內網安全大有乾坤，亂世中危機四伏，安邦定勢免不得與黑客斗、與威脅斗、與市場斗、與困難斗，無不圖盡其謀，奇招百出。作為用戶信息中心的技術主管，在種種考驗面前經歷了怎樣的兇險、困擾，又如何走出思維陷阱，成功解決形形色色的難題呢?在此若干企業的CIO與您分享五個用戶應用天珣內網安全風險管理與審計系統的故事，一同領略其中“斗智斗勇”的精彩片段。

體驗：暗度陳倉 萬人“守法”

受訪者：Z航空公司信息中心技術主管

作為國內最大的航空公司之一，在2001年，正值全球病毒肆虐的高峰，雖然我們很早就購買和部署了防病毒軟件，但在“紅色代碼”爆發的時候，也未能在沖擊中幸免。作為信息中心的技術主管，我心中一直有個巨大的困惑，就是安全制度的落實問題：IT部門一直以來權限有限，沒有行政手段，又缺乏技術手段，在組織中推進終端管理真是難上加難，為此，IT部門的領導不知道用了多少辦法，都無濟于事。而且我們Z航有過萬的計算機終端，而且這些終端分布在全國各地多個省市，不僅數量眾多而分散，并且終端用戶的計算機應用水平和安全意識更是千差萬別，從哪里入手管理才好呢?

我們迫切需要通過技術手段，能夠自動對終端進行管理，而不是依靠行政命令去強制終端用戶執行企業安全管理策略。一個偶然的機會，我們接觸到了天珣產品……

天珣的安全廠商對計算機終端的用戶行為做了仔細的研究，發現，雖然終端無法直接管理，但是我司內部的終端因為業務的需要，都必須連入企業內網，每天都必須使用Exchange收發郵件，如果上Internet，都需要通過ISA代理服務器才能訪問。對這些終端用戶來說，如果要求他們安裝防病毒軟件，他們找各種理由逃避，但是如果出現系統故障不能使用Exchange郵件系統，或者出現網絡故障，令他們無法上Internet，他們就會立即跳起來投訴、抱怨，強烈要求計算機中心盡快恢復。

發現了這個“秘密”之后，天珣廠商為我們設計了一套非常巧妙的終端訪問認證協議，分別在Exchange郵件服務器和ISA服務器安裝了一個專用插件軟件即天珣策略網關，然后通過管理服務器組件給這個插件軟件下發策略，由插件代替人對來訪終端執行身份認證和安全檢查，如果終端不能滿足相應的安全條件，該插件將禁止終端收發郵件和連接Internet，同時充分考慮到系統的人機交互的友好性，還通過郵件系統和瀏覽器頁面，推送提示頁面給終端用戶，讓其在被禁止訪問相關資源同時，清楚了解自己的違規行為和需要做的修復工作。

系統一經上線，效果立顯，短短1年半時間，天珣就完成了我們Z航內部近2萬臺終端的部署，意味著這萬臺終端都已經完全按照我們的要求接受管理，并確保終端滿足安全基線，終端威脅抵御能力和管理水平一下子提高了幾個數量級。廠商給我們打比方：準入控制就像“機場安檢系統”一樣，“機場安檢系統”是對機場安全和飛機飛行安全的關鍵作用，而準入控制則是對內網的終端和業務系統安全運行發揮著關鍵作用，準入控制對企業的價值，就如“安檢系統”對航空安全一樣，非常形象、準確。

沒有想到，我們單位是第一個吃螃蟹的，竟然創下了全球首個最早大規模實際應用準入控制產品的典范：在我們航進行大規模應用準入控制的時候，遠在地球另一邊的Cisco，在2002年才提出了NAC概念(Network Access Control)，也就是后來大家熟知的網絡準入，直到2004年才推出NAC解決方案，而Microsoft 2006年底才推出自己的NAP(Network Access Protection，在域管理基礎上，實現部分準入控制功能)。我們選擇了國內廠商，有幸成為了創新應用的先驅。

點評： 對于網絡終端安全而言，“個體行為”亂象叢生，向來是管理的難點，靠“人治”往往難以實施。而以技術手段制“亂“與“暴”，雖躲在后臺卻能強制管理并規范終端操作行為，過萬名用戶在不知不覺中乖乖繳械受控“守法”。