内网终端管理，变被动为主动

    专门针对内网安全的管理，并不是没有办法。如今，从普通网络管理系统中，发展出了专门的内网安全管理系统。目前，从而这块的供应商主要包括国外的Landesk、Altirs，以及国内的圣博润等厂商。就当前而言，内网安全管理系统尚未形成统一而成熟的标准，但它已经能够有效地对终端进行管理。我们根据北京圣博润高新技术有限公司的自主知识产权产品LanSecS (莱恩赛克)内网安全管理系统详细介绍一下内网安全管理系统的功能。

    目前，网络监控审计产品均基于协议分析、注册表监控和文件监控等监控技术，能够在保证在内网发生安全事件后提供有效的证据，实现事后审计的目标，不能做到事前防范，从而不能从根本上实现提高内网的可控性和可管理性。而LanSecS内网安全管理系统将重点放在主动地（Actively）控制风险而不是被动地(Passively)响应事件，提高整个信息安全系统的有效性和可管理性。

    LanSecS内网安全管理系统提出一种叫做“控管”的管理概念，即通过一种可控的、可管的技术性手段对整个内网安全行为进行强制性管理。具体而言，就是不但要对是否打补丁、打的什么补丁、打的如何、什么时候打进行管理与控制，同时也对按照这个概念，通过基于主机的审计，还可以对误操作、非工作行为等一系列不符合安全或者企业管理的行为甚至从个人终端到全网运行状态进行严格监控、管理和控制。

    LanSecS内网安全管理系统从普通网络管理系统发展起来的，它能够提供强大的内网网络管理和维护功能，是系统管理员理想的安全故障管理系统。它能自动发现网络内所有网络设备（包括三层和二层设备），通过系统提供的智能学习功能，自动识别网络的物理拓扑结构，生成网络物理连接拓扑图。

　　LanSecS内网安全管理系统将所有的内网的主机进行认证，经过认证的主机，可以在内网中正常使用，没有经过认证的主机将被阻断。内网安全管理系统将维护一张内网的IP和MAC地址表，在地址表内的主机将在网络中正常运行，如果有非法机器接入，内网安全系统会自动发现，并将其阻断。

    此外，LanSecS(r)(莱恩赛克)内网安全管理系统提供了针对外围数据传输设备的监控审计能力。外围数据传输设备指的是USB设备等利用存储介质进行传输的设备，比如新挂接一块硬盘，使用USB存储器，软驱等，进行数据存储。

    这些外围数据传输设备，可以将病毒带入专网，也可导致信息泄密。针对外围数据传输设备的控制，一旦控制中心设定的规则不允许使用某个设备，即使本机超级用户也无法使用该设备。这种控制功能和系统内核进行了结合，一般是无法去掉的。如果用户安装了新的设备试图使用之，也是徒劳。

    内网安全管理系统还能够对红外设备的审计监控，并控制拨号的行为等。在这里，我们不再一一介绍，具体可参看相关产品的技术白皮书。

    内网安全管理系统能够有效地对内网终端的使用行为进行管理，这弥补了防火墙、上网行为管理设备等网关级产品的盲点，为我们有效地建立了立体网络管理体系。