【方案背景】

　　近年来，随着网络安全事件的频频发生，人们对外部入侵和互联网的安全日益重视，但来自内部网络的攻击却愈演愈烈，内网安全成为企业管理的隐患。信息资料被非法泄露、拷贝、篡改，往往给各行业企事业单位造成重大损失。而如何使用内部网络始终处于安全、可靠、保密的环境之下运行，帮助企业各类业务统一优化、规范管理，保障各类业务正常安全运行等一系列的问题困扰着各行业事业单位的IT部门。

　　【用户现状】

　　资产管理失控

　　在现代化大型企业中，拥有数以百计的客户端等IT资产是常见的事情。由于客户端分布分散，资产统计与维护十分困难。另外企业为员工提供的软硬件资产是要求员工在工作的环境下，为企业创造价值，可是很多员工却把这些资产滥用，甚至挪为私用，管理不善的笔记本、CPU、内存，甚至网卡、主板、硬盘都被使用者更换掉，导致不必要的信息数据泄露。如何对企业中的所有软硬件IT资产进行全面统计与管理？

　　外接设备滥用

　　市场战略规划、产品价格体系、自主研发的核心技术等商业机密成为企业目前关注的重点。如何保证企业数据信息的安全性，降低安全风险，这些问题亟待解决。同时公司的软驱、光驱、USB、并口、串口等各种外部存储设备滥用带来的一系列信息安全隐患，增加商业机密外泄机率，如何对网内计算机各种外接设备进行控制，并防止利用移动存储设备进行数据文件的拷贝？

　　补丁管理混乱

　　每隔一段时间微软发布修复系统漏洞的更新，但很多终端用户不了解系统补丁状态，不及时使用这些更新修复系统（打补丁）。网络规模越来越庞大，网络管理员要保证每台终端及时全面的安装响应更新，统一进行补丁的下载、分析、测试和分发，工作量很大且很难实现。从而为蠕虫与黑客入侵保留了通道。如何发现客户端设备的系统漏洞并自动分发补丁？

　　病毒蠕虫入侵

　　由于补丁更新不及时，网络滥用、移动设备（如笔记本电脑）和新增设备未经过安全检查和处理非法接入等因素导致内网病毒泛滥、黑客入侵、网络阻塞、数据损坏丢失等不安全因素，而且无法找到灾难的源头以迅速采取隔离等处理措施，给我们的内网安全带来了巨大的隐患，从而为正常业务带来灾难性的持续影响。

　　违规上网行为

　　"水能载舟亦能覆舟"互联网在帮助企业提高生产力、促进企业发展，并为我们的生活与工作带来便捷性的同时也带来很多安全隐患；而企业内部却存有各种与工作无关的非许可性上网行为现象，如泡论坛、写博客、在线聊天、发私人邮件、甚至长时间访问非法网站等已经司空见惯。然而信息的机密性、健康性、政治性等问题也随之而来。

　　网络流量异常

　　P2P下载、看电影、玩游戏、炒股票以及访问如色情、赌博、病毒等具有高度安全风险的网页，企业员工于互联网上的应用可谓五花八门，如果员工长期沉迷于这些应用，在成为企业生产效率的巨大杀手的同时，都在抢占着有限的带宽资源，并可能造成网速缓慢、信息外泄的可能。面对日益紧张的带宽资源，若无法了解客户端流量应用信息，一旦发生流量异常，IT运维人员无法及时了解流量异常情况。

　　IP地址随意更改

　　企业网络中由于用户原因造成使用管理混乱；网管人员无法知道IP地址的使用、IP同MAC地址的绑定情况以及网络中IP分配情况；没有严格的管理策略，员工随意设置IP地址，可能造成IP地址冲突、关键设备发生异常。若出现恶意盗用、冒用IP地址以谋求非法利益，后果将更为严重。如何防止单位内部员工私自更改个人电脑的IP地址和MAC地址上网，导致与其它员工的IP冲突，从而保证企业员工的正常办公？

　　安全设备成摆设

　　为了保障企业网络安全，"堵漏洞、砌高墙、防外攻、防内贼，防不胜防"，防火墙越"砌"越"高"，入侵检测越做越复杂，病毒库越来越庞大，身份系统层层设保，却依然无法应对层出不穷网络安全威胁，难道那么多安全产品都是摆设？企业已有如防火墙、IDS入侵检测系统、防病毒系统、网闸、加密系统等各种安全设备，但是各自为政，无法协同工作，导致单独系统的信息孤岛。如何真正的保障业务系统的安全，并将各种安全设备进行综合管理？

　　【解决方案】

　　全面的资产管理

　　网强桌面管理系统高级版（以下简称：PC Master）能够自动探测当前网络中的所有机器，记录各计算机的IP地址、计算机名、MAC地址、网卡型号和生产厂商、计算机所在域、操作系统等主要硬件信息，已安装客户端的主机还可以获取CPU串号/型号、内存容量、硬盘串号/容量、光驱型号、USB连接信息以及BIOS信息等主要硬件信息。网络管理员可以按照客户机、服务器、网络设备以及设备所属部门等将所有设备进行分类管理，可以定义各主机使用者的用户信息，并可对该主机进行IP地址、MAC地址、关键硬件以及交换机端口等信息的综合绑定，当主机信息发生改变时可以自动向管理员报警，有效防止硬件资产的流失。另外PC Master能够自动探测网络中的所有计算机所安装的软件信息，如可以查询统计网内盗版、游戏等非法软件的安装使用情况以及防病毒软件等指定软件的安装使用情况，对使用盗版软件、游戏软件或未按要求安装防病毒软件的客户机可以采取警告、隔离等措施等。

　　外部存储设备管理

　　PC Master能够对所有安装客户端主机的外接设备进行统一的管理，网络管理员只需在控制中心进行相应的配置即可控制这些主机是否允许其使用诸如USB接口、并口、串口、红外、蓝牙、光驱、软驱等外接设备。不仅如此，PC Master还可以通过对移动存储设备进行注册、授权及审计。首先，通过识别U盘的惟一串号来进行U盘的注册，未经注册的U盘接入授权使用网络内一律禁止其使用，防止普通U盘所携带病毒的侵入；对于已注册过的U盘，带到授权使用网络外，也一律禁止其使用，以防止网内重要信息的外泄。其次，通过U盘授权策略，可以精确指定某个U盘只能在指定的某台计算机上使用，或者指定的范围内使用，在授权范围内，U盘的使用不受任何影响，超出授权范围，U盘的使用将会被严格禁止。最后，局域网内计算机上进行的任何 U盘文件操作  （包括新建、修改、复制、删除等）都会被记录，用于审计以便于管理员随时进行安全性检查。

文章作者：网强