终端安全管理，变被动为主动

　　专门针对内网终端的管理（特别是针对关键数据服务器），并不是没有办法。如今，从普通网络管理系统中，发展出了专门的终端安全管理系统。就中国而言，目前的内网终端管理系统尚未形成统一而成熟的标准，但它已经能够有效地对终端进行管理。

　　目前，网络监控审计产品均基于协议分析、注册表监控和文件监控等监控技术，能够在保证在内网发生安全事件后提供有效的证据，实现事后审计的目标，不能做到事前防范，从而不能从根本上实现提高内网的可控性和可管理性。而内网终端安全管理系统将重点放在主动地（Actively）控制风险而不是被动地 （Passively）响应事件，提高整个信息安全系统的有效性和可管理性。

　　内网终端管理系统提出一种叫做“控管”的管理概念，即通过一种可控的、可管的技术性手段对整个内网安全行为进行强制性管理。具体而言，就是不但要对是否打补丁、打的什么补丁、打的如何、什么时候打进行管理与控制，同时也对按照这个概念，通过基于主机的审计，还可以对误操作、非工作行为等一系列不符合安全或者企业管理的行为甚至从个人终端到全网运行状态进行严格监控、管理和控制。

　　内网终端管理系统从普通网络管理系统发展起来的，它能够提供强大的内网网络管理和维护功能，是系统管理员理想的安全故障管理系统。它能自动发现网络内所有网络设备（包括三层和二层设备），通过系统提供的智能学习功能，自动识别网络的物理拓扑结构，生成网络物理连接拓扑图。

　　内网安全管理系统将所有的内网的主机进行认证，符合在内网中的主机将运行在内网中正常使用，没有在内网安全管理系统中，定义的合法的主机，系统将其阻断。内网安全管理系统将维护一张内网的IP和mac地址表，在地址表内的主机将在网络中正常运行，如果有非法机器接入，内网安全系统会自动发现，并将其阻断。

　　对于关键数据服务器等终端来说，控制其USB接口是非常有效的办法。比如，我们可以通过利用美国GFI公司 EndPointSecurity和德国SmartLine公司 DeviceLock这两款软件轻而易举的达到管理自己的USB接口。GFI EndPointSecurity和SmartLine DeviceLock是一套用来控管个人电脑周边设备的工具软体，系统会限制一般使用者对于电脑周边设备的存取，杜绝员工私自携带U盘、数码相机等可移动式储存装置，以及蓝牙、无线网路设备等所带来的风险。管理者可以阻止非授权使用者使用USB与、蓝牙与WiFi转接器，CD/DVD光碟机、磁带机、 ZIP装置、串口与并口、以及其他即插即用设备。

　　如何防止内部员工恶意盗走企业的关键数据？除了通过行政手段来约束外，通过系列的针对终端的安全管理手段，可能是另外更有效的办法了。