没有准入控制的内网安全不是真正的内网安全

　　在内网安全管理中，安全策略的控制与实施是实现所有终端管理功能的基础所在。采用安全策略控制技术能够对终端用户进行安全状态检查，将不合法的终端进行隔离、强制修复，从而有效促进内网的合规建设，提升客户满意度。

　　金盾CIS7产品的设计遵从了这一初衷，针对准入控制保护的功能和客户端被破坏后主动被发现并完全隔离这一软件产品几乎是不能实现完成的任务，金盾公司在全面研究了思科NAC的和微软NAP的技术，吸取其精髓，立足国情一举解决了困扰内网安全行业多年的诟病，成功开发了金盾准入控制保护(GD-NACP)。本功能的实现具有划时代意义，它不仅仅是给用户提供了一套硬件产品，更重要的是帮助用户制定了使用网络的规则和制度，建立了一套系统、全面、可信的内控管理体系。既保证了合法用户正常工作的可控、有序、高效运行，又将非法入侵用户隔离于可信网络之外。

　　江苏某大型制造业位于苏南重镇，主营为精密仪器和设备的开发与销售，属国内行业内一流企业，整个公司的信息化程度很高，早在2000年就部署了ERP、CRM、PDM等管理系统，2000年企业高管把内网安全的选型提上了日程，初期选择了北京一国内知名厂商为其部署了300多点的补丁管理和外设管理系统，经过近二周的部署后终于上线运行，系统管理员张某对于本套系统寄予厚望，本系统也发挥了其应有的价值，在外设规范管控和补丁的及时分发方面发挥了重大作用，但随着时间的推移发现客户端越来越少，最后能上线的机器仅有50多点，公司虽有制度，但扯皮现象严重，员工不承认是破坏了客户端程序，而网管张某又无计可施，随着客户端程序的丢失，外设管控又开始混乱，网络的病毒肆虐，公司把产品应用不力责任推到张某的身上，并追究了其责任。同时随着内网问题的日益突出，产品也越来越不能满足其要求，内网审计、文档保护等功能也越来越急迫，因此信息中心主任孙某决定重新选择一套功能较全面的管控系统，于是上海某国内知名厂商进入了高管的视野，本产品无论在客户端的运行稳定性和抗破坏能力以及功能全面性上较原来有很大的提升，孙主任决定亲自挂帅，经过测试，招投标后，最终选择了本产品。同样本产品在运行初期，部署的600点客户端运行稳定，效果良好，不久同样的问题出现了，客户端越来越少，在2008年产品就出现了70%客户端不能上线情况，厂商派工程师不断去协助安装客户端，但员工想方设法破坏客户端，而且部分技术牛人还专门找到了能一招制敌的绝招，在2分钟内就能完全卸载客户端程序。而软件产品不能有效杜绝客户端遭受恶意破坏，更严重的是不能对非法终端采取措施，于是公司部分中层管理人员和员工长期对安全产品的排斥情绪全面爆发，原来在高管的支持下孙主任制定的相关内网安全规范也被束之高阁，最后整个产品在2010年年初被全部终止，优秀的内网安全产品在这个优秀的企业身上宣告失败。

　　纵观国内内网安全系统应用失败的大小案例，不胜枚举，究其本质原因，软件功能再优秀，但是客户端丢失后，就失去了控制，更让网管无奈的是传统内网安全产品不能从根本上对非法终端采取措施。在我们这个人情甚至重于制度的国情下，如果厂商不从技术上协助网管制定一套严厉的、不可逾越的网络使用规范，恐怕没有几个人被管控，而你只能是束手无策、无计可施。

　　准入控制解决了内网安全的第一步的问题，也是一个最基本问题。通过准入控制一方面从根本上解决了客户端的安装部署及防卸载问题，另一方面有效的保证了全面内网安全软件安全策略的执行和相关网络管理政策的落实。

　　“没有准入控制的内网安全，不是真正的内网安全，在中国注定会失败”这句看似危言耸听的盛世格言已经成为广大客户普遍认可的观点!