3.3.4客戶端反卸載功能

    終端計算機客戶端代理具有自我保護功能，可以防止客戶端用戶隨意卸載、停止代理或者刪除代理的安裝目錄下文件。管理員必須有卸載口令才能對客戶端進行卸載操作，而且卸載口令可以動態變化并下發到終端上。

    即使終端客戶通過格式化系統盤并重裝操作系統來卸載客戶端，系統也可以通過與網絡準入控制功能的聯動來實現對該終端的強制控制，當終端再次接入內網后，網絡準入控制系統會自動把該終端劃到訪客區中，該終端必須重新安裝客戶端來實現進入網絡。

    3.3.5終端安全策略管理

    系統可以對客戶端操作系統漏洞進行掃描，包括是否存在弱口令賬號、是否啟用Guest賬號、賬號口令是否很長時間沒有修改、是否存在已知的黑客程序、是否安裝了違禁軟件、是否未安裝必須安裝的軟件如防病毒軟件、是否啟用違禁進程等。所有這些漏洞信息都會在客戶端按如下界面顯示，提醒用戶自己機器存在的安全漏洞，并且也會通知管理員。

    系統可以設置雙向防火墻策略來限制客戶端的網絡訪問。包括可以設定客戶端向外提供的網絡服務、客戶端可以訪問的網絡服務。通過黑名單、白名單的方式來制定終端的網絡訪問控制策略。

    系統可以通過白名單、黑名單方式定義違禁軟件，這些違禁軟件被運行時可以產生告警事件通知管理員，或者直接禁止違禁軟件的使用。

    利用網絡行為審計功能實現終端用戶上網行為審計和控制，包括：通過白名單和黑名單，審計和控制Web網站的訪問，可以禁止終端用戶訪問一些非法Web網站；通過白名單和黑名單，審計和控制通過POP3和SMTP服務器收發郵件，可以禁止終端用戶通過外部郵箱收發郵件；對文件拷貝進行審計和控制；對MSN、QQ等聊天軟件的使用進行審計和控制，可以禁止某個時間段內使用這些聊天工具；對BT、電驢等P2P軟件的使用進行審計和控制，可以禁止這些P2P軟件的使用。

    3.3.6網絡異常監控

    系統客戶端能夠自動抵御ARP網關欺騙和DHCP欺騙，能夠實現自動識別，并選用正確的網關MAC。當發現ARP網關欺騙時，能夠自動向管理員報警。因為網絡結構調整或者網絡設備升級原因而更換網關設備時，無需更改終端的配置，終端能夠自動適應，選擇新的網關MAC地址。

    3.3.7終端行為審計與控制

    系統可以實現局域網內終端計算機的個人行為審計，包括：U盤控制功能，實現U盤的讀寫控制；定義終端設備能夠通過哪些POP3和SMTP服務器收發郵件，禁止通過哪些POP3和SMTP服務器收發郵件，哪些需要進行審計；通過Web訪問控制，可以限制桌面終端用戶通過WebMail方式外傳文件，從而防止文件非法外傳；能夠對桌面終端用戶使用MSN/QQ等進行監控和管理，禁止其通過QQ/MSN外傳文件，也能夠防止桌面終端用戶通過文件共享和FTP等的方式外傳文件，從而保證了企業的核心機密數據不被泄漏。

    另外，補丁分發、軟件分發等功能較為簡單，就不再詳細描述。

    4 結束語

    隨著信息技術的不斷發展和進步，內網安全的管理也在不斷的發展。從最初的資產管理、補丁分發，到準入控制、設備加密、行為審計，再到數據防泄漏、透明加密，隨著技術的進步和內網安全理念的不斷深入發展，內網安全的建設也越來越全面，越來越成熟。

    目前，內網安全管理已經進入了整體防泄漏時代。準入控制和加密不能解決所有的問題，單純的行為審計也沒有任何意義。我們只有從企業信息安全管理的全局視角出發，對信息安全進行全方位、多角度的設計，統籌規劃、統一安排，全面整合利用準入控制、網絡監控、安全審計、權限管理、透明加密等多種手段，根據企業局域網內安全等級的不同，涉密級別的不同，部署級別不同、力度不一的梯度式防護系統，將管理、技術、審計、人員進行有機的結合，在企業內部構建一個立體化的整體安全網絡，才能實現真正意義上的內網安全。