在企業應用中，通常將終端PC機視為網絡的邊界。這是由于一般公司的業務都是圍繞OA/CRM/ERP系統進行的，員工們使用終端PC機（電腦）通過網絡設備，和OA主機、CRM主機、ERP主機進行信息操作，來完成工作。因此一般的公司辦公網的模型都是以服務器為核心，終端機為外圍的組網模式。那么從根源上保障企業網絡的安全，就必須有效地管理每一個終端PC的安全。

如今，在核心安全、網絡設備安全方面已經有了很多成熟的方案和產品，如：AOL訪問控制的三層交換設備、帶有包過濾的路由器，功能更強大的防火墻以及軍工機要部門使用的密管設備，這些設備都能夠有效地保證網絡設備的安全，保證網絡包流量的安全。但是這些安全的防護通常是對外的，用來防御外來侵犯，如黑客攻擊、注入攻擊等等，而網絡內部的安全往往被忽視，根據目前有效數據顯示，網絡系統遭到毀滅性打擊的根源往往來自于內部。而企業網絡系統對于內部的防御卻比較脆弱，一旦一臺計算機被病毒感染，將可能導致整個網絡內所有終端PC感染病毒，所以，現今對于網絡邊界安全管理的需求日益迫切了。

企業網絡邊界管理存隱患

很長時間以來，網絡邊界安全管理沒有得到足夠的重視，而隨著終端設備的日益增加，面臨的問題也日漸增多，網絡邊界隱患重重。

某證券公司營業部的員工在工作終端上私自安裝軟件，感染了蠕蟲病毒，病毒迅速蔓延，很短的時間內就已經感染多臺同辦公室電腦，造成整個營業部網絡癱瘓，影響到正常交易業務的進行，給股民和證券公司帶來巨大損失。其中很多股民因無法及時進行股票交易錯失良機，甚至有引發訴訟的危險。也有股民因此轉到了其他的證券公司。可見加強內網安全的管理不但關系到網絡運行的安全，也關系到企業業務的增長。

在生活中我們經常會看見這樣的現象，有些人拿著有無線上網功能筆記本電腦隨便到哪個寫字樓附近，都能搜到大量不設密碼的無線路由器，輕松的連上上網。對于這些蹭網的人來說，確實很方便，但是從網絡安全的角度考慮，這里面還是有很大隱患的。

一方面，從蹭網者自身安全的角度上來說，我們接入陌生的網絡之中，很容易遭到潛伏在里面的黑客或者病毒的攻擊，若防御系統不夠強大，后果將非常危險。類似的銀行卡密碼和其他私密信息被盜時有發生。

另一方面，從企業網絡管理這角度來說，接入系統的電腦也許就是一個Snifer嗅探器，它來的目的有可能就是竊取公司機密文件，散播病毒，或者攻入主機。也許有人認為可以設置無線接入密碼，但是對于一個公司來說，一個大家都知道的公用密碼是很容易泄露給外人的。而且也有通過有線網絡進行盜取資源的。競爭對手或者破壞者往往冒充來訪者，比如客戶來訪的幌子，在會議室開會的時候以上網收郵件為名要求接入到網絡，從而進行攻擊。很多公司的共享文件服務器上的重要數據就是這么不知不覺地就被外人拷走了。而網管卻渾然不知。這樣造成的例如核心技術機密被盜，商業機密被盜造成巨大經濟損失的案例也比比皆是。

在一些涉密的特殊行業，對安全性的要求更為嚴格。例如不允許進行U盤的文件操作，不允許私接任何輸入輸出設備，比如打印機，移動硬盤。也不允許光驅讀取不安全的光碟。更有重點涉密單位軟件研發人員的計算機在下班之后需要將這些計算機的鍵盤和鼠標禁用。以此保證計算機內程序代碼不會遭到人為破壞。

改變企業網絡邊界管理現狀

因為對企業網絡邊界管理不善，而遭遇了很多麻煩之后，許多企業已經意識并重視起邊界管理了，加強對網絡終端的管理力度，并制定相應的終端使用規章制度，例如：上網行為規范等。規定員工不能隨便在終端PC上私自安裝軟件、禁止使用聊天工具、下載工具等等，但是如此嚴格的制度，執行起來卻不那么容易，幾乎可以說行不通，所以說是有立法無執法的。那么有什么方式能夠進行立法監督工作呢？使用終端管理軟件成了不二選擇。

目前，在終端管理方面，各廠商的技術都已經相對成熟，國內一些網管領域的公司都已經提供終端安全管理解決方案了，國內產品不僅在功能和實用性方面做的好，而且更加符合國人使用習慣。

從技術角度來說，目前對于邊界安全管理的主流技術分為兩種：一種是以拆包數據分析的方式進行管理的，通常采用類似NetFlow協議，將網絡中傳輸的數據包轉發到管理服務器上，再由管理服務器對這些數據進行拆包分析，發現非法程序，蠕蟲病毒，非法進程的特征碼后進行限制操作和告警。游龍科技的SiteView EIM就是應用這種方式的一款典型產品。

另一種方式是通過終端Agent（代理程序）的方式。這種方式需要在每臺終端PC上安裝一個很小的代理程序，這個代理程序能夠從根源對終端機進行一些限制操作，由此保證安全。游龍科技的 SiteView DM就是采用這種方式的另一款典型產品。

SiteView EIM和SiteView DM這兩個產品的設計思路是兩個方向，SiteView EIM偏向于對網絡數據的分析，能夠通過分析及時發現問題。而SiteView DM講求從源頭抓起，防患于未然，也可以說是主動安全管理產品。

SiteView DM通過在終端安裝Agent的方式進行管理，且此代理程序是防卸載的，若有人私自卸載了，SiteView DM會將客戶端下載事件發送給控制臺，網絡管理人員變可及時得知并阻止這樣的行為。

它能夠配合安全軟件、防病毒軟件、防火墻軟件，保護這些軟件發揮最大功效。當前病毒變種、攻擊變種層出不窮，因此防病毒軟件、防火墻軟件都內建可供更新的信息庫使其能夠應付層出不窮的新挑戰。前面的例子也提到，如果殺毒軟件更新不及時，還是會有病毒感染的隱患，因此SiteView DM提供了軟件分發補丁管理的功能，能夠有效幫助整個網絡中所有的終端機第一時間集體升級到最新的防護版本。

SiteView DM產品設計了分組功能，把不同要求的IP地址分為組，可以對每個組分別受以不同的權限。而且對于軟件使用權限，還可以進行時間的設置。比如工作時間不允許用，而下班后則沒有限制等等。在SiteView DM的協助下，網絡邊界管理“有立法無執法”的現狀將得到有效改善。