從訪問控制的角度，分析傳統(tǒng)的企業(yè)網絡的安全狀況，存在三種嚴重的安全缺陷。（1）不能保證企業(yè)網內主機可信，即沒有明確的企業(yè)網安全設備邊界，這樣造成的嚴重安全隱患是惡意主機可以方便地接入企業(yè)網絡，進行恣意的網絡破壞和竊密活動。（2）不能保證企業(yè)網內用戶的可信，即沒有明確的企業(yè)網安全用戶邊界，這樣不僅造成終端使用者行為不可控，而且造成了他們的行為不能有效審計，在安全事故發(fā)生后，出現(xiàn)了難以有效追蹤和定位泄露源以及追究泄密者安全責任的尷尬局面。（3）不能保證服務資源的使用者可信，即沒有可靠的服務資源的安全使用邊界，因此惡意竊密者可以利用可以接觸的網內任意主機進行暴力攻擊（如密碼的字典攻擊）和旁路攻擊（如繞過信息系統(tǒng)的認證機制，直接登入該信息系統(tǒng)依賴的數(shù)據庫）而竊密網絡內重要的服務資源。

因此，為了保障企業(yè)網的安全，必須要保證網內所有接入主機可信，保證網內所有接入用戶可信，以及保證服務資源的使用者可信。

u       單位的計算機數(shù)量越來越多，無法集中管理；

u       不清楚哪些用戶能夠使用計算機或者正在使用計算機；

u       用戶可以隨意地登錄其同事的計算機并獲取一些敏感數(shù)據；

u       外部筆記本電腦接入內部網絡，獲取敏感數(shù)據或進行網絡破壞活動；

u       隨意進入敏感服務器并獲取非授權資料；

u       帳號/口令的用戶認證方式太脆弱，容易被竊取。

u       計算機集中管理。對內網中的所有計算機信息采集后統(tǒng)一進行顯示和管理，采集的信息包括終端計算機ID、名稱、IP地址、版本、所屬組等?？梢葬槍μ囟ǖ挠嬎銠C設置規(guī)則和策略。

u       用戶集中管理。對內網中的所有用戶進行統(tǒng)一分配和管理，可以針對特定的用戶設置規(guī)則和策略。提供用戶ID和USB令牌兩種模式來標識用戶。

u       用戶登錄授權?？梢栽O定某個用戶能夠使用哪些計算機，也可以設定某臺計算機只允許指定的一個或者多個用戶使用。同時記錄用戶登錄計算機的信息，包括登錄時間，登錄用戶名等。

u       計算機接入認證。任何接入內部網絡的計算機都必須安裝NiordSec內網安全平臺，未經許可的計算機將被隔離在內網之外。

u       服務資源分布式授權和審計。對內部業(yè)務服務器群細粒度的統(tǒng)一身份認證，各類業(yè)務應用服務器、數(shù)據庫服務器都在保護的范圍之內。同時提供對服務器資源的訪問操作進行日志記錄。

u       身份認證擴展功能。除了用戶ID和USB令牌兩種身份標識模式外，還提供了智能存儲型USB硬件認證設備、智能指紋型USB硬件認證設備以及數(shù)字證書的支持。

為了提高企業(yè)或單位的競爭力，現(xiàn)今幾乎所有的辦公環(huán)境都已實現(xiàn)了計算機化，它們在網絡中共同或獨立地處理任務。隨著計算機數(shù)量的快速增長，網絡也變得越來越復雜，使得管理員不僅要處理單機問題，還要處理復雜的網絡問題。如果每一個問題的出現(xiàn)都需要管理員親自到現(xiàn)場去維護，顯然會使他們感到工作繁重，最終導致效率低下。另外，企業(yè)或單位的敏感信息以及員工的行為需要得到有效的控制：一是杜絕員工的非許可行為，如工作時間處理工作以外的事情；二是對敏感信息的操作監(jiān)視和外泄控制，如將信息通過外設拷貝或傳輸?shù)狡髽I(yè)外部，對敏感文檔執(zhí)行了不該執(zhí)行的操作等。因此，如何針對日益增加的計算機進行遠程清查、控制和管理，使得管理員不用到現(xiàn)場就可以解決終端發(fā)生的眾多問題，是桌面管理非常值得關注的問題。

u       計算機軟、硬件數(shù)量無法確實掌握，盤點困難；

u       無法有效防止員工私裝軟件，造成非法版權使用威脅；

u       硬件設備私下挪用、竊取，造成財產損失；

u       應用軟件購買后，員工真正使用狀況如何，無從分析；

u       員工在工作時間處理與工作無關的事情；

u       員工通過移動磁盤拷貝、刻錄、打印、非法撥號外聯(lián)等途徑將內部資料泄露到外部；

u       對于特定類型的敏感信息，無法對其操作進行監(jiān)視；

u       無法統(tǒng)計終端的軟、硬件信息，從而掌握企業(yè)或單位的資產，并能跟蹤資產的變更情況；

u       無法按照企業(yè)或單位的統(tǒng)一規(guī)劃、分發(fā)及自動安裝軟件和補丁；

u       無法即時發(fā)送公告，通知終端用戶某類消息或工作指令，或者終端用戶即時發(fā)送公告給管理員，請求解決某類問題；

u       無法監(jiān)視終端用戶的桌面，掌握終端的運行進程以及CPU、內存和磁盤的使用狀況，從而約束他們的行為；

u       不能夠查看和控制終端的帳戶和共享，減少信息外泄的風險；

u       居高不下的信息化資源成本，不知如何改善。

u       敏感信息拿不走。系統(tǒng)提供外設管理功能，通過控制終端外設的使用，實現(xiàn)終端用戶在非授權的條件下無法拷貝或傳輸敏感信息到企業(yè)或單位外部。

u       敏感信息看不懂。系統(tǒng)通過透明加、解密敏感信息，實現(xiàn)非授權用戶即使帶走了敏感信息也無法閱讀。

u       文件操作強審計。系統(tǒng)提供文件控制功能，通過嚴密審計敏感文檔的操作，實現(xiàn)用戶違規(guī)操作的事后追查；

u       用戶行為的可監(jiān)控。在監(jiān)視方面，系統(tǒng)提供遠程終端監(jiān)視功能，使管理員可以實時地監(jiān)控用戶正在運行的應用程序、桌面狀況、內存和硬盤的使用狀況等。如果某個用戶的行為不符合企業(yè)或單位的規(guī)定，則可通過鎖定或截屏操作終止其行為或進行實時取證。在控制方面，系統(tǒng)提供進程控制功能，控制用戶是否允許運行某個程序。該功能一方面可以規(guī)范用戶的行為，有效提高員工的工作效率，另一方面也保證了終端的穩(wěn)定性，防止病毒的攻擊。

u       終端資產的可計量。管理員能夠對終端的軟、硬件資產進行統(tǒng)計，并能跟蹤其變更，防止企業(yè)或單位資產的流失。

u       數(shù)據分發(fā)的可自動。管理員能夠將文檔、軟件或補丁分發(fā)給終端，并根據它們的性質選擇存儲、安裝或執(zhí)行。

u       信息交互的可即時。管理員和終端用戶之間的信息交流，用于企業(yè)或單位內公告的發(fā)布和反饋。

從用戶的網絡行為的角度，分析傳統(tǒng)的企業(yè)網絡的安全和管理狀況，存在三個方面的缺陷。（1）不能保證網絡的可用性，隨著網絡病毒的泛濫，特別是針對企業(yè)網的ARP病毒的泛濫，造成網絡時常癱瘓，網絡資源無法共享。雖然企業(yè)網大多配置有效的殺毒軟件，但是實踐表明再先進的殺毒軟件面對新的病毒都具有遲后性，根本無法保證網絡的安全可用。此外，由于IP地址是主機在企業(yè)網中的唯一有效標示和寶貴資源，惡意的篡改主機的IP地址會占用其他主機的合法IP，造成該主機不能使用網絡，因此迫切需要對網絡中IP地址進行有效統(tǒng)一的強制性管理。（2）網絡流量和帶寬無法可控、可管。由于網絡中P2P軟件的普遍應用，如BT軟禁，網絡流量資源逐漸捉襟見肘。網絡流量和帶寬作為一種重要的網絡資源，迫切需要能夠根據用戶或用戶組進行強制性統(tǒng)一規(guī)劃、優(yōu)化配置和有效審計。（3）網絡郵件可控、可管。收發(fā)郵件是重要的網絡信息交換行為，但是由于郵件往往包含大量的企業(yè)或單位的涉密信息，這就迫切需要能夠對所有用戶郵件的網絡操作行為進行有效控制和日志審計，從而保證企業(yè)或單位的信息的完全性?？尚啪W絡監(jiān)控系統(tǒng)的目標是實現(xiàn)可信用戶網絡行為在這三個層次的可管、可控和可審計。

u       玩網絡游戲、瀏覽與工作無關的網站、進行與工作無關的聊天；

u       瘋狂下載電影、歌曲、程序，在線看網絡電影、聽音樂；

u       隨意修改IP地址和MAC地址，導致內部網絡十分混亂，影響他人正常的工作；

u       通過Web郵件、Outlook等終端郵件的方向將內網系統(tǒng)中的敏感信息泄露出去；

u       通過在網絡論壇發(fā)帖和粘貼附件的方式泄露內部數(shù)據；

u       無法對網絡訪問操作進行日志審計；

u       內部網絡經常感染ARP病毒，無法開展正常業(yè)務。

u       端點防火墻。集中管理和控制的客戶端防火墻，其策略由管理員根據單位管理需要指定，可以根據IP地址、URL地址、網絡端口和數(shù)據流向等設定客戶端計算機或者用戶訪問的權限，以白名單或者黑名單的方式工作。例如發(fā)現(xiàn)蠕蟲病毒，可以及時全網統(tǒng)一封鎖相應的傳播端口，從而有效控制該類型病毒的破壞效果。

u       能夠對ARP病毒免疫，確保主機獲取網關MAC的正確性以及網關獲取主機MAC的正確性。能夠對ARP病毒免疫自動攔截和預警，管理員可以根據豐富的預警信息追溯ARP病毒的源頭，從而可以徹底的消除該病毒。

u       可以將主機的IP地址與MAC地址進行強制性綁定，防止員工隨意修改IP地址，造成IP經常沖突，以及無法對安全事件源追溯定位，給管理人員造成很大的麻煩。

u       網絡常規(guī)應用層協(xié)議解析。對常規(guī)網絡應用層協(xié)議進行解析，從而進行了詳細的日志記錄，主要包括了HTTP協(xié)議日志、FTP協(xié)議日志、郵件協(xié)議日志和其他日志。

u       終端郵件控制。通過解析SMTP協(xié)議，可以對指定的發(fā)件人、收件人進行郵件和附件收發(fā)控制。

u       終端郵件內容記錄?？梢杂涗浲ㄟ^POP3和SMTP協(xié)議收發(fā)的郵件正文內容及附件，如：OUTLOOK、Foxmail等。

u       Web附件控制。能夠對通過WEB方式上傳文件的行為進行控制，包括通過WEB郵箱發(fā)送附件、通過WEB論壇粘貼附件、通過網絡硬盤傳輸文件等方式。

u       Web附件記錄。能夠對通過WEB方式上傳的文件進行緩存，管理員可以進行上傳文件的內容審計。

為了方便數(shù)據交換，內部網絡使用了大量的移動存儲介質，例如U盤，移動硬盤等。但同時由于技術和歷史原因，對于移動存儲介質的管理很不規(guī)范，甚至未被納入保密管理的范疇；沒有嚴格的保密管理措施，或者是保密管理措施不具體，有的甚至根本未被納入保密管理范疇：如對涉密軟盤、磁盤、移動硬盤等沒有登記，沒有加密標識，與普通磁盤混合使用，出現(xiàn)故障后隨便丟棄或重新格式化后繼續(xù)使用等。這些現(xiàn)象無疑給單位內部的涉密和敏感信息資源帶來了相當大的安全隱患。

這些由于移動存儲介質的大量使用而引起的安全問題給企業(yè)信息化建設帶來了很大的困擾，隨著移動存儲介質越來越輕便、存儲容量越來越大，這些問題隨著信息化建設的逐步深入也會越來越突出、越來越嚴重！因此，企業(yè)目前迫切需要一套完整的移動存儲介質管理方案，從技術和管理層面對內部使用的移動存儲介質進行嚴格控制，同時兼顧移動存儲介質管理與使用的方便性和內部文件交換的安全性。

u       許多企業(yè)對計算機存儲介質的管理不規(guī)范，甚至未被納入保密管理的范疇，導致無法對內部使用的移動存儲介質進行統(tǒng)一管理；

u       私人的U盤、移動硬盤等，可以在單位的計算機上隨意使用，容易造成計算機病毒感染和泛濫，導致內部網絡運行出現(xiàn)故障；

u       使用移動存儲介質，懷有惡意的內部人員可以隨意將單位內部涉密信息復制出去，容易造成單位敏感信息泄密；

u       企業(yè)內部使用的移動存儲介質被隨意帶出，在外網中使用時容易造成失泄密；

u       企業(yè)涉密移動存儲介質在使用時，缺乏身份認證和訪問控制，導致任何人可以使用任何介質在任何機器上進行文件拷貝，造成企業(yè)文件流失；

u       企業(yè)涉密移動存儲介質被內部人員在非涉密計算機上使用，容易遭受“輪渡攻擊”，導致機密數(shù)據流失；

u       內部人員在使用移動存儲介質進行文件交換時，無法對文件流向進行審計和控制，在出現(xiàn)文件流失時難以對責任人進行追究；

u       企業(yè)移動存儲介質使用時存在明密不分、公私不分的現(xiàn)象，導致企業(yè)的內部文件出現(xiàn)失泄密；

u       企業(yè)移動存儲介質在被盜或遺失時，會導致內部數(shù)據丟失。

針對上述隱患，NiordSec內網安全平臺推出了可信移動存儲介質管理系統(tǒng)。該系統(tǒng)根據國家涉密介質管理要求，采用身份認證、訪問控制、磁盤驅動、內核加密和安全審計等核心技術，對企業(yè)內部的移動存儲介質進行嚴格、方便的管理，同時確保企業(yè)核心數(shù)據的安全。

u       非認證介質進不來。企業(yè)內網中使用的移動存儲介質均需進行注冊，管理員能夠禁止未注冊移動存儲介質在內網中使用。

u       涉密文件拿不走。管理員能夠對移動存儲介質的訪問進行靈活、嚴格地控制，對于沒有授權的移動存儲介質，無法從機器上將涉密文件拷貝出去。

u       認證介質外部沒法用。管理員能夠將內部流通的移動存儲介質注冊為內網專用的加密格式，內部人員將注冊后的介質拿出后將無法使用。

u       內部數(shù)據讀不懂。管理員能夠制定對特定移動存儲介質的讀寫實施透明加密防護，是數(shù)據在寫入后被自動加密，即使介質丟失也不會導致數(shù)據的丟失。

u       移動介質操作跑不了。管理員能夠對移動存儲介質的接入和文件操作進行嚴格審計，從而能夠追蹤泄密事件，事故責任人跑不了。

企業(yè)或單位的組織結構由若干職能部門組成，涉及不同的敏感信息，使得不同的職能部門存在安全等級的差異，因此部門之間以及部門與外網之間的安全訪問顯得尤為重要，它需要利用某種技術或手段實現(xiàn)不同等級部門之間的網絡阻斷和信息加密，從而防止特定部門內部信息的外泄。針對這一問題，安全域的概念應運而生，它要求企業(yè)或單位能夠根據自身的業(yè)務特點、安全目標以及保護等級的不同對內部網絡進行劃分，實現(xiàn)不同強度的安全保護。

u       整個內部網絡系統(tǒng)被劃分為一個大子網，經常大規(guī)模感染網絡病毒，同時容易產生網絡阻塞；

u       沒有將內部網絡系統(tǒng)按照保密需求劃分為不同等級，經常導致敏感信息被竊??；

u       某些保密等級較高的計算機能夠隨意訪問外網；

u       外部網絡能夠通過網關中轉后到達某些保密等級較高的計算機。

u       系統(tǒng)可將網絡中的計算機按照管理需求劃分成多個虛擬安全域，實現(xiàn)內部網絡的分域分級管理；

u       同一個安全域內的計算機可以相互訪問，非同一個安全域的計算機則不能相互訪問，只有在獲得管理員授權的情況下才能建立信任關系，實現(xiàn)網絡連接；

u       在保障網絡統(tǒng)一維護的前提下，通過虛擬安全域的劃分，單位內部不同職能部門之間的重要敏感數(shù)據可以實現(xiàn)有效隔離；

u       能夠禁止某些保密等級較高的安全域終端訪問外部網絡；

u       能夠禁止外部網絡主機通過多次中轉后達到內部網絡。