二、内网安全管理应该实现哪些功能？

    内网安全管理产品应该具备终端基本管理、IT资产管理、终端桌面管理、终端安全管理、网络主机运维、事件报表及报警处置、审计、补丁管理等功能。

    以某商业银行部署启明星辰天玥内网安全风险管理与审计系统为例，该行是1992年经人民银行批准试营运，下辖数十个支行，共有营业网点上千个。该网络较为复杂，需要部署省、市两级内网安全管理系统，对终端进行统一监控和管理。系统需要在内网部署一台内网安全管理服务器，由于系统管理采用B/S构架，管理员可在网络的任何终端通过登陆内网管理服务器的管理页面进行管理和各种信息查询；所有的网络终端需要安装客户端程序以对其进行监控和管理；系统同时需要在外网部署一台补丁下载服务器（部署于外网，和互联网相连），用来更新补丁信息（此服务器也可用来下载病毒库升级文件）。
具体的部署和管理构架如下：

    天珣内网安全风险管理与审计系统可以实现的功能主要有：

    • 客户端分组管理功能：可按客户端各种软、硬件特征、IP范围、注册信息等进行进行分组管理。

    • 策略管理功能：可根据时间段和时间点定制策略使用或禁止使用的触发条件，按照条件搜索的设备进行策略分组分发管理。

    • 日志功能：记录系统登陆、操作及客户端违规日志，可进行模糊查询，并支持按管理员自定义字段进行报表导出。

    • 全网统一升级：管理中心升级后，全网客户端程序既自动升级。

    • 转发代理功能：为在软件分发（或补丁分发）的过程，尽量减少消耗网络资源，保证客户端可从其他客户端下载分发软件。

    • IP漂移功能：管理中心IP地址的可无缝切换。

    • 支持双机热备：管理中心支持双机高可用方案，配合双机软件可实现管理中心的双机热备。

    • 终端代理扫描功能：各个VLAN中的注册客户端可触发扫描功能发现网络中的设备信息，并上报到服务器，减小了网络复杂性带来的部署难度，并可发现安装个人防火墙的非法接入设备。

    • 多级部署：管理中心可多级部署，由上级管理中心统一配置管理策略，由下级管理中心将违规报警信息的级联上报。

    对于金融、政府等重要行业来说，信息安全保障系统建设，不仅需要严格的“制度防内”包括建立严密的计算机管理规章制度、运行规程，形成内部各层人员、各职能部门、各应用系统的相互制约关系，杜绝内部作案的可能性，并建立良好的故障处理反应机制，保障信息系统的安全正常运行；更需要成熟完善的“技术防内”，通过技术手段上加强安全措施，防止内部不合规行为，防止内网的信息泄密，使正常业务与应用不受影响。“内忧”胜于“外患”，企业不仅需要铸造如同长城一般的边关防御体系，同样需要着重管理，打造安全和谐的内部环境。