编者按：在深圳某保健医院产妇和婴儿资料泄露事件中，有人利用职务之便，用U盘拷走了相关的重要数据，并由此产生了系列问题。这暴露出我们企业的终端电脑（特别是关键数据服务器）的设备管理诸多问题……

　　【IT168 报道】当前，上网行为管理已经成为很多人都熟悉的概念。然而，当用户通过网络的上网行为得到规范时，电脑终端的物理存取行为却得不到控制。企业的终端电脑（特别是关键数据服务器）的设备管理诸多问题，带来了严重的数据安全隐患。

　　来自企业内部威胁更严重？

　　在不久前的某保健医院产妇和婴儿资料信息泄露的严重事件中，因为有人利用职务之便，在上班期间仅仅用了5分钟时间，通过U盘拷贝了相关的重要数据，并由此产生了系列问题。这暴露出我们企业的终端电脑的设备管理诸多问题。

　　其实，美国FBI专门对484 家公司调查显示：面对来自于单位内部的安全威胁，85％的安全损失是由单位内部原因造成的。对于很多单位来说，这可能有点耸人听闻，但却是事实。例如，通过USB闪存盘，重要的公司机密信息被有意或无意的对外传播；可能因为公司的内部网接入了一台外来的笔记本电脑，而让公司较为重要的信息泄露；往往因为某台电脑未安装系统补丁而中招，进而影响整个网络……

　　以上所提及的，主要是围绕企业网络终端展开的。这并不是个别问题，而是一类现象，我们可以总结成以下几类比较明显的问题：

　　非法主机的接入
　　对与一个内部办公网络来说，非法主机的接入的防护是非常困难的，IP地址的使用混乱，不能有效的将IP地址进行管理控制。当有外来主机接入时，接入者只需要对内部网的IP地址进行探测，就可以轻松的连接到内部网络中，对内部办公网络造成严重的威胁。

　　主机非法外联
　　对于涉密网络来说，内部主机是不允许接入到internet的，但是避免不了一些用户通过拨号的方式，或者其他的方式连接到外网，一旦此机器被攻击者控制，那么整个我们的内部网络将全部暴露。

　　离线存储设备泄密管理
　　离线存储设备防泄密管理主要集中各种移动存储设备、打印机等设备的防泄密管理，其中包括移动硬盘、移动U 盘、IDE 硬盘等传播方式。

　　内部主机自身无防护
　　往往和，很多电脑终端的补丁不能及时进行更新，这就留给攻击者巨大的机会，他们可以利用系统自身的漏洞对系统发起攻击，盗取系统中重要的资料文件。

　　由上可见，对于当前的企业来说，有几方面非常值得我们注意：
　　一方面：对于关键应用数据服务器的管理问题，到底什么样的人才可以使用这些数据服务器，如何进行数据安全管理呢？

　　另一方面：如何对终端接口进行控制管理，例 USB接口、红外、外挂硬盘、光盘记录机等，如何对移动存储介质进行管理？例如USB闪存盘等。

　　终端是防火墙、上网行为管理等设备的管理盲点？

　　一般来说，大多数安全系统都只是来自于外部的入侵。针对于来自外部的入侵，已经大量成熟的安全系统来防范，但是内部的安全威胁和隐患，却很少被注意到，或者已经注意到，却没有完善的安全系统和安全来解决单位的内部安全问题。

　　上面所提及的几个问题似乎并不能通过单纯安装杀毒软件或防火墙等措施来解决。

　　如今，很多企业利用防火墙等设备，在网络的边缘设置了快速有效的整体区域防护策略，可以对网络入侵进行监控和防护，抵御低阶通讯层次的攻击、防止主机及个人电脑的入侵、检测恶意的可执行程序和阻绝网络的滥用；并采用网络版杀毒软件部署在网络中每个终端上，针对病毒感染、病毒传播和病毒发作进行区域的病毒控制与清除。

　　这种解决方案是针对外部入侵与病毒攻击的防范，对于机构内部信息保密安全管理却无任何作用。对于一个大型机构以往人为控制的教育加监督（人工填写日志）的安全管理方式是无法阻止内部工作人员运用现今的高科技信息载体主动或被动泄密的，这是每一个安全管理人员必须认真对待的问题。

　　此外，现在流行的一种通过网关监控管理应用流量的上网行为管理设备，似乎也不能有效地控制终端设备。我们需要注意的是，上网行为管理设备只能对终端使用者的上网行为进行管理，通过这个网关设备进行流量的监控，去管理使用者的上网行为。如果终端使用者通过USB闪存盘拷取数据，通过另置Modem上网时，上网行为管理设备就鞭长莫及了。

　　内网终端，就如同一个内鬼，平时我们不能发现，但他在关键的时候，却会起到很严重的后果，防火墙、上网行为管理设备对之没有办法，我们又该如何？
 

　　终端安全管理，变被动为主动

　　专门针对内网终端的管理(特别是针对关键数据服务器)，并不是没有办法。如今，从普通网络管理系统中，发展出了专门的终端安全管理系统。就中国而言，目前的内网终端管理系统尚未形成统一而成熟的标准，但它已经能够有效地对终端进行管理。

　　目前，网络监控审计产品均基于协议分析、注册表监控和文件监控等监控技术，能够在保证在内网发生安全事件后提供有效的证据，实现事后审计的目标，不能做到事前防范，从而不能从根本上实现提高内网的可控性和可管理性。而内网终端安全管理系统将重点放在主动地（Actively）控制风险而不是被动地(Passively)响应事件，提高整个信息安全系统的有效性和可管理性。

　　内网终端管理系统提出一种叫做“控管”的管理概念，即通过一种可控的、可管的技术性手段对整个内网安全行为进行强制性管理。具体而言，就是不但要对是否打补丁、打的什么补丁、打的如何、什么时候打进行管理与控制，同时也对按照这个概念，通过基于主机的审计，还可以对误操作、非工作行为等一系列不符合安全或者企业管理的行为甚至从个人终端到全网运行状态进行严格监控、管理和控制。

　　内网终端管理系统从普通网络管理系统发展起来的，它能够提供强大的内网网络管理和维护功能，是系统管理员理想的安全故障管理系统。它能自动发现网络内所有网络设备（包括三层和二层设备），通过系统提供的智能学习功能，自动识别网络的物理拓扑结构，生成网络物理连接拓扑图。

　　内网安全管理系统将所有的内网的主机进行认证，符合在内网中的主机将运行在内网中正常使用，没有在内网安全管理系统中，定义的合法的主机，系统将其阻断。内网安全管理系统将维护一张内网的IP和mac地址表，在地址表内的主机将在网络中正常运行，如果有非法机器接入，内网安全系统会自动发现，并将其阻断。

　　对于关键数据服务器等终端来说，控制其USB接口是非常有效的办法。比如，我们可以通过利用美国GFI公司 EndPointSecurity和德国SmartLine公司 DeviceLock这两款软件轻而易举的达到管理自己的USB接口。GFI EndPointSecurity和SmartLine DeviceLock是一套用来控管个人电脑周边设备的工具软体，系统会限制一般使用者对于电脑周边设备的存取，杜绝员工私自携带U盘、数码相机等可移动式储存装置，以及蓝牙、无线网路设备等所带来的风险。管理者可以阻止非授权使用者使用USB与、蓝牙与WiFi转接器，CD/DVD光碟机、磁带机、ZIP装置、串口与并口、以及其他即插即用设备。

　　如何防止内部员工恶意盗走企业的关键数据？除了通过行政手段来约束外，通过系列的针对终端的安全管理手段，可能是另外更有效的办法了。