網絡安全問題，據有關調查，在很多情況下都是由“內部人士”而非外來黑客引起。另據國內某權威機構針對大型運營商高級IT經理進行的調查問卷顯示，66％的經理認為終端的隨意接入、內網資源濫用和誤用、經營數據泄漏，以及病毒是最嚴重的安全威脅。作為對比，認為黑客入侵是最嚴重威脅的只有13%。由此可以看出網絡內部的不安全因素遠比外部的危害更加恐怖。

CCID 網絡安全風險分析  

分析這些內部安全威脅沒有得到有效控制的根源，我們可以發現下列主要因素：

·沒有嚴格的身份認證體系

·外來終端設備難以判定并加以監視和控制

·對設備的系統無法進行嚴格的安全檢驗或檢查

·不具備完整的訪問授權機制

·安全規范制度得不到落實等

解決之道

（一）嚴格控制非法接入

辦公室規模化的網絡接口方便了員工接入網絡，同時也方便了外來計算機或終端設備接入網絡，管理人員對此類情況很難判定并加以監視和控制，而一些嚴重的安全問題往往就是由于這些隨意、非法接入網絡的終端引起，解決此類問題的核心思想在于屏蔽一切不安全的設備和人員接入網絡，或者規范用戶接入網絡的行為。只有終端對網絡資源的訪問是受控的，才能從源頭上鏟除這樣的安全威脅，避免名譽受損及事后處理的高額成本。

（二）雙因子實名制身份認證

真實可信的網絡身份認證體系一方面能夠讓心存惡意者在有害行為之前有所顧忌，另一方面也可以讓網絡管理者在安全事件發生后準確及時的找到肇事者，能夠在一定程度上防止安全事件的發生，所以身份認證是建設安全可信網絡的前提條件。

管理者必須采用安全度更高的雙因子實名認證機制，將“人”和“設備”分開對待，并做一一的綁定，只有對應的“人”使用其對應的“設備”才能完成身份認證。保障了接入網絡終端設備的合法性，從而加強內部網絡的可控性，方便管理員對網絡的統一管理。

（三）科學、嚴格的系統安全性檢查

由于絕大多數單位員工的計算機水平參差不齊，同時網絡管理人員也不可能對每一方面的技術都很精通，因此在日常的安全管理中，就需要有系統能夠快捷有效地進行系統漏洞掃描和智能修復。對于管理員來說，只有這兩方面的工作做好才能規避潛在的安全風險。

（四）細粒度的用戶權限管控

公司員工首先是內網資源的使用者，需要對其賦予相應權限來完成所對應的工作，但同時要保證關鍵資源的安全性，必須對權限進行適當的控制，同時隨著各項業務的開展，訪客來往用戶單位也十分的頻繁，更需要對來賓和第三方代維人員進行安全規劃和有效管理。

（五）落實安全管理規范

網絡安全規范制度的落實，一直是各單位信息部門頭痛的難題。安全規范的實施前期，依靠行政發文通告的方式強制實施下去。但到后期，總是由于這樣那樣的原因，造成一紙空文被個人和部門束之高閣。

管理者需要以入網強制技術NAC為基礎，將之前無序的接入行為加以控制，再結合高效、可持續升級的檢查引擎進行安全修復，并監視終端用戶在單位內網的操作行為。通過這種嚴謹的流程化管理及多種高新技術的有效組合，可以有效的幫助單位解決網絡安全規范落實的問題。

杭州盈高科技的盈高入網規范管理系統（ASM）從產品的設計到實現都參照國內國際有關標準，多項技術為業內第一，著重從接入控制、身份認證、系統安全檢查、用戶權限管理和安全規范落實等五個方面進行設計，通過統一的系統平臺進行集中的安全管理。

對于網絡安全要求極高的行業，ASM典型部署示意圖，ASM系統的作用顯得尤其重要，ASM能夠幫助用戶提高信息網絡的安全管理水平，極大地增強網絡安全整體防范和預警能力，使信息系統更好地為社會服務。

【編輯推薦】

1. 解密無線局域網嗅探
2. 網絡故障——自上而下的故障修復方法
3. 網絡故障——自下而上的網絡故障修復