浅谈上网行为管理在网络中的应用

浅谈上网行为管理在网络中的应用【摘要】：在信息化高速发展的当今世界,互联网已经成为重要的信息工具，帮助我们搜索全球各类信息资源及信息传递,并且成为企业发展的重要助力。但是,我们在享受互联网提供的各种便利的同时,也将面临网络安全这一严峻的问题。其中,面临的不仅是互联网上的攻击行为,还有内部员工肆意使用互联网资源对企业造成的损失。内部网络不良管理造成的损失,远远大于来自外部攻击所带来的损失。所以通过对企业员工进行上网行为管理,确保企业网络资源合理使用已成为必然趋势。 【关键词】： 上网行为管理 网络应用 网络安全 目 录一、 背景介绍2二、SINFOR AC上网行为管理设备管理功能介绍32.1控制功能42.2监控功能52.3报表功能62.4带宽及流量管理功能72.5多种内网安全增强功能8三、 上网行为管理解决方案93.1 对P2P行为的全面管控93.2 细致的流量控制功能93.3 全面封堵，全面监控103.4 提升工作效率113.5 防范机密信息外泄113.6 全面的网络审计功能123.7 保护内网安全133.8 多种部署方式13四、参考文献13一、 背景介绍随着近些年的信息化建设不断深化，为应用部门提供了便利的工作手段和信息共享方式，然而要确保应用网络的安全、高效与稳定，信息方面还面临着可能存在的以下几个方面的问题：1.1 对BBS发贴，上网的行为等进行关键字过滤1.2 对于员工上网行为进行管控，恶意网站的过滤，色情，反动网站的过滤等等保障内网安全1.3 对流量进行控制，为领导和网络需求大的员工划分出专用带宽，保障网络通畅1.4 为视频会议或财务使用划分核心业务进行带宽保障1.5 对应用各个环节进行行为日志的记录，避免法律风险故计算机网络需要一套全面的上网行为管理解决方案，来应对所遇到的这些问题，上网行为管理在网络中应用变得越来越重要。二、SINFOR AC上网行为管理设备管理功能介绍我们选择了专业做防火墙和上网行为管理的深信服科技，作为专业的上网行为管理解决方案供应商，深信服科技始终关注组织的核心需求，为我们提供了包含网关+终端、行为+内容的完整上网行为管理解决方案，真正解决组织面临的各种管理风险。以下是SINFOR AC（深信服上网行为管理）的几个关键特性：2.1控制功能：细致而全面的访问控制功能，有效管控员工的上网行为不能识别，何谈管控？基于精准用户身份识别、终端识别和行为识别，SINFOR AC为不同员工授予差异化的网络访问权限。SINFOR AC不仅对员工的WEB、FTP、MAIL等常见行为及内容进行管控，更可以对QQ、MSN、BT、电骡、在线炒股、网络游戏、网络电视等进行管控，从而规范了员工的上网行为，提升员工的工作效率。表2.1：访问控制功能一览表功能详细指标用户认证支持Web认证，支持本地帐户数据库、LDAP、AD、RADIUS、POP3、PROXY等，且支持USB-Key双因素身份认证方式终端认证检查终端操作系统版本、补丁安装情况、系统进程、注册表、硬盘文件，不符合管理者指定安全策略的终端可设置为不允许上网IP-MAC绑定灵活的IP、MAC绑定策略，且可跨三层设备实现IP-MAC绑定网站过滤海量URL库、多种关键字识别技术，过滤色情、反动、新闻等网站SSL网站过滤SSL加密的钓鱼网站、非法、反动网站等，同样可以识别和过滤应用软件管控识别和管控QQ、MSN、Skype、飞信等各种聊天软件；BT、电骡等各种P2P软件；及网络炒股、网络游戏、在线影音视频等行为P2P智能识别加密BT、加密电骡、不常见的P2P行为、版本泛滥的P2P工具等，P2P智能识别技术都能够进行彻底识别和管控代理识别功能识别采用Http、Https、Socks等代理服务器绕过管控检查的行为，从而进行识别和阻断文件上传下载控制对HTTP、FTP上传、下载的文件类型进行控制，亦对QQ、MSN等文件传输行为进行识别和拦截访问控制策略提供基于用户组、时间、服务、网址策略、内容策略等多种对象组合的细致灵活的访问控制策略敏感数据拦截对HTTP、FTP、SMTP、IMAP等应用协议做敏感数据拦截，以防泄密和潜在的法律风险2.2监控功能：完善的内容过虑和访问审计功能，防止机密信息泄漏组织机构的信息资产很多是通过内部泄漏。SINFOR AC完善的访问审计和监控功能有效防止信息通过Internet泄漏，形成内部安全威慑，减少内部泄密行为，而对于防止过度监控导致的组织高层领导访问网络过程中涉及机密信息泄密的可能，SINFOR AC也提供“免审计KEY”这样的关键特性，满足组织差异管理的需求。表2.2：访问审计/监控功能一览表功能详细指标邮件延迟审计对外发邮件进行延迟审计（可设定延迟条件），特定审核人员审计后才能发出，确保信息资产不外泄实时监控实时监控员工的上网行为，并支持临时冻结员工或中断指定连接等内网监控监控员工的各种网络行为，记录包括QQ、MSN等聊天内容；浏览网页的网址、网页标题、甚至整个网页正文内容；网络发帖、WebMail正文及附件；收发的Email正文及附件；上传下载的文件等各种网络行为进行详细记录，防止组织机构内部机密、情报等泄漏，并做到有据可查免审计Key支持组织机构的高层领导通过“免审计Key”方式，从设备底层免除对其所有网络行为的记录2.3报表功能：强大的数据报表中心，提供直观的上网数据统计SINFOR AC不仅内置数据中心，且支持强大的外置数据中心，可实现海量存储行为日志，并且所有的查询、统计等功能不影响网关设备性能。对于组织的上网行为审计要求，管理者可分组、用户、规则、协议等多种查询对象，按饼状图、柱状图、曲线图等方式进行统计，直观查看网络流量、邮件、网络行为、上网时间等多种详细日志信息，并可打印和导出报表；SINFOR AC的自动报表功能将管理者指定的统计、审计结果发送到指定邮箱，而强大的内容检索功能，通过类似Google的搜索界面，实现海量日志的检索和审计。SINFOR AC详细分析组织机构的Internet使用情况，为管理者的决策提供了最有效的数据支撑。表2.3：报表和数据中心功能一览表功能详细指标流量统计日志包含流量统计概要、组流量排行、流量日志、流量趋势等，用饼图、柱图等直观的显示内网流量统计情况上网时间日志指定时间段内监控和统计用户总上网时间、某网络应用总使用时间、用户使用某应用时间、并以饼图、柱图等直观显示时间统计情况邮件日志包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能，详细统计员工收发的所有邮件的具体情况网络监控日志包括监控和统计用户网络应用活动排行、URL访问排行、审计查询用户的网络发帖、IM聊天、P2P下载、网络炒股等详细日志安全日志包含防火墙等安全相关日志信息，及组织机构网络发生的DOS攻击、ARP欺骗等安全事件日志信息报表分析功能支持对上述各种网络监控数据进行报表分析及图形化分析，包括柱状图、饼状图，趋势图等自动报表功能根据管理者设定，数据中心自动将指定时间段内的流量日志、邮件日志、网络监控日志、上网时间日志等查询、统计结果汇总成PDF等报表文件，发送到指定Email邮箱主题订阅将含有管理者指定关键字的行为日志统计结果自动形成Email，发送到指定邮箱内容检索通过类似Google的搜索界面，实现对海量日志信息的内容搜索，方便管理者对海量数据的快速检索及数据挖掘2.4带宽及流量管理功能：强大的线路管理、流量分析、带宽分配功能SINFOR AC具有强大的带宽管理和流量控制功能，独有的多线路复用专利让一台SINFOR AC可连接四条公网线路，多条线路间互为备份，实现带宽叠加、负载均衡和智能选路。SINFOR AC的流量管理系统可基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型进行带宽分配，既可以控制非业务流量对带宽的滥用，又能够实现对重要业务流量的带宽保证，实现了带宽资源利用率的最大化。表2.4：带宽划分与流量管理功能一览表功能详细指标多线路复用可同时连接四条公网线路，实现带宽叠加、负载均衡多线路智能选路多线路之间互为备份，且内网员工的流量可以根据访问内容智能分担到不同线路上，解决了跨运营商的带宽瓶颈问题流量分配和控制针对内网不同员工、不同用户组，为其指定的应用类别/网站类型/上传下载文件类型的访问行为提供带宽分配，使组织机构的带宽资源得到充分有效的利用带宽保证策略针对用户指定的网络行为，既可静态保留指定带宽而不被其他行为挤占，也可动态预留指定带宽便于带宽的充分利用P2P管控不仅可以全面封堵各种P2P应用，还可对P2P行为进行流量控制，限制其上行流量和下行流量，节省组织机构网络带宽资源QOS保证使用差分业务模型实现QOS，使用随机早期检测RED丢弃算法提供流量控制2.5多种内网安全增强功能：网关杀毒、防DOS、防ARP欺骗等安全取决于最薄弱的一环！内网终端电脑使用过时的操作系统、不更新补丁、不安装指定的杀毒/防火墙软件或不更新、运行违规软件等，必将极大降低组织内网安全级别，组织不仅面临的来自Internet的病毒等威胁，源自内网的DOS攻击和ARP欺骗也给组织的网络管理带来了极大的挑战，SINFOR AC提供了完善的防御和解决方案，全面保障和提升组织机构的网络安全等级。表2.5功能详细指标网络准入规则通过检查终端操作系统版本、补丁安装情况、系统进程、注册表、硬盘文件，拒绝不符合管理者指定安全策略的终端上网，避免因终端安全级别不够引发的安全风险防病毒引擎集成欧洲领先防毒厂商提供的杀毒引擎，提供对HTTP、FTP、Mail等容易携带病毒的网络内容的检测和病毒查杀，形成对组织病毒防护和管理的有益补充防内网DOS攻击使组织能够应对内网大规模爆发的蠕虫病毒或是僵尸网络激活对组织网络造成的极大冲击防ARP欺骗防止因ARP欺骗导致的内网用户大规模断网的情况三、 上网行为管理解决方案通过上网行为管理强大的功能为项目上网络的应用控制提供了很多便利，也解决了很多网络上出现的问题。3.1 对P2P行为的全面管控上网行为管理内置的应用协议库中下载软件类内置了主流的P2P各种软件，像BT、eMule、迅雷、百度下吧、PP点点通等;P2P流媒体类包括了QQLive、PPLive、PPStream、MySee、沸点电视、蚂蚁电视等。上网行为管理除了能够对已知的、常见的P2P行为进行识别外，根据上网行为管理基于统计学的智能检测技术，也能够准确识别未知的、不常见的P2P行为，对各种P2P行为进行全面的识别。上网行为管理除了能够对识别出的各种P2P行为进行完全的封堵外，还可以根据需求对各种应用进行细致的流量控制。3.2 细致的流量控制功能基于应用类型(如：BT、eMule、PPLive等)的流量控制;基于网站类型(如：新闻类、娱乐类、体育类)的流量控制;基于文件类型(如：电影类、图片类、音乐类)的流量控制;基于用户组/用户的流量控制;带宽资源分配支持动态保证、预留保证、最高限制、平均分配、自由竞争等。上网行为管理具有多线路复用技术，可支持多条公网线路，扩展机构的Internet带宽，多线路间互为备份，提高可靠性;同时上网行为管理的多线路智能选路和负载均衡技术，将内网用户的流量智能的分配到多条公网线路上，解决跨运营商的带宽瓶颈问题。3.3 全面封堵，全面监控3.3.1 URL的识别与控制：内置千万级URL库，更细粒度的分类，包括娱乐、色情、反动、赌博等40余大类;支持手工添加URL并分类，支持个性化需求的URL控制管理;能够识别非标准端口和动态端口的URL;支持对SSL加密网站的识别和过滤。3.3.2 关键字网页过滤：支持搜索引擎指定关键字过滤，防止用户通过Google/百度等搜索关键字查找网页。支持根据指定网页正文关键字过滤网页。3.3.3 HTTP/FTP上传下载识别控制：能够对用户向BBS、博客等发帖的内容进行识别监控并过滤;能够识别控制用户通过HTTP/FTP方式上传下载的文件类型。3.3.4 邮件访问控制：根据发件人、发送邮件标题和内容关键字、发送邮件附件类型等条件过滤外发邮件;根据邮件发送目标地址、发送邮件标题和内容关键字、邮件大小、附件个数等条件执行邮件延迟审计功能，符合指定条件的邮件，先拦截审计，审计通过后发送，审计不通过则过滤掉。3.3.5 代理识别：上网行为管理的代理识别技术能够有效的防止内部网络用户通过组织外部的代理服务器访问不量信息，做到全面的识别控制。3.4 提升工作效率 需要提升工作效率，就必须要对内部人员的网络行为进行准确识别，识别之后从而进行相应的网络应用访问控制管理。上网行为管理内置了业界最大的应用识别库，包含了24大类、370余条的应用识别规则。包括了下载工具类、流媒体类、炒股类、网络游戏类、IM聊天软件类等。包括了业界所有主流的应用软件，同时上网行为管理也支持手工添加应用规则并分类。面对互联网上日益泛滥、版本众多的P2P软件和P2P流媒体，上网行为管理能够对P2P行为进行智能识别，从而进行访问控制。上网行为管理内置千万级的URL库，细致的URL分类。可以控制用户访问URL的行为。上网行为管理支持基于时间段的网络行为访问控制。时间段以半小时为单位，时长可以自由设置，时间段数量可以自由设置，以一个星期为周期。比如可以设置上班时间不能访问网络，下班时间可以访问网络。上网行为管理支持基于用户组的访问控制，不同的部门、不同的单位根据情况可以划分为不同的用户组，不同的用户组分配不同的上网行为管理权限。3.5 防范机密信息外泄 上网行为管理内置应用识别规则中IM软件类内置主流的IM软件，像QQ、MSN、ICQ、Skype、Yahoo通、网易POPO等。上网行为管理能够完全封堵各种IM聊天软件，能够控制使用IM软件传文件。不仅能够记录审计非加密聊天软件的聊天内容，像MSN;也能够记录审计加密聊天软件的聊天内容，像QQ。外发邮件过滤：上网行为管理可以根据外发邮件的发件人、邮件的主题和内容关键字、外发邮件的附件类型等条件过滤邮件。外发邮件延迟审计：上网行为管理可以根据外发邮件的目的地址、邮件的主题和内容关键字、外发邮件的大小、附件个数等条件延迟审计邮件，审计通过后发送，审计不通过则过滤掉。上网行为管理能够根据关键字过滤BBS发帖内容、博客发帖内容等。3.6 全面的网络审计功能 对组织内部网络的各种使用情况进行全面的审计，那么首先需要定位内网的用户和终端，保障内网用户身份的合法性和内网终端的安全性，然后进行全面的审计。上网行为管理的身份认证系统保障了能够对每条日志信息定位到内网的每个用户和终端。外置数据中心：上网行为管理除了具有内置数据中心外，还具有独立外置数据中心。外置数据中心实现海量日志存储，日志存储的空间不是由上网行为管理设备的存储空间决定的，而是由存储日志的第