3.1.2分級/分組保護原則

    對信息系統(tǒng)分類，不同對象定義不同的安全級別，首先要保障安全級別高的對象。

    3.1.3全局性原則

    解決安全問題不只是一個技術問題，要從組織、流程、管理上予以整體考慮、解決。

    3.2 內網(wǎng)安全建設架構

    企業(yè)的內網(wǎng)安全系統(tǒng)建設應建立一個統(tǒng)一的集成化的管理平臺，有整體的終端安全視圖，呈現(xiàn)整個計算機網(wǎng)絡系統(tǒng)中所有終端設備的安全運行狀況。管理員不僅可以看到終端安全的運行狀況，終端的安全設置，也能夠看到終端的軟件配置、硬件配置、終端的物理位置等信息。

    通過統(tǒng)一的集成化的管理平臺，管理員可以完成所有與終端安全管理維護相關的各種任務，包括用戶身份認證，網(wǎng)絡準入控制管理，網(wǎng)絡拓撲發(fā)現(xiàn)及設備快速定位，終端安全策略設置（主機安全漏洞策略、防病毒安全策略、非法外聯(lián)策略、網(wǎng)絡訪問審計策略等），網(wǎng)絡異常監(jiān)控，移動介質管理，終端軟件及補丁管理，終端的遠程管理和維護，終端資產管理等多個方面。

    3.3 安全功能模塊

    3.3.1準入控制管理

    系統(tǒng)對于非法進入企業(yè)內網(wǎng)的終端進入進行監(jiān)控與管理。管理員將網(wǎng)絡資源劃分為不同的區(qū)域以便不同的終端訪問不同區(qū)域的網(wǎng)絡資源：訪客區(qū)、修復區(qū)和正常工作區(qū)。劃分方式可以是VLAN或者基于IP的訪問控制列表。通過網(wǎng)絡準入控制杜絕非法外來電腦接入內部網(wǎng)絡；同時將有問題的客戶機隔離或限制其訪問，直到這些有問題的客戶機修復為止，這樣，一方面可以防止這些客戶機成為蠕蟲和病毒攻擊的目標，還可以防止這些主機成為傳播病毒的源頭。

    對于非法主機，系統(tǒng)可以主動阻止其訪問任何網(wǎng)絡資源，從而保證非法主機不對網(wǎng)絡產生影響，無法有意或無意的對網(wǎng)絡進行攻擊或者試圖竊密。

    3.3.2網(wǎng)絡拓撲發(fā)現(xiàn)及IT資產管理

    通過二層拓撲發(fā)現(xiàn)功能可以發(fā)現(xiàn)網(wǎng)絡中的所有IT設備，包括網(wǎng)絡設備、主機設備、網(wǎng)絡打印機、終端設備等。實現(xiàn)跨網(wǎng)絡、跨路由發(fā)現(xiàn)設備，支持不同廠商網(wǎng)絡設備混合構建的異構網(wǎng)絡設備發(fā)現(xiàn)。通過二層拓撲發(fā)現(xiàn)，能夠獲得網(wǎng)絡設備之間、主機和網(wǎng)絡設備之間的物理連接關系，獲得設備的基本信息如IP地址、MAC地址、設備名、在線

    利用局域網(wǎng)終端計算機代理客戶端的安裝，系統(tǒng)可以自動終端詳細的軟硬件配置信息，包括CPU、主板信息、內存信息、硬盤信息、光驅信息、網(wǎng)卡信息、外設信息、操作系統(tǒng)信息等各種計算機系統(tǒng)信息。同時，系統(tǒng)可以自動收集分析終端計算機安裝的軟件信息，包括安裝的軟件名、軟件廠商、版本、語言、安裝日期等。

    通過上述技術，管理員可以可以快速發(fā)現(xiàn)接入網(wǎng)絡的所有設備（無需準入控制），無論接入網(wǎng)絡的終端是否安裝個人防火墻，均可以對其快速發(fā)現(xiàn)并予以定位，實現(xiàn)企業(yè)局域網(wǎng)設備的實時監(jiān)控。系統(tǒng)智能實現(xiàn)自動監(jiān)測系統(tǒng)軟硬件資產的變動，記錄日志并可以產生報警，同時可以根據(jù)策略自主采用響應措施，防止資產變更給客戶端或者網(wǎng)絡帶來更大的危害。

    3.3.3移動介質管理

    移動介質的管理一直是企業(yè)IT管理中的難點，也是最容易出現(xiàn)安全問題的設備，對移動介質的管理主要在以下幾點上進行控制：外部的或非法的移動存儲設備不能隨意的進入IT系統(tǒng)，必須經過一個安全的注冊認證流程來實現(xiàn)對管理；經過注冊的內部移動存儲設備的使用要進行監(jiān)管，未經授權無法到外部使用，進行加密存儲；為了防御移動介質的自運行程序，在使用移動介質時，無法運行移動介質中的可執(zhí)行程序；對移動介質的文件傳輸進行審計或禁止。