深信服上网行为管理解决方案Word文档格式.docx
- 文档编号:16734999
- 上传时间:2022-11-25
- 格式:DOCX
- 页数:28
- 大小:891.30KB
深信服上网行为管理解决方案Word文档格式.docx
《深信服上网行为管理解决方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《深信服上网行为管理解决方案Word文档格式.docx(28页珍藏版)》请在冰豆网上搜索。
该公司的调查显示,大多数人平均每天通过谷歌进行22次搜索,每次页面停留时间为11秒钟。
根据对万名RescueTimes软件用户的调查,《吃豆人》使用户平均页面停留时间增加了36秒钟。
员工数量
月薪(元)
时薪(元)
无效时长(时)
每人损失(元)
所有损失(元)
小型
100
1000
750
万
中型
500
2000
1500
75万
大型
3000
2250
450万
上图是一家组织机构的调查报告显示,对于规模不同的公司,保守估算员工在上班的时候只浪费小时,给组织带来的损失的金额多达几十万甚至上百万。
而实际上,任何一家公司都没有理由为这浪费的时间付如此高昂的费用,因此从工作效益方面看,员工在上班时间做与工作无关的时间,比如聊天、炒股、玩网游、看视频等,影响工作效率,从长远来看,会给公司带来很大的财力损失,从而导致组织竞争力的下降。
1.1.3泄密风险
公司业务依托于互联网开展,ERP、CRM、OA、电子商务、视频会议等系统来自于全球高端厂商的开发,同时系统的应用依托于互联网。
但是,无论是政府网、教育网,还是企业网,承载着的都有关于组织的机密信息。
所以在信息安全保障工作方面,任何组织都需要考虑如何避免信息泄密事件的发生。
下面我们先看几则网络泄密事件的发生和造成的影响。
时至今日,像汽车、钢铁等行业这样拥有垄断技术的企业,无不在自己的系统外部铸造“铜墙铁壁”,防止黑客或其他居心不良的入侵系统窃取资料。
然而就像起亚的泄密事件,是由企业内部员工导致的,垄断技术的泄漏将会给企业带来重大打击和损失。
如何加强企业的信息管理,提高企业的信息化程度,实现信息加密、安全传输、访问权限控制、安全访问内网等成为企业亟待解决的问题,各行业中信息安全产品的大规模应用是大势所趋。
1.1.4法律风险
组织的办公系统、业务系统都依托于互联网,员工在使用的时候势必也拥有上互联网的权限。
调查发现,90%的上网人士不清楚网络的法律法规,67%的人都没听说过网络违规违法。
“人肉搜索”被媒体评为2008年度十大网络流行词,由于利用“人肉搜索”实施违法行为的主体具有隐蔽性,使得恶意侵犯他人合法权益的事件频发,严重侵犯他人的名誉权、隐私权和安宁权,甚至造成当事人自杀、自残或者精神失常的后果,引发“网络暴力”。
十一届全国人大代表为此提出议案,修改治安处罚法第42条,追究违法“人肉搜索”的法律责任。
网络服务提供者明知网络用户利用其网络服务实施侵害他人合法权益的行为,未采取必要措施,情节特别严重且造成严重后果的对直接责任人和主要负责人处五日以下拘留,并对单位处五百以上三千以下的罚款。
网络的违规违法事件越累越多,国家对于违规违法事件打击的力度越来越大。
组织职员通过组织网络,在论坛和博客发表反动、藏独等不负责任的言论,在QQ、MSN等聊天过程中传播不雅信息,都属于网络的违规违法行为,一旦被组织机构查处,组织都因此而遭受法律的制裁。
其中,国家电网明文规定,对电网公司不定期检查员工的上网行为日志,避免电网内员工发生网络违法和泄密事件。
个人违法,理论上不应该由组织来承担责任,但若因为组织没有采取相关的防御措施,违法事件发生后不能通过技术手段查出当事人,那么只能由组织为此违规违法事件而买单。
如果避免此类事件的发生,组织可以考虑从网络的技术层面出发,做好网络法律的防御工作。
1.1.5安全风险
互联网的开放给组织机构带来了信息共享的便利,为组织的业务系统提供了使用的舞台,但是正因为互联网的开放,网络病毒、蠕虫、木马等不法分子也随之盛行。
据了解,从1997年底至今,我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。
公安机关受理各类信息网络违法犯罪案件逐年剧增,尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。
由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术,在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段,以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。
有些集成商仍缺乏足够专业的安全支撑技术力量,同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。
缺乏必要的技术设施和相关处理经验,面对形势日益严峻的现状,很多时候都显得有些力不从心。
也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。
当今网络在安全攻击面前显得如此脆弱源于以下几个方面的原因:
(1)Internet所用底层TCP/IP网络协议本身易受到攻击,该协议本身的安全问题极大地影响到上层应用的安全。
(2)Internet上广为传插的易用黑客和解密工具使很多网络用户轻易地获得了攻击网络的方法和手段。
(3)快速的软件升级周期,会造成问题软件的出现,经常会出现操作系统和应用程序存在新的攻击漏洞。
(4)现行法规政策和管理方面存在不足。
目前我国针对计算机及网络信息保护的条款不细致,网上保密的法规制度可操作性不强,执行不力。
同时,不少单位没有从管理制度、人员和技术上建立相应的安全防范机制。
缺乏行之有效的安全检查保护措施,甚至有一些网络管理员利用职务之便从事网上违法行为。
现在的组织单位大多具备一定的网络安全意识,在互联网出口部署防火墙、入侵防御、入侵检测,在内网安装杀毒软件,但是以端口和IP为阻断方式的防火墙防御方式已经不能抵御以应用为主的互联网行为,即使最新的杀毒软件也存在着面对新病毒的滞后和不完善性。
特别是对于网络安全意识薄弱的职员,不装任何的杀毒软件,在互联网上随意打开网页、点击链接,很容易身染中毒,并且导致局域网内的电脑业毒发身亡,我们将此类用户成为内网安全管理的短板。
如何避免来自互联网的侵袭,如何解决内网安全管理的短板,这是很多网络管理者权衡自己工作绩效和解决实际问题能力的关键。
1.2客户具体需求分析
组织单位面对来自带宽效率、工作效率、泄密、法律和网络安全五大风险问题时,往往需要一套完善的可靠的上网行为管理解决方案。
深信服上网行为管理从身份认证、访问控制、带宽分配、监控审计、安全强化五个方面,为用户解决上网行为管理的问题,提供专业的解决方案和服务。
1.3客户网络现状分析
当前内网拓扑简图:
通过以上内网拓扑简图可见,机构内部众多用户和各种应用系统,通过位于外网接口的防火墙进行了防护和保障,对于来自外网的安全风险和威胁提供了一定的防御能力,但是对于来自内网的肆意的互联网访问行为、带宽滥用、潜在的泄密、法律违规等无法进行有效地管控,同时内网员工的各种互联网访问行为也无法有效的监控和审计。
第2章上网行为管理标准
专业的上网行为管理以识别用户、应用、终端为基础,以授权、流控、审计作为手段,以安全强化作为上网行为管理的辅助和目的。
作为一个管理者,只有清楚在他所管理的网络中是谁用哪一台电脑在网上做了些什么,才能真正的教过管理网络。
第3章上网行为管理AC功能介绍
3.1身份认证
3.1.1多种认证方式
随着网络的发展,网络信息安全的重要性日益显现。
现今大多数企业仍旧采用静态的用户名/口令认证机制,在身份认证过程中交换的认证消息为明文方式,未进行加密算法或者散列算法的处理,这样导致的直接结果是用户名和口令这些敏感数据容易被截获和泄露。
因此一套安全稳定高效的安全身份认证系统对于一个不断发展扩大的企业网络是必不可少的。
组织要对内网进行管理,首先必须对接入内网的人员进行严格的身份认证。
SANGFORAC基于用户识别的功能支持以IP、MAC、IP/MAC绑定、用户名密码、USB-Key识别,公用账号认证。
对于已有域认证的用户,AC可与域进行结合认证。
同时支持LDAP认证、Radius认证、POP3认证、Web认证等等,其中Web认证支持以windows认证框方式实现web认证,也支持以HTTPPOST方式实现web认证。
3.1.2跨三层绑定IP/MAC
对于三层网络环境的用户,AC可跨三层绑定IP/MAC。
3.2访问控制
3.2.1网页过滤
组织员工在日常需要使用网络的工作中,需要搜索访问互联网。
互联网的开放性带来了资源的传播和共享,同时也为不良资源提供了扩散的平台。
反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷,如何在日常工作中过滤这些不良网页,为员工创造一个健康的绿色的网络环境呢网页分类、搜索引擎关键字过滤等技术应运而生。
AC内置千万级URL库,将互联网网页分成40多个大类,同时公司研发专门设立URL部分,每半个月实时更新和维护URL库。
URL库支持在线自动更新,同时支持手动更新。
据Google统计,在2008年Google网页已经多达(1兆),2010年5月,工信部发布的互联网产业数据显示,截至2009年底,国内网站数量达到323万个,年增长率%。
网页更新速度如此快,URL的弊端由此显现。
如何克服网页URL管理的滞后性和不完全性
AC提供自行添加URL的功能,在查询URL库中没有此URL地址时,用户可自行在设备界面进行添加,也可自定义URL类型,对组织内部网页进行管理。
AC具备URL智能识别功能,可对未知的网页进行自动学习、判别、归类。
网页智能识别系统是公司于中科院联合开发,属国内前沿开发技术。
3.2.2搜索关键字过滤
用户可根据访问习惯,将互联网中的非法、暴力、毒品等不良网站进行过滤,为组织内网提供一个绿色、健康、高效的互联网访问环境。
同时AC支持在搜索引擎中设置多关键字过滤,过滤包含不健康内容的网页。
3.2.3发帖关键字过滤
网络的开放性给网民带来更多的言论自由,但互联网上部分不负责任人士发表一些类似色情、反动、迷信或者暴力的信息,影响其他人士,造成了不必要的影响。
AC可对发帖进行关键字过滤。
天涯、猫扑、XX贴吧等论坛网站,AC可设置看帖看不允许发帖,或者实行发帖关键字过滤,灵活避免组织中出现泄密或者发表不良言论带来法律追究责任的风险。
3.2.3.1文件类型过滤
网络的开放性带来了网络资源的共享,组织中的用户可在上班时间从互联网上下载电脑系统使用工具、免费的杀毒软件、产品文档等资料,非常便利。
但是部分用户利用下载和上传的工具在上班时间做与工作无关的事情,比如下载电影、音乐、游戏等,不仅影响工作效率,而且占用并浪费了组织的带宽资源。
AC根据下载文件的类型判别下载的内容,电影、音乐、游戏等与工作无关的娱乐信息为常见的rmvb\avi\mp3等格式,用户通过定义这些文件格式为影视类型,对这类文件的上传和下载进行过滤。
3.2.4应用控制
互联网应用众多,如何在内网对各应用进行合理的管控呢首先需要识别应用。
AC内置应用识别规则库,分为24个大类,包含600多种应用,可识别网络中各种主流常见应用。
对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。
AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
针对目前P2P行为泛滥的趋势,SANGFORAC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供P2P应用封堵或流量管理措施。
针对类似P2P难以管控的应用,AC内置应用智能识别库,自动判断新出现应用特征,从而归类管理。
AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
3.2.5P2P管理
P2P(peer-to-peer)应用的兴起直接导致了P2P软件及各种版本的爆炸性增长。
如何对P2P行为进行全面有效的管控成为业界的难题之一。
部分厂商通过封堵种子共享网站、过滤种子文件的下载、封堵资源服务器IP或封堵端口等方式进行P2P管控,费时费力且达不到理想效果。
AC的深度内容检测技术对常用P2P软件进行识别;
基于P2P行为特征的智能分析技术实现对不常见和未来可能出现的P2P应用的识别,为您提供了全面、高效的P2P行为管控手段。
P2P作为带宽杀手,P2P应用种类多、应用复杂、版本更新快,在众多网络用用中最难管理。
AC针对P2P以上特点,专门针对P2P采取智能识别、自动管控功能。
能够全面识别P2P行为是进一步管控的基础。
对P2P的管控包括封堵和流控两方面,即全面禁止指定部门使用P2P软件,或允许其使用,但对P2P行为占用的带宽资源进行限制和管理,既实现带宽使用的优化,又为机构员工提供了人性化的管理方式。
3.2.6加密聊天管理
“加密化”的趋势不仅使明文的HTTP网站开始转向加密的HTTPS网站,各种IM聊天工具的聊天内容也被加密,如腾讯QQ、TM、Skype、MSNShell等。
如果不能对加密的IM聊天内容进行监控和记录,隐匿其中的安全风险、安全事件就无法防御、无据可查。
目前业界的解决方案多数都无法对QQ、Skype、MSNShell、Gtalk的聊天内容进行监控和记录。
AC通过聊天内容同步侦听(Real-timeMonitorforMessages,RMM),实现对QQ、Skype等加密聊天内容的监督和记录,这在业界的行为管控方案中是屈指可数的。
3.2.7邮件管理
邮件成为了日常工作中一种必需的工具,如何避免员工通过邮件有意或无意泄露公司机密,如何过滤垃圾邮件,减少让人头痛的邮件管理问题呢
AC邮件过滤功能,可根据发送和接受邮件的地址,邮件主题、正文、附件类型,发送邮件的大小、附件个数等自动判别和过滤不符合规定邮件和垃圾邮件。
为避免邮件处理过程中,包含关键字的邮件为合法邮件,AC的邮件延迟审计(PostponedSendingafterAudit,PSA)技术,可将敏感邮件阻挡于内网。
内网员工发送Email邮件时,用户认为已经成功发送,实际上该Email行为被AC识别后,符合管理员预定策略的Email被AC网关拦截,整封Email邮件、包括正文和附件全部转存至邮件缓冲区。
指定的邮件审核人员会获得邮件通知,经人为审核后,才允许该Email邮件发送到公网上,实现了对泄密邮件的封堵,保护了机构的敏感信息的安全性。
AC的邮件延迟审计技术对内网员工完全透明,邮件的发送过程与日常无异。
3.3带宽管理
组织的出口带宽有限,随着网络应用的丰富,各种吞噬带宽的应用出现和使用,类似P2P,组织若不加以管控,带宽必会被这类应用占据,从而导致整体网络速度变慢,正常的邮件发送和网络访问都无法通畅。
因此,组织需要一种流量管理工具,识别应用流量,对现有的带宽进行合理的分配。
3.3.1多线路复用和智能选路
当组织网络出口有多条运营商提供的互联网线路时,往往因为跨运营商访问出现丢包严重、延迟大的问题。
出口多条线路,大小不一,如何让多条线路被合理利用,同时线路流量的负荷达到均衡呢
AC专利技术(ZL,一种基于网关/网桥的线路自动选路方法)可为数据包选择最快最畅通线路进行数据传输。
当一条线路繁忙,其他几条线路空闲时,AC可通过线路复用技术,将所有线路复用起来,不仅合理分配带宽资源,而且能在较短时间内传送要传输的数据,提高大容量数据的访问和传输速度。
SANGFORAC的多线路复用专利技术使一台AC可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
通过部署SANGFORAC网关,可实现智能化选择最快的出口线路,有利于上网速度的提升。
3.3.2虚拟线路
用户出口有多条运营商线路,通过路由器接入到防火墙和核心交换中间,往往只有一根线。
在一条物理线路中很难实现精细化的流量划分,容易造成外面几条线路流量分配不均,导致部分线路负荷过重。
如何将物理上的一条线路进行虚拟,对应外接的几条线路,实现多线路分别流控呢
SANGFORAC独家虚拟线路技术,通过这样的方式对于多条出口线路分别流控,或是为来自内网不同网段的用户分别进行流控。
除虚拟线路外,在各线路中,AC可建父子通道,父通道中可建立二级、三级通道等,最多能建成十一级的流量通道,为用户提供了最细致的流量管理手段。
3.3.3父子通道
SANGFORAC支持父通道中嵌套子通道,可支持8级子通道,最多能形成11级流量通道,为用户提供细致的流量管理手段,实现大流量划分成小流量通道,分级管理。
IT管理者需要详细了解当前带宽资源的使用情况,这可以通过访问AC的数据中心实现,如查看指定时间周期内应用流量分布情况,用户流量分布和排名等。
下一步IT管理者就需要对非业务流量如P2P行为等进行带宽限制,对领导的视频会议系统等业务流量需求进行满足,这通过AC智能流量管理系统轻松实现,基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制,进行带宽划分和分配,实现带宽资源利用率的最大化。
机构有限的Internet带宽资源承担业务系统、服务器和用户的各种流量。
AC如何实现带宽资源的合理利用呢传统设备根据IP地址和端口,结合QoS实现带宽分配,但类似80端口中会潜藏QQ、BT数据、部分业务系统没有固定的端口、领导的视频会议系统没有固定IP等,让传统设备的带宽管理功能大打折扣。
AC实现了基于用户/用户组、时间段、优先级、应用协议、网站类型、文件类型等的流量管理系统,让机构的带宽资源得到细致的优化和高效的使用。
3.4监控审计
众多组织机构网络环境良好,带宽分配合理,但由于工作和行业性质关系,员工日常工作中涉及了大量与公司企业、政府单位密切相关的信息,这些信息一旦公开,给公司和单位将带来泄露商业机密、触犯法律风险等违规违法的麻烦。
当这类事情出现的时候,组织如何在最短的时间内,通过一种最有根据的方式找到网络违法的当事人,避免由组织因此背负责任AC提供了全面的、灵活的监控审计功能。
3.4.1实时监控
SANGFORAC具备强大的实时监控功能,可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。
管理员不需要进数据中心即可实时查看网络的各种应用和流量使用情况。
运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。
安全状态实时汇报内网用户安全情况。
在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。
实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。
此外AC还支持实时连接监控,显示用户的所有会话连接状况。
3.4.2全面、灵活的应用审计
谈到安全时多数人只关注外网安全,但其实机构的信息资产更多的是通过内部泄漏的。
SANGFORAC实时监控和完善的访问审计功能可有效防止信息通过Internet泄漏。
对邮件类型应用采用深信服“邮件延迟审计”术保证先审计后发送;
对于通过Webmail发送邮件,AC全面记录邮件正文和附件等;
对于QQ、MSN、Gtalk等聊天内容提供全面记录功能;
对于BBS、论坛发帖不仅根据关键字进行过滤,成功发布的内容也能全面记录;
内网用户访问的URL地址、网页标题、甚至整个网页内容,AC也能完全监控和记录等。
值得一提的是对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3,AC也都可以基于关键字过滤和内容审计记录;
SANGFORAC的访问审计/监控模块为机构构筑了强大的内部安全屏障。
针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能。
3.4.3数据中心及报表
大型机构每天产生数十G日志数据,通过AC独立数据中心实现日志海量存储,而且提供了图形化的日志查询、统计、审计、报表中心等功能。
通过统计报表功能,您将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果,并且支持导出PDF等文档、Email投递等功能,方便IT部门将统计结果向机构高层汇报。
AC的风险智能报表能够深入挖掘日志,根据管理员指定的上网行为特征及阈值,自动挖掘日志,自动帮助组织提前发现风险,包括:
离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。
对于BBS发帖,SANGFORAC还支持进行热帖排名,只准看贴不准发帖的灵活管控方式。
而如何快速检索海量日志中管理者感兴趣的内容AC已经为您想到了。
通过AC数据中心的内容检索工具,您可以类似使用Google一样,从海量日志中查询、审计您需要的日志记录,并且支持高级搜索,支持订阅和自动Email投递功能,极大的方便了管理者的使用。
3.5安全强化
AC在通过网页过滤、应用控制、流量合理划分和监控审计后,需要的就是一个和谐的内网环境。
内网用户中毒,感染局域网,导致业务中断,这在很多组织机构中曾经出现过。
AC为此为组织网络从外至内提供三道牢固的内网安全防线。
3.5.1网关杀毒、防火墙
作为一个全面的内网管理设备,SANGFORAC提供了丰富的安全增值功能。
SANGFORAC集成来自欧洲领先病毒厂商F-PROT杀毒引擎,对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤,降低内网用户感染病毒的风险。
管理员可自行设置网关杀毒的选项,病毒库实时升级,帮助组织查杀病毒,支持杀毒引擎在线自动升级,也支持用户手工升级病毒库。
AC具备强大的防火墙功能,不仅是对内网的环境保护,也是对设备自身的一个保护,保证设备在内网中的稳定性。
3.5.2危险行为识别
内网用户将PC带出组织网络,不小心中毒后极易引起局域网内PC瘫痪。
中毒PC通过外发邮件等信息散播蠕虫、木马等病毒,当其
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 深信 上网 行为 管理 解决方案