張懷秀

[摘 要]目前，大部分企業(yè)都十分關(guān)注網(wǎng)絡(luò)安全防御問題，但將安全防御重點(diǎn)放在了網(wǎng)絡(luò)外部，如防火墻、安全審計等方面。而實際上，相關(guān)調(diào)查顯示，80%的網(wǎng)絡(luò)安全事件是由網(wǎng)絡(luò)內(nèi)部產(chǎn)生，由此可見，企業(yè)做好內(nèi)網(wǎng)安全管理工作十分重要。為做好內(nèi)網(wǎng)安全管理工作，企業(yè)通常都會選擇內(nèi)網(wǎng)安全管理系統(tǒng)，本文詳細(xì)介紹了內(nèi)網(wǎng)安全管理系統(tǒng)的主要架構(gòu)、特點(diǎn)、策略管理，僅供參考借鑒。

[關(guān)鍵詞]內(nèi)網(wǎng)安全管理系統(tǒng)；應(yīng)用；實踐

doi：10.3969/j.issn.1673 - 0194.2017.16.083

[中圖分類號]TP393.08 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194（2017）16-0-02

內(nèi)網(wǎng)安全系統(tǒng)主要以終端監(jiān)控系統(tǒng)作為依托，有諸多功能，如終端管理功能、內(nèi)容管理功能等。最為重要的是，該系統(tǒng)部署并不復(fù)雜，操作起來也十分方便，相關(guān)技術(shù)人員只要經(jīng)過培訓(xùn)都能進(jìn)行基本操作，這是很多企業(yè)選擇內(nèi)網(wǎng)安全管理系統(tǒng)的主要原因。內(nèi)部安全管理系統(tǒng)主要運(yùn)用主動發(fā)現(xiàn)與防御的方法對內(nèi)部信息進(jìn)行安全管理，主要保護(hù)對象是終端和文件，是現(xiàn)階段應(yīng)用效果非常好的一款內(nèi)部信息安全管理產(chǎn)品。

1 內(nèi)網(wǎng)安全管理系統(tǒng)主要架構(gòu)

1.1 終端服務(wù)器

終端服務(wù)器是內(nèi)網(wǎng)安全管理系統(tǒng)的核心，主要功能是進(jìn)行數(shù)據(jù)交換以及控制終端代理內(nèi)容。系統(tǒng)中的所有代理都由其負(fù)責(zé)，與此同時，終端服務(wù)器還要負(fù)責(zé)向代理傳遞命令與設(shè)置，在此基礎(chǔ)上還要收集數(shù)據(jù)，將整個系統(tǒng)運(yùn)行所處于的具體狀態(tài)直接發(fā)給用戶，以供用戶了解系統(tǒng)目前的狀態(tài)。具體來講，終端服務(wù)器有如下功能：首先，可以定時搜索網(wǎng)絡(luò)，管理機(jī)器；其次，備份歷史資料，以供用戶日后查找；最后，根據(jù)用戶需求，利用郵件形式，把系統(tǒng)目前狀態(tài)發(fā)給用戶 。

1.2 代理模塊

代理模塊是內(nèi)網(wǎng)安全管理系統(tǒng)中的一個重要組成部分，需要安裝在被監(jiān)視的電腦上，等到電腦啟動時，代理模塊就會開始運(yùn)行。用戶無法看到代理模塊運(yùn)行，所以就不能非法刪除，這對保護(hù)電腦安全有著重要的意義。如果用戶想了解代理程序的運(yùn)行情況，可以通過控制臺模塊來查看，也可以按照自己需求卸載代理模塊，現(xiàn)在應(yīng)用范圍最廣的就是Windows終端。

1.3 管理控制臺

管理控制臺主要負(fù)責(zé)監(jiān)視那些已經(jīng)安裝代理模塊的電腦，同時負(fù)責(zé)查看相關(guān)歷史記錄。通常情況下，企業(yè)管理人員的電腦中都會安裝，有時候也與服務(wù)器模塊安裝在一臺電腦中。管理控制臺有很多功能，如可以隨時隨地獲取屏幕快照，可以依照需求對一個或多個目標(biāo)進(jìn)行監(jiān)控，可以查看任意時間的歷史記錄等。

1.4 信息資產(chǎn)管理模塊

信息資產(chǎn)安全十分重要，信息資產(chǎn)管理模塊主要負(fù)責(zé)該項內(nèi)容。其功能如下：全方位登記企業(yè)信息資產(chǎn)，包括信息、文件等；為企業(yè)提供安全可靠的資產(chǎn)管理系統(tǒng)；幫助獲取信息資產(chǎn)情況等。

2 內(nèi)網(wǎng)安全管理系統(tǒng)的特點(diǎn)

內(nèi)網(wǎng)安全管理系統(tǒng)最突出的特點(diǎn)就是具有強(qiáng)大的終端管理功能，可以避免出現(xiàn)一切違規(guī)、違法操作。其具體表現(xiàn)在如下方面。

第一，可以讓終端計算機(jī)終止運(yùn)行某些程序，也可以使用USB終端等進(jìn)行外設(shè)。內(nèi)網(wǎng)安全管理系統(tǒng)中的管理控制臺可以設(shè)置規(guī)則，如果終端計算機(jī)運(yùn)行某些程序，就會發(fā)出警報或者直接阻止，同理，如果用戶使用了類似某些程序的硬件設(shè)備，也會發(fā)出警報或者直接阻止。

第二，不允許非法修改終端網(wǎng)絡(luò)屬性，典型的就是控制IP。內(nèi)網(wǎng)安全管理系統(tǒng)通過禁止軟件與硬件的方法，禁止用戶對網(wǎng)絡(luò)設(shè)置進(jìn)行更改，一旦用戶進(jìn)行網(wǎng)絡(luò)設(shè)置修改操作，系統(tǒng)就會發(fā)出報警信息，以保證網(wǎng)絡(luò)終端所進(jìn)行的操作都具有合法性。

第三，軟件與硬件變更日志都會被記錄下來。客戶終端無論進(jìn)行什么操作，哪怕只是非常小的操作，也會被記錄在日志中；軟件與硬件中出現(xiàn)任何細(xì)小變化，也會被記錄在日志中。這樣當(dāng)工作人員察覺日志記錄發(fā)生變化時，就能找到客戶端在什么時候進(jìn)行了什么操作，由此作為統(tǒng)計信息數(shù)據(jù)的依據(jù)。

第四，屏幕快照監(jiān)視功能。如果用戶想要查看某一事件或者是程序，可以直接看到屏幕歷史畫面。內(nèi)網(wǎng)安全管理系統(tǒng)會對某些特別事件或程序進(jìn)行策略設(shè)定，通常設(shè)定時間為15s，每過15s客戶終端就會對屏幕進(jìn)行抓拍，抓拍下的內(nèi)容會直接放入服務(wù)器中，如果有需要會回放這些抓拍內(nèi)容，以保證客戶終端各種操作行為都合法。

3 內(nèi)網(wǎng)安全管理系統(tǒng)的具體應(yīng)用

內(nèi)網(wǎng)安全管理系統(tǒng)的應(yīng)用范圍非常廣泛，在此筆者主要以人事檔案管理工作為例進(jìn)行具體闡述。

3.1 策略管理

內(nèi)網(wǎng)安全管理系統(tǒng)最重要的管理方式就是策略管理，憑借策略管理，系統(tǒng)可以對終端以及網(wǎng)絡(luò)等進(jìn)行完整控制。以人事檔案管理工作為例，計算機(jī)安裝內(nèi)網(wǎng)安全管理系統(tǒng)后，憑借策略管理，系統(tǒng)可以對計算機(jī)以及獲取檔案信息過程中的網(wǎng)絡(luò)進(jìn)行完全控制，以避免出現(xiàn)信息丟失等問題。策略管理中最重要的就是屬性設(shè)置，其主要內(nèi)容如下。

第一，策略時段，指的是可以依照現(xiàn)實工作時間來設(shè)置時間，這樣就能保證策略在相應(yīng)時間內(nèi)生效，如工作人員只能在上班時間進(jìn)行檔案信息查詢；第二，策略動作，簡單地說就是設(shè)置系統(tǒng)允許或禁止。系統(tǒng)會根據(jù)用戶的操作行為來采取相應(yīng)動作，如進(jìn)行記錄屏幕、發(fā)出警報等，具體來講，如某員工在下班時間后拷貝人事檔案資料，內(nèi)網(wǎng)安全系統(tǒng)就會發(fā)出警告，直接進(jìn)行屏幕記錄，如果有必要可以阻止該員工操作。

3.2 人事檔案策略管理具體內(nèi)容

策略管理內(nèi)容豐富，這些管理內(nèi)容也是內(nèi)網(wǎng)管理系統(tǒng)允許企業(yè)向終端分發(fā)的項目，具體內(nèi)容如下。

第一，記錄與統(tǒng)計策略，主要包括兩方面內(nèi)容：一方面是終端日志記錄；另一方面是屏幕終端日志記錄。終端日志記錄具體指在哪一個時間段將終端中出現(xiàn)的事件記錄下來，通常情況下，人事檔案應(yīng)用程序執(zhí)行窗口、打印操作等都是需要記錄的事件。屏幕終端日志記錄，主要是說終端計算機(jī)在具體某個時間，具體哪個事件來記錄屏幕歷史，比較常見的人事檔案關(guān)鍵程序等事件都是需要記錄的，同時還要具體設(shè)置記錄頻率。

第二，本機(jī)控制策略。其包含的內(nèi)容比較多，分別為Windows系統(tǒng)運(yùn)行參數(shù)、應(yīng)用程序控制策略、上網(wǎng)控制策略、設(shè)備控制策略、打印控制策略。本機(jī)控制策略與檔案管理人員的日常工作息息相關(guān)，正因為如此，設(shè)置過程中更需要注意，以防出現(xiàn)意外安全問題。

第三，網(wǎng)絡(luò)控制策略是指端口控制策略，具體是指是否允許用戶在某一時間內(nèi)應(yīng)用某些端口，如人事檔案部門規(guī)定，任何時段都不能使用UDP8000端口。

第四，文件管理策略也十分重要，該管理策略主要是指文件操作控制策略，具體是指內(nèi)網(wǎng)安全管理系統(tǒng)允許終端在哪些時間可以對文件進(jìn)行各方面處理，如拷貝、查看人事檔案信息等，在刪除文件時允不允許設(shè)置備份，以避免出現(xiàn)泄密或破壞。

4 結(jié) 語

內(nèi)網(wǎng)安全管理系統(tǒng)功能強(qiáng)大，尤其在人事檔案管理領(lǐng)域得到了廣泛應(yīng)用。實際上，內(nèi)網(wǎng)安全管理系統(tǒng)的品牌很多，每一種品牌都各有優(yōu)勢，人事檔案管理部門應(yīng)該依據(jù)自身需求自行選擇。當(dāng)然，面對日益激烈的市場競爭，內(nèi)網(wǎng)安全管理系統(tǒng)的開發(fā)人員應(yīng)該做好市場調(diào)查，不斷完善技術(shù)，以滿足市場需求，從而獲得更大的發(fā)展。

主要參考文獻(xiàn)

[1]冀鑫，沈嵐.內(nèi)網(wǎng)安全管理軟件淺析[J].電子制作，2013（19）.

[2]葉健.內(nèi)網(wǎng)安全管理系統(tǒng)在企業(yè)中的應(yīng)用[J].無線互聯(lián)科技，2013（2）.

[3]王海燕，張華貴.內(nèi)網(wǎng)安全管理探析[J].電腦知識與技術(shù)，2013（13）.

[4]趙鋒，侯楊，張劍.軍隊醫(yī)院內(nèi)網(wǎng)安全管理系統(tǒng)的策略及應(yīng)用[J].醫(yī)療裝備，2013（9）.

[5]付毅.內(nèi)網(wǎng)安全管理軟件在醫(yī)院中的應(yīng)用研究[J].計算機(jī)安全，2012（11）.endprint