信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患——安全问题，人们在享受着网络所带来的便捷同时，不得不承受着网络安全问题带来的隐痛。
　　说到网络安全，人们自然就会想到网络边界安全，但是实际情况是网络的大部分安全风险均来自于内部。常规安全防御手段往往局限于网关级别、网络边界（防火墙、IDS、漏洞扫描）等方面的防御、重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部的计算机终端的安全威胁却是众多安全管理人员所面临的棘手的问题,成为内网安全体系中最薄弱的环节和“软肋”。
　　
　　
　　内网终端：
　　内网安全体系之“短板”
　　
　　
　　2004年公安部公共信息网络安全监察局对7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等部门和行业的重要信息网络、信息系统使用单位进行了调查，其中发生网络安全事件的比例占58%。从这些数据我们看到，网络安全已成为阻碍网络应用的关键所在，要使企事业的IT资源能够得到有效的利用，首先需要解决的是基本的网络安全威胁。值得欣喜的是，网络安全得到越来越多人的重视，已经有许多企业在网络边界部署了防火墙，网络中安装了杀病毒软件，部署了入侵检测、身份认证、漏洞扫描等系统来防止外界威胁。然而，这些安全措施并没有对内网，尤其是没有对各个计算机终端进行有效监控，从而无法避免内部IT资源滥用、内部网络信息泄露、内部员工的故意攻击等问题，更不能对各种因内部因素产生的网络安全问题进行有效的预防、监控和审计。
　　事实上，堡垒最容易从内部攻破！
　　目前，比较流行或者说应用比较广泛的一些网络安全系统主要有：防火墙、杀病毒、入侵检测、身份认证、漏洞扫描等等，但这些网络安全系统基本都是专门针对某一类型网络安全威胁的工具，主要定位在防范来自外部网络的安全威胁，并不能够解决大部分内部网络安全问题：防火墙关注的是边界安全，对于内部的各种非法滥用和攻击行为无能为力；杀病毒的定位更为清晰和专业，就是针对病毒等恶意代码的攻击，不管内部网络行为和设备的应用等等。他们都不是专业的内部网络安全工具，不能解决综合性的、与网络使用者的行为密切相关的、与管理措施密切相关的、尤其关注内部泄密和网络效率的这样一款工具。
　　我们都知道，进行网络安全体系建设，要综合考虑、注重实效，在我们考虑防火墙杀病毒、入侵检测，甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰时，也要同时考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为，因为这些才是网络安全面临的最大威胁，也是网络安全的最大挑战。最理想的状态是，我们能够有效的分析各内部网络环境下比较具体和重要的网络安全威胁，并组织相应的技术、产品以组合方案的方式，统一解决；既考虑到投入成本与效益之比，又能最大程度上避免“木桶原理”的安全诅咒。
　　随着信息网络不断发展，内部泄密和内部攻击破坏已经成为威胁网络安全应用的最大隐患。在众多的内部网络安全威胁中，最主要和最应关注的有：
　　首先，内部人员或终端设备的主动或者被动泄密
　　泄密问题一直是内部网络的一个头疼问题，尤其是对于涉及国家机密或者事关企业生存和发展的核心秘密，如国防军队/军工单位和政府行政办公的有关信息、设计行业的设计方案信息、数据提供企业和商业企业的关键数据及公司战略竞争信息等等，都不可避免的需要在内部计算机和网络中产生、传输、存储、修改和应用，涉及到的人员、设备也比较多，因此泄密的危险性也比较大。泄密的途径，也主要有两个，一是人员，二是机器设备；从主观态度上来看，一种是无心的过失泄密，另一种则是蓄意的主动泄密行为。无论是什么形式的泄密行为，都将会给企业带来不可忍受的损失，有的甚至侵害到国家的安全、利益。
　　因此，我们需要对内部人员的计算机和网络操作行为进行规范，对网络内部的各种设备进行统一管理、授权。
　　其次，终端设备主动或被动的制造／传播病毒等恶意代码
　　在网络应用非常深入的单位，总会有一些对网络技术非常感兴趣的人员，这些人也许是有着某种目的，或者纯粹为了好奇，而制造、传播一些有病毒、后门等特征的恶意代码，这些代码如果不进行及时的处理，有可能会引起网络的混乱，使得部分甚至全部的网络资源不可用，从而影响单位的生产、办公。还有些人员或设备，在没有防备的情况下，中了内部或者外部“恶性病毒”的“招”，成为病毒攻击内部网络的“桥”，从主观上来讲，这些设备和人员是被动的，他们不知道已经被利用，然而他们的这些无意识行为也给网络运行造成了不良影响。
　　这些病毒、木马等恶意程序往往利用系统漏洞进行破坏。
　　第三，终端设备或网络应用非授权使用或者授权滥用
　　大部分单位都有管理制度来规范网络资源的使用，详细规定了某人或某机器在什么时间、什么地点做什么类型的事情。也就是说，区分了授权和非授权操作。但事实上实际情况往往不是这么简单。众多内网用户，会探测、尝试进入非授权的领域。例如某公司规定程序员在上班期间不许上网，但员工却能想出很多办法，在上班期间也能上网；还比如，某员工无权访问单位的业务数据库，他通过攻击、欺骗等等手段，获得了访问数据库的权限；至于网络资源滥用的实例就不胜枚举了：有权上网的员工，没有利用互联网去开展业务，而是在下载电影、玩游戏等等，非工作需要拷贝、修改公司的关键数据等等。大部分单位都想通过相应的制度来控制这些情况，然而实际效果却并不理想。非授权使用或授权滥用依旧是我们最头疼的。
　　第四，内部人员或者终端设备的主动或者被动攻击
　　从网络诞生的那一天开始，黑客就存在，发展到今天已经到了无孔不入的地步，而且还在进一步蔓延，许多黑客攻击行为已经不需要太多的网络攻击知识，只需简单的攻击程序和设置就可以实现。在内部人员和设备中，也不乏这样的角色，他们本身不具有很高超的攻击水平，而只是应用现成的攻击程序来实现“黑客”目的，主动或者干脆被一些真正的黑客利用被动的去攻击内部网络的一些目标。
　　黑客技术正在不断的迅速发展与变化，从一个漏洞发现到攻击代码实现，到蠕虫病毒产生，几年前可能是几个月甚至半年多，而现在几周甚至一天就可以完成。在微软发布MS04－011公告时，NGS的David在看到公告的8分钟后写出了攻击代码，Xfocus成员也在6小时内写出了通用的攻击代码。
　　第五，因安全管理不善，引发的IT资源不可用或者资源损失
　　这里的管理不善，主要是指没有一套科学的内部网络资源使用管理制度，或者制度执行不力。比如，我们规定在某一些工作计算机上，不能安装运行某些软件，可是还是有人安装了；对内部网络的IP/MAC地址，做了统一的部署，可是还是有人任意的修改；任意的将非本网络的设备接入内部网络；任意添加或删除各种硬件设备、修改网络属性等等，这些行为都应该得到彻底的规范。
　　第六，终端计算机自身存在安全缺陷，导致网络内部安全隐患
　　网络当中的客户机很多，终端的存在安全隐患容易导致网络安全事件。如客户机存在安全漏洞，可能会引发蠕虫病毒等威胁。如果配置不完善，则容易导致信息泄露甚至黑客攻击事件的发生。因此，维护每台客户机自身的系统安全性，也是应该予以考虑的。
　　
　　进入二十一世纪，以SQL蠕虫、“尼姆达”、“冲击波”、“震荡波”、“熊猫烧香”等病毒的连续性爆发为起点，到计算机文件泄露、口令泄露、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件在各地网络频繁发生，使政府机关和企事业单位的网络管理人员头痛不已。总结起来，政府机关和企事业单位的内部网络管理大致面对着以下问题：
　　如何获知全网所有计算机资产的风险状况和脆弱性，发现终端设备的系统漏洞并自动分发补丁。
　　如何防范移动计算机和存储设备随意接入内网。
　　如何防止U盘造成的病毒传播和信息泄露。
　　如何防范内网设备非法外联。
　　如何对终端计算机在不同网络环境中及时应用不同的规则策略。
　　如何管理终端资产、保障网络设备的正常运行。
　　如何在全网制定统一的安全策略。
　　如何规避终端用户随意访问网络带来的不必要的法律风险。
　　如何及时发现网络中占用带宽最大的终端。
　　如何点对点控制异常终端的运行。
　　如何防范内部涉密重要信息的泄露。
　　如何对原有终端应用软件进行统一监控、管理。
　　如何快速有效的定位网络中病毒、蠕虫、黑客的引入点，及时、准确的切断安全事件发生点和网络。
　　如何架构功能强大的统一网络安全报警处置平台，进行安全事件响应和事件查询，全面管理网络资源。
　　这些终端安全隐患随时随地都可能威胁到用户网络的正常进行。对于内部网络的安全建设，我们建议从管理和技术两个方面入手，资深内网安全专家、极地安全副总经理王冬波认为：“管理和技术合二为一，才能达到网络安全目的；我们不能夸大技术手段的能力，也不能偏颇管理的效力，以前的‘技术30%，管理70%’的说法，我们认为并不是很科学的。正确的解决途径应该是‘管理和技术的有机结合’，用技术来实现管理目标，用管理来保障技术应用”。而恰好极地安全推出的JD-ESMS终端安全管理系统，就是一款将管理和技术合二为一的内网以及终端安全解决方案。
　　
　　
　　JD-ESMS终端管控：
　　打造“坚强”终端“铁桶”内网
　　
　　
　　如果您正在为以下问题苦恼，就说明您所面对的内网终端安全出现了隐患：
* 终端使用者不遵守安全操作规定、使用非法软件和任意访问外网，造成终端故障频频。高新聘请的网管员，70%以上的时间耗费在维护终端PC机上。
* 内网终端自身安全强度不高，漏洞百出、漏打补丁、不运行防病毒软件、不升级病毒库，使内网终端频繁被感染。
* 外来笔记本任意接入内网，随意操作内部资源并攻击内部节点。
* 移动介质和移动存储设备随意使用，造成信息泄露。
* 客户端任意使用BT下载工具，耗费网络带宽。客户端私自建立拨号等非法外部链接，破坏物理隔离，造成网关型安全设备失效。
* 终端的软硬件资产、配置被任意变动，无法及时统计，盗版软件任意安装，造成法律风险。
　　而这些问题，正是JD-ESMS终端安全管理系统所着力解决的问题。
　　终端安全管理，是内部网络风险控制在终端桌面上的技术体现，也是能给系统管理员带来立竿见影效果的技术手段。现在网络规模越来越大，繁杂的手工终端管理已经远远不能适应大规模网络管理的需要，JD-ESMS为内网管理人员提供自动化的终端安全管理工具，让他们轻松实现对内网终端的及时、严密、持续的安全管理。
　　根据内部人员违规、犯罪特点，要加强内网安全，从终端入手的技术方式，可以采取事先预防、事中监控、事后审计的方针。
　　事先预防就是要防患于未然。
　　利用漏洞进行攻击也成为黑客最常用的手段之一。攻击者首先通过扫描工具发现漏洞，然后利用相应的攻击工具实施攻击。这种攻击模式简单易行，危害极大。由此可见，操作系统或者应用程序的漏洞是导致网络风险的重要因素。
　　消除漏洞的根本办法就是安装软件补丁，补丁分发管理越来越成为安全管理的一个重要环节。补丁管理也需要有很强的及时性——由于黑客技术的不断积累和发展，留给网络管理员进行漏洞修补的时间将会越来越少。因此补丁管理也就需要有很强的及时性，如果补丁管理工作晚于攻击程序，那么企业就有可能被攻击，造成机密信息泄漏。然而，在一个较大的局域网中，普遍存在机器配置档次高低各异、操作系统分门别类、系统软件千差万别等问题，网络管理员要想同时对这几百台甚至上千台终端设备及时快速地打上新的补丁程序，几乎是不可能的。要靠手工保障每一个补丁在安装后正常运行，不对整个网络系统造成其它破坏和隐患，更是完全不可想象的。因此对于终端节点众多的用户，繁杂的手工补丁安装已经远远不能适应目前大规模的网络管理，必须依靠新的技术手段来实现对操作系统的补丁自动修补。自动化的补丁分发管理工具已经成为网络安全管理人员实现及时、严密、持续的补丁管理的必备工具。
　　同时，除以上技术手段外，还应该从制度入手，严格规定人员、设备、数据资源的安全级别，制订明确的规章制度并严格执行。严格限制重要信息数据的传播范围，限制能够接触重要信息的人的行为。例如，对于数据传输、复制设备要控制使用，避免造成信息泄露；对于接触重要信息数据的设备和人员进行严密监控，防止非法操作；对于执行的程序和上网行为进行限制，防止运行危险软件和对非法网站的访问；禁止非法外联和非授权主机接入，防止来自外部的威胁。事先预防要通过必要的技术手段来实现，包括设备使用、应用程序、上网行为、文件操作、网络访问等的监控，使具有一定权限的人员只能使用指定的设备，完成指定的操作。将机要信息完全封闭在有限的网络区域内，防止信息被无意泄露和有意窃取。
　　事中监控仅次于事先预防，对于违反安全策略的行为要及时报警，通过策略机制进行响应，将损失减到最小，多种。
　　事后审计是内网安全的必要措施，所有网络、终端的用户重要行为都应严格记录、储存，便于事后查找。
　　JD-ESMS终端安全管理系统是极地IT内控统一安全管理平台产品的重要组成部分，部署在企业的内部网络中，用于保护企业内部资源和网络的安全性。
　　JD-ESMS终端安全管理系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理，可自动向终端计算机分发系统补丁，禁止重要信息通过外设和端口泄漏，防止终端计算机非法外联，防范非法设备接入内网，有效地管理终端资产等。JD-ESMS终端与内网安全管理系统可以与防火墙、漏洞扫描设备进行有机联动，共同提供全网安全解决方案。
　　JD-ESMS终端安全管理系统由客户端模块、服务器模块、控制台三部分组成。
　　客户端代理模块对终端计算机进行监控，需要部署于每台需要被管理的终端计算机上，用于收集数据信息，并执行来自服务器模块的指令。
　　服务器模块存储终端安全策略、终端计算机信息、漏洞补丁数据等等，并由服务器向终端计算机客户代理模块发送指令。此模块安装在具有高性能CPU和大容量内存的服务器上。
　　控制台采用B/S结构可以运行在网络中的任意一台计算机上，用来监控每台安装有代理模块的计算机，管理各类审计系统，制定安全策略。
　　系统结构如下图所示：
　　
　　
　　JD-ESMS包含6大模块，近500个功能点，可以多级部署，能与SOC、综合审计、ITSM、4A、PKI等系统联动，实现终端的一站式完全管理。
　　主机监控与审计：主机安全检查，包括注册表、防病毒程序、病毒库日期、开机启动、进程、服务等的黑白名单，IP绑定、动态分配、防ARP病毒，进程和服务的黑、白、红名单，有效防范未知木马，远程协助、远程维护等。
　　安全准入控制：支持802.1x协议准入、SNMP协议准入、网关硬件联动准入、ARP侦听准入等多种安全准入方式，可以适应各种交换机甚至HUB环境。
　　补丁分发管理：补丁分发、软件分发、自动安装、静默安装、补丁回退、补丁黑白名单、P2P分发、安装参数设置、隔离网补丁下载器、单向数据导入硬件。
　　信息防泄漏（DLP）：移动介质管理，可以禁用USB、开放USB人机设备、只读U盘、认证U盘、U盘加密、文件加密、文件访问监控、各种外设端口控制、网络信息泄露控制、打印机监控、邮件监控等全面的防水墙功能。
　　上网行为控制：主机防火墙、网址访问限制、非IE的网络协议端口访问监控、黑白名单、非法外联监控、拨号禁止、邮件客户端的监控与审计、流量控制、虚拟安全域划分。
　　终端资产管理：软硬件资产自动搜集、资产变动报警、配置基线设置、基线检查、正版软件判别、自定义资产、自定义模板、组态报表、告警控制台等。
　　
　　JD-ESMS终端安全管理系统，是我国第一代专业终端安全产品，经过多年的科研升级，JD-ESMS终端安全管理系统已经成为我国内网终端安全前沿产品、技术品牌。其技术领先优势主要包括以下五大方面。
　　单一客户端：JD-ESMS包含主机监控与审计、安全准入控制、补丁分发管理、信息防泄漏、上网行为控制、终端资产管理等六大模块，但是用户只需要安装一个客户端，就可以实现所有的管理功能，并支持win7、vista等各种系统。
　　安全服务器：产品采用BS、CS混合架构，服务器可以在LINUX系统上运行，可以采用经过安全加固的专有硬件，提高整个系统的安全性和性能。
　　实名制管理：一般的终端管理软件都是基于客户端机器硬件的，而JD-ESMS可设置用户场景，并和AD域、Novell ED、LDAP、各种PKI系统等的身份管理相结合，做到实名管理和实名审计。
　　策略优先级：多级级联管理，各级服务器策略、组策略、单机策略等按照优先级任意组合、自动归并生效，并支持区域管理员。
　　P2P分发：补丁和软件分发支持socket、P2P、ftp、http等多种方式，大规模部署时分发速度极快，并且不过多占用网络带宽。
　　三权分立：账号管理员、系统操作员、审计员，互相监督和制约，防止个人越权。