一、怎样做好企业网络监控管理

这其中有很大一部分原因，主要是在网络安全体系设计中，有不少网络管理人员犯了一些方向性的错误。其实，这些错误我在以前也犯过，还好后来及时调整过来。下面笔者就对这些谈谈自己的看法，希望能够对大家有所帮助。

迷失方向一：注重边界安全，忽视内部威胁

笔者在企业网络安全管理这个领域内，也是有一定的知名度的。平时在跟一些网络安全管理人员讨论企业网络安全话题的时候，发现大家更多的是关注企业网络边界的安全，而忽视了来自于企业内部的安全威胁。但是，根据有关权威部门的统计，企业网络的安全威胁，真正的来自外部的威胁只占到20%，而80%的网络安全威胁事件来自于企业内部。来自互联网的攻击，无论是木马、黑客还是恶作剧，都是很少，而且，对企业造成的影响也不是很大。但是，来自于企业内部的安全威胁则日益突出。

特别是员工随意把企业内部的机密信息泄露、甚至转卖给企业的竞争对手，给企业造成了很多的损失。现在就有很多类似的官司。如前不久就有一家公司的销售经理离职的时候，复制了公司的所有客户信息与产品信息，离职后自己开办了企业，挖走了公司很多的客户。也有公司的技术骨干被企业的竞争对手挖走，随着他们的离职，很多技术资料也被他们带了过去，从而引发了官司。这里虽然也有人员管理上的问题，但是电子文档管理不完善，这也是导致企业损失的一个不可推卸的失误。为此，笔者认为，相对于企业外网而言，内部的威胁应该更应该引起网络安全管理人员的重视。

如如何对电子文档进行管理，限制无关人员的访问，特别是对于电子文档的复制、分发等需要进行严格的控制。如如何对于移动设备存储进行管理，U盘等移动设备由于其体积小、容量大，所以是用来存储电子文档最好的工具之一，所以网络安全管理人员需要采用有效的措施来规范移动存储设备的使用，必要的时候禁用他。对于如何应对企业内部的安全威胁，笔者有如何建议：

1、对电子文档进行安全等级管理。对于安全等级级别高的电子文档，如客户信息、产品研发信息等等，需要采用数据加密等手段来保护文件的安全。如采用WINDOWS操作系统的EFS文件加密技术，当这些机密文件脱离特定的用户，在其他电脑上都无法打开利用EFS加密过的文件。这无疑是保护企业机密文件安全的一种很好的手段。

2、规范移动存储设备的使用。在一般情况下，需要禁止使用移动存储设备。如我公司现在就是禁止各种移动存储设备的使用，包括移动硬盘、U盘、MP3、外置刻录光驱等等，都无法使用。这个技术手段也很简单，就是禁用掉主机的USB接口即可。

3、监控企业员工的邮件。除了移动存储设备外，电子邮件也逐渐在成为企业信息安全带头号杀手之一。电子邮件由于其隐蔽性高、使用方便等等，已经开始对企业的信息化安全产生了重大的威胁。所以，在有必要的情况下，需要对企业重要部门的员工邮件进行监控。笔者现在的企业，采用的安全规则是，一般员工的话，都不能发送外部邮件，只有内部员工之间的邮件可以对发。而有权限发送外部邮件的员工，他们的邮箱都受到监控，什么时候给什么人发送了什么内容的邮件，都可以追踪到。如此的话，就可以最大限度的减少员工利用电子邮件工具泄露企业机密信息。

二、IP网络监控优势及其前景

（1）先进性：利用现有的综合布线网络传输图像，进行实时监控系统所需的前端设备少，连线简洁，后端仅需一套软件系统即可;

（2）可靠性：主要设备网络摄像机采用了嵌入式实时操作系统，所需设备简单，而图像的传输是通过综合布线网络实现的，系统可靠性相当高;

（3）性能价格比：所需设备极其简单，系统的控制由后端的软件系统实现，省去了传统模拟监控系统中的大量设备，如昂贵的矩阵、画面分割器、切换器、视频转网络的主机等。由于图像的传输通过综合布线网络，省去了大量的视频同轴电缆，降低了费用;

（4）安全性：系统设置了不同等级的使用者权限，仅有最高级权限的用户才可对整个系统进行设置或更改，没有权限的用户是接收不到图像的。另外，图像数据的存储是专有的格式;

（5）使用及维护性：系统的安装极其简单，软件系统的安装及使用也非常易懂。在维护性方面，系统的接线十分简洁，而主要设备的可靠性很高，维护性能好，并可实现远程维护;

（6）扩展及延伸性：当需要增加监控点和监控主机时，只需要通过现有网络增加一台摄像机或PC机即可，不需要对现有布线系统做什么改动;

（7）应用范围广阔：区域性监控，利用网络传送实时图像，如办公室、大楼等;跨区远端监控，连锁事业、大型工厂机房、远端老人、儿童看护、公共建筑、无人环境监控、金融机构分行监控、交通监管、错误警报辩识等。