瑞星企業機構上網行為管理解決方案
責編:gill |2016-11-02 16:00:09很多企業目前的網絡結構只能防御來自外網的安全風險和威脅,對于來自內網的肆意的互聯網訪問行為、帶寬濫用、潛在的泄密、法律違規等也無法進行有效地管控,同時內網員工的各種互聯網訪問行為也無法有效的監控和審計。
企業機構中存在的安全隱患
很多用戶認為,在網絡中不斷部署傳統防火墻、IPS、IDS等設備,可以提高網絡的安全性,但是為何頻頻發生內部重要信息被盜取?其根本的原因在于傳統的網絡安全設備對于應用層的攻擊防范,作用十分有限,目前的大多防火墻都是工作在網絡層,通過狀態防火墻保證內部網絡不會被外部網絡非法接入。所有的處理都是在網絡層,而應用層攻擊的特征在網絡層次上是無法檢測出來的。而通過交流發現,該校的網絡設備中原有的設備對現有的網絡環境中存在的一些安全隱患及復雜的網絡環境無法做到全面的防護及應用,主要存在的風險有以下幾個方面:
1)機密信息外泄,組織蒙受損失
組織內部重要資料和秘密資料通過無線網絡的Web、Email、QQ 和MSN 等途徑向外散發,或被別有用心的人截獲而加以利用,或是進行不當互聯網訪問而引起組織內部計算機感染木馬病毒,加大了組織重要及秘密信息的曝光率,給組織信息安全帶來隱患:
? 對于政府、事業單位以及其他公共服務單位,如果無線網管理的不夠完善,將會帶來極大信息安全隱患,例如經濟等類型的重要的信息被通過非法渠道泄漏,此舉必然會有損組織的權威及名譽,并導致組織的公信力下降;
? 對于公司企業,互聯網管理的缺失會有可能導致企業重要及機密信息外泄,一旦發生企業機密信息外泄的情況,企業因此而投入了的大量人力物力將會付諸東流,此類案例在互聯網廣泛使用的今天是屢見不鮮的;
2)濫用帶寬資源,影響正常業務
當前的互聯網存在種類眾多的應用,基于前面的分析我們會發現,組織成員在使用互聯網時更多的是進行娛樂活動,如網絡電視、P2P下載等;諸如此類的使用會嚴重消耗組織的網絡帶寬,正常業務通訊得不到保障,只能通過增加辦公成本來增加帶寬,但是網速和帶寬沒有得到根本的改善。
3)病毒木馬肆行,安全問題凸顯
高風險網站導致病毒、木馬、流氓軟件在內網散播,造成無法正常的使用網絡。研究發現:45%Kazaa含惡意代碼,眾多的互聯網訪問都存在被惡意軟件入侵的可能,BT、MSN等已成為病毒、蠕蟲、間諜軟件的重要傳播渠道。病毒、木馬及流氓軟件輕者會給使用目標計算機及網絡時帶來一些麻煩;嚴重者會在組織網絡中傳播木馬病毒,導致組織信息外泄;更嚴重者不僅會導致信息外泄,更能導致組織網絡癱瘓,無法正常使用互聯網。
4)存在不當應用,潛藏法律風險
調查發現,在日常互聯網的使用中,存在以下較為普遍的現象:
? 黃賭毒是非法互聯網使用的主要方面:P2P搜索、非法網站訪問、非法傳播不健康的信息等,最為典型的當屬前一段時間的“艷照門”事件,非法的信息傳播極大的惡化了互聯網環境;
? 不當言論的發表,會給組織帶來不必要的法律風險。很多互聯網使用者在自覺與不自覺中會在互聯網上發表諸如反動言論、色情、反政府、邪教等,給所在的互聯網部門帶來潛在的法律風險;
? 員工黑客的存在,也會給組織帶來新的法律風險。
? 我國公安部門嚴格查禁利用互聯網發表反動言論、色情、反政府、邪教等非法活動,詳情請參考我國公安部門的相關發文。以上所述的非法互聯網活動如果不加管理,將會給所在的組織帶來極大的潛在法律及道德風險
企業機構上網行為管理解決方案
1. 方案介紹
上網行為管理針對用戶訪問的URL進行過濾,每次的訪問請求都會和URL訪問控制列表中的內容進行匹配,只可以訪問非禁止的內容,從而禁止對一些非法的網站進行瀏覽和訪問,并且對各個區域的用戶進行不同的限速策略。對各個上網用戶進行帶寬管理、保證正常業務帶寬,對P2P流媒體進行帶寬的限制。對員 工上網瀏覽網頁、郵件、IM、外發等進行審計,防止機密數據的外泄。
2.方案優點
1)強大的監控和審計,保護內部數據安全、防止機密信息泄露
? 記錄所有訪問過的網址、HTTP/FTP上傳下載、通過BBS、BLOG發表的網址與帳號;
? 各種搜索記錄,QQ、MSN登錄時間等,所有上網記錄,均可完整再現;
? 獨特的VIP優先功能,徹底免除對組織高層領導的網絡流量的限制;
2)流量限制,優化帶寬資源的使用
? 應用分流,提升帶寬利用率,流量負載分擔,智能選擇最優上網線路。
? 告別普遍困擾各級酒店的難題:少數用戶 P2P 濫用導致其他用戶針對網速緩慢的頻繁投訴、游戲用戶對于網游速度得不到保證的頻繁投訴;
? 對P2P等非業務應用和非業務部門進行帶寬限制,基于用戶(組)、應用類別、時間段等進行帶寬分配,細化到應用級別和針對每用戶的帶寬劃分;
? 智能應用優先級技術,重要數據優先傳送,提升帶寬使用效率。
3)海量日志存儲、豐富的報表功能,為組織決策提供最有效的數據支持
? 網絡行為日志支持海量存儲,滿足公安部82號令存儲90天要求,且日志的查詢、統計、審計等不影響網關性能;
? 全面記錄所有上網行為日志,圖形化的日志查詢、審計、統計功能;
? 提供搜索界面,實現海量日志的內容檢索和搜索。
4)更多安全功能,全面提升內網安全級別
防范來自公網和源自內網的DOS攻擊,提升網絡可用性;防ARP攻擊、欺騙,對異常ARP進行監控,統計。
5)提升客戶滿意度,帶來更多經濟效益
避免傳統模式,需工作人員上門開通帶寬,做一些網絡設置,既耗時有費力,有時還不能讓客戶滿意。瑞星RAC網絡認證服務器設備減少不必要的人力投入和帶寬成本。同時大大提高了工作效率,給客戶全新的體驗。
3. 方案實際效果
1)WEB 訪問控制
Web訪問是互聯網重要應用之一,因此RAC產品采用基于網站分類的URL庫進行web訪問識別,RAC使用的分類庫是根據中國實際情況進行的合理分類,符合我國用戶的網絡使用環境的需求。同時也對URL分類進行控制:URL關鍵字控制、網頁內容過濾等。具體截圖如下:
用戶可根據web訪問的要求分類進行控制,從而滿足健康上網的需求。除此之外,用戶還可實時查看用戶網頁訪問、在線游戲、在線視頻等信息,具體截圖如下:
(1)記錄網站訪問的時間、IP地址、URL地址、訪問次數等信息;
(2)記錄在線游戲訪問的時間、IP地址、游戲類型等信息;
(3)記錄在線視頻的時間、IP地址、URL地址等信息;
2)電子郵件審計控制
通過設置策略,RAC設備記錄了用戶 網絡中郵件發件人、收件人、標題、正文、附件、大小等詳細信息,同時也針對發件人、收件人、標題內容、正文內容、附件名稱進行審計和控制。
3)即時聊天監控
對于目前主流的聊天工具(包括MSN、QQ、YAHOO、ICQ、飛信等)進行了審計。利用RAC產品記錄用戶聊天帳號、上下線時間、聊天持續時間、聊天等內容,此外對于聊天記錄(如MSN/ICQ/飛信等)的有關文件上傳、下載的動作進行了有效的控制。具體截圖如下:
飛信
4)HTTP/IM 傳輸審計
對于上網行為中常用的FTP及HTTP的下載的審計功能,通過對于這種基本方式下載的審計,用戶能夠很好的掌握自己網絡用戶的下載行為,其中,下載行為的審計包括:記錄FTP 登陸帳號、密碼、服務器IP 地址,傳輸文件的時間、文件名稱、傳輸方向、大小等;記錄HTTP下載時可審計下載的文件名、時間、大小等信息。具體截圖如下:
HTTP傳輸
IM傳輸
5)P2P 協議監控
對于P2P這種下載嚴重吞噬著企業的網絡帶寬的下載行為的全面審計。 過程中,瑞星RAC網絡認證服務器能夠識別和控制多種P2P軟件的應用,如迅雷、BitTorrent、eMule等,真正優化了用戶網絡環境,保證了正常的業務帶寬。 具體截圖如下:
6)非業務應用審計
針對用戶網絡中的非業務應用進行審計 ,所謂非業務應用包含了很多種,如:網絡游戲、炒股軟件、網絡電話、網絡電視等等,對于這些網絡行為, 瑞星RAC網絡認證服務器可以進行記錄和阻斷。 其中包括:
(1)記錄網絡游戲的在線開始時間、結束時間、游戲時間段;
(2)記錄用戶開始使用炒股軟件的用戶IP地址、MAC地址、開始/結束使用時間;
(3)記錄用戶使用應用代理的用戶IP、MAC地址,上線、下線時間等信息;
(4)記錄用戶使用網絡電視的IP地址、MAC地址、時間、訪問網站、以及URL。
7)異常網絡流量報警
瑞星RAC網絡認證服務器產品的實時監控網絡流量狀態功能,例如針對內網特定流量的監控; 統計警告網絡中的異常流量,例如網絡內部的異常流量狀態,并給出異常流量報警。具體截圖如下:
8)BBS外發信息監控管理
針對BBS論壇外發信息進行監控,針對BBS論壇發帖內容的關鍵字過濾, 附件記錄復制、下載、保存、備份,同時, BBS發貼內容的阻斷,該功能很大程度上降低了企業可能因為言論問題而帶來的法律風險。具體截圖如下:
帶寬管理能力 同用戶反復溝通以及結合現網實現需求分析后,對于帶寬管理功能的具體配置如下:
- 1. 對于所有外網局域網用戶整體P2P應用流量為: 下行最小帶寬保障5KBps,最大限速5KBps
- 2. 對于所有外網局域網用戶個人分別限速50KBps
- 3. 對于所有外網局域網用戶阻斷視頻流
9)P2P應用流量的限速
針對上述配置選用“迅雷下載”軟件對某一個 文件進行下載,觀察其下載速度的變化:
(1)在瑞星RAC網絡認證服務器產品上開啟限速策略,此時下載某一 文件,下載速度始終控制在5KBps以內,與上述配置相吻合。
(2)在瑞星RAC網絡認證服務器產品上關閉限速策略,此時下載某一文件,下載速度隨即遠高于5KBps,此時由于P2P下載占用大量的帶寬,其他用戶明顯感覺上網速度變慢。
10)視頻流量的阻斷
針對上述配置選用“優酷網”對某一個 視頻點擊播放,觀察是否能否播放成功:
(1)在瑞星RAC網絡認證服務器產品上開啟阻斷策略,點擊該 視頻,始終處于加載中無法播放,與上述配置相吻合。
(2)在瑞星RAC網絡認證服務器產品上關閉阻斷策略,此時播放同一 視頻,能夠正常播放,此時由于視頻流占用大量的帶寬(上下行5.6M/S),其他用戶明顯感覺上網速度變慢。
4. 方案優勢
1) 豐富的統計報表
全面豐富的統計報表
? 基于IP 地址和網段、部門、用戶生成報表。
? 基于日期生成報表。
? 多樣類型和分組報表,提供全方面的信息。
? 報表采用線性圖、柱狀圖、餅圖、表格清晰地顯示統計的內容。
? 定制并自動生成發送報表。
? 支持網絡使用統計排名,并指定TOP-N 顯示的數量。
? 報表可以方便的打印。
網絡全局報表
? 全局報表提供網絡總的使用情況,包括
? 網絡流量-時間分布圖。
? 24 小時上網高峰曲線圖。
? 應用層協議分布餅圖。
? 流量、上網時間TOP-N 用戶信息。
? 實時在線用戶信息。
流量-時間分布報表
? 流量-時間分布圖顯示過去一段時期內網絡流量隨時間的分布曲線,便于管理員掌握網絡資源使用的情況。
? 流量-時間曲線。
? 流入、流出統計數據。
流入、流出明細表
2) IP管理和用戶管理
IP/MAC綁定
瑞星上網行為管理支持IP/MAC綁定,系統可以單個或批量的探測IP的MAC地址,然后實施綁定。通過IP/MAC綁定可以幫助用戶合理的管理網絡,如某用戶更改自己的IP或MAC則無法上網。
認證
網關把用戶的賬號、IP、VLAN ID、MAC地址進行三層綁定,以此確保了用戶的唯一性,避免了資源的盜用。
瑞星RAC系統提供了簡單方便的認證方式便于企業中用戶的接入:
? 用戶上網前的登陸認證采用Web頁面方式,用戶上網只需要三步:進入無線區域、啟動計算機、打開瀏覽器,瑞星將用戶強制連接到網絡管理員設定的訪問頁面,輸入用戶名和密碼進行用戶身份認證,無需下載客戶端軟件和更改用戶端設置,即插即用,非常方便用戶使用。
? 當用戶通過系統認證后,在一段時間內無需再次認證,插上網線就可以繼續使用網絡,同時網關也對該用戶進行計費,不需要硬件的支持。
? 用戶還可以通過網頁來查看上網的時間和流量等信息。
? 方便的退出機制,用戶可以直接在Web頁面上Logout、關閉駐留頁面、關機、拔掉網線方式來退出和停止使用網絡資源。
授權
輸入用戶名和密碼后,用戶的認證信息將通過加密的方式發送到多功能網關,在與數據庫的數據進行匹配之后,網關將根據系統已經設置完成的用戶權限返回給對應的用戶或用戶組,用戶將根據得到的授權使用網絡資源。
統計
對網絡的使用是基于賬號和密碼的認證方式,用戶只需在web頁面中輸入網絡管理員提供的賬號和密碼登錄網關,便可使用網絡資源。為確保記錄用戶使用網絡資源的情況更加準確,客戶端還提供一些附加功能,如即時查詢使用時間、流量等費用信息。
常用的統計信息如下:
? 時間統計:統計用戶登錄到用戶退出登錄的時間段;
? 流量計費:統計用戶上網端口流入、流出數據量(字節數、數據包數);
? 節假日監測管理:包括節假日、星期、特定日;
? 非工作時間管理:在工作時間以外的網絡訪問檢測;
? 以及其他多種策略供網絡管理員選擇,來管理不同的用戶。
用戶的管理
提供了對無線網絡的支持,將用戶無線網卡的MAC地址與用戶名和密碼進行綁定,使用無線網絡時,瑞星RAC系統可通過用戶名和密碼的認證方式,確定用戶的唯一性,從而對用戶進行行為管理監測。可以對針對網絡用戶身份對其網絡訪問進行限制,普通用戶,可以根據不同網絡需求,在特定時間內采取基于策略的上網權限行為管理,進而促進用戶合理使用網絡資源。多功能網關能夠針對用戶訪問的URL進行過濾,每次的訪問請求都會和URL訪問控制列表中的內容進行匹配,必須不是設置中禁止訪問的內容才允許訪問,從而禁止對一些非法的網站進行瀏覽和訪問。
3) 設備功能備份
瑞星RAC上網認證系統本身具備路由器和放火墻功能,同時也是現有網絡出口設備的有效備份。也就是說當網絡現有路由器或防火墻出現故障時,上網行為管理系統可隨時作為備份。
4) 管理方便
管理員管理上網行為管理系統是基于信息加密后的安全的web界面,無需安裝任何管理軟件,能夠安全可靠的實現對上網行為管理系統設備的遠程管理。
支持不同權限的管理員,通過管理員分組,可以建立具有不同管理權限的管理員(組),能夠實現根據不同需要分配特定的權限。
根據不同管理員組定制不同的登錄頁面,顯示特定的配置菜單和配置選項。
部分管理員具有最高系統權限,能夠管理系統中所有的配置,能夠新建其他用戶和其他管理帳戶。 部分管理員能夠管理用戶相關各選項包括新建用戶,設置用戶權限,設定用戶的費率和用戶的其他策略。
5) 滿足未來網絡需求
靈活的設備升級功能,同時作為一個有效的網絡管理平臺,我們可以在未來的應用當中實時的根據客戶需求,定制相應得管理功能。
6) 切合實際的服務支持 (服務支持體系)
1.售前技術支持服務
2.售前客戶度身訂制服務
3.售后培訓服務
4.售后技術支持和到場服務
用戶的技術服務請求分為三種級別,服務級別的劃分取決于對應用系統運行的關鍵程度和備用資源的合理調用,并依服務等級的不同,決定相應的服務響應時間。