内网安全作为信息安全体系的重要组成部分，越来越受到重视。但是由于一直缺乏与之相关的完整的理论体系和易用的解决方案，客户对在内网安全建设方面的投资一直持谨慎和保守的态度。H3C秉持“智能安全渗透网络”的安全理念，结合业内最丰富的局域网和园区网建设经验，提出了完善的内网控制解决方案，从理论和解决方案两个层面彻底解决了内网安全建设的难题，从根本上实现了让“正确的人”在“正确状态”下做“正确的事”这一内网安全核心目标。

 美国FBI有这样一个统计数据：虽然来自内部的攻击占总攻击次数的22％，但是造成的损失却占80%以上。因此在信息安全体系中，内网安全的地位越来越受到重视。但是由于一直没能建立起完整的内网安全理论体系，一些安全厂商推出的相关产品大都只偏注于满足某一方面的需求，从而无法提供完整、易用的解决方案。这也直接导致客户在内网安全的投资趋于谨慎和保守。

在“信息安全＝防火墙＋IDS＋防病毒”的“老三样”时代，并没有内网安全的概念。业界一直在认真总结、分析内网安全的需求，力争找到内网安全与终端用户接受程度的平衡点。H3C近年来承建了国内最多的局域网和园区网，有着丰富的网络建设经验；“智能安全渗透网络”的安全理念也在实践和摸索中沉淀，结合业内最丰富的局域网和园区网建设经验，H3C逐步在积累和完善内网控制解决方案。事实上，“用户是H3C最好的老师”，H3C针对内网控制的产品和解决方案不是一蹴而就，也是一个相对漫长的摸索过程。

H3C所理解“内网控制”，其核心目标是保证“正确的人”在“正确状态”下做“正确的事”。为了达到这一目的，需要管理策略和技术解决方案充分结合。

2003年，H3C推出了针对“内网控制”的第一套产品 ——“终端准入控制”（EAD）。EAD保证了“两个正确”—— 只允许身份合法且符合安全策略的用户接入网络，保证了“正确的人”；对终端设备进行系统补丁和病毒库的强制升级，则保证了“正确的状态”。此外，EAD将控制功能放在了网络设备上，从而实现了最完善、最安全的终端准入控制。目前，EAD在市场上捷报频传，包括国务院办公厅、国家人事部、国家统计局、新华社、中国银行、中国建设银行、中国民生银行、国家电网、中国外运集团、太原钢铁、用友软件、百度等高端用户均获得成功应用。截至2008年10月，EAD在国内实际部署超过了60万台终端用户，在国内市场遥遥领先。

在EAD得到广泛认可的同时，H3C一直在探寻如何在“终端准入”的基础上，进一步在网络本源层面上解决内网安全问题。由“分而治之”引入的安全区域隔离思想首先被考虑进来。2006年，随着H3C网络产品的安全功能插卡逐步成熟，核心交换机上支持的防火墙、IPS安全插卡首先被H3C运用在“内网控制”解决方案上：通过在核心、汇聚交换机上部署防火墙、IPS功能插卡进行区域隔离，网络安全无缝融合实现了内网的“分而治之”。H3C“智能安全渗透网络”的实践运用在内网安全管理上，还有一个很有意思的解决方案 ——通过在核心、汇聚交换机上部署NetStream网流分析插卡，检测异常流量、监控网络负载、分析流量趋势等，为用户调整安全策略提供有效依据。

深入到网络本源层面上防火墙、IPS、NetStream，实现“分而治之”、在线控制和流量分析，保证了用户网络应用的合规性，确保了接入的网络终端做“正确的事”。EAD + 防火墙插卡 + NetStream插卡，初步保证了“正确的人在正确状态下做正确的事”这一理想网络运行状态。

但是，最好的并不一定是最叫座的。例如，某银行要进行内网安全建设，结果只采购了EAD，而防火墙、IPS等 “分而治之”的产品因为“资金不足”而放弃了；某政务网的内网安全建设中，多厂商在终端准入产品上“浴血奋战”，“做正确的事”并没有成为焦点；某大型钢铁企业内网病毒及攻击严重泛滥，用户及时购买和部署了EAD，但没有进一步考虑更完整的内网方案。

“头痛医头，脚痛医脚”是出现这些现象的根本原因。人们习惯性地认为，内网的威胁来自终端，桌面控制自然成为最直接的解决办法。一时间此领域厂商云集，而用户也被吸引了全部注意力，忽视了内网安全的根本在于管理。事实上无论桌面控制、分而治之还是流量分析，都是为了执行企业的内部管理策略而存在的，而这种管理是需要IT工具来支撑的。因此在通过EAD + 防火墙/IPS插卡 + NetStream插卡搭建起内网控制的基本框架之后，H3C需要着手解决的，是考虑如何让这些各自相对独立的安全功能可以协调工作，以对内网安全策略的实施形成“自动化”支撑。

2008年，H3C将SecCenter（安全管理中心）管理方案运用到“内网控制”解决方案中，形成对内网安全管理策略的有效支撑。SecCenter可以对各种安全设备进行统一管理、快速策略部署。一方面，SecCenter通过对海量信息的收集、汇聚以及关联分析，通过类型丰富的自定义报表，协助管理员实时监控内网安全状况，及时发现安全隐患；另一方面，SecCenter统一管理内网安全设备和部署在网络边界上集成了专业防病毒库的IPS、UTM，使对内、对外的防御联动形成一个整体。

至此，H3C“内网控制”解决方案从最早的EAD解决方案开始，逐步丰富已形成了终端准入、区域隔离、病毒防护、网流分析、统一管理和安全联动等六大功能，提供了网络、安全、管理互相融合、和谐统一的全新内网安全架构，从理论和解决方案两个层面彻底解决了内网安全建设的难题，从根本上实现了让“正确的人”在“正确状态”下做“正确的事”这一内网安全核心目标，实现了 “内网控制 = 终端准入＋在线控制＋智能管理”的理想模型。

目前，H3C“内网控制”整体解决方案已经规模应用，并给客户带来了实际的改变。很多EAD老用户也纷纷升级成为“内网控制”整体解决方案的用户。国家某部委信息中心主任如是评论：“在办公楼扩建信息化改造项目中，在核心交换机上采用了SecBlade防火墙模块，并由SecCenter的统一管理后，与先期部署的EAD系统一起共同为各司、局提供了稳定可靠的信息交换、资源共享、协同办公的高效网络服务”。

多年来，H3C经过持续的研发投入和应用实践，不仅将部署在网络边界位置的IPS、防火墙、UTM产品打造到了一个新的高度；更是秉持“智能安全渗透网络”的安全理念，逐步形成完整的“内网控制”解决方案。事实上，“用户是H3C最好的老师”， 针对内网控制的产品和解决方案将在客户需求的推动下逐步发展完善，内网安全市场也将呈现出崭新的局面。