？信息安全已經成為企業信息發展的重要課題。活動目錄的集中管理、策略管理和軟件控制可以為用戶提供一個安全可靠的工作環境；內網管理的P2P智能控制、IM聊天軟件管理等實現了用戶上網行為的安全監控。活動目錄和內網管理一個是用于“內管”，一個是用于“外控”，是保障局域網安全的左膀右臂。

• 局域網的內憂與外患

傳統的安全防御理念局限在常規的系統漏洞掃描、防火墻策略、病毒查殺等方面，安全網關、防火墻等安全設備多集中部署在網絡出口。雖然減小了外網的安全威脅，但忽視了內網的安全隱患。由于企業員工信息安全意識低，企業信息安全管理松散，私裝軟件、私用代理、違規上網、違規使用移動設備等情形使得局域網安全隱患重重，加之企業局域網絡內應用系統多種多樣，數據庫混雜不一，應用網絡交叉相連，工作人員結構復雜，給企業信息安全管理帶來了巨大壓力。

如果僅僅依靠公司制度來約束職工上網行為，一方面不可能保證所有職工都能自覺遵守，而個別職工的違規行為會給整個網絡造成不可挽回的損失，輕者數據丟失，重者導致重要應用系統癱瘓；另一方面，依靠事后考核，無法實現保證網絡安全的目的。只有在加固外網防御的同時，加強內網管理，充分利用活動目錄的優勢，規范職工的上網行為，真正解決企業局域網的內憂外患，才能保證網絡的安全。

• 左膀內管：活動目錄

活動目錄是將局域網內的用戶賬戶放在域控制器上進行集中管理，并通過用戶權限管理實現網絡資源的分級控制，在實現方便管理的同時，提高局域網內資源訪問的安全性。

通過活動目錄域，將企業賬戶進行集中管理，按照用戶職責的不同規劃組織單位，對組織單位進行權限分配，未授權用戶不能進行越權操作，非法用戶不能登錄域內的電腦，實現了賬戶權限的集中管理和安全管理。同時，不同權限的域用戶可以繼承域控上不同的策略，通過域策略，可以讓用戶在局域網內任意終端登錄時使用自己的桌面，繼承管理員授權的應用權限，授權使用管理員指定的軟件，訪問管理員允許的共享資源等等，實現了脫離計算機的域賬戶管理，將賬戶的安全管理脫離計算機的約束，提升到服務器上執行，保證了賬戶管理的安全性。

針對不同組織單位，通過賬戶策略、本地策略、軟件限制策略，實現對賬戶安全、本機權限和軟件執行權限的控制，軟件限制策略可以通過哈希規則、路徑規則、證書規則、Internet區域規則四種不同的方式，授權用戶對軟件的使用。

通過活動目錄域的軟件指派和分發功能可以方便的進行安全軟件的自動安裝，并通過組策略實現軟件的升級或重新部署，能時刻保證殺毒軟件和操作系統的及時更新和實時在線，時刻為計算機提供基礎安全保障。

通過文件夾重定向功能，可以將用戶的資料數據安全的指向網絡的一個安全空間，讓技術資料和應用系統真正從物理空間上隔離，不但保證了域用戶隨時隨地的資料訪問和安全辦公，還能通過域用戶實現了安全的訪問控制；另一方面，可以保證計算機故障或用戶流動造成的數據流失和泄密。

在活動目錄域內，可以將存儲空間方便的共享給某些授權的域賬戶，并通過域控將共享存儲空間的控制權限指定到特定的賬戶，通過共享權限和安全權限設置訪問級別，還可以通過磁盤限額設置使用空間的大小，由于用戶權限控制是完全在域控上進行的，用戶訪問時，就像訪問自己電腦上的一個磁盤，能實現比FTP等軟件更方便和安全的資源共享，是數據資料備份和共享的首選方案。

• 右臂外控：內網管理

內網管理一般通過路由模式或橋接模式將硬件連接到網絡出口，并通過內網管理系統進行網絡監控。首先要通過內網管理系統將上網賬戶規劃到不同的組織結構，針對不同組織結構進行策略配置。如圖1、圖2、圖3所示。

圖1 網絡架構部署圖

圖2 內網管理系統界面

圖3 內網管理上網策略列表

內網管理系統可以通過核心文件識別的方式，實現用戶的網絡準入控制。通過準入控制，可以強制接入網絡的計算機安裝指定的殺毒軟件、升級病毒庫、安裝系統漏洞補丁等，從而保證接入網絡的終端的安全性和可靠性，從源頭上防止病毒的傳播。

BT、Emule等下載軟件以及在線視頻軟件會占用大量的網絡帶寬資源。內網管理系統通過應用識別規則可以根據協議、端口、方向、數據包長度匹配、數據包內容匹配等多個條件來檢測流量，不僅能很好地識別和管控常用P2P、加密P2P，對不常見和未來將出現的P2P亦能通過規則升級實現管控，能限制指定用戶的P2P所占用的帶寬，既允許指定用戶使用P2P，又不會濫用帶寬，充分滿足管理的靈活性。

內網管理系統可以隨時監控內網用戶的互聯網行為，隨時對文件發送、信息發布、網絡言論等進行監控，保證企業的信息資產安全，避免組織遇到法律風險，又滿足員工正常上網需求。

QQ、MSN和炒股軟件等即時通訊工具占用上班時間降低工作效率，目前很多公司都明文禁止使用這類軟件，但是這些軟件在設計的時候就加入了突破防火墻的設置，一般網絡防火墻很難阻隔它們。內網管理通過應用程序的識別規則輕松封堵各種常用應用程序，硬件網關通過檢測數據包中的特征值來識別是否需要阻隔。如果該數據包包含設定的特征值，那么它就不能夠被發送或者接收，從而達到有效阻隔的目的。在不方便封堵時，還可以針對特定應用程序進行流量控制的管理。通過特有的聊天內容同步偵聽技術可實現對QQ、Skype、MSNShell、飛信等加密聊天內容的監聽和記錄，幫助企業在開放IM的同時確保聊天內容可審可控。

面對互聯網威脅，內網管理系統可以通過內置自動更新的海量URL地址庫、結合搜索引擎輸入關鍵字過濾、基于網頁正文關鍵字過濾網頁、SSL加密網頁識別與過濾、以及基于人工智能的網頁智能分析系統，幫助企業徹底避免因為訪問非法網頁、危險網頁而帶來的風險。

內網管理系統內置的殺毒引擎對網頁、郵件、文件中潛藏的病毒進行徹底查殺，能很好地解決震蕩波、沖擊波、熊貓燒香等病毒泛濫對企業局域網的可靠性、可用性造成的威脅，為企業營造綠色、安全的網絡應用環境。

內網管理系統能很好的通過防火墻規則實現LAN與DMZ區域的安全通訊和危險行為過濾，并能通過控制最大TCP連接數來很好的防止DOS攻擊，通過靜態ARP設置實現ARP欺騙防護。

“內管”活動目錄為網絡看家護院，“外控”內網管理為網絡保駕護航，徹底解決了網絡的內憂和外患，保障局域網安全的可控在控。■