3.1.2分級/分組保護原則

    對信息系統分類，不同對象定義不同的安全級別，首先要保障安全級別高的對象。

    3.1.3全局性原則

    解決安全問題不只是一個技術問題，要從組織、流程、管理上予以整體考慮、解決。

    3.2 內網安全建設架構

    企業的內網安全系統建設應建立一個統一的集成化的管理平臺，有整體的終端安全視圖，呈現整個計算機網絡系統中所有終端設備的安全運行狀況。管理員不僅可以看到終端安全的運行狀況，終端的安全設置，也能夠看到終端的軟件配置、硬件配置、終端的物理位置等信息。

    通過統一的集成化的管理平臺，管理員可以完成所有與終端安全管理維護相關的各種任務，包括用戶身份認證，網絡準入控制管理，網絡拓撲發現及設備快速定位，終端安全策略設置（主機安全漏洞策略、防病毒安全策略、非法外聯策略、網絡訪問審計策略等），網絡異常監控，移動介質管理，終端軟件及補丁管理，終端的遠程管理和維護，終端資產管理等多個方面。

    3.3 安全功能模塊

    3.3.1準入控制管理

    系統對于非法進入企業內網的終端進入進行監控與管理。管理員將網絡資源劃分為不同的區域以便不同的終端訪問不同區域的網絡資源：訪客區、修復區和正常工作區。劃分方式可以是VLAN或者基于IP的訪問控制列表。通過網絡準入控制杜絕非法外來電腦接入內部網絡；同時將有問題的客戶機隔離或限制其訪問，直到這些有問題的客戶機修復為止，這樣，一方面可以防止這些客戶機成為蠕蟲和病毒攻擊的目標，還可以防止這些主機成為傳播病毒的源頭。

    對于非法主機，系統可以主動阻止其訪問任何網絡資源，從而保證非法主機不對網絡產生影響，無法有意或無意的對網絡進行攻擊或者試圖竊密。

    3.3.2網絡拓撲發現及IT資產管理

    通過二層拓撲發現功能可以發現網絡中的所有IT設備，包括網絡設備、主機設備、網絡打印機、終端設備等。實現跨網絡、跨路由發現設備，支持不同廠商網絡設備混合構建的異構網絡設備發現。通過二層拓撲發現，能夠獲得網絡設備之間、主機和網絡設備之間的物理連接關系，獲得設備的基本信息如IP地址、MAC地址、設備名、在線

    利用局域網終端計算機代理客戶端的安裝，系統可以自動終端詳細的軟硬件配置信息，包括CPU、主板信息、內存信息、硬盤信息、光驅信息、網卡信息、外設信息、操作系統信息等各種計算機系統信息。同時，系統可以自動收集分析終端計算機安裝的軟件信息，包括安裝的軟件名、軟件廠商、版本、語言、安裝日期等。

    通過上述技術，管理員可以可以快速發現接入網絡的所有設備（無需準入控制），無論接入網絡的終端是否安裝個人防火墻，均可以對其快速發現并予以定位，實現企業局域網設備的實時監控。系統智能實現自動監測系統軟硬件資產的變動，記錄日志并可以產生報警，同時可以根據策略自主采用響應措施，防止資產變更給客戶端或者網絡帶來更大的危害。

    3.3.3移動介質管理

    移動介質的管理一直是企業IT管理中的難點，也是最容易出現安全問題的設備，對移動介質的管理主要在以下幾點上進行控制：外部的或非法的移動存儲設備不能隨意的進入IT系統，必須經過一個安全的注冊認證流程來實現對管理；經過注冊的內部移動存儲設備的使用要進行監管，未經授權無法到外部使用，進行加密存儲；為了防御移動介質的自運行程序，在使用移動介質時，無法運行移動介質中的可執行程序；對移動介質的文件傳輸進行審計或禁止。