公司员工上网行为解决方案.doc

上网行为管理及网络安全解决方案*公司FOR *公司 一、需求概述1.1 背景需求分析 随着Internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在IDC对全世界企业网络使用情况的调查中发现，在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。据IDC的数据统计，企业中员工30%至40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。尤其值得注意的是，中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。互联网滥用，给中国企业带来了巨大的损失。这些员工随意使用网络将导致三个问题：(1)工作效率低下、(2)网络性能恶化、(3)网络泄密和违法行为。企业网作为一个开放的网络系统，运行状况愈来愈复杂。企业的IT管理者如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题（如病毒、木马造成的网络异常），并进行快速的故障定位，这一切都是对企业网信息安全管理的挑战，这些问题包括：IT管理员如何对企业网络效能行为进行统计、分析和评估？IT管理员如何限制一些非工作上网行为和非正常上网行为（如色情网站），如何监控、控制和引导员工正确使用网络？IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料？IT管理员如何在万一发生问题时有一个证据或依据？因此，如何有效地解决这些问题，以便提高员工的工作效率，降低企业的安全风险，减少企业的损失，已经成为中国企业迫在眉睫的紧要任务。当前内网安全管理也随之提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。越来越多的企事业单位需要对内网进行统一管理以调整网络资源的合理利用。1.2 具体需求分析某某有限公司访问控制详细需求分析：随着业务的发展，信息化建设步伐的加快，某公司网络安全问题也日益严峻。虽然在网络出口处已部署了专门的防火墙设备，但无孔不入的病毒（尤其是木马病毒）、垃圾邮件仍然大肆泛滥，严重影响了企业应用系统的运行和公司业务的正常运作；另外，在针对内网的安全方面（尤其是PC客户端准入安全检查），由于缺少专门的客户端安全检查设备，无法有效的保护整个局域网的安全性。最为重要的是企业对员工的网络使用方面没有很好的限制方法，导致员工的工作效率低下，而且BT下载严重影响了企业内部关键应用的使用。 通过对某公司需求的了解，在内网行为方面在以下几个方面需要解决。所面临的问题：1.2.1 无法做到细致的访问控制首先公司内部办公网络有着自己的网络服资源，将来又可能上其他系统如：OA系统、ERP系统、WEB服务器、邮件服务器等。并且公司的部门、人员组成十分复杂，无法对这些用户进行细致的分组规定他们访问的资源的权限。还有QQ、MSN、BT等网络资源同样无法进行有效的控制，导致用户可以任意的使用网络资源使员工效率降低，并且加大了企业的风险。1.2.2 无法对内网用户的网络行为进行有效的监控提到网络安全问题，大多数用户都只关注外网安全。但是其实企业的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。所以虽然公司内部已经部署了防火墙等安全设备，但是无法对内网用户的网络行为进行有效的监控，包括邮件、BBS上传、下载等。1.2.3 没有很好的统计方法，无法得知内网的使用状况管理员无法具体知道网络的使用情况只能听员工反映的情况，最多只能简单的记录一些IP访问情况，查寻与统计相当不方便。1.2.4 无法保证客户端的安全性由于员工的机器没有限制，所以无法保证在上网时的安全性，导致很容易从访问网站中感染病毒，木马，等不安全因素，从而影响整个内网用户的应用。1.3 网络现状分析某某有限公司目前在Internet出口处部署了防火墙设备，内部网络通过核心三层交换机，2层交换连接到各部门办公区域，由于为将来可能会上OA系统、ERP系统、WEB服务器、邮件服务器等，具体的部署结构图如下：目前网络的使用情况：某某有限公司内部办公网络办公用户大约在100人左右。在P2P流量控制方面没有下载带宽限制，内网有很多病毒，经常出现攻击事件，内网用户上网权限没有有效限制等。鉴于以上情况，某某有限公司需部署一台上网行为管理设备实现以下需求：1、对内部用户不同的部门划分不同的组并给予不同的上网权限，如经理以上级别的领导，要求内网行为不受限制；财务部门仅开放国税、地税等税务相关网站，其它任何访问Internet的活动均受限制。2、开设公共区域，使没有上网权限的用户，可以通过自己的用户名、密码在这些PC上进行有限的互联网活动，同时记录每个公共区域用户在互联网上的行为。3、对终端用户PC机上的代理软件进行彻底封堵。4、对内网用户所有的上网行为，包括MSN、QQ等聊天内容以及上传下载进行监控审计，通过集中报表的方式反应网络的使用情况。二、解决方案 2.1 AC上网行为管理设备功能介绍 控制功能：细致的访问控制功能，有效管理用户上网SINFOR AC安全网关不仅可以对员工访问WEB、FTP、MAIL等常用服务的内容进行控制，更可以对QQ、BT、MSN、SKYPE等各种P2P软件的行为进行限制和控制。丰富的报表功能还可以分析出企业的Internet的详细使用情况，为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。基于Web的和LDAP/Radius集成的用户认证功能，使得对上网用户的管理变得十分灵活方便。表2.1：访问控制功能一览表功能模块功能性能指标身份认证IPMAC绑定结合准入规则功能，可实现跨三层交换机的IP-MAC绑定功能WEB认证WEB认证的用户名和密码可以使用本地用户密码也可以和LDAP服务器、Microsoft 的AD服务器、Radius服务器，POP3服务器联动 单点登录支持基于Microsoft AD域的单点登陆，用户登陆域以后，不需要再次在WEB认证页面输入密码客户端安全检查网络准入规则对上网的终端进行安全检查，可检查是否安装了防病毒软件、个人防火墙软件或病毒库是否升级、操作系统是否安装安全补丁以及是否运行了某个不该运行的软件上网权限控制策略管理分组、分时段，有选择性的封堵各种上网行为代理检测能识别采用Http、Https、Socks等代理服务器绕过防火墙检查的行为，防止访问非法网站P2P控制允许管理员有选择性的封堵各种P2P和IM软件上网时长限制在用户达到管理员设定的最长上网时间后拒绝该用户对互联网的继续访问URL控制数十种多达300万条URL库，控制对危险、反动、色情等各类站点的访问内容过滤关键字过滤基于网址/搜索引擎以及HTTP上传的关键字过滤功能。如通过WEB发邮件、通过BBS发表言论文件类型过滤对HTTP/ FTP上传下载的文件做文件类型过滤邮件过滤可对发送的邮件做关键字、邮箱地址的过滤。保证内部机密信息不外泄漏SSL证书过滤及控制通过对网站的数字证书和数字签名进行审核和对照，利用SSL证书库内置的可信任证书颁布机构列表，对SSL连接的证书内容进行可信度评估，当危险站点采用了伪造的数字证书来骗取内网用户信任时，AC可以判断出其本来面目并进行阻断，避免组织成员蒙受经济损失。 （二）报表功能：强大的数据报表中心，提供直观的上网数据统计SINFOR AC网关拥有强大的数据中心，管理者可分组、用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网络流量、邮件、网络监控、IPS系统、准入规则、防火墙等详细信息，并可直接打印和导出报表。SINFOR AC网关强大的日志系统和丰富的报表功能，可详细分析出企业的Internet的详细使用情况，为网络管理员和决策者提供了最有效的数据支持。表2.2：数据中心功能一览表功能详细指标流量统计日志包含内网流量统计概要、组流量排行、流量日志、流量趋势等，用饼状、柱型等直观地表示网络内部的流量排名邮件日志包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能，可详细统计用户所有收发邮件的具体情况网络监控日志包括监控统计摘要、监控排行、监控查询、监控趋势等功能。管理员可详细监控内网用户使用互联网资源的具体使用情况准入规则日志包括准入规则摘要、准入排行、准入查询等功能，管理员可对内部网络的违规机器进行详细统计和查看IPS日志包含IPS日志摘要、IPS排行、IPS查询、IPS趋势等功能，可显示详细的网络安全情况防火墙日志包含防火墙摘要、防火墙排行、防火墙查询、防火墙趋势等功能，管理员可以对防火墙的日志进行更为详细地分析日志库管理主要包含日志库信息、日志库查询、日志库切换等功能用户管理管理员可在此新增用户、查询用户 （三）带宽及流量管理功能：强大的QOS功能及流量分析SINFOR AC安全网关强大的访问控制和QOS功能可以使得企业合理利用Internet资源，为不同的用户分配不同的带宽和上网权限，使得Internet资源得到有效利用，并大大提高员工的工作效率。SINFOR AC安全网关可以详细记录和分析所有流量的内容，包括http、ftp、mail、telnet等常用软件的内容和常用IM软件的内容。另外还能按用户、用户组、协议和时间对Internet流量进行统计分析，以优化员工对Internet的资源使用情况。使得企业有限的带宽能得到最充分的利用，提高企业的网络利用率。表2.3：QOS及流量控制功能一览表功能详细指标QOS保证使用差分业务模型实现QOS使用随机早期检测RED丢弃算法提供流量控制流量控制能针对内网每个用户或者不同的组，限定其上网能占用的带宽资源，使企业内网带宽资源得到充分有效的利用针对P2P应用采用上行流量和下行流量得限制，保证整个网络得带宽 （四）增值的安全防护功能：多重的安全防护，给网内设备予更有力的保护。强大AC的病毒防护模块在通过网页过滤、应用控制、流量合理划分和监控审计后，需要的就是一个和谐的内网环境。内网用户中毒，感染局域网，导致业务中断，这在很多组织机构中曾经出现过。AC为此为组织网络从外至内提供三道牢固的内网安全防线。从进口杜绝来自外网的隐患，并节省下巨额的购买防毒设备的费用。 2.2 设备选型及介绍根据对某某有限公司的网络结构了解，推荐使用深信服科技AC1100上网行为管理设备，它隶属于深信服上网行为管理AC1000产品系列。AC1000系列设备是中端内网行为管理产品中的典范，是安全防范意识强、需要管理和控制互联网访问的用户的第一选择。目前已经成功运行在政府、教育科研、电信、金融证券、电网电力、石油石化、制造等行业。终上所述， AC1100上网行为管理设备在这个项目上是十分合适的，以下是此设备的基本性能参数：SINFOR M5100-AC性能参数表：重要性能指标：l 吞吐速度：100M bpsl 包转发速率：96,000l 可管理用户数：100l 并发会话数目：60,000l 最大规则数目：2048l 最大时间规则数目：128l 最大QOS规则数目：128网络接口：l 标准接口：100BASE-T (RJ-45) * 4（WAN*2 LAN*1 DMZ*1 ）l 扩展接口：无l 串口：RS232 * 1硬件规格：l 电源功率180Wl 尺寸(cm)：42.7(W)32.9(D)4.45(H)l 重量：4.5Kgl 1U机架式结构2.3 具体实施某某有限公司的网络情况，AC系统部署图如下： 部署总部网网桥模式网桥模式将SINFOR AC等同于一根连接在网关和交换机之间的“智能网线”。此部署模式带来的价值在于：1、 可以对所有流经AC的数据流进行审计、管理和控制。2、 对企业内部原有的网络部署结构无需任何改变，只需要分配一条网线即可。三、方案优点及价值某某有限公司的需求，通过深信服科技的上网行为管理Sinfor AC1100的具体实施，带来以下价值：3.1 管理网络带宽 网络流量管理AC上网行为管理产品通过审计、控制、优化和带宽叠加等功能，协助管理者全面分析和优化广域网带宽资源。AC的数据中心（Network Data Center， NDC）对局域网发生的所有网络行为进行记录、分析和趋势报告。借助图形化的数据和报表，用户可以直观地了解到哪些服务占用了广域网宝贵的带宽资源，网页浏览，收发邮件，还是疯狂的P2P下载。同样，我们还可以了解到哪个员工在网上购物方面表现出了异于常人的活跃，哪些部门在上班时间观看了最多的在线影片。通过对网络使用情况的深入了解，管理者能够制定出最适合自身组织机构情况和的互联网访问策略。由于AC提供对各种网络服务的拦截和管理，以往的拔网线、通报点名的强制性手段将成为过去，如何发挥AC的强大功能只取决于你的决心。如果你在“彻底封杀某个服务”，还是“完全放开这项服务”的决定中摇摆不定（例如P2P下载，其吞噬带宽的同时也带给了我们丰富的信息资源），你也可以选择对应用的流量进行调整。P2P软件的控制P2P技术使人们可以高速获取海量的网络资源，而P2P软件对带宽的占用也使其招致种种恶言。一个2M以太网出口的局域网，只要有2个以上的员工不限速地使用BT，所有人的正常网络浏览都将成为不可完成的任务（Mission Impossible）。每天，互联网上都会有人发布最新的P2P软件，这让大多数的P2P控制工具望尘莫及，它们往往只能封堵“昨天的BT软件”。AC改变了这一切。通过对P2P下载软件的智能检测 (专利号： 200610156977.8），管理员甚至可以彻底封锁所有的P2P流量。如果你不想做的太绝，你可以选择针对特定用户和相应的P2P工具进行流量控制，只要不超出网络使用者的容忍程度，大多数用户还是可以允许内网中存在P2P下载。3.2 保障内容安全 拦截不良网页AC设备内置了可自动更新的分类URL库，其中包含了海量的成人、暴力、反动和恶意网站信息，这有助于将不健康和包含潜在威胁的网站拦截在外。由于每天互联网都会涌现出大量的站点，AC的URL库也提供了使用者分享功能，用户可以在AC的URL库自定义需要被拦截的URL。通过对URL的阻拦，可大大地降低了内网用户对不良Web页面的访问。对于很多URL过滤设备无法控制的SSL加密页面，AC同样能够施展拳脚。很多钓鱼网页伪造成网上银行企图骗取出用户的银行卡密码和资金，通过在AC中导入和设定SSL证书和链接的黑白名单和证书时效性确认，将有力地避免网络行骗者使用的伎俩。这对使用SSL方式进行加密的反动、色情、邪教等网站同样有效。3.3 提高生产效率 URL匹配策略在工作时间里，员工往往在从事私人活动，这是办公室众人皆知的秘密。管理者和决策者许能够影响一个员工的生活质量和职业方向，但却难以阻止员工在上班时间通过网络投递简历或在虚拟社区中开Party，这些都是随机而难以控制的。AC提供基于角色的管理方法，你可以让你的员工和部门在工作时间访问特定的网站，例如提供行业信息的网站、合作伙伴链接和公司的门户网站，而其他未经允许的网页浏览都将是被拒绝的。IM（即时通讯）软件的管理在工作时间，太多的人在使用聊天工具，也许在和同事讨论工作，也许更多时间在同家人、朋友甚至是陌生人聊天搭讪。你无法确定员工何时使用IM谈业务，何时用来聊私人话题。当管理者无所侍从时会想到如何来屏蔽聊天工具，网管员或一些工具通过将聊天软件使用的服务器加入黑名单来杜绝IM的使用。但聊天工具层出不穷，QQ、MSN、Skype、Yahoo！Messenger、ICQ，封服务器地址最大的特色就是治标不治本，而且会浪费大量得到时间。AC通过对聊天工具网络访问规律和特征代码的深入分析，实现了对聊天工具的全面控制。AC不仅可以对特定的聊天软件进行封堵，还可以记录通话信息，管理聊天软件的文件传输。对于聊天软件扩展的相关应用程序，例如游戏、视频等同样可以做到封锁和控制。对各种应用的管理互联网的成员有着各种兴趣和爱好，仅实现对IM和URL的访问控制对一个亟待完善管理的网络来说还远远不够。视频、语音、图片、文档也同样被大量的上传和下载。你的员工可能刚进办公室就迫不及待地下载一部电视剧，因为他昨天下午只欣赏了前两集；还有的员工会利用上班时间更新自己博客中的文章和照片，虽然这段时间你更希望他（她）做一些和工作相关的事情。对于上述的问题，AC同样能够实现上传和下载管理，避免员工在网上花费大量的时间来从事娱乐活动。上网时间管理每个组织都有朝九晚五的工作时间安排，弹性工作时间的制定让员工能够更合理地安排工作内容，让组织更有效率也更富人情味。同样，将员工每天接触的互联网访问时间也进行合理有序的安排，也是专业的网络行为管理设备应该考虑的问题。通过AC对员工个人和部门的上网计时管理，你可以合理安排各个成员和部门的上网时间。而对于希望通过某种手段来实现上网计费的组织，这个功能也极具扩展价值。 3.4 规避法律风险 外发信息控制办公室中有太多的信息，无论是涉及组织生死存亡的机密资料还是总裁办公室的八卦新闻，员工们总是希望一吐为快。除了打电话和写信，他们现在有更多的选择，即时通讯软件、邮件、BBS论坛、个人博客等，都为倾诉和抱怨提供了Anywhere、Anytime、To Anyone的条件。同时，各种组织都存在人员的流动性问题，组织的商业合作伙伴、投资人、审计员乃至新员工随时都可能接入内网，他们可以通过网上邻居下载机密的财务报表或人事档案，再打包发到互联网的某一个角落。组织需要一个完整的认证体系来确保每个接入者的网络使用权限。AC提供了完整的身份认证体系。你可以启用基于Web方式的用户名/密码认证，IP和MAC地址的绑定，如果你的内网已经部署了Radius域认证或者微软的LDAP，你同样可以在AC中找到它们的设置选项。通过和域认证的联动，你甚至可以通过AC来保护内部服务器的访问安全。如果你的组织已经部署了邮件服务器，你也可以把所有人的邮件帐号导入AC，让员工在收取邮件的同时直接通过AC的POP3认证。有了这些认证机制，只有受组织信赖的部门和成员才能访问特定的网络资源，未经授权的局域网接入用户只能望着自己的显示器发呆。保护版权资料互联网充斥了大量的免费资源，涉及版权纠葛的音乐、视频和论文可以随意的下载。个人用户对版权的忽视往往会若上相关部门的注意，当这些免费的下载和共享是发生在局域网时，组织难免惹火上身。AC的访问控制系统通过对HTTP、FTP、IM软件、邮件收发的内容检测和控制，可以尽量阻止员工搅入版权话题；同样，当员工已经出现问题时，你可以在AC的数据中心中找到其个人的违规记录，进而为组织摆脱不必要的纠纷。法律遵从和举证由于员工的个人偏好导致的非正当的行为，例如对色情、暴力、反动、邪教方面网站的访问，AC将有效的避免和拦截；当内部员工发出的不负责任的言论已经难以挽回时，例如在BBS中发煽动性言论、网上聊天中采用侵犯性语言等，你都可以在AC中找到相关记录作为法律举证的重要依据。增值的防病毒模块网关杀毒、防火墙作为一个全面的内网管理设备，SANGFOR AC提供了丰富的安全增值功能。SANGFOR AC集成来自欧洲领先病毒厂商F-PROT杀毒引擎，对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤，降低内网用户感染病毒的风险。管理员可自行设置网关杀毒的选项，病毒库实时升级，帮助组织查杀病毒，支持杀毒引擎在线自动升级，也支持用户手工升级病毒库。AC具备强大的防火墙功能，不仅是对内网的环境保护，也是对设备自身的一个保护，保证设备在内网中的稳定性。危险行为识别内网用户将PC带出组织网络，不小心中毒后极易引起局域网内PC瘫痪。中毒PC通过外发邮件等信息散播蠕虫、木马等病毒，当其他用户接受这些看似正常的邮件时，无意间中招。如何发现中毒用户，并智能切断中毒用户散播病毒呢？AC危险行为智能识别、告警和阻断功能可解决上述问题。 危险插件过滤组织员工在访问互联网网页时，经常出现打开网页后，未等用户反应看清插件名字时，插件已自动安装。部分插件提示用户安装，但用户在不清楚插件是否合法的情况点了安装。随着电脑中安装插件的个数增加，用户电脑处理任务的速度越来越慢，甚至部分恶意插件在短时间内导致系统中毒或者硬盘毁坏。如何叛变插件的合法，如何避免恶意插件的安全和运行，SANGFOR AC在注重用户网络安全方面提出了危险插件过滤功能。AC将判断插件的数字签名是否合法，插件是否被修改过数据，证书是否过期等信息，自动过滤不合法的插件。同时，AC可设置信任插件，如常用的在线杀毒插件、播放器插件、休闲娱乐插件等，避免误杀情况。恶意脚本过滤随着网页形式的多样化，大量包含脚本程序的网页被访问。这些网页中包含的链接和脚本程序是众多黑客正关注的切入点。用户在点击网页后，在不知不觉中感染病毒。如何让用户不可见的脚本程序变的安全可靠？AC提供了恶意脚本过滤功能。AC内置安全脚本库，对于不符合安全级别的脚本程序将自动过滤，还给用户一个放心的网络使用。网络准入规则AC的网络准入规则（Network Admission Rules, NAR）通过对客户端的评估来实现网络访问控制，并更好的维护网络安全防线。NAR的设计意义在于三个方面：1. 仅靠网络边缘的外围设备已经无法保证安全性。2. 边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。3. 客户端的安全级别往往难以保证：使用版本陈旧的操作系统、不及时更新补丁、长时间不更新防火墙和杀毒软件等，都成为局域网安全中的“短板”。鉴于此，AC网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护。AC网络准入规则检测端点主机是否遵从管理者设定的安全策略，如操作系统版本和补丁安装情况、杀毒/防火墙软件及更新情况、系统进程、硬盘文件、注册表等。不能满预设要求的接入端点，禁止其访问互联网或仅提交报告。通过AC的网络准入规则，修补内网安全短板，避免病毒、木马等轻易感染内网主机，利于机构推行统一的IT政策。SANGFOR AC的准入规则还能支持多条准入规则的“与”和“或”的关系，支持调用客户服务器上的指定脚本从而更好的保护内网安全。防ARP欺骗ARP协议是IP通信中的基本协议之一。但感染ARP病毒的用户会发送大量ARP欺骗数据包，从而导致整个子网用户无法访问外部网络资源。如何有效防控ARP欺骗是目前用户和业界的难题之一，部分厂商需要用户安装第三方客户端软件实现，难免有用户不安装、或安装后不运行。AC通过网络准入规则NAR插件结合防ARP欺骗技术，保证终端用户安全和保障网络可用性。这不仅避免了单独安装客户端软件的问题，而且NAR技术还将进一步加强端点安全级别，提升整个网络安全级别。3.4 规避法律风险 外发信息控制办公室中有太多的信息，无论是涉及组织生死存亡的机密资料还是总裁办公室的八卦新闻，员工们总是希望一吐为快。除了打电话和写信，他