随着信息技术的不断发展，各种蠕虫病毒、黑客攻击也越来越猖獗，而传统的安全解决方案都是把目标的重点放到边界上，却往往忽略了内部网络安全。

　　尽管有些企业制订了严格的安全管理制度，但是由于缺乏有效的技术手段，也使得安全策略无法有效落实，从而导致机密信息泄露、黑客攻击等安全事件频繁发生。比如：以太网交换机是组建内网的主要设备，其安全性比较弱的问题；仅用防火墙等单一安全技术难以实现有效防控的问题；还有安全发展也面临硬件平台不断更新的挑战等等。

　　针对目前安全新形势，企业应该加强信息化安全建设，特别是在内网安全管理方面，企业需要建立一套完整的纵深防护体系，以完善现有的安全体系，弥补防病毒软件、防火墙等传统安全技术的不足。

来自内网的安全威胁

企业内网所面临的安全威胁主要表现在如下几个方面:：

　　首先，攻击方法日新月异，内部安全难以防范。

　　主要问题表现在ARP欺骗问题与恶意插件泛滥问题等新的安全问题，被攻破的内网主机中可能被植入木马或者其它恶意的程序，成为攻击者手中所控制的所谓“肉鸡”，攻击者可能以此作为跳板进一步攻击内网其它机器，窃取商业机密，或者将其作为DDOS工具向外发送大量的攻击包，占用大量网络带宽。员工浏览嵌有木马或病毒的网页、收看带有恶意代码的邮件，都可能给攻击者带来可乘之机。

　　其次，补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播危害大。

　　由于网络内的各种平台的主机和设备存在安全漏洞，但没有及时打上最新的安全补丁，或者主机和设备的软件配置存在隐患，杀毒软件的病毒特征库更新滞后于新病毒的出现;或者未及时得到更新，给恶意的入侵者提供了可乘之机，使病毒和蠕虫的泛滥成为可能。大规模的蠕虫爆发可能导致企业内网全部陷于瘫痪，业务无法正常进行。

　　其次，非法外联难以控制、内部重要机密信息泄露频繁发生。

　　员工通过电话线拨号、VPN拨号、GPRS无线拨号等方式，绕过防火墙的监控直接连接外网，向外部敞开了大门，使得企业内网的IT资源暴露在外部攻击者面前，攻击者或病毒可以通过拨号线路进入企业内网;另一方面，内部员工可能通过这种不受监控的网络通道将企业的商业机密泄漏出去，给企业带来经济损失但又不易法律取证。

　　最后，由于移动电脑设备随意接入、网络边界安全形同虚设。

　　员工或临时的外来人员所使用的笔记本电脑、掌上电脑等移动设备由于经常接入各种网络环境使用，如果管理不善，很有可能携带有病毒或木马，一旦未经审查就接入企业内网，可能对内网安全构成巨大的威胁。

内网纵深防护体系搭建
　　
　　由于内网安全面临很大的安全挑战，而针对外网攻击的网关安全设备又不能满足新的安全需求，一些中小型内网安全管理厂家产品又过于单一，安全防护功能缺失等问题，所以用户需要新一代安全技术解决内网管理出现的问题。

　　内网安全管理系统要从终端安全、桌面管理、行为监控、网络准入控制等多个角度构建一套完整的内网安全防护体系，贯彻“积极防御、综合防范”的安全理念，通过集中管理、分层保护原则，全方位保证各单位内部网络安全。具体应该达到如下的效果：

先进模型、循环监控

　　在内网管理过程中，企业必须定义安全策略，产品要内置多种安全策略，用户可以根据企业的安全需求，选择启用相应的策略;在探测发现阶段，通过多种接入发现技术，自动发现所有终端接入行为;在扫描检查阶段，循环扫描内网终端安全状态，实时发现各种违规安全事件;结合强制接入阶段中多种准入控制机制，阻断安全事件发生，并且隔离不安全终端;最后采用自动安全同步技术全面提升系统安全等级。

　　通过安全保护模型，构建内网安全循环监控闭环，全天候、实时保证内网安全。

纵深防护技术、全面实时保护

　　由于单一的安全产品、安全技术不能确保整个内网系统的安全，所以内网安全产品系统要采用纵深化的安全保护技术，应对各种混合类型的攻击。

　　一个系统要涵盖终端安全、桌面管理、行为监控3大领域，在终端安全方面提供系统级安全保护，整合主机防火墙、主机入侵保护、防病毒软件同步监控、补丁自动升级、网络安全准入控制、域登录控制、配置强制、防ARP欺骗、恶评软件查杀等安全技术全方位保护终端系统安全;各种主机安全技术融合、同步、联动、在系统核心构造严密的安全防线，再加上网络层与应用层的准入控制，强制隔离不符合策略的终端接入网络。

集中管理、强制安全接入

　　面对数以千计的终端电脑，仅仅通过管理制度无法落实有效集中的安全管理，管理人员迫切希望通过技术手段解决存在的问题。

　　内网安全产品要采用灵活的策略树结构，扩展性强，安全策略随需而动;随着时间、地点场所改变，系统自动切换安全策略，及时应对不同终端安全要求。

　　移动电脑设备随意接入内部网络，如果管理不善，很有可能将病毒、木马带入网络，管理人员无法通过有效的技术手段发现并且控制外来接入行为。

　　所以要求内网安全产品通过全面网络接入强制技术（802.1X认证、非802.1X控制、强制域登录、主机防火墙）、以及网关强制控制技术，从网络层到系统层接入都可以实现强制控制，保证可管理的终端（安装安全代理）或者是不可管理的终端（未安装安全代理）接入安全，有效拒绝未知设备接入。

智能行为审计、可控安全管理

内部员工可以通过不受监控的网络通道将企业的商业机密泄漏出去，给企业带来经济损失但又不易取证。

　　内网安全产品必须具备最严谨的防泄密手段，通过对外设使用行为、上网行为、非法外联行为、应用软件使用行为的分析，提供灵活方便的行为策略管理界面，从信息传输源头采取智能化行为控制技术，对违反企业策略的行为进行告警与阻断。

　　用户随意修改IP地址、随意拆卸电脑设备，造成网络管理混乱，为管理人员带来很大工作负担。

　　内网安全产品要采用资产自动收集、系统性能实时监控、网络配置强制技术、软件分发技术提高内网管理效率;通过策略管理中心及时了解内网终端资产现状，对资产的变更进行报告与记录，避免硬件资产流失;通过网络配置强制技术对IP/MAC地址进行绑定，防止内网资产误用与滥用发生;通过交换机管理远程关闭受病毒感染设备所接的端口，及时避免蠕虫病毒的扩散。