网康互联网控制网关方案.doc

网康互联网控制网关解决方案 北京网康科技有限公司 2011年7月 目 录 1 互联网行为管理理念 4 1 1 互联网管理的发展 4 1 2 互联网管理的几个方向 4 1 3 互联网管理的内容 6 1 4 互联网管理解决什么问题 7 1 5 网康科技上网行为管理理念 洞悉 管控 驾驭 7 2 互联网管理方案设计 8 2 1 目前用户普遍存在的问题 8 2 2 系统设计必须考虑的功能因素 8 2 3 系统设计必须考虑的技术因素 9 2 4 单位用户通用行为内容构成 10 2 5 修复隐患点各功能模块概述 11 3 总体设计方案 13 3 1 建设目标 13 3 2 审计功能实现 13 3 3 实施非明文文件传输隐患规避 19 3 4 查询模式建议和监控 23 4 网康 NS ICG 介绍 30 4 1 设备系统的安全性 30 4 2 可靠性原则保障和易用性 31 1 互联网行为管理理念 互联网作为一个拥有完全社会特征的虚拟环境 其管理与单位的管理密不可分 然而 互联网的管理复杂度远超过一般的单位管理 互联网管理包括 风险管理 合规管理 行 为管理和链路管理 1 1 互联网管理的发展 从互联网使用的历程来看 首先是接入 让互联网可用 其次是高效率 出口链路的 流量管理 然后是访问控制 让大家安全合理的使用互联网 最后上升到员工行为分析和 管理 归纳起来 一是关注上网权限 什么样的人允许使用互联网 二是关注上网速度 保 证起码的办公需要 三是关注上网内容 泛指各种互联网应用及其信息 四是员工行为 分析和管理 实际上 使用权限 访问速度 上网内容 行为分析密不可分 都是互联网 管理的重要组成部分 完整的互联网访问管理遵循 记录 分析 决策 实施策略 再记录 分析 这样一 个螺旋式上升的 逐步完善的过程 1 2 互联网管理的几个方向 权限管理 对互联网的使用是不是开放的 需要什么样身份的人才可以接入网络 链路管理 链路管理是互联网管理的基础 主要是如何保障互联网出口链路的畅通 高速 链路管理包括带宽分配 流量整形 异常流量的防护等 风险管理 过去我们往往把信息安全局限于通信保密 局限于对信息加密功能要求 其实网络信 息安全牵涉到方方面面的问题 是一个极其复杂的系统工程 从简化的角度来看 要实施 一个完整的网络与信息安全体系 至少应包括三类措施 并且三者缺一不可 一是社会的法律政策 政府 单位等单位的规章制度以及安全教育等外部软环境 在 该方面政府有关部门的主要领导应当扮演重要的角色 只有技术措施并不能保证百分之百 的安全 二是技术方面的措施 如防火墙技术 网络防毒 信息加密存储通信 身份认证 授 权等 三是审计和管理措施 该方面措施同时包含了技术与社会措施 其主要措施有 实时 监控单位网络安全状态 提供实时改变安全策略的能力 对现有的安全系统实施漏洞检查 等 以防患于未然 合规管理 国家 互联网安全保护技术措施规定 信息安全等级保护 单位信息系统风险管 理 等安全指导 均对互联网使用单位互联网访问的控制 审计提出要求 对于上市机构 随着美国 SOX 法案的生效 由国务院批准 财政部牵头发起 证监会 国资委共同参与成立的 单位内部控制标准委员会 正式在北京成立 这预示着我国单位 在内部控制方面将迎来一部类似美国萨班斯法案的标准体系 这对于上市公司的内部管理 提出挑战 也创造了机遇 公安部 33 号令以及 2006 年 3 月 1 日颁布实施的公安部 82 号令 都对互联网使用单 位内部用户的上网行为提出了行为审计和记录的要求 尤其 82 号令要求互联网访问行为 日志 至少留存 60 天 应用合规管理 社会化是互联网的基本特点 也是互联网管理区别于局域网管理的最大不同之处 随 着互联网 Web2 0 等交互式技术的广泛应用 互联网社会化程度日趋明显 互联网与用户 之间的相互影响也越来越大 可以说 很多的单位管理风险是由于对员工的片面管理造成的 往往通过人员的其他 行为可以更有效的分析引导 用户的上网行为实际上反映了上网用户的社会行为 互联网管理不仅仅是网络实体的 管理 更可以提升到单位管理的高度 社会化特征使互联网更具有管理价值 网康科技专注于互联网的研究 是专业的互联网管理服务提供商 1 3 互联网管理的内容 管理用户 怎样标识定位用户 哪些用户可以使用互联网 哪些用户正在访问互联网 管理行为 哪些类型的网站是本单位明令禁止访问的 对影响工作效率的网络应用进行阻断还是流控 是否需要针对工作时间和下班时间设置不同的策略 管理内容 员工的邮件有没有泄露单位的敏感信息 员工的言论有没有触犯国家的有关法规 员工使用互联网在多大程度上做与工作无关的事情 管理带宽 出口网络带宽真的不够用吗 宝贵的带宽资源有多少用于核心业务的传输 对于 P2P 下载大量消耗带宽有无良策 1 4 互联网管理解决什么问题 挑战 人员随意接入互联网 安全威胁不断 浏览不良网页 工作效率低下 网速越来越慢 机密信息外泄 违反国家法律 逃避单位监管 管理 开启上网认证 杜绝安全隐患 屏蔽不良网站 保障工作效率 合理利用带宽 开启信息审计 遵从国家法律 过滤出口数据 无法躲藏 1 5 网康科技上网行为管理理念 洞悉 管控 驾驭 洞悉 谁在使用网络 网络中发生了什么 管控 制定策略 管理控制 驾驭 检查结果 持续优化 2 互联网管理方案设计 2 1 目前用户普遍存在的问题 员工的互联网接入权限没有一套整体的管理制度 员工在工作时间 P2P 下载占用较大 的带宽资源 使其它员工正当的互联网访问受到影响 员工在上班时间玩游戏 炒股 严 重影响了工作效率 且带来较坏的影响 员工有意或无意接入一些不良网站 造成网络中 大量木马 病毒的传播 引发安全风险 论坛发帖带来潜在的法律风险非常大 内部机器 中毒疯狂外发数据包造成出口防火墙不堪重负而当机 2 2 系统设计必须考虑的功能因素 1 产品部署的透明性 作为一套有效的管理系统 很有可能会带来员工的抵触情绪 因此 管理对于员工来 说应该是透明的 最大限度得减少员工的抵触情绪 2 无关人员禁止接入网络 制定一套统一的认证体系 对员工的互联网接入权限做严格的控制 3 非关键业务的风险消除 对于所有可能造成行为隐患的 同时也与工作无关的应用一律控制使用 特殊对象如 有需求 在合理范围内可酌情开通 对于领导有特殊业务需求酌情放宽 以上功能应配合 防火墙 行为审计设备 代理服务器等共同使用 4 关键业务的风险降低 对于存在隐患 但同时必须使用的应用 应有办法有效规避其存在的隐患点 确保安 全的最大化 5 人员工作效率保障 对于影响工作效率的互联网行为 应可按照单位已有的成文规定并结合各部门自身特 点 人员特点 时间特点进行有效的管控 以提升员工的工作效率 6 带宽可用性保障 互联网行为不能影响互联网的有效带宽 应保障互联网的使用效果 使用效率 使用 质量 保证员工正常互联网使用的保障带宽 7 网页访问的合规性 对网页基于内容特点进行分类并加以有效的控制 对一些不健康站点和高风险站点进 行相应的过滤 保障用户网页访问的合规性 8 历史日志的追溯查询 为确保信息的可审计 可追溯 所有正常被策略放行的行为 被策略控制的行为均应 能够被追溯 被审计 从而确认信息的有效性 9 未知隐患点的分析与挖掘 为确保互联网行为安全等级能够不断在自我统计 自我分析中自我完善 应可以及时 的统计 分析出当前策略下的各种行为模型 对比基线 结合实际发现新的可能隐患点 从而继续优化 提升信息安全保护等级 2 3 系统设计必须考虑的技术因素 作为应用层网络安全系统 也必须考虑以下系统的各项要素 1 稳定性 系统应为专业的软硬件一体机 且不依赖于 Windows 系统平台 以保障管理系统的 稳定性 减少日后的维护成本 2 先进性 行为审计系统应具备目前业界通用 流行的各种技术规范 同时具备同行业内较为明 显的技术优势 并且这些技术优势可给单位带来有效的行为审计效果 3 安全性 行为审计系统由于是增值安全设备 因此应具备较高的自身可靠性考虑 以及原有网 络的无缝接入 链路的可靠性考虑 充分满足单位员工的各种上网连续性和实时的要求 提升信息系统的客户满意度 另外 因为该系统可能存有所有用户的上网日志等信息 因 此对此设备的访问权限也应该有一个有效的控制 4 可扩展性 由于网架构需要不断扩展 因此要考虑到产品在未来 2 3 年的可扩展性和未来网络的 规划 5 可定制性 由于每一个单位的安全体系都是在不断改进完善中的 每一个单位自身的网络 信息 传递 行为要求均具备较典型的个性化思路 因此系统应充分考虑到未来的可定制化需求 能够提供快速 有效的定制化改进 提供用户个性化定制的要求 2 4 单位用户通用行为内容构成 综合考虑当前互联网的使用 业界普遍认为互联网行为主要为以下方面 1 互联网的接入 2 网络带宽的合理分配 3 非工作网络应用的阻塞 4 网页的浏览 网页方式的文件上传 下载 5 邮件文本及附件的收发 6 IM 即时通讯的文字 语音 视频 文件传输 7 网页方式外发文章及附件 8 传统的 FTP TELNET 方式的文本交互 文件上传及下载 9 个人类 休闲类的应用访问 例如游戏 股票 视频 10 隐患类的服务例如共享 蠕虫攻击等内网流量 2 5 修复隐患点各功能模块概述 为应对上述隐患 现针对上网行为管理系统的各个功能模块效果给出概要的分析说明 1 通过用户认证体系或固定 IP 的方式确保网络接入的可控性及被审计主体的准 确性 真实性 2 利用真实的组织架构对下述的各项策略进行基于主体个性 特权的策略选择 提高互联网行为管理的灵活度和有效性 3 利用 WEB 行为过滤系统规避网页访问的相关隐患 4 利用应用过系统严格控制无关文件传输的使用 5 利用 Email 控制系统控制 Email WEB mail 的隐患外发 以及留存 mail 的 信息备查 6 利用 IM 控制系统 控制 IM 相应的隐患文字 文件外发 并留存相应 IM 信 息备查 7 利用网页发文控制系统 控制有隐患的文字 文件外发 并留存相关信息备查 8 利用传统文件传输控制系统 控制 telnet FTP 的文字 文件隐患外发 并留 存相关信息备查 9 根据部门和人员特点制定控制策略 控制互联网软件和娱乐信息的访问权限 10 利用防护体系 防止内部 DOS 蠕虫的攻击 避免网络拥塞 并记录隐患来 源 备查 3 总体设计方案 3 1 建设目标 根据单位网络整体建设规划的要求 此方案在单位网络出口处放置一台网康互联网控 制网关 实现对单位内部所有用户的行为进行审计和管理 通过本次建设 应可达到对互联网行为有效的风险规避 减少法律风险 提升工作 效率 保障核心应用使用质量 尽最大可能的避免核心信息的外发 并可全面监控 审 计 管理互联网行为 由于互联网行为管理是较为新兴的技术 每个机构的策略并不具备普遍性 需要顾 问式的引导 因此在策略配置层面需要提供专业的互联网行为管理顾问思路 协助单位 建立起完善的互联网行为访问规范 并将规范全面落实到行为审计设备中 用技术推动 互联网行为安全的进程 具体部署说明 硬件设备 网康互联网控制网关 NS ICG 工作模式 在单位网络总出口处部署一台网康互联网控制网关 物理部署模式建议为透明串 接 以保证透明无缝接入 完全的审计管控效果 具体工作模式依据原有上网方式 具体应用可以灵活配置 3 2 审计功能实现 3 2 1 建立审计的基石 客户认证 NS ICG 通过有效的用户身份识别 使得策略的分发能够根据不同的部门级别需求进 行灵活的管理 NS ICG 提供全面的认证机制 除了传统的认证方式外 还提供私有认证 使得用户 的识别种类更加丰富 如果管理员已经将用户信息汇总到 Excel TXT 等文件中 那么也可以通过 NS ICG 的导入导出功能更加快捷的创建用户和分组信息 且 NS ICG 可以和用户网络中的三层交 换机联动 自动将三层交换机中的 IP 和 MAC 信息导入到设备中并进行绑定 对于使用 AD 账户作为上网账户的组织 NS ICG 能够支持用户的单点登录功能 在用 户通过 AD 认证 如用户登录了 Windows 域 后无需重复认证 3 2 2 建立审计的灵活时间点 网康互联网控制网关可以根据相关的查询条件 查询特定用户的所有网络活动状况 网康互联网控制网关提供基于时间的丰富管理策略 能针对不同部门或不同人员的身 份赋予不同时间的不同权限 即能够控制在特定时间段内的上网权限 也可以限制员工一 天内总的上网时间 实现人性化管理 3 2 3 实施 HTTP 浏览隐患规避 实现全网范围互联网访问控制策略的首要步骤是管控 Web 的使用情况 网康互联网 控制网关内含一级与二级分类共计 51 个 1400 万条网址 可以有效基于类别进行网页访 问合规控制 NS ICG 在为用户识别网页浏览的潜在威胁的同时 可以通过对 URL 关键字与网页中 包含的文件类型进行控制 有效的保证用户上网的安全 3 2 4 搜索引擎关键字搜索 NS ICG 支持对搜索引擎搜索关键字进行控制 有效审计员工的搜索关键字及避免员 工搜索不良信息 3 2 5 实施 Email 隐患风险规避 NS ICG 支持对邮件内容进行管控 可以管控到局域网内任何一台计算机 通过 SMTP 协议发送的邮件和通过 POP3 协议收取的邮件 也可以监测到用户通过 Yahoo Sohu 163 126 Hotmail Tom Sina Gmail QQmail excite google infoseek livedoor 等 Webmail 提供商 以 Webmail 形式发送的邮件 可以根据情 况设置是否对邮件进行管控 以及对哪些邮件进行管控 根据管理员预设条件 将潜在的 泄密邮件先拦截 保障组织信息资产安全 3 2 6 实施 IM 隐患风险规避 NS ICG 内置的禁止 IM 传文件 进行语音视频通话 IM 游戏等规则 轻松达到只允 许员工使用 IM 文本聊天而不允许其他 IM 行为的目的 允许使用 IM 工具的员工 其聊天内容也不一定与工作有关 尤其可能将组织机密泄 露 NS ICG 能够记录所有 IM 聊天内容 包括 MSN 雅虎通等采用加密方式进行传输的 IM 工具 3 2 7 实施网页发文隐患风险规避 NS ICG 的网页发文功能可以针对如下上网行为进行外发信息管控 过滤并报警 如 果 POST 审计中出现关键字匹配 报警邮件会自动发送到用户预先填写好的邮箱中 有效 控制信息的传播范围 控制敏感信息的泄露 避免可能引起的法律风险 3 2 8 实施传统数据传输隐患风险规避 对于使用 HTTP FTP 等方式传送文件所引发的风险 NS ICG 首先可以禁止用户使用 HTTP FTP 等应用 同时在允许的情况下 可以全面记录文件内容 做到有据可查 3 2 9 用户发包控制与 ARP 定位 网康 ICG 可以与三层交换机进行连动 透明获取每一台终端的 IP MAC 信息 并将 其信息记录在设备中 发现内网有 ARP 或有 IP 与 MAC 的对应关系发生改变 ICG 会自 动定位 发出报警 并以邮件的形式通知管理员 3 3 实施非明文文件传输隐患规避 3 3 1 限制 P2P 有效的 P2P 封堵方法包括应用协议分析和 P2P 行为智能检测技术 NS ICG 可以同时 对这两种技术提供支持 常规和加密的 P2P 软件 NS ICG 自有的深度内容检测技术 通 过分析数据包的服务类型 协议 端口及数据特征字段等内容进行识别和控制 3 3 2 实施工作效率降低规避 通过 NS ICG 定制人性化的互联网访问权限 可以有效的根据时间 部门和应用进行 合理控制 从而有效保障工作效率 3 3 3 网游 股票 视频等 NS ICG 已经对多种常见应用的识别和管控规则 并能定期从网康公司网站上自动更 新最新的应用识别库 这相对于绝大多数其他厂商仅提供给管理者根据 IP 和端口封堵应用 的方式更加灵活和彻底 NS ICG 通过精确的协议识别 对互联网的应用起到有效的控制 策略细细如下 对于局域网内出现的 NS ICG 未能识别和控制的新应用 管理员可以自行编制对应的 识别策略 3 3 4 核心业务的带宽保障 NS ICG 提供强大的 QoS 服务质量 技术包括专用带宽保留 抖动控制和延迟 丢 包率的改进以及对指定高优先级网络服务的流量保证 以此使流经 NS ICG 的数据进行优 先级处理 保障重要应用的带宽质量和服务质量 NS ICG 对于核心业务 应予以足够的带宽预留 使其不熟其他业务流量的影响 3 3 5 非工作业务的带宽限制 NS ICG 可以对于非业务的带宽限制 应本着优先级最低 传输价值最低的策略 3 4 查询模式建议和监控 绝大部分的信息管理员对自己所管理网络的应用流量分布和用户的上网行为并没 有清晰的认识 而 NS ICG 则给管理员提供了一个将单位的互联网规定落到实处 的有利武器 通过 NS ICG 审计员可以查询到所有用户的上网行为记录信息 由于通过 NS ICG 的用户上网行为记录可以保存在外挂存储的日志中心上 因此具有任意时间 的回查效果 管理员可以对上网人员任意时间段的上网行为进行审计 从而得到 IT 决策的有力依据 NS ICG 提供的用户上网行为审计方式 提供用户查询 应用流量查询 网站访问查询 邮件收发查询 在线聊天查询 论坛发帖查询 上线历史查询 通过这些查询审计结果可以帮助管理员全方位地了解用户的上网行为 以下是 NS ICG 对用户上网行为审计功能的详尽展现 3 4 1 历史 24 小时流量监视 功能查询目的 查询结果显示的是最近 24 小时通过 NS ICG 的上传流量和下载流量 便于管理员及 时了解网络流量负荷时间分布趋势及异常流量发生的时间点 以便做出针对性地审计和管 控策略 3 4 2 五分钟内应用 用户排名监视 功能查询目的 以图文形式显示 5 分钟内 可选 包括 5 10 30 和 60 分钟 流量最大的若干应用 和流量最大的若干用户 可选 及其上传下载的比率 此外 还有相应的用户及应用的历 史流量趋势图 递进式的查询方便管理员准确及时地定位所有应用和所有用户的流量分布 情况 3 4 3 用户实时连接查询 功能查询目的 建立和配置网络应用管控条件 条件设置完毕并执行管控后 可以得到符合该特定条 件的网络应用管控结果 NS ICG 根据不同的协议及应用领域将网络应用分为 13 个类 分 别为互联网协议 Streamingmedia Email Session Games IM P2P 股票软件 P2PStreaming 网络电视 隐患服务 其他应用 用户自定义和未知协议 每一个大类中 又包含若干具体的子应用 默认情况下 NS ICG 管控用户的所有网络应用情况 也可以自 定义选择特定的应用进行管控 管控结果输出包括 连接创建时间 关联用户 协议 源 IP 源端口 目的 IP 目的端口 发送字节数 KB 接收字节数 KB 管控结果可以 帮助管理员实时地了解用户的网络连接状况 可以对病毒 木马的爆发做出有效地判断 3 4 4 用户实时流量查询 功能查询目的 实时了解用户上网行为所产生的数据流量 以便管理员清晰地知道大流量用户的分布 功能查询方法 系统管控 上线用户 选择操作 按钮 过滤条件可设置 3 4 5 HTTP 违规查询 功能查询目的 可以根据相关的条件查询指定日期内特定用户访问的网站记录 INS ICG 对 HTTP 违规查询的特色在于可以针对管控策略进行查询 比如制定了禁止访问高风险网站的策略 禁止访问色情 病毒 违反法律 犯罪技能等 那么可以根据这条策略进行查询 从而 把 HTTP 违规的记录全部检索出来 此外违规查询还可通过黑 白名单 网站分类 阻塞 等条件进行审计查询 查询结果印证了 NS ICG 对 HTTP 违规行为的管控效果 对管控策 略的生效与否也起到一个评估的作用 3 4 6 Email 违规查询 功能查询目的 可以根据相关的条件查询指定日期内特定用户收发邮件的记录 可审计的 Email 类型 包括 SMTP POP3 IMAP 及 WEBMAIL 可对 Email 的主题关键字 信体关键字及附件 关键字按照特定的时间段进行审计查询 将所有违规的邮件交换记录全部列出来 作为防 范和事后审计的有利证据 3 4 7 IM 违规查询 功能查询目的 建立和配置在线聊天管控条件 条件设置完毕并执行管控后 可以得到符合该特定条 件的在线聊天管控结果 NS ICG 可对 MSN Yahoo 通 QQ 等 IM 即时聊天工具进行违 规查询 对于一些不负责任的非法言论和敏感言论及涉密文件外泄等行为进行有效的审计 3 4 8 网页发文违规查询 功能查询目的 建立和配置网页论坛发帖管控条件 条件设置完毕并执行管控后 可以得到符合该特 定条件的网页论坛发帖管控结果 检验非法言论的管控效果 对于管控策略的精益求精提 供了必备的依据 有利于管控策略的螺旋式优化 3 4 9 传统文件传输隐患查询 功能查询目的 通过设置过滤条件 可对传统的 ftp http IM 类文件传输及文件类型传输进行有效 地查询 给管控提供法律依据 防止信息外泄 3 4 10 非明文文件传输违规查询 功能查询目的 通过设置过滤条件 可对密文传输的 ftps https P2P 类文件传输及文件类型传输 进行有效地查询 给管控提供法律依据 防止信息外泄 3 4 11 效率降低违规查询 功能查询目的 可以根据相关的查询条件 查询特定用户的所有网络活动状况 包括对应用使用情况 网站访问情况 邮件 即时通讯及发文的综合审计 从而对员工工作效率进行评估 查到 真正导致效率降低的原因 以便进行管理尺度的规范 3 4 12 带宽保障及控制效果查询 功能查询目的 通过对特定应用保障带宽的查询 对管理策略设置的科学性和合理性进行评估 如果 查询结果显示保障带宽通道全部被占满并被流量整形 说明保障带宽通道设置不合理 需 要扩大上下行带宽阀值 反之则说明保障带宽当下是合理的 方便管理员对管控策略做出 及时地调整 3 4 13 统计报告 网康互联网控制网关提供提供 12 个大分类 50 多种报告 支持饼状图 柱状图 表格 excl 等多种报表格式 给用户提供多种报告 且报告可以以邮件的方式自动发 送到指定邮箱中 方便用户使用 4 网康 NS ICG 介绍 4 1 设备系统的安全性 为避免管理员误操作 自身系统被攻击 而导致的设备异常继而影响的用户业务 设 备可提供如下安全性保障机能 4 1 1 管理员分级 分权 角色区分 设备可提供多个管理员角色 每个角色具备不同的能力 同时同级别管理员各自配置 的策略他人不能删除更改 设备可分级设定多个管理员角色