军队院校由于学习与工作的实际需要拥有多套网络，除了只在学校内小范围使用的各种专网外，使用最多的是两套用于对外交流的网络。一套是连接互联网的校园网，用于查找学习科研资料以及与地方的各种交流，一套是连接涉密网络的园区网，用于军队内部资料的查询、传输以及与其他军队单位的交流。两套网络都对安全有很高的要求，而与相对开放的互联网相比，相对封闭的涉密网络对安全可信的网络环境要求更高。而由于网络性质的不同，其防护的侧重点也与互联网有所不同。
　　这套SMP安全管理系统，主要是从两个方面来保障网络的正常运行和安全使用，一个是网络身份，另一个是网络防护。
　　一、网络身份的准入、准出控制和多重信息绑定
　　涉密网络要求与其他网络实行严格的物理隔离以保障安全，但在现实应用中存在一定的管控难题，多数院校教员和管理人员都需要同时使用校园网和园区网，这样的需求使得两套网络部署的时候物理位置无法间隔太远，无法从技术上严格避免人员使用时双网隔离，这种情况下非法外连、同一计算机使用双网等隐患情况就有可能出现，管理人员只能通过定期排查、人员教育等方法来进行这方面的监管，肯定不能保证万无一失。为了解决这一安全隐患问题，SMP安全管理系统提供了网络身份的准入、准出控制和多重信息绑定功能来解决。
　　通过安全管理系统的用户管理功能，我们可以对接入涉密园区网的人员进行有效控制，只有通过管理人员严格审核后，开通了有效账号的权限人员才能拥有接入涉密园区网的资格，拥有账号的权限人员通过安全管理系统在个人计算机上安装的客户端检测成功后登陆才能接入涉密园区网。这种准入、准出控制功能定位到了专人专号，避免了非权限人员随意接触使用涉密网络的情况发生。
　　而通过安全策略模板的设置，对接入涉密园区网的计算机进行多重信息绑定，我们采用的是计算机MAC地址、IP地址、交换机IP地址、计算机接入交换机对应的端口以及个人账号这几项同时绑定，任何一样信息检测不匹配就无法接入园区网。保证了其他非保密计算机任何情况下都无法接入涉密园区网，保密计算机也无法移动到其他地点使用，避免了人员不规范使用的隐患。
　　网络身份的准入、准出控制和多重信息绑定功能的同时运用，基本满足了园区网对这方面安全使用的要求。
　　二、网络环境的有效防护
　　涉密园区网对网络环境的安全性要求很高，这就需要在各个层面（网络、主机、管理）上都做好安全防护工作。
　　在网络层面上，需要一个整体性的防护，防范从外部涉密网和内部园区网对学校发起的各种攻击，并在攻击事件发生时及时处理，特别注意要对园区网内的敏感资源进行重点保护。针对这方面的需求，SMP安全管理系统有相应的功能加以解决，敏感资源隔离模板可以专门为所有敏感资源IP配置隔离模板，一旦其遭到攻击，立刻隔离资源主机，断绝其与网络的连接，若检测到攻击来自园区网内，其模板设置中同时有对攻击源用户从警告到强制下线的处理方式。同时为了不影响正常的工作使用，防止出现攻击的误认定而频繁隔离，还使用了攻击频率分级处理模式，以完善的安全信息事件库为基础，结合安全事件级别和发生次数来进行相应的安全措施处理。还有专门的ARP欺骗免疫功能，可以通过安全管理平台在各个网关上开启ARP欺骗免疫。
　　在主机（终端）层面上，需要完成对于终端的各种常规防护，防火墙、杀毒软件的安装，微软补丁的及时更新，保护计算机空置时段不被他人使用而安装的屏幕保护措施，对USB接口等能做间接的访问和数据交换的通道的封锁等。在这方面SMP安全管理系统并没有提供直接的防护终端的功能，而是通过设置规则组绑定的方式对用户终端上安装的软件提出要求，任一项规则组要求的软件未曾安装，则无法通过认证检测，不能连入涉密园区网。这就避免了用户不安装各种防护软件而使得终端长期置于无防护状态的情况发生。
　　在管理层面上，园区网的管理人员需要实时了解整个园区网、使用人员以及接入设备的状态和情况，并在有需要时调阅以往情况来进行分析总结。
　　三、安全管理系统有待改进的功能
　　这套安全管理系统的功能在一些细节的地方还有待改进，主要是在系统功能的应用智能方面，并没有能够完全达到我们的要求。主要存在的问题有，在进行规则组绑定时，其绑定的只能是软件的进程，当需要加入规则的软件运行状态下进程隐藏无法找到时，就无法进行绑定，也就无法控制用户进行必需的安装。同时，系统只能检测到是否进行了软件的安装，但像杀毒软件有否更新病毒库，他则无法检测和控制，使防护的有效程度存在疑问。
　　四、结论
　　通过上面对园区网安全要求以及安全管理系统功能的分析，我们可以了解，不论是一般的防护还是一些特别的需求，安全管理系统都基本能够达到，虽然还有一点瑕疵，但身份控制、多重信息绑定以及规则设置、全网监控这些功能是切实有效的管理手段，可以帮助我们便利的完成园区网的防护和控制，打造一个安全而健康的网络工作环境。