上网行为管理系统解决方案文档格式.docx
《上网行为管理系统解决方案文档格式.docx》由会员分享,可在线阅读,更多相关《上网行为管理系统解决方案文档格式.docx(47页珍藏版)》请在冰豆网上搜索。
附2、可识别协议列表63
附3、URL分类63
1、互联网行为管理理念
互联网作为一个拥有完全社会特征的虚拟环境,其管理与学校、政府、金融、企业等机构(部门)网络的管理密不可分,然而互联网的管理复杂度远超过政府、金融、企业、学校等机构(部门)网络的管理。
互联网管理包括:
风险管理、合规管理、行为管理和链路管理。
1.1互联网管理的发展
从互联网使用的历程来看,首先是接入,让互联网可用;
其次是高效率,出口链路的流量管理;
然后是访问控制,让大家安全合理的使用互联网;
最后上升到员工行为分析和管理。
归纳起来,一是关注上网速度,二是关注上网内容(泛指各种互联网应用及其信息),三是入网用户(学生,教职员工,宿舍,家属)行为分析和管理。
实际上,访问速度、上网内容、行为分析密不可分,都是互联网管理的重要组成部分。
完整的互联网访问管理遵循“记录—分析—决策—实施策略—再记录、分析”这样一个螺旋式上升的,逐步完善的过程。
1.2互联网管理的几个方向
●集中管理
对于同一个(组)机构有各自不同的局域网,自己的网络自己管理的环境,对其实现网络的集中审计和控管,统一制定策略,统一采集日志信息,统一查看系统状态信息等,保证各分支信息安全和网络的稳定、统一。
●链路管理
链路管理是互联网管理的基础,主要是如何保障互联网出口链路的畅通、高速。
链路管理包括带宽分配、流量整形、异常流量的防护等。
●风险管理
过去我们往往把信息安全局限于通信保密,局限于对信息加密功能要求,其实网络信息安全牵涉到方方面面的问题,是一个极其复杂的系统工程。
从简化的角度来看,要实施一个完整的网络与信息安全体系,至少应包括三类措施,并且三者缺一不可。
一是社会的法律政策,政府、企业、银行、学校等单位的规章制度以及安全教育等外部软环境。
在该方面政府有关部门的主要领导应当扮演重要的角色。
二是技术方面的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等。
只有技术措施并不能保证百分之百的安全。
三是审计和管理措施,该方面措施同时包含了技术与社会措施。
其主要措施有:
实时监控学校网络安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等,以防患于未然。
●合规管理
国家《互联网安全保护技术措施规定》、《信息安全等级保护》、《企业信息系统风险管理》等安全指导,均对学校、政府、企业、银行互联网访问的控制、审计提出要求。
公安部33号令以及2006年3月1日颁布实施的公安部82号令,都对互联网使用单位内部用户的上网行为提出了行为审计和记录的要求,尤其82号令要求互联网访问行为日志“至少留存60天”。
●行为管理
社会化是互联网的基本特点。
也是互联网管理区别于局域网管理的最大不同之处。
随着互联网Web2.0等交互式技术的广泛应用,互联网社会化程度日趋明显,互联网与用户之间的相互影响也越来越大。
可以说,很多的政府部门管理风险是由于对员工的片面管理造成的,往往通过人员的其他行为可以更有效的分析引导。
用户的上网行为实际上反映了上网用户的社会行为,互联网管理不仅仅是网络实体的管理,可以提升到学校管理的高度。
社会化特征使互联网更具有管理价值
目前市场有不少产品也宣称能够对应用进行管理,对流量进行控制。
这样的产品很多是从传统的安全产品通过增加新功能、或者置换概念而来,如UTM、内网安全管理、应用安全网关等等。
它们可能在某个层面,从某个角度解决用户的特定问题,但并不全面,不能称为上网行为管理产品。
而网康科技专注于互联网的研究,是专业的互联网管理服务提供商。
1.3互联网管理的内容
❑管理用户
▪哪些用户可以使用互联网?
▪怎样标识定位用户?
▪哪些用户正在访问互联网?
❑管理行为
▪哪些类型的网站是学校明令禁止访问的?
▪对影响工作效率的网络应用进行阻断还是流控?
▪是否需要针对工作时间或者上课时间和下班时间或者下课时间设置不同的策略?
❑管理内容
▪教职员工的邮件有没有泄露学校的敏感信息?
▪教职员工的言论有没有触犯国家的有关法规?
▪教职员工和学生使用互联网在多大程度上做与工作无关的事情?
▪对宿舍的管理应该如何做?
❑管理带宽
▪学校的带宽真的不够用吗?
▪宝贵的带宽资源有多少用于教学业务的传输?
▪对于P2P下载大量消耗带宽有无良策?
1.4互联网管理解决什么问题
挑战:
❑安全威胁不断
❑浏览不良网页
❑工作效率低下
❑网速越来越慢
❑机密信息外泄
❑违反国家法律
管理:
❑杜绝安全隐患
❑屏蔽不良网站
❑保障工作效率
❑合理利用带宽
❑防止机密外泄
❑遵从国家法律
1.5网康科技上网行为管理(NS-ICG)理念–洞悉,管控,驾驭
❑洞悉–了解网络中发生了什么
❑管控–制定策略,管理控制
❑驾驭–检查结果,持续优化
2、学校互联网管理方案设计
2.1学校网络目前面临的问题
学校入网用户互联网的接入权限没有一套整体的管理制度;
入网用户在工作时间P2P下载占用较大的带宽资源;
随意接入一些不良网站,造成网络中大量木马、病毒的传播,引发安全风险;
论坛发帖带来潜在的法律风险非常大。
2.2学校网络整体目标和任务
部署一套完善的上网行为管理体系,严格控制内部入网用户使用互联网的权限,对内部入网用户访问互联网的行为和内容进行监控与审计,控制入网用户的互联网访问行为,如邮件、网页访问、即时通讯等,禁止内部用户在互联网上发布敏感信息,实现网络访问记录、上网时间控制、不良站点访问禁止等功能;
对于教学需要的重要应用、重要领导的带宽进行保证,重要业务服务器的带宽保证,保证关键时期关键业务的流量保证,比如报考时段,提升整个网络的安全级别。
2.3学校网络系统设计要求
为了满足总体目标,设计本系统时应当,也必须考虑如下要素
2.3.1系统设计必须考虑的功能因素
为实现有效的规避互联网行为风险,必须考虑如下功能要素
(1)非关键业务的风险消除
对于所有可能造成行为隐患的,同时也与工作无关的应用一律控制使用。
特殊对象如有需求,在合理范围内可酌情开通,对于领导有特殊业务需求酌情放宽,以上功能应配合防火墙,行为审计设备,代理服务器等共同使用。
(2)关键业务的风险降低
对于存在隐患,但同时必须使用的应用,应有办法有效规避其存在的隐患点,确保安全的最大化。
(3)人员工作效率保障
对于影响工作效率的互联网行为,应可按照学校的成文规定结合各部门实际特点,人员特点,时间特点进行有效的控制/放行,以提升员工的工作效率。
(4)带宽可用性保障
互联网行为不能影响互联网的有效带宽,应保障互联网的使用效果,使用效率,使用质量。
保证员工正常互联网使用的保障带宽。
(5)历史日志的追溯查询
为确保信息安全的可审计,可追溯。
所有正常被策略放行的行为,被策略控制的行为均应能够被追溯,被审计,从而确认信息安全的有效性。
(6)未知隐患点的分析与挖掘
为确保互联网行为安全等级能够不断在自我统计,自我分析中自我完善,应可以及时的统计,分析出当前策略下的各种行为模型,对比基线,结合实际发现新的可能隐患点,从而继续优化,提升信息安全保护等级。
2.3.2系统设计必须考虑的技术因素
作为应用层网络安全系统,也必须考虑一下系统的各项要素。
(1)先进性
行为审计系统应具备目前业界通用,流行的各种技术规范,同时具备同行业内较为明显的技术优势,并且这些技术优势可给学校带来有效的行为审计效果。
(2)安全性
行为审计系统由于是增值安全设备,因此应具备较高的自身可靠性考虑,以及原有网络链路的可靠性考虑。
充分满足学校员工和学生的各种上网连续性和实时的要求,提升信息系统的客户满意度。
(3)可扩展性
由于学校校园网架构需要不断扩展,因此要考虑到产品在未来2-3年的可扩展性和未来网络的规划。
(4)可定制性
由于学校安全体系在不断改进完善中,自身的网络,信息传递,行为要求均具备较典型的个性化思路,因此系统应充分考虑到未来的可定制化需求,能够提供快速,有效的定制化改进,提供用户客户个性化定制的要求。
2.4学校网络需求分析
2.4.1现有网络结构模型
学校现有入网用户大概13000人,出口带宽为2条千兆internet接入链路,高峰上网总流量最高达1.7G。
2.4.2行为用户构成
本系统涉及的行为用户主要分为三类,学校教职员工办公,学生和教师宿舍上网,IT及审计系统的管理人员。
下面将对每类人员的行为模式进行分析,并提供业务分析后的建议。
2.4.3教职员工办公用户
针对这部分用户,主要考虑安全性和高效率因素,对上网行为进行审计记录,对用户上网行为进行控制,根据学校制度要求,进行相应的控制。
2.4.4特殊互联网行为用户
学校系统某些用户的特殊性,领导的重要性,所以针对领导一般存在如下网络行为用户。
领导
由于领导的网络应用通常存在大量的行政,人力,规划等前瞻性信息,因此这些记录不应该被记录,不能被核心管理部门留存。
因此应该对相应领导进行少监控,甚至不监控。
避免IT系统涉及单位的管理层面的信息。
涉密人员
同领导一样,有一部分涉密人员的日志也是不可以被审计的。
2.4.6通用行为内容构成
综合考虑当前互联网的使用,业界普遍认为互联网行为主要为以下方面:
1、网页的浏览,网页方式的文件上传,下载。
2、邮件文本的收发,及邮件附件的收发
3、IM即时通讯的文字,语音,视频,文件传输。
4、网页的外发文章及附件
5、传统的FTP,TELNET方式的文本交互,文件上传及下载
6、P2P方式的非明文方式的文件上传及下载
7、个人类,休闲类的应用访问,例如游戏,股票,视频
8、隐患类的服务例如共享,蠕虫攻击等内网流量
2.4.7通用行为隐患构成
综合考虑通用行为内容构成,可预见学校互联网中可能存在的隐患如下:
1、反政府,反社会,反道德,反法律的网站的主动或被动浏览带来的法律风险
2、病毒类,木马类站点的主动或被动的浏览带来的安全隐患
3、学校自身特点决定的不能访问的网站的访问。
4、通过定点目的性较强的HTTP,FTP,TELNET,邮件,IM方式的文字,文件的主动外发隐患
5、通过定点目的性不强,但加密性很强的P2P类应用的主动文件外发
6、反政府,反社会,反道德,反法律的网页发文的产生
7、个人类,休闲类的站点,应用的访问,使用,造成的工作效率下降
8、大流量业务带来的带宽冲击,影响核心互联网业务的使用,例如P2P下载,P2P视频,内部DOS攻击等
9、隐患类远程共享,造成的涉密信息被动抓取隐患。
因此在互联网行为管理方面的工作应该围绕上述应用进行有重点,有时间,有个性的策略化控制,力求在有效控制风险的同时不过分加大用户的使用复杂度。
2.4.8修复隐患点各功能模块概述
为应对上述隐患,现针对上网行为管理系统的各个功能模块效果给出概要的分析说明:
1、通过用户认证体系确保被审计主体的准确性,真实性
2、利用真实的组织架构对下述的各项策略进行基于主体个性,特权的策略选择,提高互联网行为管理的灵活度和有效性
3、利用WEB行为过滤系统规避网页访问的相关隐患
4、利用应用过系统严格控制无关文件传输的使用
5、利用IM控制系统,控制IM相应的隐患文字,文件外发,并留存相应IM信息备查
6、利用网页发文控制系统,控制有隐患的文字,文件外发,并留存相关信息备查
7、利用传统文件传输控制系统,控制telnet,FTP的文字,文件隐患外发,并留存相关信息备查
8、利用防护体系,防止内部DOS,蠕虫的攻击,避免网络拥塞,并记录隐患来源,备查
9、利用流量控制系统,保障核心业务的带宽,并控制非主流业务的带宽上限,避免拥塞
3、学校网络系统总体设计方案
3.1建设目标
根据学校网络整体建设规划的要求,此方案在学校网络出口处部署2台互联网控制网关,实现对全网用户的行为进行审计和管理。
通过本次建设,应可达到对互联网行为有效的风险规避,减少法律风险,提升工作效率,保障核心应用使用质量,降低p2p滥用导致的网络延时,尽最大可能的避免核心信息的外发,并可全面监控,审计,管理互联网行为。
由于互联网行为管理是较为新兴的技术,每个机构的策略并不具备普遍性,需要顾问式的引导,因此在策略配置层面需要提供专业的互联网行为管理顾问思路,协助学校建立起完善的互联网行为访问规范,并将规范全面落实到行为审计设备中,用技术推动互联网行为安全的进程。
3.2设计目标
本次系统的设计目标
1、实现行为审计工作的流程化、制度化、集中化
任何行为审计的操作中实现标准的工作化流程,在已有机构里包括权限分发,策略模板制定,策略下发,策略回收。
在新建机构时包含设备模型化,操作规范化。
对于多出口的网络部署多台设备的情况下,可以实现集中管理,集中审计,策略的集中下发等。
2、实现审计方法的简易化
作为增值类网络产品,要求不能对现有网络造成过大的耦合,可快速部署,快速配置,快速查询。
3、安全、可靠,有效的行为审计系统
作为在链路中串入的设备,必须实现自身安全,自身可靠,原有链路可靠,以及审计后果的有效性;
或者旁路接到网络中实现信息内容的审计功能
4、行为审计的长期可持续
利用设备标准的,频繁的,持续的更新服务,使得审计工作可持续性的发展,保证长期有效的安全。
可以外置专业的日志服务器,使得审计信息长期大量保存
3.3方案框架思路及拓扑
3.3.1具体部署产品
硬件系统:
两台NS-ICG、一台集中控管(可选)
软件系统:
离线日志平台(NSDC)(可选)
拓扑说明:
以学校实际拓扑环境为准
3.3.2具体部署说明
在学校网络出口处2条链路上各部署一台NS-ICG(NS25000)。
物理部署模式建议为透明串接,以保证完全的审计管控效果。
具体工作模式依据原有上网方式、具体应用可以灵活配置,例如带宽较小,web访问量较大、安全基本较高的单位,可以采用web代理模式,将内部办公与web访问逻辑上分离,获得更安全可靠的互联网访问方式,并且可以通过可配置的web缓存加速互联网访问。
NS-ICG支持网关、透明桥接、代理模式的灵活切换,可以适应不同环境,或者将来网络变更后的投资不受损。
或者根据用户的需求可以旁路接入到网络中,提供审计功能。
3.3.3建议功能策略
⏹为保证网络的安全性和规避法律风险,依据公安部和电信要求,对所有用户的web和应用行为进行审计,并确保保留2个月的访问记录。
⏹由于内部用户访问互联网的不可预测性,防止有个别用户访问病毒,色情类,违法网站类别造成的引入病毒风险和法律风险,对这些类别的网站进行封堵。
⏹对于教师使用互联网设置时间段,在工作时间不允许使用炒股,网游等影响工作效率的应用。
⏹对所有用户论坛发帖行为进行审计,并设置关键字阻断,如法轮功,手枪等敏感信息进行阻断记录并告警,防止有入网用户在互联网上做一些违法国家法律的事情,并具备追溯机制。
⏹学生宿舍和教职员工宿舍控制上相应放松一些,但对与p2p流量进行上限控制,防止p2p流量过度抢占带宽而影响正常教学业务。
⏹对每个用户设置上传包速率,新建连接速率限制,防止由于内部中毒造成的流量突发导致出口阻塞,并设置报警。
3.3.4建立人工版的制度模型
由于上网行为审计绝不是简单的功能罗列。
其策略必须灵活,并且有针对性的使用对应功能才可以达到有效的行为审计效果,同时还不会造成额外网络压力,以及繁琐的用户使用感受。
因此必须先详细的对学校自身的互联网管理制度进行梳理,确保将每个个性化特点落实,理顺,从而输出人工版的《学校上网行为规范》。
根据网康科技有限公司长期的客户经验,一套上网行为管理系统的有效上线是必须建立在员工全面了解网络行为规范基础上的,否则可能会引起较强烈的员工抵触,极大影响IT系统的客户满意度。
因此该规范是后期设备策略配置的重要基石。
《学校上网行为规范》可在系统上线后通过统计,分析工具不断的发现其问题,并加以优化。
3.3.5人工模型引导下的设备功能流转图
3.4对应各功能配置方法及意义
3.4.1建立审计的基石-客户认证
NS-ICG通过有效的用户身份识别,使得策略的分发能够根据不同的部门级别的需求进行灵活的管理。
NS-ICG提供全面的认证机制,除了传统的认证方式外,还提供私有认证,使得用户的识别种类更加丰富。
功能启动步骤:
【用户管理】->
【认证管理】
如果管理员已经将用户信息汇总到Excel、TXT等文件中,那么也可以通过NS-ICG的导入导出功能更加快捷的创建用户和分组信息。
对于使用AD账户作为上网账户的组织,NS-ICG能够支持用户的单点登录功能,在用户通过AD认证(如用户登录了Windows域)。
3.4.2建立审计的灵活时间点
NS-ICG可以根据相关的查询条件,查询特定用户的所有网络活动状况
【查询统计】->
【查询】->
【用户查询】
NS-ICG提供基于时间的丰富管理策略,能针对不同部门或不同人员的身份赋予不同时间的不同权限,即能够控制在特定时间段内的上网权限,也可以限制员工一天内总的上网时间,实现人性化管理。
3.4.3实施HTTP浏览隐患规避
实现全网范围互联网访问控制策略的首要步骤是监控Web的使用情况。
一旦网络和安全管理员对全行互联网使用情况有了全面的了解,下一步就是建立并强制执行全行互联网访问策略。
【策略管理】->
【页面浏览控制】
NS-ICG在为用户识别网页浏览的潜在威胁的同时,并通过对隐患网站的屏蔽与文件类型下载的限制,有效的保证用户上网的安全。
【页面浏览控制】->
【文件类型对象】
3.4.4实施Email隐患风险规避
NS-ICG支持对邮件内容进行监控,可以监控到局域网内任何一台计算机,通过SMTP协议发送的邮件和通过POP3协议收取的邮件,也可以监测到用户通过Yahoo、Sohu、163、126、Hotmail、Tom、Sina、Gmail、QQmail、excite、google、infoseek、livedoor等Webmail提供商,以Webmail形式发送的邮件;
可以根据情况设置是否对邮件进行监控,以及对哪些邮件进行监控,根据管理员预设条件,将潜在的泄密邮件先拦截,保障组织信息资产安全。
【策略设置】->
【邮件控制】
3.4.5实施IM隐患风险规避
NS-ICG内置的禁止IM传文件、进行语音视频通话、IM游戏等规则,轻松达到只允许员工使用IM文本聊天而不允许其他IM行为的目的。
允许使用IM工具的员工,其聊天内容也不一定与工作有关,尤其可能将组织机密泄露。
NS-ICG能够记录所有IM聊天内容,包括MSN、雅虎通等采用加密方式进行传输的IM工具。
【应用控制】
3.4.6实施网页发文隐患风险规避
NS-ICG的网页发文功能可以针对如下上网行为进行外发信息监控、过滤并报警。
如果POST审计中出现关键字匹配,报警邮件会自动发送到用户预先填写好的邮箱中,有效控制信息的传播范围,控制敏感信息的泄露,避免可能引起的法律风险。
【POST审计】
3.4.7实施传统数据传输隐患风险规避
对于使用HTTP、FTP、Telnet等方式传送文件所引发的风险,NS-ICG首先可以禁止用户使用HTTP、FTP,Telnet上传文件,对于上传的文件NS-ICG不仅可以根据文件类型进行过滤,且可以全面记录文件内容,做到有据可查。
3.4.8TELNET
部分BBS网站提供Telnet方式登陆,此时用户通过Telnet输入的任何命令和内容,NS-ICG都能详细记录并进行管控。
【即时通讯审计】
3.4.9FTP
对于使用FTP等方式传送文件所引发的风险,无论是非标准端口的FTP行为还是标准FTP行为,NS-ICG都能识别、控制和审计。
NS-ICG首先可以禁止用户使用FTP上传文件,对于上传的文件NS-ICG不仅可以根据文件类型进行过滤,且可以全面记录文件内容,做到有据可查。
功能步骤:
3.5实施非明文文件传输隐患规避
3.5.1限制P2P
有效的P2P封堵方法包括应用协议分析和P2P行为智能检测技术,NS-ICG同时对这两种技术提供了支持。
常规和加密的P2P软件,NS-ICG深度内容检测技术,通过分析数据包的服务类型、协议、端口及数据特征字段等内容
【应用控制】->
【P2Pstreaming】
【P2P】
NS-ICG可以针对不同部门、不同时间段、限制不同P2P应用占用的带宽,且可管控部门内每个员工P2P行为对带宽的占用情况.
【带宽通道对象】
当您了解了带宽的使用情况,并对带宽进行优化和分配后,我们即将对用户(组)的上网行为做进一步的管理和控制。
3.5.2实施工作效率效率降低规避
通过NS-ICG定制人性化的互联网访问权限,可以有效的根据时间、部门和应用进行合理控制,从而有效保障工作效率。
【应用控制】
3.5.3网游,股票,视频
NS-ICG已经对多种常见应用的识别和管控规则,并能定期从网康公司网站上自动更新最新的应用识别库。
这相对于绝大多数其他厂商仅提供给管理者根据IP和端口封堵应用的方式更加灵活和彻底。
NS-ICG通过精确的协议识别,对互联网的应用起到有效的控制,策略细细如下:
对于局域网内出现的NS-ICG未能识别和控制的新应用,管理员可以自行编制对应的识别策略。
【对象设置】->
【用户自定义协议】
3.5.6实施带宽控制及保障
为不同部门的不同应用设定带宽策略。
用户可以根据需要定义多个虚拟带宽通道,对于每个通道,可以指定其保障上下行速率、限制上下行速率、优先级等参数对数据流近进行整形。
【带宽通道】
设置10k带
升级会员 