【方案背景】

　　近年來，隨著網絡安全事件的頻頻發生，人們對外部入侵和互聯網的安全日益重視，但來自內部網絡的攻擊卻愈演愈烈，內網安全成為企業管理的隱患。信息資料被非法泄露、拷貝、篡改，往往給各行業企事業單位造成重大損失。而如何使用內部網絡始終處于安全、可靠、保密的環境之下運行，幫助企業各類業務統一優化、規范管理，保障各類業務正常安全運行等一系列的問題困擾著各行業事業單位的IT部門。

　　【用戶現狀】

　　資產管理失控

　　在現代化大型企業中，擁有數以百計的客戶端等IT資產是常見的事情。由于客戶端分布分散，資產統計與維護十分困難。另外企業為員工提供的軟硬件資產是要求員工在工作的環境下，為企業創造價值，可是很多員工卻把這些資產濫用，甚至挪為私用，管理不善的筆記本、CPU、內存，甚至網卡、主板、硬盤都被使用者更換掉，導致不必要的信息數據泄露。如何對企業中的所有軟硬件IT資產進行全面統計與管理？

　　外接設備濫用

　　市場戰略規劃、產品價格體系、自主研發的核心技術等商業機密成為企業目前關注的重點。如何保證企業數據信息的安全性，降低安全風險，這些問題亟待解決。同時公司的軟驅、光驅、USB、并口、串口等各種外部存儲設備濫用帶來的一系列信息安全隱患，增加商業機密外泄機率，如何對網內計算機各種外接設備進行控制，并防止利用移動存儲設備進行數據文件的拷貝？

　　補丁管理混亂

　　每隔一段時間微軟發布修復系統漏洞的更新，但很多終端用戶不了解系統補丁狀態，不及時使用這些更新修復系統（打補丁）。網絡規模越來越龐大，網絡管理員要保證每臺終端及時全面的安裝響應更新，統一進行補丁的下載、分析、測試和分發，工作量很大且很難實現。從而為蠕蟲與黑客入侵保留了通道。如何發現客戶端設備的系統漏洞并自動分發補丁？

　　病毒蠕蟲入侵

　　由于補丁更新不及時，網絡濫用、移動設備（如筆記本電腦）和新增設備未經過安全檢查和處理非法接入等因素導致內網病毒泛濫、黑客入侵、網絡阻塞、數據損壞丟失等不安全因素，而且無法找到災難的源頭以迅速采取隔離等處理措施，給我們的內網安全帶來了巨大的隱患，從而為正常業務帶來災難性的持續影響。

　　違規上網行為

　　"水能載舟亦能覆舟"互聯網在幫助企業提高生產力、促進企業發展，并為我們的生活與工作帶來便捷性的同時也帶來很多安全隱患；而企業內部卻存有各種與工作無關的非許可性上網行為現象，如泡論壇、寫博客、在線聊天、發私人郵件、甚至長時間訪問非法網站等已經司空見慣。然而信息的機密性、健康性、政治性等問題也隨之而來。

　　網絡流量異常

　　P2P下載、看電影、玩游戲、炒股票以及訪問如色情、賭博、病毒等具有高度安全風險的網頁，企業員工于互聯網上的應用可謂五花八門，如果員工長期沉迷于這些應用，在成為企業生產效率的巨大殺手的同時，都在搶占著有限的帶寬資源，并可能造成網速緩慢、信息外泄的可能。面對日益緊張的帶寬資源，若無法了解客戶端流量應用信息，一旦發生流量異常，IT運維人員無法及時了解流量異常情況。

　　IP地址隨意更改

　　企業網絡中由于用戶原因造成使用管理混亂；網管人員無法知道IP地址的使用、IP同MAC地址的綁定情況以及網絡中IP分配情況；沒有嚴格的管理策略，員工隨意設置IP地址，可能造成IP地址沖突、關鍵設備發生異常。若出現惡意盜用、冒用IP地址以謀求非法利益，后果將更為嚴重。如何防止單位內部員工私自更改個人電腦的IP地址和MAC地址上網，導致與其它員工的IP沖突，從而保證企業員工的正常辦公？

　　安全設備成擺設

　　為了保障企業網絡安全，"堵漏洞、砌高墻、防外攻、防內賊，防不勝防"，防火墻越"砌"越"高"，入侵檢測越做越復雜，病毒庫越來越龐大，身份系統層層設保，卻依然無法應對層出不窮網絡安全威脅，難道那么多安全產品都是擺設？企業已有如防火墻、IDS入侵檢測系統、防病毒系統、網閘、加密系統等各種安全設備，但是各自為政，無法協同工作，導致單獨系統的信息孤島。如何真正的保障業務系統的安全，并將各種安全設備進行綜合管理？

　　【解決方案】

　　全面的資產管理

　　網強桌面管理系統高級版（以下簡稱：PC Master）能夠自動探測當前網絡中的所有機器，記錄各計算機的IP地址、計算機名、MAC地址、網卡型號和生產廠商、計算機所在域、操作系統等主要硬件信息，已安裝客戶端的主機還可以獲取CPU串號/型號、內存容量、硬盤串號/容量、光驅型號、USB連接信息以及BIOS信息等主要硬件信息。網絡管理員可以按照客戶機、服務器、網絡設備以及設備所屬部門等將所有設備進行分類管理，可以定義各主機使用者的用戶信息，并可對該主機進行IP地址、MAC地址、關鍵硬件以及交換機端口等信息的綜合綁定，當主機信息發生改變時可以自動向管理員報警，有效防止硬件資產的流失。另外PC Master能夠自動探測網絡中的所有計算機所安裝的軟件信息，如可以查詢統計網內盜版、游戲等非法軟件的安裝使用情況以及防病毒軟件等指定軟件的安裝使用情況，對使用盜版軟件、游戲軟件或未按要求安裝防病毒軟件的客戶機可以采取警告、隔離等措施等。

　　外部存儲設備管理

　　PC Master能夠對所有安裝客戶端主機的外接設備進行統一的管理，網絡管理員只需在控制中心進行相應的配置即可控制這些主機是否允許其使用諸如USB接口、并口、串口、紅外、藍牙、光驅、軟驅等外接設備。不僅如此，PC Master還可以通過對移動存儲設備進行注冊、授權及審計。首先，通過識別U盤的惟一串號來進行U盤的注冊，未經注冊的U盤接入授權使用網絡內一律禁止其使用，防止普通U盤所攜帶病毒的侵入；對于已注冊過的U盤，帶到授權使用網絡外，也一律禁止其使用，以防止網內重要信息的外泄。其次，通過U盤授權策略，可以精確指定某個U盤只能在指定的某臺計算機上使用，或者指定的范圍內使用，在授權范圍內，U盤的使用不受任何影響，超出授權范圍，U盤的使用將會被嚴格禁止。最后，局域網內計算機上進行的任何 U盤文件操作  （包括新建、修改、復制、刪除等）都會被記錄，用于審計以便于管理員隨時進行安全性檢查。

文章作者：網強