网络准入技术及上网行为管理技术的区别浅谈Word格式.docx
《网络准入技术及上网行为管理技术的区别浅谈Word格式.docx》由会员分享,可在线阅读,更多相关《网络准入技术及上网行为管理技术的区别浅谈Word格式.docx(6页珍藏版)》请在冰豆网上搜索。
目前,终端准入控制技术已经得到较大的发展和应用,在安全领域起到越来越重要的作用。
终端准入控制根据预定安全策略,对接入网络的终端进行身份认证和安全性检查,确保可信、安全的终端访问网络,拒绝或限制不安全终端的接入,体现了终端安全与准入控制的结合,可以有效提高网络对安全威胁的主动防御能力。
为了解决网络安全问题,上世纪90年代以来,国内外提出了主动防御、可信计算等概念,认为安全应该回归终端,以终端安全为核心来解决信息系统的安全问题。
同时,很多安全厂家相继提出了新的安全构想终端准入控制是目前新型的安全防御技术,可以有效地解决因不安全终端接入网络而引起的威胁,从而真正保障网络的安全。
根据相关数据,近年来,中国终端准入解决方案市场规模达到2.38亿元人民币,同比增长了31.49%,用户数量开始呈现规模化快速增长,中国终端准入解决方案的用户达到116万。
2、上网行为管理技术的发展背景
随着计算机网络的出现和互联网的飞速发展,网络信息系统给企事业单位带来了巨大的便利和机遇,但网络信息化是把双刃剑,随之而来的安全和管理问题也在困扰着用户。
如何在信息化给企业单位带来效率提高、竞争力增强的同时,也能得心应手的应对复杂的网络安全和内部的员工上网管理,是摆在很多管理者面前的一道难题。
首先,互联网上各类应用带来工作的便利的同时,也为工作效率带来的挑战。
在线聊天、浏览娱乐类网站、网络视频、网络游戏、在线炒股、博客、微博等无时无刻不在占用正常的工作时间。
另外,互联网充斥着各种良莠不齐的信息,企事业单位员工在获取有用信息的同时,也容易被不良内容侵蚀。
员工从内网访问互联网不良资源,或通过内网向互联网发布一些过激言论、反动信息等,不仅会为企事业单位形象带来负面影响,甚至如果触犯了国家的法律招致有关部门的调查,还会牵连公司面临法律风险。
其次,各企事业单位为了业务发展进行了大量的IT设备与带宽资源投资,意图提升关键业务的使用质量,提升整体办公效率。
但是宝贵的带宽资源却被各类P2P应用、在线视频、娱乐网站访问等挤占,这造成了带宽资源被大量浪费。
针对以上需求,需要有效的方法实现对各种网络服务的访问控制,同时需要有效的方法实现对不同应用占用的带宽进行分类管理,对于P2P下载等无关应用进行带宽限制,对关键应用用进行带宽保障,从而提升带宽资源使用率。
二、单项介绍
1、网络准入技术介绍
网络准入控制(NAC)是一项可以只允许合法的、值得信任的终端设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入网络的一种新兴网络技术。
准入控制能够在用户访问网络之前确保用户的身份是信任关系。
当终端接入网络时,首先由终端设备和网络接入设备(如:
交换机、无线AP、VPN等)进行交互通讯。
然后,网络接入设备将终端信息发给网络准入设备对接入终端和终端使用者进行检查。
当终端及使用者符合网络准入设备上定义的策略后,网络准入设备会通知网络接入设备,对终端进行授权和访问控制。
网络准入控制产品及技术主要实现以下目标:
用户身份认证和上网权限管理
自动发现网络上的所有接入设备,并记录IP/Mac地址,可由管理员描述该ip/mac的使用人,可将IP/Mac绑定作为用户认证接入网络进行准入控制,防止外来电脑接入内部网络中。
当用户ip/mac发生变动时,管理员能方便的对发生改变的用户ip/mac进行修改。
能导入、导出ip/mac列表。
能对终端用户的上网权限进行管理,对于内网用户,除可访问本单位业务系统外禁止访问互联网。
防止文件非法外传控制
能实现对终端设备的usb口的禁止、启用控制。
能实现对U盘(包括USB硬盘)的读写控制。
管理员可以设置允许读的U判标识、允许写的U盘标识、对读写是否要审计。
当U盘接入到终端设备时,会判断该U盘是可以被读、被写还是不可以接入到终端设备,同时控制用户对U盘的操作。
资产信息自动采集
可以采集到终端详细的软硬件配置信息,所有这些信息都被保存在数据库中,管理员可以在线浏览或者输出各种资产报表。
可以对终端设备的硬件配置变化进行监控。
当终端用户新增一个硬件或有硬件配置发生变动时系统会记录详细配置变更信息,包括什么时间、哪个终端设备、哪个用户、变更的配置项、变化前的配置、变化后的配置,产生配置变更告警事件,及时通知管理员。
标准功能:
身份认证
除基于用户名和密码的身份认证外,同时,支持多元素绑定,如帐号、MAC地址、IP地址等。
未通过身份认证的网络终端禁止接入网络。
安全状态评估
根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查等。
准入控制
按照用户角色权限规范用户的网络使用行为。
终端用户的所属用户组、访问策略等安全措施均可由管理员统一配置实施。
用户可以根据自己的实际需要,为内部员工、外来访客等不同人群,定义不同的安全策略执行方式。
桌面资产管理
对终端资产全方位的监控和管理,可以对终端软硬件使用情况、变更情况进行监控,帮助客户更有效地管理企业的桌面资产。
U盘审计及外设管理
可以对U盘和外设的访问过程进行监控,可以查看重要文件通过U盘拷贝时,有无存在不当使用行为。
可以对终端用户的各种外设进行控制,而且在离线状态下依然生效。
2、上网行为管理技术介绍
上网行为管理产品及技术可实现对互联网访问行为的全面管理。
在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为提供解决方案。
随着计算机、宽带技术的迅速发展,网络办公日益流行,互联网已经成为人们工作、生活、学习过程中不可或缺、便捷高效的工具。
但是,在享受着电脑办公和互联网带来的便捷同时,员工非工作上网现象越来越突出,企事业单位普遍存在着电脑和互联网络滥用的严重问题。
与工作无关的行为占用了有限的带宽,影响了正常的工作效率。
上网行为管理产品及技术是专用于防止非法信息恶意传播,避免国家机密、商业信息、科研成果泄漏的产品;
并可实时监控、管理网络资源使用情况,提高整体工作效率。
上网行为管理产品系列适用于需实施内容审计与行为监控、行为管理的网络环境,尤其是按等级进行计算机信息系统安全保护的相关单位或部门
上网行为管理产品及技术主要实现以下目标:
防止带宽资源滥用
通过基于应用类型、网站类别、用户/用户组等带宽分配策略,限制P2P、在线视频、大文件下载等应用所占用的带宽,提升上网速度和网络办公应用的使用效率。
防止无关网络行为影响工作效率
可基于用户/用户组、应用、时间等条件的上网授权策略,可管控所有与工作无关的网络行为,并可根据各组织不同要求进行授权的灵活调整。
防止病毒木马等网络风险
利用内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入,再结合DOS防御等多种安全手段,确保安全上网。
标准功能
上网人员管理
利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性
上网浏览管理
利用搜索框关键字的识别、记录、阻断技术,确保上网搜索内容的合法性,避免不当关键词的搜索带来的负面影响。
利用网页分类库技术,对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性。
利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性
利用对MSN、飞信、QQ、skype、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性
上网应用管理
利用不依赖端口的应用协议库进行应用的识别和阻断
上网流量管理
可针对用户或用户组或某个应用设置通道上限值和下限值,合理分配物理带宽、避免单个用户的流量过大抢占其他用户带宽
上网行为分析
对网络当前速率、带宽分配、应用分布、等进行统一展现
三、网络准入与上网行为管理的区别
下面我们就详细说一下这两类产品的区别:
第一:
产品起点不一样。
行为管理的产品是6-7年前提出来的,比如记录员工的上网日志,禁止员工上某些类型的网站,或者根据权限来禁止某些员工使用股票和游戏等软件。
主要目的是规范单位员工的上网行为,提高单位的工作效率,是为了按照权限来控制员工上网而设计。
网络准入控制产品采用准入控制技术通过主动监控桌面电脑的安全状态和管理状态,将不安全的电脑隔离、进行修复。
准入控制技术能够有效促进内网合规建设,减少网络事故。
第二:
管理目标不一致。
上网行为管理的产品的主要目标是为了规范员工的上网行为,通过禁止员工的一些上网行为,提供员工的工作效率,降低单位的法律风险。
网络准入控制产品的主要目标是内部发起的恶意攻击和内部保密数据盗用或失窃。
通过网络准入控制产品和技术完善终端安全管理,真正从源头上控制各种事件的源头、遏制由内网发起的攻击和破坏。
第三:
管理对象不一样。
上网行为管理产品是管理人,限制大家上网的;
网络准入控制产品是管网络的,是让大家安全上网的。
第四:
管理手段不一样。
上网行为管理产品通过策略,来设定各种复杂的权限,来决定谁能干什么,谁不能干什么。
比如谁可以(或者谁不可以)看视频,谁可以(或者谁不可以)炒股票等。
网络准入控制产品产品通过策略,来设定各种应用或者人,决定那个应用或者那个人的可以接入网络(保障),或者那个应用或者个人不能接入网络(限制)。
第五:
适合的客户群不一样。
上网行为管理产品,适合企事业单位管理文化比较严格的网络环境,企业的目标通过上网行为管理产品来禁止员工的某些上网行为,提供员工的工作效率。
网络准入控制产品适合有重要数据或者涉密数据的企事业单位,企业的目标通过网络准入控制产品加强人机边界安全,禁止非法接入,增强影响信息系统的安全性,减少业务数据被窃取、篡改,引发信息安全事件的可能性。
准确掌握终端计算机的IP等网络信息,利于网络日常维护工作。
升级会员 