上网行为管理方案Word格式文档下载.docx
- 文档编号:19198622
- 上传时间:2023-01-04
- 格式:DOCX
- 页数:18
- 大小:192.46KB
上网行为管理方案Word格式文档下载.docx
《上网行为管理方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《上网行为管理方案Word格式文档下载.docx(18页珍藏版)》请在冰豆网上搜索。
构应用系统的运行和业务的正常运作;
另外,在针对内网安全方面(尤其是PC客户端准入
安全检查),由于缺少专门的客户端安全检查设备,无法查找和修复内网的安全短板,从而
无法有效的保护整个内部网络的安全性。
更为重要的是上班时间内部员工的网络访问行为没有很好的管理、控制方法,上班时间
长时间使用QQ聊天、收发私人邮件、浏览无关网页、在BBS、论坛上发帖等,不仅导致
员工工作效率低下,还潜在可能向公网泄露机构内部机密信息,并可能因访问非法网站或发
别非法言论而违反法律。
另外员工肆意使用BT、PPLive等P2P工具下载电影等、在线看
电视、看电影、听歌等,严重吞噬了有限的带宽资源,影响了机构内部关键应用和业务的开展。
通过对本机构内部网络目前存在的问题,我们看到XX机构在内网员工的互联网访问行
为管控方面需要解决几个问题。
1.3.1缺乏有效的统计方法,无法得知网络使用状况
对于机构网络的使用情况,有限的公网出口带宽的占用情况,用户最常发生的网络访问
行为,TOP10用户最常访问的网站等,IT管理者当前都无法掌握真实情况,而只能靠部分员工反映或抱怨,通常只能简单记录的一些IP访问情况,查询、审计非常不便。
1.3.2无法做到细致的访问控制
机构因为需要获取外部信息和资源而与Internet实现互联,通过Email等IT应用系统,
内网员工不仅可以与合作伙伴、第三方单位保持沟通,而且外网用户也可以方便的通过Internet访问机构内部的WWW网站、FTP下载服务器等。
但是如果没有完善的互联网访问权限控制手段,而仅仅依靠传统的防火墙等设备,将无
法有效管控内网员工的各种网络访问行为;
内网员工在上班时间使用QQ、MSN等聊天,
浏览各种网站(甚至色情、反动网站),BBS、论坛发贴(包括不负责任的反动言论等),
在线炒股、网络游戏娱乐等,不仅降低了工作效率,甚至通过Email泄漏机构机密信息,给
机构带来直接经济损失,还可能引起不必要的法律纠纷。
1.3.3无法有效管理带宽流量,无法保障业务系统的带宽需求
机构现有的公网出口带宽通常都比较有限。
一个带宽2M的Internet出口,即使有两个
内部用户全速下载BTeMule等,其他用户和业务系统的访问与开展都会及其缓慢,甚至完
全不可用。
而IT管理者一方面无法有效的获知机构现有带宽资源的使用情况和利用率,同时对于各种P2P等非业务相关的网络访问行为也无法有效管控。
业务部门收发Email缓慢,领导的视频会议系统无法正常运作,设计部的CAD文件传输
速度极慢等,都需要IT管理者优化机构有限带宽资源的使用情况,有效的限制非业务系统对带宽的占用,合理的划分和分配更多的带宽供业务系统所使用。
1.3.4无法保证客户端的端点安全性
类似于木桶理论,内网网络安全的等级取决于安全最薄弱环节。
如果有内网员工的终端
设备使用陈旧的操作系统、不更新操作系统补丁、不安装指定的杀毒/防火墙软件、甚至不
更新,反而使用和安装机构不允许的软件,这都将造成该终端设备成为内网的安全短板。
如
果用户使用该终端设备肆意访问互联网,来自Internet的病毒、木马、恶意程序等极易感
染和侵害该终端,从而进一步感染和泛滥到整个内网,影响更多用户的网络使用和业务的开
展。
1.3.5无法对用户网络行为进行有效监控和审计
提到网络安全问题,大多数用户都只关注外网安全。
但其实机构内部的信息资产更多的
不是被黑客窃取,而是通过内部泄漏的。
所以虽然机构已经部署了防火墙等安全设备,但是
无法对内网员工的网络行为进行有效的监控和审计。
内网员工可能通过MSN聊天即将机构的机密信息无意间泄露出去,而更典型的是通过
Email邮件,将机构的信息资产通过邮件及附件发送到公网;
还可能通过向公网BBS论坛
发贴的方式,不仅泄露机构信息,也可能发表不良言论、网络造谣等,不仅泄露机构的信息
资产,还难免招致法律问题;
这就需要有别于传统防火墙的解决方案,对用户的网络访问行
为进行有效的监控和审计,做到有据可查。
1.4客户网络现状分析
XX机构目前使用内部设备:
结构图:
通过以上机构的内网拓扑简图可见,机构内部众多用户和各种应用系统,通过位于外网
接口的防火墙进行了防护和保障,对于来自外网的安全风险和威胁提供了一定的防御能力,但是对于来自内网的肆意的互联网访问行为、带宽滥用、潜在的泄密、法律违规等无法进行
有效地管控,同时内网员工的各种互联网访问行为也无法有效的监控和审计。
二、解决方案
2.1AC上网行为管理设备功能介绍
2.1.1控制功能:
细致的访问控制,有效管理用户上网
对于内网员工访问各种网页的行为,AC通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL方式加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以
管控。
AC安全网关不仅可以对员工使用WEBFTP、EMAIL等常用服务进行控制,通过深度
内容检测技术,根据应用数据包四层到七层的特征码,实现对QQMSNSKYPE等IM聊天工具,BT电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
SINFORAC具有国内最全的应用协议识别库,例如对IM聊
天工具、炒股软件的识别库如下:
□IM(2T个)
□阴里旺妊/阿里旺旺
□w/MIW]
□q郞汕[TCF]
□«
SM/USM(80]
□FoPo/PcPo
□新浪ir;
■新iftycLTCM
□1CQ/ICQ[TCP]
□POCO/fOCOWM]
□卡聲曹Jft丿卡閉券录
□QQ/QQ-MSG[in>
P]
□雅[Frojcyj
□MSS/MSHSLell
□QQ/Q5-THS008
□QS/TWeOOSEUBF]
□dQ/TMZOCBLTCr]
□MSU/MsjiMis
□lCQ/IC3[BO]
□祗浪UC励浪UC[W)F]
□新iftuc/SJf浪DC矍录[udp]
□eg/TM300B[linPI1KIN]
□qQ/TH2009[TCFLO&
INJ
□Q9/TH2DOB[udpioek]
□息[18閃]
□men/msneuiif]
□丈智惹/大智y(L0OT
□犬智蔗/丈智慧新1代
□钱血贱龙
□江藩证券#江海证券
□股票行惜/般票行僭
□同花颇/■同花ISSSDI)
□证券之呈/证蜉之星
□同花哑同花顺
□冨贲满堂/冨贲蔚堂
□未来禮势/未来趋势
口婶磁0W/分析家2WE
□和讯脸道/和诩股道
□般道/陞
□il达信系列漉这倍累列
□51达信数爲接收他达值数据接收
□华安证券/华笺证靠
□丈智急/犬智急[疔18]
□餵河证并朋河证弄
针对目前P2P行为泛滥和P2P工具版本泛滥的趋势、SINFORAC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
基于Web与LDAP/Radius集成的用户认证功能,又支持LocalDB设备自建帐户、支持
POP3PROXY?
认证方式,使得对上网用户的管理变得十分灵活方便。
通过对基于LDAPPOP3
PROXY勺单点登录功能,简化用户的操作,方便用户的使用。
AC所具备的各种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同
的目标行为进行灵活权限控制,实现人性化要求。
表3.1:
访问控制功能一览表
功能模块
功能
性能指标
身份认证
用户认证方式
支持触发式WEB认证;
支持用户名/密码方式认证;
支持
USB-Key认证;
支持IP认证;
支持IP-MAC绑定认证等
IP—MAC绑定
支持跨三层交换机的IP-MAC绑定功能
第二方认证
不仅支持将用户账号/密码信息内建设备本身,亦支持与
第三方LDAR微软ADRadius、POP3PROXY艮务器联动
WEBA证
WEBA证的用户名和密码可以使用本地用户密码也可以和
LDAP服务器、微软AD域控服务器、Radius服务器,POP3
服务器联动
单点登录
支持基于LDAP微软AD域控服务器、POP3PROXY艮务器的单点登陆;
用户只要通过以上验证,则无需再次在WEE认证页面输入密码
未创建用户认证
AC支持将未创建用户自动创建并加入设备,并冋时赋予该
用户指定权限和用户分组
网页访问控制
URL(网址)过滤
AC内置超过800万条预分类的URL库,允许用户输入新URL地址和创建新分类;
关键字过滤
可限制通过搜索引擎搜索某些关键字(关键字可定义),可针对网页正文关键字进行网页过滤,可限制用户通过
BBSWebmail、Blog等方式发送带有敏感字样的言论
反钓鱼网站功能
支持对SSL加密网站的识别和过滤
文件类型限制
可限制和管理通过HTTPFTP下载、上传指定类型的文件
邮件控制
邮件地址限制
可限制指定后缀的邮件地址通过SMTF发送邮件
邮件控制功能
可控制哪些用户可以使用哪些邮箱发送邮件,可控制用户
发送邮件附件及附件类型等
可限制发送含有指定关键字的邮件
附件类型限制
可限制发送带有指定类型附件的邮件;
可限制发送超过指
定大小附件的邮件
垃圾邮件过滤
可对接收的邮件进行垃圾邮件过滤
上网控制功能
上网控制
可分组、分时段、分用户控制用户可以使用的网络服务(包
括网页、下载、QQMSN游戏、Email等)
IM控制
可分组、分用户、分时段封堵所有聊天软件如:
QQMSN
新浪UGYahooMessenger、网易泡泡、Skype、飞信等
P2P控制
可分组、分用户、分时段控制用户使用BT电驴、迅雷、
PPLive等P2P软件;
并能够对非常见/未来可能出现的P2P软件进行管控
SSL控制
支持SSL控制功能,可控制用户通过SSL协议访问的URL并可对SSL协议的证书做有效性检查,允许或拒绝用户访
问持有指定X.509证书的网站,以防止用户通过SSL协议泄密和访问色情、反动、和钓鱼网站
代理识别
可以识别并禁止使用HTTRSocks代理;
对HTTP/HTTPS端口中封装的其他协议进行封堵;
可禁止内网员工使用代
理软件代理他人上网
访问控制策略
支持基于组、时间、服务、网址策略、内容策略等多种对象组合
上网计时控制
控制用户总的上网时长;
支持对用户上网时长进行统计
2.1.2带宽及流量管理功能:
强大流量分析及带宽划分与分配
通过SINFORAC的多线路复用专利技术,一台AC网关最多可以同时连接四条公网线路,
扩展了机构的Internet出口带宽,多线路间互为备份,提升了可靠性;
同时AC的多线路智能选路和负载均衡技术,将内网员工的流量智能分担到各线路间,解决了跨运营商的带宽瓶
颈问题。
IT管理者需要详细了解当前带宽资源的使用情况,这可以通过访问AC的数据中心实现,
如查看指定时间周期内应用流量分布情况,用户流量分布和排名等。
下一步IT管理者就需要对非业务流量如P2P行为等进行带宽限制,对领导的视频会议
系统、业务部门的应用流量需求进行满足,这可以通过AC强大的流量管理系统轻松实现,
基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制,进行带宽划分和分配,实现带宽资源利用率的最大化。
带宽分配
|排除嚴略
名称
适用服昶
适用访问徑制组
主效时间
生效线面
俣证带麗
限带帰宽
羊用尸上F艮
疮停网站-会
住司网站”除跆
誉司领导组
全天
牛51KB,|S04KB
1
4-258KB
1StMCB,
4-2&
KB
馋-下載
理F”FEF盍媒体
默认筑市场部,公司令孵酯,jlq-gro
踽1
无
t煌KB,
151KE
+100.
4ICO
表3.2:
带宽及流量管理功能一览表
详细指标
多线路复用
一台AC网关,最多冋时连接四条公网线路,提升机构的出口带宽
多线路智能选路
多线路之间互为备份,且内网员工的流量可以智能分担到多线路之间,解决了跨运营商的带宽瓶颈问题
流量分配和控制
针对内网每个用户或者不冋的组,限定其各种应用/网站类型/上
传下载文件类型能占用的带宽资源,使机构的带宽资源得到充分
有效的利用
P2P管控
不仅可以全面封堵P2P的应用,还可对P2P行为进行流量控制,控制其上行流量和下行流量,节省机构网络资源
QOS保证
使用差分业务模型实现QOS
使用随机早期检测RED丢弃算法提供流量控制
2.1.3监控与审计功能:
防止机密信息泄漏和法律违规事件
谈到安全问题时,大多数人都只关注外网安全,但其实机构的信息资产更多的不是被黑客窃取,而是通过内部泄漏的。
SINFORAC安全网关完善的访问审计和监控功能能够有效防
止信息通过Internet泄漏,并建立强大的内部安全的威慑,减少内部泄密的行为。
对于邮件类型的应用采用了深信服“邮件延迟审计”的专利技术来保证先审计后发送;
对于通过Webmail站点发送邮件,全面记录邮件正文和附件等;
对于QQMSN等聊天内容提供了全面的记录功能;
对于BBS论坛发帖不仅根据关键字进行过滤,成功发布的内容也能全面记录;
内网员工访问的URL地址、网页标题、甚至整个网页内容,AC也能够完全监控和记录等。
SINFORAC的访问审计/监控模块为机构构筑了强大的内部安全屏障。
针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能:
上网权限|网页过滤]邮f牛过濾
亟审计
毓量统计与上网计时
应用行対审计
□审计所有已知网络应用行为>
但不包括下面的应用内容审计选项回审计所有未知网路应用行対,如访问某一端口〔会育大量日志)
应用內容审计
网页上传审计
回审计本组用尸51过网页上僅的交本内容肝启此项日志较寒>
淫溟开启下画的和壯b脳辽审计即可)
E审计本組用户在加话酩上的版帖内容
0审计本组用户JI过网页发遴的nbMail®
件内容
回审计本組用户通过网页上隹的附件内容,包括HMal1的鮒件
而高层领导的网络行为、收发的Email等关乎机构的发展命运,AC通过业界独有的“免审计Key”技术,从底层免除对其行为的监控和记录,达到全面和灵活的统一。
表3.3:
访问审计功能一览表
实时会话监控
实时对用户会话数进行排名;
可查看指定用户当前具体会话信息;
实时流量监控和用户冻结
实时对用户产生的流量,包括上行和下行流量,进行排名和查看;
对于异常流量用户,支持对其进行临时冻结,阻止其网络访问,并能够在冻结时间段结束后,自动解冻
实时连接监控
实时监控用户的连接情况,并能够断开指定用户的指定连接;
访问网站监控
分组、分用户监控用户访问的所有网址、网页标题或整个网页内容,或只记录含有指定关键字的网页内容
网络言论监控
分组、分用户监控用户通过BBSWEBMaikBLog等发送的网络言论
邮件监控
可监控用户发送、接收的所有邮件包含附件
邮件延迟审计
对于敏感邮件,AC先拦截,经人工审核后再决定是否发送到公网「
IM软件监控
能够监控和记录QC聊天内容,以及市面上流行的所有聊天软件的聊天内容,包括:
QQGtalk、新浪UC网易泡泡、Skype等
FTP监控
分组、分用户监控记录通过FTP上传的文件(内容)和FTP上传下载
行为
TeInet监控
可监控用户Telnet行为
其它网络行为监
控
可监控用户的其它所有网络行为
管理员/系统日
志记录
支持对所有管理员的操作日志,系统日志的记录和审计
免监控功能
支持指定用户使用“免审计key”,实现对该用户所有网络访问行为
的免监控功能
自动邮件告警
对特定安全事件支持通过邮件自动告警
2.1.4报表和检索:
直观的上网数据统计、报表和海量日志检索
机构内网员工每天的各种行为日志记录可达数十G,SINFORAC网关通过外置数据中
心实现了日志的海量存储,强大的数据中心允许管理者分组、分用户、规则、协议等多种查
询对象,按饼图、柱状图、曲线图等方式进行查询,可直观地查看到网络流量、邮件、网络监控、安全日志等详细信息,并可直接打印和导出报表。
SINFORAC网关强大的日志系统和
丰富的报表功能,可详细分析出机构的Internet的详细使用情况,为网络管理员和决策者
提供了最有效的数据支持。
而如何从机构存储的上千G的海量日志中搜寻、审计IT管理者感兴趣的内容,甚至是
创遂内君主鱼
请揄人您荽监视的主題。
创建主題填迭测试邮件]|「高级
数据中心内容搜索系统
最新可搜索记录时间[200S-034MB:
03:
09:
F*1容记录总熱57O6M
空莹网页邮件搜宰年武〒衣出MailBBS聊天更劣许
表3.4:
数据中心功能一览表
流里统计日志
包含内网流量统计概要、组流量排行、流量日志、流量趋势等,用饼状、柱型等直观地表示网络内部的流量排名
邮件日志
包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能,可详细统计用户所有收发邮件的具体情况
网络监控日志
包括监控统计摘要、监控排行、监控查询、监控趋势等功能。
管理员可详细监控内网员工使用互联网资源的具体使用情况
准入规则日志
包括准入规则摘要、准入排行、准入查询等功能,管理员可对内部网络的违规机器进行详细统计和查看
安全日志
包含防火墙相关日志信息,及机构网络发生的DOS攻击、ARP欺骗
等安全事件日志信息
数据报表功能
支持独立于网关的网络监控数据报表中心,可在一个报表中心以WEBT式查看多台网关设备的监控数据
报表分析功能
支持对各种网络监控数据进行报表分析及图形化分析,包括柱状图、
饼状图,趋势图等
自动报表功能
根据管理员设定,数据中心能够自动将指定时间段的指定统计查询结果汇总成PDFExcel等报表文件,发送到指定Email邮箱
内容检索
通过类似Google的搜索界面,实现对海量日志信息的内容搜索
日志库管理
主要包含日志库信息、日志库查询、日志库切换等功能
用户管理
管理员可创建不同权限的数据中心管理员
2.1.5丰富的安全增值功能,全面提升内网安全级别
作为一个全面的内网管理设备,SINFORAC安全网关还提供了丰富的安全增值功能。
除
了强大的防火墙模块外,SINFORAC安全网关还集成了来自欧洲的领先病毒厂商F-PROT的
杀毒引擎,对内网员工接收的邮件、访问的网页、下载的文件进行病毒过滤,潜藏在压缩数
据包中的安全威胁,AC同样可以过滤和查杀,降低了内网员工感染病毒的风险。
防DOS攻击功能,不仅防御来自公网的DOS攻击,对于发生于内网的DOS攻击同样提供了彻底的防御;
防ARP欺骗,让机构先前遭遇的整个子网用户无法上网的故障得以根除。
AC具备的网络准入规则专利技术,将按照管理员预定策略,检测内网接入终端设备的操作系统版本,操作系统补丁、防毒/防火墙软件安装和更新状况、注册表、硬盘文件、后
台进程等,只有符合安全要求的终端设备才允许接入Internet,修复了内网的安全短板。
表3.5:
安全增值功能一览表
网关防毒功能
集成F-PORT的杀毒引擎;
可支持HTTRPOP3SMTPFTP等协议数据的网络防杀毒功能
查杀压缩文件
支持对压缩包的病毒查杀(包括zip、rar、gzip、tar、bz2等)
杀毒豁免
支持对指疋网站的免病毒检查;
支持仅对指疋的文件类型进仃病毒查杀
病毒库升级
支持杀毒引擎在线自动升级;
支持用户手工升级病毒库
防DOS攻击
不仅防止来自外网的DOS攻击行为,还能防范来自内网的DOS攻击,侦测出内部发起攻击的终端,并提供对该终端在指定时间段内的冻结和封锁
防ARP欺骗
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 上网 行为 管理 方案