Web Security proposal.doc

First Detect, First ProtectWebsense 网页安全解决方案 前言互联网给我们带来了很多方便和好处 ：通过浏览和搜索容易访问到需要的信息 ；通过即时通讯工具可以方便地即时交 流；通过视频软件可以实现网络会议。但是，访问这些内容也意味着在个人或公司的电脑保护系统中打开了一些 “洞”，从而 ，垃圾邮件 、病毒、间谍 广告软件等引起的内容安全问题日益成为人们的忧患，严格的数据保密和安全法规也使一些公司和企业的 IT安全人员头疼 。同样，过分或不适当的网络资源访问也严重威胁着企业安全和生产力。在众多企业中，互联网资源已成为便于员工访问新的先进应用系统和信息的必要资源。同时，可供一般企业员工中使用的网络资源也已明显增加。因此，企业希望能采用策略来管理互联网访问，并通过各种措施防范来自外部的威胁，如病毒、蠕虫、黑客和恶意传播的代码等。这些防范措施中包括互联网管理解决方案，用来管理、监控、报告员工访问企业策略禁止的网站，包括含有间谍软件、恶意传播代码及其他不适宜、危险资料和应用程序的网站。另外，随着网络化的快速发展,使员工的工作场所对企业安全、产能、守法及 IT 资源的利用构成新的威胁 这种威胁往往不是来自外部，而是源于员工自身。最近公布的互联网安全调查报告指出，新的蠕虫和病毒正越来越多地利用即时消息（IM）客户端和对等（P2P）网络,2005年末夏发生的150种恶性蠕虫和病毒中，有90种以上利用了 P2P 和 IM 应用程序 比2004年全年增加了400%。随意访问网站使用户暴露在间谍软件和恶意传播代码的攻击之下，怀有不满情绪的员工可以轻松获得易用的黑客软件。流媒体与大量此类非标准但充满诱惑的应用程序及其他应用程序一样，随着基于互联网的应用软件在普及程度上不断提高，给生产效率造成影响，耗用了企业带宽。企业一样面临了这样的问题，所有的企业都积极的希望能解决这类问题。 随着互联网的不断发展，计算资源在员工的易用性方面也发生了显著变化，新的IT管理不仅仅要求解决方案能够对网站进行过滤。互联网发展初期，浏览器几乎是用于访问信息的唯一工具。而现在，员工可以用浏览器衍生的新的应用软件访问大量内容，如实时流媒体播放器、即时消息（IM）客户端应用程序和对等（P2P）网络等。这些新涌现的复杂网络应用，已经成为了企业IT管理者关注的焦点。目前，企业计算环境下 PC 机和存储设备配置的处理器、CD-ROM 和硬盘驱动器性能不断增强，方便了软件安装和在企业系统上存储个人文件。企业为员工配备功能强大的笔记本电脑已是很平常的事，进一步方便了员工在缺少管理的环境下工作，如家庭办公或途中办公。这样缺乏管理的个人计算机系统，又如何来保障信息企业的信息不泄漏呢？近几年来，更是有关于信息内容安全方面的法律法规出台。在美国州和联邦的许多新法律要求保护公司、客户和病人的信息数据。例如，美国的2002 Sarbox法令，HIPAA和 GLBA法令意味着需要内容过滤来保护公司的知识产权，保护敏感数据和减轻危险性，这既是商业行为也是法律行为。目前面临的挑战正是由于我们在前面提到的种种快速出现的因特网威胁和公司发展后面临的问题，大多数企业通常在成功建设了防火墙、防病毒等传统安全产品后，仍然出现传统安全技术无法适应新黑客技术的现象，例如，现在大多数的间谍软件都会使用80端口进行Back Channel方式进行数据回传，但是传统防火墙技术却无法识别；96% 的公司使用了防病毒软件但是超过70% 的公司仍然感染了病毒2005 CSI / FBI Computer Crime and Security Survey等等。我们需要更深入的检查，我们需要更新的安全技术来补充原有的传统安全架构，这成为了目前大多数电力行业企业的需求。在多次调研和专家咨询后，归纳了以下企业对于Web安全以及员工管理所关注的问题：网络浏览上的安全顾虑 员工访问不适当内容的网页 间谍软件 恶意网页病毒 网上诈骗 键盘记录木马 BOT网络（傀儡网络） 随看随下软件的下载（例如，dudu加速器等）网络应用的管制 IM即时通讯软件的控制 WebBased IM的使用 P2P文件传输 在线流媒体的控制 代理回避门户和软件客户端机密的泄漏 员工黑客 Web Mail造成的内部资料的外泄 被植入木马或者后门程序 USB等移动存储带来的风险网络使用的记录和审核 缺乏上网记录和审核机制 行业中已经出现了对于信息使用的核查标准，需要有效的工具来实现 可以方便的让各级决策和管理人员随时随地的查看到报告 网络使用趋势报告和潜在威胁分析报告为什么选择Websense网页安全方案?传统的安全手段无法适应当前不断变化的黑客攻击手段, 2006 CSI/FBI计算机犯罪和安全事件统计, 目前大多数企业都有采用众多的传统安全技术防御手段,但是仍然有65%的企业遭受攻击. 我们必须采用一些新的手段和新的方法来应对目前日益严重的安全威胁.2006 CSI/FBI Computer Crime and Security Survey Websense Web Security解决方案它以行业领先的 Websense ThreatSeeker technology 技术为基础，搜集和分析最新的网络安全威胁，并即时更新给用户本地Websense过滤系统，积极防御间谍软件、恶意移动代码、仿冒攻击、Bots 病毒及其它威胁。与其它一些解决方案不同，它不仅可以对于未知病毒进行预防，大大降低零日漏洞威胁，它还可以拦截间谍软件和击键记录程序的反向通道通信，使它们到达不了其主机控制服务器。另外， Websense Web Security Suite 还为客户提供 Websense Web 保护服务来保护企业的网站、品牌和 Web 服务器。Websense通过即时安全更新，更快更早的帮助客户防御最新安全威胁 Websense Web Security Suite 简介Websense 为您提供一体化Websense Web Security Suite 套件，通过集成式 web 安全解决方案弥补现有安全技术在时间和技术方面存在的漏洞。Websense Web 安全套件（Websense Web Security Suite）可以封锁间谍软件、恶意传播代码（MMC）和其他基于 web 的威胁，以及间谍软件和键盘记录软件返回自己主站的访问。同时可防止员工黑客和控制收发即时消息（IM）的客户端。 Websense Web 安全套件具备实时更新功能，可对新的安全威胁立即加以防范。同时，安全套件还包括各种强健的报告和分析工具，可为组织提供全面信息，用以掌握用户对恶意网站的访问或受到恶意代码的攻击。为您的网络增加一层安全保护可避免员工无意间访问欺诈网站、含有或发布间谍软件或键盘记录软件的网站，以及感染 MMC 的网站。如果企业桌面系统已经存在间谍软件或键盘记录软件，Websense Web 安全套件可以阻止客户端向间谍软件或键盘记录搜集服务器传送敏感信息。Websense Web Security Suite 的优点：l 在已知威胁到达端点之前将其阻止，并预警潜在的网络威胁 - Websense Web Security Suite 可以识别恶意网站、协议、应用程序和（端口 80 及所有其它端口上的）HTTP 流量等安全威胁，并在因特网网关处阻止其访问。Websense Web Security Suite 在网络中发现电子邮件附带的蠕虫流量时也会提醒管理员。 l 积极主动发现网络安全威胁 - Websense ThreatSeeker 技术每周扫描 6.5 亿个网站，以查找威胁。在发现新的高风险威胁后,数分钟内就提供实时安全更新，不需要管理人员的介入。 l 降低窃取知识财产的风险 - Websense Web Security Suite 降低通过即时通讯、即时通讯附件和协议，比如点对点协议、电子邮件协议、文件传输协议和其它协议，窃取知识财产和恶意代码攻击的风险。 l 网站或品牌遭到攻击时迅速报警通知并报告网络服务器的弱点所在 - Websense Web Security Suite包括三个Websense 网络保护服务帮助企业用户保护他们的网站、品牌和网络服务器。Websense 将扫描企业网站以及监视企业品牌和相关 URL 作为其例行的日常活动。如果网站被 MMC 感染，或名称和 URL 被用于仿冒、欺诈或其他恶意攻击，Websense 将攻击详情通知企业，以便企业立即采取措施。Websense 还定期对 Web 服务器进行扫描，从“黑客眼睛的角度”查找服务器漏洞和潜在的风险。通过基于 Web的门户提供风险级别报告和推荐措施，以便企业采取纠正措施。 l 提供行业领先的 Web 过滤功能 - Websense Web Security Suite 包含行业领先的 Web 过滤技术。此项技术是目前市场上同类产品中最全面、最精确的。凭借此技术，企业可管理其生产率，降低法律责任风险，改善带宽的使用。 l 优化网络带宽 - Websense Web Security Suite 使企业能够根据预定的阈值，在没有人工介入的情况下，实时设置流量优先级并加以管理，从而优化网络带宽。 l 包含灵活的报告工具 - Websense Web Security Suite 提供最先进的功能，用于识别企业在安全、效率、法律责任及网络带宽消耗方面的风险。 l 减轻 IT 负担 - Websense Web Security Suite 允许企业跨部门、组或区域分配管理任务。随后，各管理员可自定义策略来满足其所在地域的需求，并可设定其用户的责任。 预订 Websense Security Labs 警告与服务另外Websense Web 安全套件还增值包含的Websense 安全实验室（Websense Security Labs）告警，以及 SiteWatcher 和 BrandWatcher 服务。凭借互联网和恶意代码分类的丰富经验，Websense 安全实验室连续监控恶意活动，为安全机构和 Websense 客户及时提供产品和信息更新，为他们保障基础设施安全提供支持，其中包括（但不限于）恶意网站、以网站欺诈进行攻击，以及利用键盘记录、间谍软件、IM 附件、企业对等（P2P）应用软件等其他新的威胁形式。 Websense 安全实验室警告通知安全机构及 Websense 客户新出现的威胁和攻击，如恶意网站、网站欺诈攻击、键盘记录及其他基于 web 的威胁。 Websense 安全实验室 SiteWatcher这项服务在Websense用户企业的网站感染 MMC 时会向该企业发出警告。从而使企业可以立即采取措施，避免 MMC 向访问其网站的客户、潜在客户、业务伙伴漫延。 Websense 安全实验室 BrandWatcher这项高价值服务在Websense用户企业的网站或品牌成为网站欺诈或恶意键盘记录代码攻击的目标时提醒 Websense 用户企业。为企业提供安全智能化信息，包括攻击细节及其他与安全相关的信息。 Websense安全实验室 ThreatWatcher从”黑客角度”分析客户网页服务器的安全漏洞和风险, 用户可以自己自助扫描自己的网站产生专业的企业网页服务器安全漏洞报表。其他基本功能介绍：Websense Web Security Suite包含Websense Enterprise的各种基本员工访问互联网的管理功能和报表功能，可以有效提高员工效率、减少法律责任和优化 IT 资源的使用。它能够与领先的网络基础架构产品无缝集成，提供无与伦比的部署灵活性和操作方便性。这些基本功能可以帮助您：l 设置灵活的因特网使用策略。您可以选择 Allow（允许）、Block（禁止）、Continue（继续）、Quota（限额）、Block By Bandwidth（按带宽禁止）和 Block by File Type（按文件类型禁止）等选项来管理 Web 访问；根据每日时段过滤网站。 l 根据文件类型和 50 多个应用程序协议设置策略，这些协议包括电子邮件、文件传输、远程访问、流媒体、即时消息发送 (IM) 和对等文件共享 (P2P) 等协议。 l 允许企业根据通过 Lightweight Directory Access Protocol (LDAP) 访问的 微软 Windows Active Directory、Sun Java System Directory Server 和 Novell eDirectory 中定义的用户/组设置策略，或根据 RADIUS甚至 Citrix 环境中定义的用户/组设置策略。 l 使用功能强大、行业领先的分析和报告工具分析和跟踪整个企业的因特网使用情况。 l 记录用户活动日志时保证用户的隐私性和匿名性，从而确保始终遵守隐私政策、公司规章及其它法律。 l 使企业能实时设置流量优先级并加以管理，从而优化网络带宽。 l 允许企业跨部门、组或区域分配管理任务，提高了各个区域内的透明度，减轻了 IT 负担。 l 各种规模（从 50 人到 250,000 人或以上）的企业都适用的可靠性和精确性，适用于几乎所有配置的网络。有以下三个部署选项： n 集成式部署，部署在与网络网关平台紧密集成的独立服务器上，提供“通过 (pass-through)”过滤，最大化稳定性、伸缩性和性能。 n 嵌入式部署，部署在应用设备或网关产品上，降低硬件支出并增强易用性，特别适用于远程地点。 n 独立式部署，利用网络代理程序在任何网络环境中提供“pass-by”过滤功能。此外，Websense还提供强大的报表功能，可以帮助企业分析当前面临风险、潜在的安全威胁、员工的上网习惯等等深度报表信息，有助于企业决策层调整企业安全策略，也可以让企业安全管理人员追踪和审计可疑上网行为等等。分析当前在线的网络活动分析，包含所有活动、带宽使用情况，以及网络使用政策的执行情況。还可以看到当前员工访问互联网的使用趋势以及风险趋势等信息Websense Real-Time Analyzer实时报告工具网页形式互动报表引擎，为IT与各部门主管分析员工的网络使用状况以及详细情况提供了方便的工具。并提供分级报告权限和自查报表的功能，是最灵活和方便的报表工具。Websense Explorer 报告浏览器 Websense Reporter 报告生成器基于模版式的报告生成工具，适合周期性产生报表，提供的深入分析报表，并提供多种图形图表和导出格式。管理者可以轻松定制自己喜爱的报告，并定期产生。Websense Web Security Suite工作原理网关层：在因特网网关级别，Websense Web Security Suite可以与多种安全网关和网络产品集成，包括防火墙、代理服务器、缓存、交换机、路由器和其它装置。因为网关是公司内部所有访问互联网流量的必经之路，因此我们通过和网关设备进行配合，我们可以补充网关设备所无法提供的内容安全的检查，通过Websense系统后台提供的卓越的专家数据库，实现严格的网页内容过滤功能。工作原理：1. 客户端发出浏览网页请求2. 防火墙或者其它网关设备收到请求，并把请求转交给Websense系统查询相关网页内容安全要求3. Websense在自己独有的网页专家数据库中查询并得到结果4. 专家数据库将结果返回给Websense过滤系统5. Websense根据相应策略决定是否允许该访问，并把结果返回给防火墙或其它网关系统6. Websense通过专家数据库查询得到的结果被统一记录在集中报表系统中Websense 专家数据库Websense 专家数据库是所有 Websense 解决方案的核心。它结合专利分类软件和人工检查技术，确保覆盖最全面的范围，对 URL、协议和应用程序进行了最准确、最新的分类。Websense 网页专家数据库包含 50 多种语言90多种类别的 2200多万个在线网站。网络层：针对非80端口的网络流量，或者客户没有网关设备可以和Websense方案进行结合的情况（Websense需要独立部署），Websense推出了Network Agent组件，利用网络监听原理实现的网络层次的解决方案。工作原理：1. 客户端使用对等共享等非80端口网络应用（或者访问网页）。2. Network Agent侦听到相应流量（独立部署模式下，同时会分析网页形式流量）3. 分析得到数据会传送给Websense过滤系统及后台专家数据库（网页数据库、协议数据库）进行分析4. 如果发现是异常流量，将通过Network Agent完成TCP阻断5. 专家系统判断结果将被记录到统一的日志系统中Websense协议数据库目前已经包含了80多种常见互联网应用，包括流媒体、对等共享软件、即时聊天等传统方案无法完全控制的协议应用。部署 Network AgentWebsense Network Agent安装的位置必须使其能够监控访问因特网的所有网络流量。它只能监控和管理能够监测到的网络流量。Network Agent可以使用交换机、集线器与网络连接，或者与集成伙伴的产品安装于同一台机器上。下图表示Network Agent与网络连接的多种方式。在某些配置中，可能需要多个Network Agent。集线器配置与集线器连接时，Network Agent可以插入到集线器的任何端口中，因为集线器采用广播方式的工作原理，这样，Network Agent就可以监控和管理通过该集线器的所有网络流量。交换机配置通过采用交换机与网络连接，将Network Agent连接到交换机的某端口中，将该端口设置为映射、监控或监听网络出口端口（通常是防火墙内端口）的所有流量。并非所有交换机都支持监听或者端口监控。请与您的交换机供应商联系，查看您的交换机是否支持此配置。网关配置Network Agent也可以安装在网关上，用于管理和监控所有因特网流量。这种配置仅支持 Windows 操作系统，建议中小型配置采用，因为网关和Networ