破坏

计算机病毒具有破坏计算机的功能和数据,并进行自我复制繁殖的能力,通过内部网络传播更快。病毒破坏目标和攻击部位主要是:系统数据区、文件、内存、系统运行、运行速度、磁盘、屏幕显示、键盘、喇叭、打印机、CMOS、主板、以及内部网络的传输速度等,最终造成内部网络瘫痪。

解决方法:在信息中心的服务器安装网络版防毒软件,如瑞星网络版、江民网络版等。经过安装后只要服务器端升级,客户端就会自动升级。而且服务器端的管理中心可以控制内部网络的客户端,实现远程杀毒、升级、等功能,网络防毒软件还会实时监测内网终端情况并向管理人员发送警报信息,及时清除染毒终端的病毒,有效的避免了内网病毒的攻击,节省了时间,提高了工作效率。

2.2 系统漏洞

系统漏洞是各种应用软件或操作系统在程序设计上出现的缺陷或错误,通过这些缺陷或错误,黑客可以通过网络植入木马、病毒等方法来操控网络中的整个电脑,窃取电脑里的各种重要资料和信息,甚至会破坏您的系统。对于各种不同的软件或硬件,都会存在各自不同的问题。在一个较大内部网络中,普遍存在机器配置档次高低各异、操作系统分门别类、系统软件千差万别等问题,网络管理员要想同时对这几百台甚至上千台终端设备及时快速地打上新的补丁程序,几乎是不可能的。要靠手工保障每一个补丁在安装后正常运行,不对整个网络系统造成其它破坏和隐患,更是完全不可想象的。因此对于终端节点众多的用户,繁杂的手工补丁安装已经远远不能适应目前大规模的网络管理,必须依靠新的技术手段来实现对操作系统的补丁自动修补。

解决方法:在内网的系统中心统一部署补丁分发管理系统来自动安装补丁包,管理人员及时更新各种补丁包到服务器,然后在统一时间由服务器统一分发至内网各个终端,自动升级补丁,消除由于漏洞所带来的安全隐患。

2.3 IP地址管理

内网的IP地址管理非常重要,每一台计算机的IP地址代表了这台计算机所在的位置,网络包的传输完全是靠它来识别并传递数据的。如果内网中的用户随意更改IP地址,会导致另外的终端IP地址重复被占用而不能访问网络,也可能被黑客冒用IP来窃取数据,所以,IP地址管理的好坏直接影响了内网工作人员的工作效率以及内网信息的共享和安全。

解决方法:通过使IP地址和终端每台机器的网卡的MAC地址相对应,进行一一绑定,从而保证每个IP有一个唯一的标识与之对应。当客户端程序检测到IP地址进行修改时,IP地址会自动恢复到此前已经绑定了的IP值,保证IP地址不会被随意修改。杜绝了内部网络的IP地址冲突问题,保证IP地址的唯一性,如果有换掉的机器,管理员再进行重新绑定即可,IP地址绑定的方法即可以通过信息中心的网管软件实现,也可以利用三层交换机来进行绑定。

2.4 口令管理

口令包括内网终自己系统的登录口令、共享口令以及访问网络的口令,通过这些口令,用户可以在内网访问各种资料及共享信息。但这些口令在使用的过程中也很容易泄露或者被猜解,导致口令被黑客冒用。

解决方法:在系统中心建立口令管理机制,定期提醒终端用户更改密码,如果在规定的时间用户不更改密码,则锁定终端用户,使其不能上网,要求密码为数字加字母或者特殊符号七位以上,终端用户的计算机要求登录及屏保都要使用密码,进一步提高内部网络的安全性。

2.5 流量管理

在内网中,如果有大量的下载以及P2P软件运行,以及大量的网络视频运行,会使内部网络时断时续,并产生大量的丢包行为,造成内网极不稳定,严重影响内网的办公效率。

解决方法:信息中心服务端安装流量控制软件,能够实现对每个终端机器的网卡进行流量控制,对于超过指定阀值和并发连接数的设备进行自动的网络阻断,当网卡流量恢复到正常时,网卡自动开启、恢复网络连接,保证受控端在指定的流量范围内进行网络连通。由此既保证了终端的正常办公流量需求,又可以杜绝由于未知的P2P等非法下载软件的使用带来的网速过慢、甚至断网的问题。

2.6 进程管理

内网终端的系统运行了什么程序,占多大网络流量,是否在使用非法程序等也是内网管理员非常关心的问题。

解决方法:使用网管软件,通过对终端进程的管理,禁止终端用户运行已知的非法程序的使用,杜绝由于非法软件的使用影响工作效率、BT软件占用带宽、危险软件的随意滥用给单位内网安全带来隐患的问题。通过进程控制功能,可以有效控制终端机器的软件使用,屏蔽掉无助于工作、单位网络安全的应用程序的运行。

2.7 终端移动存储介质管理

终端用户使用U盘或者移动硬盘拷贝数据,黑客使用移动存储介质传输木马病毒,窃取数据等为内网带来非常大的隐患。

解决方法:统一安装存储介质管理系统,由服务端来初始化所有的移动存储介质格式化并进行加密注册,向隐藏分区写入加密码保护程序,只有经过加密注册过的移动存储介质才能在内网终端使用,未加密的插入终端后不能识别,只能提示未识别的移动介质,可以被格式化,但不能正常使用。管理端还可以根据需要更改移动存储介质的使用权限,如U盘只读、使用时间控制等操作。正常注册过的移动存储介质在没有安装存储介质管理系统的终端不能被识别,并且只要终端系统使用这个移动存储介质,服务端就能检测到并进行管理,从而保证了内部机密信息不能通过移动存储设备外泄,并且外部的病毒也不能通过移动存储设备进入内网。大大加强了内网的保密性和安全性。

2.8 硬件设备管理

终端设备的随意使用也是内网安全的一个潜在威胁,如随意打印文档,刻录光盘、红外传输等等。

解决方法:由信息中心的服务端统一对内网进行管理,经过扫描后自动注册终端系统的硬件配置(包括显示器、打印机、光驱、红外设备等),新插入的设备必须经过服务端一次授权方可使用,对终端的刻录机、打印机等等也必须经过授权使用,并且对设备使用情况进行审计。

2.9 远程管理

终端用户由于不熟悉或不懂进行操作也会造成内网的安全问题。内网管理人员通过远程维护技术手段和工具,对终端计算机进行故障诊断、系统修复和日常维护等,避免此类安全问题。

解决方法:通过内网管理软件进行远程协助,及时响应远程终端计算机的协助请求,临时接管远程终端计算机,进行本地化操作。例如:开关机、搜索可疑文件、服务/进程查看、系统配置查看、资源使用监视等。维护操作后,释放对终端计算机的接管,终端的操作人员也可以进行在线的操作学习。(下转第3020页)(上接第3002页)

2.1 0 审计日志

内网的安全威胁来自于不同的方式方法,从理论上来说,不可能完全避免,只能尽量避免并找到解决方法,通过查看各种审计日志去寻找发生的各种内网安全问题。

解决方法:建立全方位的终端审计日志。文档审计:关于终端用户使用文档的所有记录。流量审计:记录终端用户在网络中的流量统计。杀毒软件扫描审计:记录终端用户的计算机病毒情况。系统基本信息审计:记录终端用户基本硬件信息。聊天审计:记录用户聊天信息。计算机操作审计:记录终端用户对计算机的所有的操作记录

3 展望

现在,在网络安全管理中,内网的安全变得越来越重要。它是一个系统的、全局的管理问题,如何任何一个地方出现漏洞,都可能会导致整个网络的破坏。我们不但要在软件上构建一个真正安全可靠的内网,还应该加强对终端人员使用的安全培训、使用管理培训等,使他们真正意识到内网安全的重要性,从而真正构建起安全、高效、飞速的内部网络。

摘要：文章对内部网络的安全进行了背景分析,阐明了内网安全的重要性,分析了内网安全涉及到的问题,提出了解决内网安全管理的相关办法,使内部网络安全得到有力的保障,全面提升内网的数字化办公效率,使内网安全管理更直接有效。

关键词：内网安全,防病毒,审计,漏洞

参考文献

[1]张一新.网络信息安全风险及需求分析[J].水利水电技术,2007(5).

[2]卫徐刚,王峰,张静,等.技术与管理并重,提高内网安全[J].网络与信息,2009(3).

[3]邝英伟.企业内网安全探讨[J].有线电视技术,2010(4).

[4]王克.内网安全防范技术[J].信息网络安全,2009(1).

威盾内网安全管理系统方案 篇5

随着医院HIS,PACS等各种业务系统的投入运行，计算机软件、硬件以及网络日益成为医院业务运转中不可缺少的基础设施。可以想象，网络是否能正常运行，以及运行的正常与否已经成为医院是否能正常运转的关键。

所有医院都碰到过以下问题：

网络变慢，找不到原因； 网络瘫痪，不知道如何处理；

虽然安装杀毒软件，但是因为不正当的使用，还是会导致计算机重新安装； 使用内网管理系统是解决以上问题的解决办法。如果说网络管理员就象医院的保安一样，一个内网管理系统就是医院网络的监控摄像头。光靠管理员出了问题进行补救和维护是无法完成巨大的管理维护工作的。内网管理系统可以24小时帮助管理员实施安全策略，及时更新病毒库，出现问题及时进行维护。

让管理员节省更多的时间进行业务系统维护学习，以及更好的进行网络维护。根据统计数据，实施内网管理的医院，网络故障率减少80%。基于这个原因，卫生部才会要求三级医院安装内网管理软件，配合进行网络管理，作为提高医院管理水平的标志之一。全国三级甲等医院大部分都已经开始应用内网管理软件。威盾（VIACONTROL）安全管理系统

威盾网络安全管理（VIACONTROL）系统遵循网络防护和端点防护并重理念，对网络安全管理人员在网络管理、客户端管理过程中所面临的种种问题提供解决方案，实现内部网络客户端的可控管理。具体功能如下： 模块名称

子功能

功能介绍

管理作用

基本策略

禁用控制面板

可以在开始菜单和我的电脑下隐藏控制面板选项

防止非管理人员随意修改电脑设置，或添加删除相关程序给公司网络管理带来麻烦。

设置屏幕属性

可以禁止修改显示背景和屏幕保护属性等

有些游戏程序在启动的时候会修改屏幕的属性,对屏幕属性的管理可以有效的控制员工在上班期间做一些与工作无关的事情。

打印机管理

可以禁止增加、删除打印机

可以有效的控制打印机的使用，节约打印成本。

禁止计算机管理

可以禁止使用计算机管理里的各种系统管理功能

避免员工私意添加用户、修改程序驱动、更改磁盘盘符及容量，给管理人员带来不必要的麻烦。

禁止修改网络属性、禁止任何默认网络共享

可以禁止修改网络属性

员工往往因为工作需要设置共享文件夹，然而，共享文件很容易被别有用心的员工或外来计算机窃取。避免网络共享泄密和网络病毒传播。

禁用娱乐类

可以禁止使用聊天类、影音类、游戏类、FLASH类的ActiveX插件

防止上班其间聊QQ、MSN看在线电影、听音乐等浪费公司的资源。

报警功能

可按某台、某组或整个网络设置硬件或软件信息变化的报警规则

实现对违规网络行为的及时发现，提高了网络行规范管理的响应能力。

基本事件日志

可以详细记录客户端PC开机、关机的时间，以及用户登录、登出时间。

让IT管理者从多个角度来了解网络内每台计算机的全面的日志信息，为故障排除和网络管理提供有力支持。

应用程序

应用程序日志

可以详细记录所有应用程序启动/关闭和窗口/标题切换日志，可以按某台、某组或整个网络查询，可以按时间、应用程序以及路径/标题查询日志

可以很容易、客观的评估出员工使用程序的工作情况和效率，方便进行员工的网络行为管理。

应用程序统计

可以按时间、计算机（组）/用户（组）、应用程序明细查看并统计某个员工使用某个应用程序的时间，以及占全部工作时间的百分比

方便管理者对员工的网络行为进行个性化统计和分析。

应用程序控制

可以按全天或指定的时间对指定的程序禁止。

对违规网络行为在事前进行控制。

网络流量

网络流量统计

可以按时间、计算机（组）/用户（组）、地址明细、端口明细、地址类别、端口类别查看并统计网络流量大小情况

可以通多种方式查看网络的流量，如：可以查看每一个用户每一个端口的流量，从而可以分析出该员工做的那一类工作占的比重多。

网络流量控制

可以限制客户端的流量，可以指定网络地址、端口范围、流量方向来限制客户端的流量

可以针对不同用户或一个组内的用户，进行安不同网段不同端口进行流量控制，可以有效管理非法BT或其它下载行为。

文档操作控制

可以在指定的时间，禁止对指定文档的操作。操作类型包含：创建、复制、移动、删除、重命名、修改、恢复及访问

可以防止非法从电脑硬盘等其它存储设备中拷贝、删除、移动、重命名、恢复等操作，可以有效的管理企业内部机密文档。

打印控制

打印操作记录

可以记录和查询员工打印文档情况，包含打印时间、目标文档路径、打印页数、打印机名称、执行打印任务的PC机器名和登录用户名

可以安日期、文件名等灵活的查询打印过的文档记录。

打印控制

可以在指定的时间禁止指定的打印机进行打印任务

可以控制那些用户可以打印那些用户不可以打印，从而节约打印成本。

屏幕快照

查看屏幕快照

可以看到网络内员工正在操作计算机的最新画面

方便管理者进行网络行为的巡视，发现违规行为，及时纠正。

记录屏幕历史

可以按天查看网络内员工操作过的历史画面、并连续播放历史画面

方便管理者进行网络行为的事后追查，客观的评估员工的网络行为。

远程维护

远程信息查看

可以查看客户端的基本信息，包含客户端的计算机名、登录的用户名、操作系统、IP/MAC、开机时间、网络共享、磁盘使用情况、计算机性能、共享的文件夹等

管理员可以很方便查询任意一台电脑的所有信息，从而了解每一台电脑的现状及工作情况。

远程操作

可以远程地对客户端的进程、服务进行管理，包含结束继承、关闭服务、启动服务等，并可以远程唤醒客户端PC、清除客户端系统

管理员可以通过控制台来维护员工的电脑,包括软件的安装、修改、进程的管理等。

远程控制

可以远程登录、注销、重启计算机，支持键盘输入和登录快捷键操作

方便IT管理者对网内计算机进行远程维护，同时支持异地远程维护，实现了跨区域分支机构的集中管理和控制。

远程文件传送

可以远程打开指定客户端文件夹，可以让控制台和客户端相互传送文件

公司如果有什么文件要下发的话，可以通过控制台来进行单发或群发，从而节省了时间，提高了工作效率。

基本控制

可以在控制端针对网内任意计算机进行锁定、关闭、重启、注销和发送即时通知信息

若发现网内计算机有非法操作，可以及时的采取行动，对非法行为进行及时控制，避免非法行为的继续，挽回损失。方便管理者进行远端电脑的强制性控制和系统维护管理，防止员工下班后或长时间离开办公位置忘记关闭计算机。

设备控制

驱动类设备

可以按某台、某组或者整个网络禁止使用哪些存储设备。包含：软驱，光驱，刻录机，磁带机，可移动设备（U盘，移动硬盘，记忆棒，智能卡）

避免员工使用与工作不相关的计算机设备，错误修改网络属性，方便统一部署屏保程序或画面。根据风险评估，制定事前预防策略，根据策略对相应的设备进行禁止，预防文件泄密。

通讯类设备

可以按某台、某组或者整个网络禁止使用哪些通讯设备。包含：串口，并口，USB 控制器和连接器(HUB)，SCSI接口，1394控制器，红外线，PCMICA卡，蓝牙设备，MODEM

防止随意通过无线、蓝牙、红外、拔号等方式上网，从而避免机密文件外泄。

USB类相关设备

可以按某台、某组或者整个网络禁止使用哪些USB设备。包含：USB 键盘，USB 鼠标，USB Modem，USB 映像设备，USB 设备。

可以对USB键盘、鼠标、modem、MP3、移动硬盘等分别进行控制，启到防止文件外泄、病毒扩散等。

其它类

可以按某台、某组或者整个网络禁止使用哪些其他设备。包含：声音设备，无线网卡，PnP网卡虚拟光驱

可以控制声音设备、无线设备、虚拟设备等。

禁用任何新设备

可以按某台、某组或者这个网络禁止使用任何新设备

不允许增加没有经过管理员认可的任何设备。

网络控制

网络端口控制

可以通过对通讯方向、IP地址范围、网络端口范围的设置进行管理

有效的防止外来计算机侵入单位内部就局域网，可根据需要灵活的设置外来计算机跟网内计算机的通讯方向。

上传下载控制

可以控制员工的上传/下载行为

上传下载是最消耗企业网络资源的，对上传下载进行合理的设置才能提高工作的效率。

IP MAC 绑定

可以将客户端PC的IP地址与MAC地址进行绑定。

防止员工随意修改IP地址，造成IP经常冲突，给管理人员造成很大的麻烦。

入侵检测

可以发现网络内是否有非法计算机接入，同时能够阻止非法计算机接入

可以有效的防止非法的电脑入侵企业内部局域网，从而减少病毒的侵入和非法的机密文件。

即时通讯传送文件控制

可以通过对传送文件的名称、文件大小来禁止员工用即时通讯工具传递文件。

可以对即时通讯工具传送的文件进行控制和记录，达到安全管理。

资产管理

资产管理

可以自定义查看硬件或软件的资产分布情况、按组、计算机来查看某个硬件和软件分布在哪些计算机，并统计数量。

管理者可以方便的进行员工的电脑的办软硬件信息进行监控，为故障排除提供依据，为软硬件的安全管理提供支持。

补丁管理

可以查看客户端系统补丁情况，服务器自动下载补丁，并自动下发到客户端静默安装。

可以分析企业内部所有电脑的系统配置，下载相应的补丁进行补丁智能分发，提高了管理员的工作效率，降底了公司的网络资源。

漏洞检查

可以查看客户端的系统漏洞信息、并可以根据建议手工解决漏洞问题

可以扫描企业内部网络那些电脑存在安全漏洞，然后可以智能的安装相应的补丁，减化了网络管理人员的工作。

软件分发

可以向客户端自动分发和安装软件，或者将指定的文件或者应用程序复制到客户端指定的位置。

实现程序的自动化部署，比如：补丁程序、应用程序，大大提高程序部署的效率，让IT管理者不再为大量的机械性、重复性

三： 模块及产品报价

根据目前苏州中西医结合医院的规模和应用需求，目前有内外网分离和全局网络两种方案可供选择，具体模块产品型号如下： １内外网分离

编号

模块名称

功能

选择

V01

基本策略（必选）

防止用户随意更改计算机设置

（V02

应用程序

对用户的应用程序进程进行监控并管理

（V09

设备控制

控制计算机能使用的设备，比如U盘，光驱，软驱等等。

（V13

资产管理

查看补丁情况，自动下补丁。自动记录软件，硬件情况，进行漏洞检查，以及自动软件分发

（产品报价明细 项目

模块选择

模块 单价

总价

其他费用

内网安全管理威盾Viacontrol

V01 基本策略 V02 应用程序 V09 设备控制 V13 资产管理

标准价格60元/模块

按照50点计算： 50*4*60 = 12,000元

免费提供1年升级服务 包含安装、实施费用全局网络 编号

模块名称

功能

选择

V01

基本策略（必选）

防止用户随意更改计算机设置

（V02

应用程序

对用户的应用程序进程进行监控并管理

（V03

浏览网站

浏览网站记录：详细的纪录出员工每天的上网情况。

（V04 网络流量

网络流量统计：统计出每台或者每个部门的电脑占用的网络流量情况，并对网络流量按照端口和地址进行了明细和类别的分类。

（V09 设备控制

控制计算机能使用的设备，比如U盘，光驱，软驱等等。

（V13

资产管理

查看补丁情况，自动下补丁。自动记录软件，硬件情况，进行漏洞检查，以及自动软件分发

（产品报价明细 项目

参数

单价

总价

其他费用

内网安全管理 威盾Viacontrol

V01 基本策略 V02 应用程序 V03 浏览网站 V04 网络流量 V09 设备控制 V13 资产管理

标准价格60元/模块

按照100点计算： 100*6*60 = 36,000元

内网:应用需求与安全保障 篇6

重要支撑网络。基于电子政务内网的办公、视频会议、督查、应急指挥等应用逐步深入，由信息化建设杂志社主办、北京网御星云信息技术有限公司、北京启明星辰信息技术股份有限公司协办的第七期电子政务沙龙主题讨论“电子政务内网的应用需求与安全保障”在京举行。为了进一步深入探讨电子政务内网的应用发展，探索建立科学、完善的信息安全保障体系。本次沙龙邀请了国家信息化专家咨询委员会委员宁家骏、曲成义两位电子政务与信息安全专家分别就电子政务内网建设和应用发展、电子政务内网安全形势分析和保障体系建设做了精彩的主题发言。中共中央办公厅、国务院办公厅、中央编办以及北京、上海等有关单位的嘉宾在沙龙上讲述了对电子政务内网的认识和见解，并与主讲嘉宾展开了热烈的互动交流。

来自中央国家机关电子政务工作机构和部分地方政府电子政务工作机构的负责人共60余位代表参加了本次沙龙研讨。信息安全相关企业代表与沙龙嘉宾分享了对电子政务内网安全保障体系建设的认识、体会和从事信息安全建设的经验。

电子政务沙龙至今已经举办七期，得到了中央国家机关负责电子政务工作的相关领导和同志们的大力支持和肯定。参加对象也从以国务院部门的电子政务机构为主，发展到包括中办信息中心、中纪委信息中心、中央编办电子政务中心等党中央部门信息化机构的同志，甚至还吸引了北京以外的天津、上海、河北、内蒙古、江西等地方政府电子政务工作机构负责同志专程加入。沙龙形式轻松、活泼，主题鲜明、内容充实。交流得到了嘉宾们的欢迎和认同，目前已经成为电子政务工作者们沟通、交流、学习的一个新平台。今后，信息化建设杂志社将继续选择大家感兴趣的主题，不定期举办形式更新颖、内容更丰富的电子政务沙龙，以达到增进交流，增进了解，协作共进，助推电子政务发展的目的。

本期“特别策划”栏目将本次沙龙的精彩观点整理刊登，以飨读者。

内网安全管理技术研究 篇7

随着近年来计算机技术的不断发展和信息安全要求的不断提高,计算机信息的安全受到了严峻挑战,特别是大多数的网络环境是建立在开放网络环境中,开放的环境既提供了与外界进行交互的窗口,同时也为外部提供了进入信息系统的便捷途径,使网络面临种种威胁和风险:终端用户由于安全意识、安全技能的匮乏,导致安全策略不能真正的得到很好的落实,开放的网络给信息安全带来巨大的威胁。

目前,网络安全防御措施局限在常规的防火墙、单机防病毒、IDS等方面的防御,重要的安全设施大致集中于机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。但越来越多事实证明,来自网络内部的安全问题同样不容忽视。只有构建一套功能完善的内网安全防护体系,从网络资源、设备资源、客户端资源和应用资源方面对内部网络加以管理和审计,才能以达到最佳的管理效果。

1 系统模型概述

1.1 模型概述

本文构建的内网安全管理系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄露,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。内网安全管理系统可以与防火墙、漏洞扫描设备进行有机联动,共同提供全网安全解决方案。

1.2 模型架构

内网安全管理系统由客户端模块、服务器模块、控制台三部分组成。模型架构如图1所示。

客户端代理模块安装于受管理主机上的软件。对终端计算机进行监控,需要部署于每台需要被管理的终端计算机上,用于收集数据信息,并执行来自服务器模块的指令。

服务器模块包括服务器端软件和支持数据库。存储终端安全策略、终端计算机信息、漏洞补丁数据等等,并由服务器向终端计算机客户代理模块发送指令。

控制台是实现系统管理、参数配置、策略管理、系统审计的人机交互WEB界面。采用B/S结构可以运行在网络中的任意一台计算机上,用来监控每台安装有代理模块的计算机,管理各类审计系统,制定安全策略。

1.3 网络架构模型

1.3.1 网络架构示意图

内网安全管理系统的网络架构如图2。

从图2中可以看到,服务器部署于服务器区内,终端计算机上部署客户端模块,接受终端管理系统监控。某些未部署客户端或关闭客户端的计算机将被限制接入网络,或限制其网络访问权限,从而保证网络安全。内网安全管理系统的多级网络架构示意如图3。

图3中终端与内网安全管理系统服务器可以进行级联设置,下级服务器能够自动从上级服务器获取最新的补丁和策略配置,因此对于大型网络,只要保证根服务器更新到最新状态,所有下级服务器都能够依次更新,从而方便管理员的管理。

下级网络中,可单独部署服务器模块,从上级服务器获取补丁文件并更新策略配置,并向局域网内终端计算机进行补丁和策略更新;也可以不部署服务器模块,终端计算机直接从上级服务器进行补丁和策略更新。

控制台可运行在网络中策略许可范围内的任意一台计算机上。

1.3.2 部署位置

(1)服务器部署于主干网络上。

(2)控制台采用BS结构可以运行在网络中策略许可范围内的任意一台计算机上。

(3)客户端部署在每一台被管客户机上。

1.3.3 部署方式

服务器和控制台采用旁路连接方式接入网络,向全网提供终端管理服务。旁路连接方式可以减少单点故障点,保证系统的可用性。客户端安装在终端计算机上,可以监控终端上发生的所有安全事件。

2 系统功效

2.1 整体功效

整体功效如表1所示。

内网安全管理系统采用目前先进可靠的P2DR安全机制。在整体的安全策略的控制和指导下,综合运用防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的安全响应将系统调整到“最安全”和“风险最低”的状态。

2.2 文件监控与审计

(1)杜绝文件操作不留痕迹现象;

(2)杜绝信息拷贝的无管理状态。

2.3 网络行政监管

(1)屏幕监控

通过对员工的操作屏幕进行及时监控和录像,防止员工违规操作公司的电脑。

(2)应用程序报告及应用程序日志

通过对员工操作的应用程序进行统计分析,第一、可以查看到每个员工使用计算机的应用程序状况,方便系统维护;第二、可以客观的评估每个员工的工作效率。

(3)浏览网站报告及浏览网站日志

通过对员工浏览网站的情况,可以及时了解到企业员工使用互联网的情况,并为网络浏览管理提供依据。

(4)应用程序禁用

通过对员工的应用程序管理,防止员工利用上班时间做与工作不相干的工作,停止一些Windows进程,可以有效的防止病毒入侵,提高终端的工作效率。

2.4 网络客户机安全维护

(1)补丁分发管理

通过对所有客户机进行主机分析,自动将相应的补丁文件下发给客户机并进行安装,弥补客户机的安全漏洞。系统也允许管理员手工指定一批补丁文件进行下发。同时,可以实现辅助软件分发。

(2)网络漏洞扫描

通过网络漏洞扫描,对网络整体安全风险级别进行判断,并指出网络中的脆弱点,方便管理员有针对性地进行问题的解决。

2.5 安全接入管理

(1)主机在线监测与授权认证

内网安全管理系统可以通过监听和主动探测等方式检测系统中所有在线的主机,并判别在线主机是否是经过系统授权认证的信任主机。

(2)非法主机网络阻断

对于探测到的非法主机,系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响,使其无法有意或无意的对网络攻击或者试图窃密。

(3)网络白名单策略管理

可以自动生成默认的合法主机列表,根据是否安装安全管理客户端或者是否执行安全策略,来过滤合法主机列表,快速实现合法主机列表的生成。同时允许管理员设置白名单例外列表,允许例外列表的主机不安装客户端但是仍然授予网络使用权限。

(4)IP和MAC绑定管理

可以将终端的IP和MAC地址绑定,禁止用户修改自身的IP和MAC地址,并在用户试图更改IP和MAC地址时,产生相应的报警信息。

2.6 灵活、强大的策略管理

(1)基于策略优先级的用户行为管理功能

美国杨基集团(Yankee Group)的一系列研究报告对结合网络行为分析的网络管理的发展情况进行了研究,报告认为,行为分析为网络管理员提供了一种新的技术手段,同时增强了内网网络管理的能力。本文提供了基于策略优先级的用户行为管理功能,可以按照策略的优先级进行排序,当策略间发生冲突时,高优先级的策略可以覆盖低优先级的策略,避免了由于策略冲突导致管理失效的问题。

(2)基于网络场景的管理策略

网络场景策略指计算机处于不同网络环境下应用不同的安全策略。通过定义不同的时间场景、网络场景结合控制策略和安全域规则可以对全网精确控制,操作更灵活。

(3)基于用户账户的策略管理

将所有相同安全级别的客户端计算机归入同一虚拟的安全域中,并应用相同的安全策略对其进行管理。提供用户的身份鉴别机制,并能根据不同的用户身份使用不同的安全策略对网络进行更细致的安全管理。

(4)基于在线、离线状态的策略管理

对于外设和端口管理,允许管理员分别设置在线和离线两种管理策略。在线策略在客户端和服务器能够通信时生效,离线策略在客户端无法和服务器通信时生效。两种策略的设置可以不同,并且策略的切换和生效是自动完成的,无须管理员和用户参与。

3 总结

本文构建的内网安全管理系统将内网安全监视、内网安全管理、内网报警管理、软硬件资产管理、补丁和软件分发、远程桌面管理等功能有机地结合在一起,实现了网络安全、网络管理、网络维护三位一体的立体化管理。为解决内部信息泄密问题提供了良好的技术手段和完善的解决方案。

参考文献

[1]郑元庆,赵志文,刘常.基于IFS的文件访问控制技术研究与应用[J].信息安全与通信保密.2009.

[2]George Hamiltom.Adjust Your Behavior:Network Mangerment Incorporates Behavioral Analysis Optimize Performance.American:Yankee Group.August2007[DB/OL].http://www.bradreese.com/yankee-group-network-behavior-market.pdf.

[3]Yankee Group.Network Behavioral Analysis Optimizes the Enterprise Network for the Busisness.American:Yankee Group.January.2007.http://www.yankeegroup.com.

内网安全管理软件浅析 篇8

目前, 大部分的企业或机关单位都组建了内部的局域网, 实现了资源共享, 在方便信息传递的同时, 极大地提高了工作效率。然而内网开放共享的特点, 使得分布在各台主机中的重要信息资源处于一种高风险的状态, 内部信息泄露已经给许多企业单位带来了巨额的损失。然而问题的解决除了加强内部网络管理, 加强内网安全制度建设之外, 也要辅助于相应的工具。

1 什么是内网安全管理软件

内网安全管理软件是一种基于内网安全和可信计算机理论而开发的软件产品, 主要功能是辅助内网管理和保障内网信息安全。可分为两类, 第一类针对性比较强, 功能单一。如专门针对内网终端I/O管控的软件或专门用于网络身份认证的软件。第二类为综合管理软件, 功能较为强大。其功能涵盖认证、加密、监控、审计、管理信息安全需求的各个方面, 能够满足全方位的内网管理需求。由于市场需求的变化, 产品性价比等原因, 第一类软件已经变的越来越少, 第二类却越来越成熟, 市场热度也越来越高。本文中的内网安全管理软件主要是第二类。

2 需求分析

根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过85%的安全威胁来自公司内部, 在损失金额上, 由于内部人员泄密导致了6056.5万美元的损失, 是黑客造成损失的16倍, 是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查, 信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪, 而非病毒和外来黑客引起。这些安全威胁不是防火墙、入侵检测和防病毒等传统安全手段所能解决的。应该看到信息安全要立足于终端, 从源头抓起, 才能从根本上解决安全问题。

2.1 内网系统化管理需求

内网的网络管理是对内网硬件、软件和人力的使用、综合与协调, 以便更好利用网络, 保障网络正常的运行。具体包括流量控制, IP地址管理, 进程防护, 防病毒防护, 补丁安装防护, 网页过滤等等。随着企业对内部网络重视度加强, 内网网络用户的也不断增加, 如何统一管理用户, 合理分配硬软件网络资源成为网络管理部门重要的任务。由于计算机网络的一些特性, 这些工作的工作量会随着用户的不断的增加成倍增长。如静态分配IP地址时会出现IP地址冲突的状况, 而且用户越多出现IP地址冲突的几率就会加大。如果没有相应的辅助管理工具, 势必会带来安全隐患和造成网络混乱。

2.2 内网层次化管理需要

内网层次化管理, 较大的企业与事业单位部门繁多, 不同的部门信息安全的级别及对网络资源的需求是不同的, 如科技研发, 财务等单位的要害部门, 是最容易受到攻击的部门, 同时又是对网络资源需求最多的部门, 因此就要对这些部门赋予有别与其他部门的网络访问权限及安全管控。而一些安全级别相对较低的部门则不需。因此出现了不同层面的网络管理需求, 这种需求通过内网安全管理软件能够很好的实现。

2.3 内网终端信息安全需求

如前文所述, 网络信息安全风险主要来源于内网终端, 因此终端管控就成保障信息安全的重要工作。如何防范网络入侵, 如何预防用户主动或被动信息流失, 计算机资产的管理, 移动存储介质的管理, 计算机接入控制, 系统账号监控, 终端行为管理, I/O接口管理等等。终端管控复杂而重要, 单单依赖网络管理员及用户本身是难以实现的。

2.4 与硬件防护互补、替代需求。

同样存在一些硬件网络安全产品, 如防火墙、硬件还原卡等等。一些网络硬件设备也提供较为单一的安全防护功能, 如路由器的访问控制列表, VPAN及交换机的VLAN等等。这些硬件产品虽然能够对内网实施一定限度的保护但功能不够完善, 同时操作起来也比较复杂。内网安全管理软件能够很好的与硬件网络安全产品互补, 而功能更加强大, 部署更加灵活的特点使其取代了大部分硬件安全产品。

3 内网安全管理软件功能特性

3.1 内网安全软管理软件功能

前文我们提到内网安全管理软件功能涵盖认证、加密、监控、审计、管理信息安全需求的各个方面, 具体可细分如下;

认证:网络接入认证、各种移动存储设备接入认证;

监控:网络非法接入和外联监控、设备监控、文件监控、打印监控、进程服务监控、共享监控、软件监控;

存储:文件的本地安全加密存储、USB存储设备安全加密存储、文件网络加密存储、文件授权使用;

审计:用户对应用访问情况的审计、网络接入情况的审计、移动存储设备的接入审计、各种监控日志的审计;

管理:用户管理、IP地址管理、资产管理、软件管理、软件补丁管理和下发、分权管理;

这些功能基本上可以满足内网安全全部需求, 不同的内网安全管理软件在功能, 和功能表述上可能略有不同, 但大同小异。

3.2 内网安全软管理软件特性

大部分的内网安全管理软件都采用了模块化设计即将上述软件的各个功能模块化。顾客在购买软件时可以有选择性的购买需要的功能模块, 在购买软件后可以根据实际使用情况开启或关闭任意一项功能, 网络管理员可以根据不同的网络安全需求任意组合在终端加载这些功能模块。正是这种特性, 使得内网安全管理操作性更强, 管理手段更加多样化, 管理层次化更强, 安全性也更强。下图是某内网安全软件模块化设计示意图。

3.3 内网安全管理软件的部署结构

内网安全管理软件主要分三个部分部署:受控终端, 总控制服务器, 管理员控制台。具体部署结构如下图:

4 结束语

不可否认内网管理软件仍有许多需要解决的问题, 如与硬、软件的兼容问题, 占用终端系统资源的问题, 会给用户带来工作上的不便, 等等。然而内网安全问题的不断突现, 网络系统化管理需求的不断增加, 使得内网安全管理软件的使用已经势在必行。相信随着企业用户者不断的问题反馈与与内网安全管理软件的开发者不断的改进的良性互动, 内网安全管理软件将越来越完善, 将成为内网信息安全与网络管理的重要手段。

参考文献

[1]金波, 张兵, 王志海.内网安全技术分析与标准探讨.信息安全与通信保密.2007.

企业内网安全管理策略研究 篇9

内网安全理论的提出是相对于传统的网络安全而言的。在传统的网络安全威胁模型中,假设内网的所有人员和设备都是安全和可信的,而外部网络则是不安全的。基于这种假设,产生了防病毒软件、防火墙、IDS等外网安全解决方案,部署在内网和外网之间的边界,防外为主。这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。

但是,随着各单位信息化程度的提高以及用户计算机使用水平的提高,安全事件的发生更多是从内网开始,由此引发了对内网安全的关注。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。

美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究表明:超过80%的信息安全隐患来自组织内部,而大多数公司都没有设置相应的工具来监视和检测内部资源的使用和滥用。相对于外网安全来自互联网的威胁,内网安全的重点是数据和信息的安全,而这些数据和信息,才是企业真正有价值的资源。

2 企业内网安全隐患分析

现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带—企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。内网安全威胁主要包括如下几个方面:

2.1 网络病毒

目前企业内部网络系统受到最多的安全威胁来自计算机病毒,病毒的传播形式越来越复杂、传播的速度越来越快,影响范围越来越大,其造成的损失已不仅限于个人计算机系统,还可以造成服务器系统瘫痪、主干网络拥堵,甚至崩溃。在企业内部网络系统中存在网络病毒对邮件服务器及个人操作系统的破坏,以及网络病毒造成的网速变慢,系统无法正常响应等情况,并且在病毒发作时不能及时处理,难以快速发现被病毒感染机器的IP地址。

2.2 非法入侵

网络黑客对内部网络系统的攻击随时都可能发生。因此,通常首要考虑的问题是如何有效地防范来自外部的攻击。来自外部的攻击通常只会影响采用合法IP地址的网络设备及服务器,或者说它们只对Internet上的可见设备进行攻击。但是这并非就意味着网络内部采用保留IP地址的网络就不会受到攻击。企业内部网络规模较大,网络用户较多,安全系统参差不齐,缺乏统一有效的控制手段。因此,在考虑外部入侵的同时,也要考虑来自Intranet内部的安全威胁。

2.3 系统安全漏洞、补丁修补不及时

随着各类网络和操作系统软件的不断更新和升级,由于边界处理不善和质量控制差等综合原因,网络和系统软件存在越来越多的缺陷和漏洞,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标和有利条件。网络入侵行为的成功大多是利用了网络系统的安全漏洞,这些漏洞包括安全管理的漏洞、操作系统的漏洞、数据库系统的漏洞、应用系统的漏洞、网络管理的漏洞等。如果不及时修补补丁,其相关的漏洞就可能会被随之而来的攻击手段所利用,给整个计算机网络的安全性带来威胁。在实施网络安全策略时,很重要的一步就是查清各种漏洞并及时弥补。在上述所有漏洞中,操作系统漏洞及数据库系统漏洞多被外部黑客所利用,而来自内部的黑客则可能利用所有的漏洞。

2.4 IP地址管理和非法内联外联问题

企业内部网络由于没有严格的管理策略,IP地址使用存在一定混乱,部分员工随意设置IP地址,造成IP地址冲突,甚至导致关键设备的工作异常。一旦出现恶意盗用、冒用IP地址以谋求非法利益,后果将更为严重。

另外企业办公楼层规模化的网络接口方便了员工接入网络,同时也方便了外来计算机接入网络,接入内网的计算机应该是专门用于完成业务工作且经过认可的计算机。但是存在着用户利用这些计算机设备进行其它活动,或使用未经确认许可的计算机接入内网,管理人员对此类情况难以判定并加以监视和控制,造成内网安全的极大隐患。

随着企业信息化工作的开展和不断深化,越来越多的企业信息通过网络沟通、共享和保存。这些信息和数据既包含业务数据,也包括财务凭证、报表以及人事档案资料、公司内部公文,还包括合作伙伴的结算信息。这些信息有些是供电企业的行业机密和商业机密,有些用于企业的规范管理,有些用于辅助决策,它们对企业的生存和发展起到至关重要的作用。因此,管理信息系统的安全保密性成为系统开发中必须着重考虑的问题。这些机密数据和文件的外泄,造成的影响和危害非常严重,由于部分特定行业的特殊性,其造成的危害往往还涉及到国家的利益,因此严禁涉密网络和专有网络与Internet互联。

2.5 缺乏有效监控措施

目前一般企业内部网络与因特网之间采用物理隔离的安全措施,在一定程度上保证了内部网络的安全性,但是各类网络基础信息采集不全。大型计算机网络的管理应该以基础信息的管理为核心,信息管理中心如果对所管辖网络的用户和资源状况难以掌握,对整个网络的管理工作也就无从谈起,在发生违规事件时也很难及时将问题定位到具体的用户。网络安全存在着“木桶”效应,整个网络安全的薄弱环节往往出现在终端用户,单个用户计算机的安全性不足,时刻威胁着整个计算机网络的安全。常见的防火墙、入侵检测等系统主要针对的是网络运行安全,对于终端用户的监控始终是网络安全管理中的薄弱环节,对网络内部的安全威胁缺乏防护、监控和审计机制。

3 企业内网安全管理策略

企业内网安全管理策略能够极好地解决网络内部网络的安全管理问题,通过对终端节点进行严防死守,对网络层面进行系统联动,对内网平台进行整合管理,从而为企业提供一个自防御的内网安全管理平台,为网络管理员展现一个安全的、易使用的环境,帮助企业解决大量的内网安全隐患问题。

3.1 资产管理

资产管理模块自动收集被管理的计算机全面的软硬件信息,包括:计算机名、品牌、硬盘型号及大小、CPU、内存等配置信息;此外,还能定义包含合同采购保修在内的全面资产维护信息及使用者状态,自动收集计算机安装的各种应用软件,并根据需要动态导出管理报表。

3.2 进程管理

网络聊天软件、股票软件、网络电影软件等现象在办公室蔓延令许多管理者头痛,通过进程管理模块,能实时监控与查杀企业内部任何计算机当前运行进程,并通过黑白名单功能切实保障非法进程无法运行,此外还能对特殊进程设置详细说明信息,使计算机只运行指定的应用程序,规范桌面应用程序环境。

3.3 补丁管理及软件分发

不同版本的操作系统,不同应用软件专用补丁,庞大的计算机数量,仅仅依靠着网络维护管理人员手工安装的解决办法,只能让网络维护管理人员疲于奔命。系统补丁自动管理功能为补丁的自动安装及升级提供了解决方案;此外,通过系统软件分发功能,可以定制分发任务,从而极大地提高工作效率。

3.4 网络访问管理

网络访问管理可以部署企业内部计算机的网络访问规则,只允许或禁止某些计算机访问特定的资源。例如一般员工不能访问部门领导级的计算机资源、不能访问内部重要数据服务器等;另外,可以限制员工只能使用某些网络,或者只允许或禁止某些端口,从而合理地规划内网计算机的网络资源访问。

3.5 远程维护管理

企业跨楼层、跨地域的内部网络使得维护工作越来越繁琐。远程维护模块基于Java组件的实现方式,通过Internet Explorer浏览器让网络维护管理人员对计算机桌面远程接管,并且能提供连接时限的设置和分级授权等功能让远程维护管理省时省心。

3.6 外设管理

针对企业内的一些特殊业务要求,网络维护管理人员必须全部或部分禁止外部设备,相比较于对计算机进行硬件拆卸、外设端口贴封条的传统方法,内网安全管理解决方案的外设管理功能通过USB存储设备的控制策略、USB接口的键盘鼠标等输入设备例外管理策略及各种光驱、软驱等驱动器的控制策略完美地解决了上述问题。

3.7 桌面设置管理

由于非法修改IP地址,而造成网络冲突和网络安全隐患。针对此种情况,桌面设置功能提供是否允许管理共享控制、开Guest账号及自动登录等功能,并通过IP地址与计算机绑定功能,实现IP地址和网卡MAC地址的捆绑,机器就无法再更改IP地址,有效地控制网络内计算机的网络行为。

3.8 系统预警管理

如何进行全方位的系统预警是企业信息安全非常重要的一环。预警管理功能可以定义异常事件并及时向网络维护管理人员进行警告,它提供对一些特殊TCP/UDP端口访问的告警及非法外联警告,让网络维护管理人员实时地了解每台计算机的系统状态,及时地掌握网络数据,从而有充分的准备来应付可能的突发事件。

3.9 接入安全控制

企业越来越难以在保持网络资源可用性的同时确保企业网络的接入安全,接入安全控制功能提供了对非法接入计算机、卸载关键软件等进行了阻断或重定向等管理手段,使企业业务数据不轻易泄露,对私自改变IP地址和安装非法软件等安全隐患进行更加有效的预防。

4 结束语

网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施,必须从网络、计算机操作系统、应用业务系统甚至系统安全管理规范、使用人员安全意识等各个层面统筹考虑。内网安全问题在安全体系中是至关重要的环节,解决内网安全问题必须从规划内网资源、规范内网行为、防止内网信息泄露等多方面入手,构建有效的企业内网安全管理策略,这样才能真正保证整个网络系统的安全。

参考文献

[1]叶代亮,孙钰华.内网的安全管理[J].计算机安全,2006.1.

[2]宁洁.内网安全建设的问题分析与解决方案[J].网络安全技术与应用,2006.10.

[3]宋弘,薛雯波.构建内网安全体系的几个要点[J].计算机与网络,2005.18.

[4]马先.信息网络安全防护分析[J].青海电力,2006.3.

[5]王为.内部网络中客户端计算机安全策略[J].计算机安全,2006.10.

[6]刘晔,彭宗勤,吴德志.浅论威胁企业网络信息安全的因素及防范对策[J].集团经济研究,2007.5.

[7]王迎新,牛东晓.电力企业网络信息安全管理研究[J].中国管理信息化(综合版),2007.3.

[8]张一新.网络信息安全风险及需求分析[J].水利水电技术,2007.5.

浅析企业内网安全及规范管理 篇10

目前企业内网普遍存在的安全隐患有很多, 员工私自使用移动存储外设 (U盘) 或非法外联 (3G、WIFI等) , 计算机可以随意接入内网, 无论是非法访问内部终端计算机还是重要服务器, 都带来严重的安全隐患;可能导致网络运行不稳定, 重要文档、资料的流失;内部存在电脑不及时升级系统补丁, 导致病毒木马有隙可入, 屡杀不绝, 造成企事业内部网络运行不稳定, 甚至影响正常办公;由于缺乏可视化管理平台, 计算机网络的实时运行情况在相当大程度上, 对网管人员而言, 还是一个“黑箱子”, 因此, 对于很多网络故障, 只能处于被动的事后手工救火, 严重影响工作质量和工作效率;对重要部门的计算机非授权访问或对重要服务器非授权访问, 可能导致重要数据的泄漏或服务器的故障;信息安全策略不明确或很难保持网络安全, 出现变更要求时, 很难及时实施调整, 导致医院的信息安全策略不能起到应有的作用;桌面终端需要单独进行安全策略配置, 计算机分布在各部门, 现场维护效率低;员工工作时间的非上网行为, 严重降低工作效率, 并且可能成为安全事故的诱因, 因此, 需要有效的技术手段规范员工的计算机使用行为;一旦核心交换机的账号密码被泄密, 那么整个内网的情况就很容易被暴露, 如果是恶意行为, 一个病毒便可以使整个网络瘫痪。

如何建立一个安全、可靠、高效、可控和持续性全方位的安全体系, 保障系统安全稳定运行, 规范网络安全管理是亟待解决的问题。目前企业内网的规范管理, 需要建立和健全管理体系, 通过使用相关的技术软件, 如防火墙、杀毒软件、入侵检测产品, 考虑使用内网安全保护系统。通过第三方软件检测终端客户机的系统漏洞, 并自动分发补丁;检测杀毒软件是否更新到最新版本, 并自动下载并更新, 这些客户端的安全威胁着整个网络的正常运作。

对内网终端进行监控和审计, 做到内网安全管理上的“事前预防、事中控制、事后溯源”。可针对性地采取一些预防措施, 如对入网计算机首先进行合法性检查, 非法计算机或未制授权计算机无法进入网络使用网络资源, 建立接入内网审核登记制度, 机房核心及专用网络设备, 不得擅自进入信息管理, 机密文件预防外涉。

对内网新增加的客户机验收审核, 服务器定期检查, 数据库定期备份, 应急处理机制, 灾难备份与恢复。建立对内网设备如精密空调、UPS、交换机、路由器等网络运行的主要设备进行定期的巡检维护。建立人员管理制度, 对主机房温度登记, 机房的监控、人员的出入登记, 系统帐号、权限的变更、设备的变更。

通过在网络边界安装防火前墙, 划分VLAN, 可在一定程度上禁止病毒的传播。通过运维管理平台第三方软件, 必须安装指定的杀毒软件并升级到最新版本, 安装必要的操作系统等安全类补丁, 集中对全网计算机做配置, 禁止使用U盘和移动硬盘等存储类设备进行全面授权的管理;建立实名制管理平台, 对网络静态配置、动态资源运行情况实时监控;定期维护及检查事件报告, 定期查看日志库;从网络准入、外联、外设、系统漏洞等多方面做好安全保障, 保障用户办公内网成为真正封闭的安全内网;通过规范网络配置、充分发挥杀毒软件功效、细化网络资源分配和有效的行为管理, 从而保障网络的稳定运行;实现一个可视化的资产管理平台, 自动收集软硬件清单;资产统计报表;资产变更报警及统计;可实时了解及统计企事业内部目前的计算机数量及计算机的详细配置清单;能及时阻止非法入侵, 企图非法访问网络, 提供授权机制;信息中心的网络维护工作及时、高效, 特别是可以快速准确地定位和排除网络故障, 大大缩短误工时间, 降低运维成本。

结束语

计算机网络给人们带来便捷的同时也带了隐患, 计算机网络发挥出其更大的作用, 人们必须对这些隐患采取一定的措施来进行防止。引起计算机网络安全问题的因素不同, 所采取的防范策略也不同, 因此, 防范策略的实施和运用也不要盲目, 否则不仅没有缓解网络安全问题, 反而使得网络安全问题更加严重, 人们受到更大的危害。

参考文献

[1]张敏波.网络安全实战详解 (企业专供版) .电子工业出版社.2008