会员登录
浏览历史
当前位置: 首页 > 网康上网行为管理设备 > 网康上网行为管理设备
网康上网行为管理设备
- 商品描述
- 商品标记
网康互联网控制网关解决方案
|
|
北京网康科技有限公司
2009年11月
目 录
互联网作为一个拥有完全社会特征的虚拟环境,其管理与单位的管理密不可分,然而互联网的管理复杂度远超过一般的单位管理。互联网管理包括:风险管理、合规管理、行为管理和链路管理。
1.1互联网管理的发展
从互联网使用的历程来看,首先是接入,让互联网可用;其次是高效率,出口链路的流量管理;然后是访问控制,让大家安全合理的使用互联网;最后上升到员工行为分析和管理。
归纳起来,一是关注上网权限(什么样的人允许使用互联网),二是关注上网速度(保证起码的办公需要),三是关注上网内容(泛指各种互联网应用及其信息),四是员工行为分析和管理。实际上,使用权限、访问速度、上网内容、行为分析密不可分,都是互联网管理的重要组成部分。
完整的互联网访问管理遵循“记录—分析—决策—实施策略—再记录、分析”这样一个螺旋式上升的,逐步完善的过程。
1.2互联网管理的几个方向
l 权限管理
对互联网的使用是不是开放的,需要什么样身份的人才可以接入网络。
l 链路管理
链路管理是互联网管理的基础,主要是如何保障互联网出口链路的畅通、高速。
链路管理包括带宽分配、流量整形、异常流量的防护等。
l 风险管理
过去我们往往把信息安全局限于通信保密,局限于对信息加密功能要求,其实网络信息安全牵涉到方方面面的问题,是一个极其复杂的系统工程。从简化的角度来看,要实施一个完整的网络与信息安全体系,至少应包括三类措施,并且三者缺一不可。
一是社会的法律政策,政府、单位等单位的规章制度以及安全教育等外部软环境。在该方面政府有关部门的主要领导应当扮演重要的角色,只有技术措施并不能保证百分之百的安全。
二是技术方面的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等。
三是审计和管理措施,该方面措施同时包含了技术与社会措施。其主要措施有:实时监控单位网络安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等,以防患于未然。
l 合规管理
国家《互联网安全保护技术措施规定》、《信息安全等级保护》、《单位信息系统风险管理》等安全指导,均对互联网使用单位互联网访问的控制、审计提出要求。
对于上市机构,随着美国SOX法案的生效,由国务院批准、财政部牵头发起,证监会、国资委共同参与成立的“单位内部控制标准委员会”正式在北京成立,这预示着我国单位在内部控制方面将迎来一部类似美国萨班斯法案的标准体系,这对于上市公司的内部管理提出挑战,也创造了机遇。
公安部33号令以及2006年3月1日颁布实施的公安部82号令,都对互联网使用单位内部用户的上网行为提出了行为审计和记录的要求,尤其82号令要求互联网访问行为日志“至少留存60天”。
l 应用合规管理
社会化是互联网的基本特点。也是互联网管理区别于局域网管理的最大不同之处。随着互联网Web2.0等交互式技术的广泛应用,互联网社会化程度日趋明显,互联网与用户之间的相互影响也越来越大。
可以说,很多的单位管理风险是由于对员工的片面管理造成的,往往通过人员的其他行为可以更有效的分析引导。
用户的上网行为实际上反映了上网用户的社会行为,互联网管理不仅仅是网络实体的管理,更可以提升到单位管理的高度。社会化特征使互联网更具有管理价值。
网康科技专注于互联网的研究,是专业的互联网管理服务提供商。
1.3互联网管理的内容
q 管理用户
§ 怎样标识定位用户?
§ 哪些用户可以使用互联网?
§ 哪些用户正在访问互联网?
q 管理行为
§ 哪些类型的网站是本单位明令禁止访问的?
§ 对影响工作效率的网络应用进行阻断还是流控?
§ 是否需要针对工作时间和下班时间设置不同的策略?
q 管理内容
§ 员工的邮件有没有泄露单位的敏感信息?
§ 员工的言论有没有触犯国家的有关法规?
§ 员工使用互联网在多大程度上做与工作无关的事情?
q 管理带宽
§ 出口网络带宽真的不够用吗?
§ 宝贵的带宽资源有多少用于核心业务的传输?
§ 对于P2P下载大量消耗带宽有无良策?
1.4互联网管理解决什么问题
|
挑战:
q 人员随意接入互联网
q 安全威胁不断
q 浏览不良网页
q 工作效率低下
q 网速越来越慢
q 机密信息外泄
q 违反国家法律
q 逃避单位监管
|
管理:
q 开启上网认证
q 杜绝安全隐患
q 屏蔽不良网站
q 保障工作效率
q 合理利用带宽
q 开启信息审计
q 遵从国家法律
q 过滤出口数据,无法躲藏
|
1.5网康科技上网行为管理理念 – 洞悉,管控,驾驭
q 洞悉 – 谁在使用网络,网络中发生了什么
q 管控 – 制定策略,管理控制
q 驾驭 – 检查结果,持续优化
2、互联网管理方案设计
2.1目前用户普遍存在的问题
员工的互联网接入权限没有一套整体的管理制度;员工在工作时间P2P下载占用较大的带宽资源,使其它员工正当的互联网访问受到影响;员工在上班时间玩游戏、炒股,严重影响了工作效率,且带来较坏的影响;员工有意或无意接入一些不良网站,造成网络中大量木马、病毒的传播,引发安全风险;论坛发帖带来潜在的法律风险非常大;内部机器中毒疯狂外发数据包造成出口防火墙不堪重负而当机……
2.2系统设计必须考虑的功能因素
(1) 产品部署的透明性
作为一套有效的管理系统,很有可能会带来员工的抵触情绪。因此,管理对于员工来说应该是透明的,最大限度得减少员工的抵触情绪。
(2) 无关人员禁止接入网络
制定一套统一的认证体系,对员工的互联网接入权限做严格的控制。
对于所有可能造成行为隐患的,同时也与工作无关的应用一律控制使用。特殊对象如有需求,在合理范围内可酌情开通,对于领导有特殊业务需求酌情放宽,以上功能应配合防火墙,行为审计设备,代理服务器等共同使用。
对于存在隐患,但同时必须使用的应用,应有办法有效规避其存在的隐患点,确保安全的最大化。
对于影响工作效率的互联网行为,应可按照单位已有的成文规定并结合各部门自身特点,人员特点,时间特点进行有效的管控,以提升员工的工作效率。
互联网行为不能影响互联网的有效带宽,应保障互联网的使用效果,使用效率,使用质量。保证员工正常互联网使用的保障带宽。
对网页基于内容特点进行分类并加以有效的控制,对一些不健康站点和高风险站点进行相应的过滤,保障用户网页访问的合规性。
(8)历史日志的追溯查询
为确保信息的可审计,可追溯。所有正常被策略放行的行为,被策略控制的行为均应能够被追溯,被审计,从而确认信息的有效性。
为确保互联网行为安全等级能够不断在自我统计,自我分析中自我完善,应可以及时的统计,分析出当前策略下的各种行为模型,对比基线,结合实际发现新的可能隐患点,从而继续优化,提升信息安全保护等级。
作为应用层网络安全系统,也必须考虑以下系统的各项要素。
系统应为专业的软硬件一体机,且不依赖于Windows系统平台,以保障管理系统的稳定性,减少日后的维护成本。
(2) 先进性
行为审计系统应具备目前业界通用,流行的各种技术规范,同时具备同行业内较为明显的技术优势,并且这些技术优势可给单位带来有效的行为审计效果。
行为审计系统由于是增值安全设备,因此应具备较高的自身可靠性考虑,以及原有网络的无缝接入、链路的可靠性考虑。充分满足单位员工的各种上网连续性和实时的要求,提升信息系统的客户满意度。另外,因为该系统可能存有所有用户的上网日志等信息,因此对此设备的访问权限也应该有一个有效的控制。
由于网架构需要不断扩展,因此要考虑到产品在未来2-3年的可扩展性和未来网络的规划。
由于每一个单位的安全体系都是在不断改进完善中的,每一个单位自身的网络,信息传递,行为要求均具备较典型的个性化思路,因此系统应充分考虑到未来的可定制化需求,能够提供快速,有效的定制化改进,提供用户个性化定制的要求。
2.4单位用户通用行为内容构成
综合考虑当前互联网的使用,业界普遍认为互联网行为主要为以下方面:
1、 互联网的接入。
2、 网络带宽的合理分配。
3、 非工作网络应用的阻塞。
4、 网页的浏览,网页方式的文件上传,下载。
5、 邮件文本及附件的收发
6、 IM即时通讯的文字,语音,视频,文件传输。
7、 网页方式外发文章及附件
8、 传统的FTP,TELNET方式的文本交互,文件上传及下载
9、 个人类,休闲类的应用访问,例如游戏,股票,视频。
10、 隐患类的服务例如共享,蠕虫攻击等内网流量。
为应对上述隐患,现针对上网行为管理系统的各个功能模块效果给出概要的分析说明:
1、 通过用户认证体系或固定IP的方式确保网络接入的可控性及被审计主体的准确性,真实性。
2、 利用真实的组织架构对下述的各项策略进行基于主体个性,特权的策略选择,提高互联网行为管理的灵活度和有效性。
3、 利用WEB行为过滤系统规避网页访问的相关隐患
4、 利用应用过系统严格控制无关文件传输的使用。
5、 利用Email控制系统控制Email,WEB mail的隐患外发,以及留存mail的信息备查。
6、 利用IM控制系统,控制IM相应的隐患文字,文件外发,并留存相应IM信息备查。
7、 利用网页发文控制系统,控制有隐患的文字,文件外发,并留存相关信息备查
8、 利用传统文件传输控制系统,控制telnet,FTP的文字,文件隐患外发,并留存相关信息备查。
9、 根据部门和人员特点制定控制策略,控制互联网软件和娱乐信息的访问权限。
10、 利用防护体系,防止内部DOS,蠕虫的攻击,避免网络拥塞,并记录隐患来源,备查。
根据单位网络整体建设规划的要求,此方案在单位网络出口处放置一台网康互联网控制网关,实现对单位内部所有用户的行为进行审计和管理。
通过本次建设,应可达到对互联网行为有效的风险规避,减少法律风险,提升工作效率,保障核心应用使用质量,尽最大可能的避免核心信息的外发,并可全面监控,审计,管理互联网行为。
由于互联网行为管理是较为新兴的技术,每个机构的策略并不具备普遍性,需要顾问式的引导,因此在策略配置层面需要提供专业的互联网行为管理顾问思路,协助单位建立起完善的互联网行为访问规范,并将规范全面落实到行为审计设备中,用技术推动互联网行为安全的进程。
具体部署说明
硬件设备:网康互联网控制网关NS-ICG
工作模式
在单位网络总出口处部署一台网康互联网控制网关,物理部署模式建议为透明串接,以保证透明无缝接入、完全的审计管控效果。具体工作模式依据原有上网方式、具体应用可以灵活配置。
3.2.1建立审计的基石-客户认证
NS-ICG通过有效的用户身份识别,使得策略的分发能够根据不同的部门级别需求进行灵活的管理。
NS-ICG提供全面的认证机制,除了传统的认证方式外,还提供私有认证,使得用户的识别种类更加丰富。
如果管理员已经将用户信息汇总到Excel、TXT等文件中,那么也可以通过NS-ICG的导入导出功能更加快捷的创建用户和分组信息;且NS-ICG可以和用户网络中的三层交换机联动,自动将三层交换机中的IP和MAC信息导入到设备中并进行绑定。
对于使用AD账户作为上网账户的组织,NS-ICG能够支持用户的单点登录功能,在用户通过AD认证(如用户登录了Windows域)后无需重复认证。
3.2.2建立审计的灵活时间点
网康互联网控制网关可以根据相关的查询条件,查询特定用户的所有网络活动状况
网康互联网控制网关提供基于时间的丰富管理策略,能针对不同部门或不同人员的身份赋予不同时间的不同权限,即能够控制在特定时间段内的上网权限,也可以限制员工一天内总的上网时间,实现人性化管理。
3.2.3实施HTTP浏览隐患规避
NS-ICG在为用户识别网页浏览的潜在威胁的同时,可以通过对URL关键字与网页中包含的文件类型进行控制,有效的保证用户上网的安全。
3.2.4搜索引擎关键字搜索
NS-ICG支持对搜索引擎搜索关键字进行控制,有效审计员工的搜索关键字及避免员工搜索不良信息。
3.2.5实施Email隐患风险规避
NS-ICG支持对邮件内容进行管控,可以管控到局域网内任何一台计算机,通过SMTP协议发送的邮件和通过POP3协议收取的邮件,也可以监测到用户通过Yahoo、Sohu、163、126、Hotmail、Tom、Sina、Gmail、QQmail、excite、google、infoseek、livedoor等Webmail提供商,以Webmail形式发送的邮件;可以根据情况设置是否对邮件进行管控,以及对哪些邮件进行管控,根据管理员预设条件,将潜在的泄密邮件先拦截,保障组织信息资产安全。
3.2.6实施IM隐患风险规避
NS-ICG内置的禁止IM传文件、进行语音视频通话、IM游戏等规则,轻松达到只允许员工使用IM文本聊天而不允许其他IM行为的目的。
允许使用IM工具的员工,其聊天内容也不一定与工作有关,尤其可能将组织机密泄露。NS-ICG能够记录所有IM聊天内容,包括MSN、雅虎通等采用加密方式进行传输的IM工具。
3.2.7实施网页发文隐患风险规避
NS-ICG的网页发文功能可以针对如下上网行为进行外发信息管控、过滤并报警。如果POST审计中出现关键字匹配,报警邮件会自动发送到用户预先填写好的邮箱中, 有效控制信息的传播范围,控制敏感信息的泄露,避免可能引起的法律风险。
3.2.8实施传统数据传输隐患风险规避
对于使用HTTP、FTP等方式传送文件所引发的风险,NS-ICG首先可以禁止用户使用HTTP、FTP等应用,同时在允许的情况下,可以全面记录文件内容,做到有据可查。
3.2.9用户发包控制与ARP定位
网康ICG可以与三层交换机进行连动,透明获取每一台终端的IP、MAC信息,并将其信息记录在设备中,发现内网有ARP或有IP与MAC的对应关系发生改变,ICG会自动定位,发出报警,并以邮件的形式通知管理员。
3.3实施非明文文件传输隐患规避
3.3.1限制P2P
有效的P2P封堵方法包括应用协议分析和P2P行为智能检测技术,NS-ICG可以同时对这两种技术提供支持。常规和加密的P2P软件,NS-ICG自有的深度内容检测技术,通过分析数据包的服务类型、协议、端口及数据特征字段等内容进行识别和控制。
3.3.2实施工作效率降低规避
通过NS-ICG定制人性化的互联网访问权限,可以有效的根据时间、部门和应用进行合理控制,从而有效保障工作效率。
3.3.3网游,股票,视频等
NS-ICG已经对多种常见应用的识别和管控规则,并能定期从网康公司网站上自动更新最新的应用识别库。这相对于绝大多数其他厂商仅提供给管理者根据IP和端口封堵应用的方式更加灵活和彻底。
NS-ICG通过精确的协议识别,对互联网的应用起到有效的控制,策略细细如下:
对于局域网内出现的NS-ICG未能识别和控制的新应用,管理员可以自行编制对应的识别策略。
3.3.4核心业务的带宽保障
NS-ICG提供强大的QoS(服务质量)技术包括专用带宽保留、抖动控制和延迟、丢包率的改进以及对指定高优先级网络服务的流量保证,以此使流经NS-ICG的数据进行优先级处理,保障重要应用的带宽质量和服务质量。
NS-ICG对于核心业务,应予以足够的带宽预留,使其不熟其他业务流量的影响
3.3.5非工作业务的带宽限制
NS-ICG可以对于非业务的带宽限制,应本着优先级最低,传输价值最低的策略。
用户评论
| 暂时还没有任何用户评论 |