上网行为管理解决方案1详细版.docx
《上网行为管理解决方案1详细版.docx》由会员分享,可在线阅读,更多相关《上网行为管理解决方案1详细版.docx(32页珍藏版)》请在冰豆网上搜索。
上网行为管理解决方案1详细版
XX公司
上网行为管理解决方案
XXXXXXXXXXX有限公司
2020年
一、XX介绍
1.1公司简介
北京XX科技有限公司是互联网控制管理领域的先行者,致力于研究如何帮助广大用户更好地控制和管理对互联网的使用。
XX科技能够为客户提供中国最领先的互联网控制管理解决方案,全面细致地帮助用户实现上网行为管理、内容安全管理、带宽分配管理、网络应用管理、外发信息管理,有效解决互联网带来的管理、安全、效率、资源、法律、青少年网瘾等各种问题。
XX科技由美国风险投资、资深金融管理专家及回国留学生共同创办。
XX科技深根中国,特别强调自主创新、自主研发,曾获得国家多项技术创新基金的支持。
XX科技不断探索最前沿的互联网控制管理技术,深度研究中国网民的上网习惯,从管理角度出发、从内容层面控制、从人的行为进行管理,为中国用户提供最完善的互联网控制管理产品与服务。
3年多来,XX科技凭借领先的产品理念、国际化的技术团队及本地化的服务优势,迅速成长为国内上网行为管理(EIM–EmployeeInternetManagement)领域的领导者,并先后在日本、美国、南美洲等地区打开市场,成为国际知名的EIM产品与方案提供商。
快速发展的XX科技正逐渐步入国际化轨道,全球越来越多的用户正在体验XX科技带来的更易管理、更加安全、更加文明的互联网空间。
1.2产品简介
XX互联网控制网关(ICG–InternetControlGageway,以下简称ICG)是XX公司的核心产品,是一款面向企业市场的软、硬件一体化网关设备。
它通过网页过滤、应用控制、带宽管理、监控审计等手段,帮助企业对员工的上网行为进行规范管理,屏蔽对不良网站的访问,控制并审计敏感信息的外发泄密,避免由于员工的不当网络行为引起的法律责任,以及帮助企业合理利用宝贵的带宽资源。
相比传统的网络安全产品,XXICG不以防范外来攻击为直接目标,而是通过对网络活动的主体–员工的行为以及网络访问内容进行管理监控,来保障企业生产力、保护企业知识产权以及合理利用企业网络资源,是面向主体、面向内容和面向管理的一款网络安全产品。
XX推出了面向中小企业、大中企业、电信级企业三大系列8款产品,满足各种规模的企业对互联网资源管理的需求。
到目前为止,XXICG产品已经在金融、电信、能源、教育、IT、制造等十几个行业超过1000家客户得到推广应用。
领先的产品质量与贴近用户的服务,得到了用户和业界的高度认可,XX也为此多次获得殊荣。
1.3资质认证
XX科技自成立以来,先后获得了一系列资质认证,包括高新技术企业证书、双软认证、软件著作权登记证书、公安部销售许可证和公安部检测报告等。
1.4产品荣誉
中小企业IT优选产品中国信息化500强指定产品
二、上网行为管理–XX行业信息安全新视角
2.1XX行业信息安全建设面临的问题
伴随着以互联网为代表的信息技术与网络技术的迅猛发展,我国XX行业在电子化、网络化方面取得了很大成就,已经建成了相对完善的网络系统、终端系统等基础设施和信息化水平较高的业务系统。
这些系统的建设,提高了XX行业务处理的效率,改善了XX行业行业的经营环境,增强了XX行业信息的可靠性,促进了各项新业务的拓展。
XX行业作为关系国计民生的命脉行业,信息与数据的安全管理涉及国家、企业以及个人的经济利益,因此信息安全始终是XX行业信息化建设的重要组成部分,而网络安全又是信息安全的重中之重。
随着一些传统XX行业务转移到互联网上,在享有互联网带来的便利、高效、低成本的好处的同时,也越来越多地面临来自互联网的安全挑战。
面对黑客攻击、网络病毒、间谍软件以及垃圾邮件等威胁,XX公司大多数已经部署了网络隔离系统、防火墙、入侵检测系统、VPN、防病毒软件、反垃圾邮件系统等,构成XX行业网络的立体防护屏障,防范来自互联网的攻击,保障网络与业务系统的安全运行。
传统的网络安全设备可以有效地阻挡来自XX行业外部的攻击,但对于内部原因,特别是由于员工上网行为不当引起的安全问题却无能为力。
据调查,大部分金融安全问题是由于内部监控和风险管理欠缺引起的。
许多XX公司可能认为员工是最不需要进行安全管理的一部分,但是,内部员工有意或无意的不当上网行为往往对XX行业的信息安全造成更大的损害。
这些行为表现为:
●敏感信息泄漏
电子邮件、即时聊天以及论坛发帖等网络应用,为人们沟通信息提供了极大的便利,但也可能成为员工泄密的工具。
XX行业员工掌握着大量敏感数据,如果不对员工的外发信息进行严格控制与监控审计,这些重要信息可“轻易而快速”地传递到外部,给XX行业造成重大损失。
●安全事件频发
四通八达的网络,方便的不仅仅是正常业务的传输,恶意代码、病毒、蠕虫、间谍软件等等,也会搭乘便车,籍由貌似“善良”的网页、Email、聊天工具、下载工具等方式,悄悄侵入到网络的各个角落。
由于防火墙不能分析应用层的内容,无法阻挡这些网页的下载,而桌面防病毒软件尽管可以识别并阻止病毒的入侵,但可能由于软件的版本落后或者病毒更新的速度更快,造成防范实效。
由于内部员工不安全的互联网访问而造成的病毒传播与黑客入侵,成为网络安全的最大黑洞。
●工作效率降低
为了在日益激烈的竞争中获得优势,XX公司必须不断增加业务品种,改善服务质量,提高工作效率,降低运营成本。
但未加管理的互联网应用可能会大大降低员工的工作效率。
据一项调查显示,普通企业员工每天的互联网访问活动中40%与工作无关,在线聊天、浏览新闻娱乐、网络视频、网络游戏、炒股、博客等无时无刻不在占用正常的工作时间,敲击键盘和点击鼠标的“忙碌”表象背后却是低下的工作效率。
在高度网络化的现代办公环境里,办公室可能成为“舒适的网吧”。
人力资源在无形中浪费巨大,企业运行效率也因此大大降低。
●带宽资源浪费
XX行业是信息化建设最先进的行业之一,企业为了业务发展进行了大量的IT设备与带宽资源投资。
统计表明,在互联网活动未加管理的企业中,宝贵的带宽资源超过70%被音乐、视频下载等占用,尽管带宽一扩再扩,却总是被BT、电驴、迅雷等P2P应用挤占。
这不仅造成带宽资源被大量浪费,还使得企业正常业务得不到应有的带宽保证。
●导致法律风险
互联网充斥着各种良莠不齐的信息,企业员工在获取有用信息的同时,也易被不良内容侵蚀。
为了加强对互联网的控制和管理,国务院、人大常委会、公安部、信息产业部皆相继出台法律法规明文规定,接入互联网的单位和企业要采用相应的技术手段对互联网的使用做出控制和管理。
对于互联网资源的非法访问,比如访问色情、赌博、犯罪网站、发表反动言论、泄露重大机密等,都会触犯相关法律,给XX行业带来法律风险。
2.2对员工上网行为进行规范管理势在必行
以上分析看出,由于员工的主动网络行为引发的问题无法通过传统的网络安全保护手段实现,必须通过专业的上网行为管理产品解决。
何为上网行为管理?
简单地讲,就是对员工主体的基于内容的网络访问行为进行管理,包含如下几个要素:
第一、上网的人是谁(Who:
哪个部门哪个员工);
第二、上网的时间(When:
工作日/周末,上班时间/午间休息/夜间,上午/下午);
第三、上网做了什么事(How:
浏览网页、下载文件、聊天、游戏、等等);
第四、具体内容是什么(What:
网页的内容、聊天的内容、邮件的内容);
第五、占用的带宽和流量是多大(Howmuch),等等。
与传统的安全防护方式不同,上网行为管理产品基于用户、时间、网络应用、带宽等元素对员工的上网行为进行灵活的策略设置,把网络风险管理从“被动式响应管理”提升为“主动式预警管理”,从“防范管理”提升为“控制管理”。
为了实现真正安全的网络环境,XX行业需要“内外兼修”,除了阻挡外部攻击外,还应该转换视角,大力加强对内的管理,对员工的上网行为进行规范管理是十分必要的。
三、XX公司互联网访问管理需求分析
3.1项目背景
XX公司是国内七大XX集团之一,由中国石油化工集团公司、中国南方航空集团公司、中国铝业公司、中国外运长航集团有限公司、广东电力发展股份有限公司等大型企业集团于2005年发起组建,注册资本金37亿元人民币。
公司股东实力强大,涉及行业广泛,股权结构合理,符合现代企业制度。
目前拥有多家子公司。
3.2需求分析
◆总部需求分析:
随着总部人数和业务规模的迅速扩张,现在的互联网管理已无法控制与工作无关的流量,包括P2P下载、P2P视频以及与工作无关的大流量web访问,造成出口带宽链路不堪重负,成为XX公司总部办公网与互联网信息沟通的瓶颈;同时大量的访问不健康web网页,给总部的内部网络安全带来了极大的隐患,容易造成木马和病毒的传播,员工的工作效率也会大大的下降。
因而,XX集团总部需要专用互联网管理设备提供更丰富的应用流量管理,以及能有效的管控互联网内容访问,来满足目前和未来,承载更多用户、提供更高访问性能的需要。
◆分公司需求分析:
随着分公司人数和业务规模的迅速扩张,原有通过专线到总部再访问Internet的方式已不堪重负,不能保证24小时的稳定工作,同时大量的P2P等下载也占用了省公司和地市子公司之间的4M专线带宽,导致视频会议等关键业务QOS不能保障,因此分公司需要建立自己的Internet出口,来实现上网业务的正常运转。
结合上述性能和功能提升的要求,用户上网行为管理项目的具体要求和目的为:
要求
目标
实现途径(建议)
内容过滤
增强内部控制机制,过滤进出的非法信息,减少法律风险
通过URL分类库、关键字过滤技术减少非法信息
互联网应用管理
增强内部控制机制,减少带宽浪费,优化网络,提高员工工作效率
通过协议识别、流量分类、基于策略的行为控制实现
用户管理
实现用户行为控制和审计的必要前提
基于AD域的无缝联动,单点登录识别;
用户上网分析
评估出口带宽状况,分析评估用户上网行为管理情况,规范员工上网行为
日志分析报表系统
网络安全防护
减少病毒、内部攻击等网络异常隐患,提升出口链路的可用性
识别并禁止访问病毒页面、识别并管理异常用户和异常流量
由原厂商或最高级别服务商提供7*24最高服务级别
是XX集团自身给XX行业客户提供高标准服务体系的保障
选择具备24小时服务有实力的本地化服务商
四、XX集团互联网访问管理方案设计理论依据
4.1基于ISO/IEC17799信息安全管理标准
ISO/IEC17799是信息安全管理体系的国际标准,该信息安全管理的行为标准是为信息安全系统提供的一个普通的最佳操作行为标准集合。
其目的是为制订组织的安全标准和进行有效的安全管理实践提供公共的基础,并且为组织间的交易建立必要的信任。
应当根据适用的法律法规选择使用该标准推荐的内容。
ISO/IEC17799详细介绍了127种安全措施,归纳成了10个部分。
其中包含对于共享网络的访问控制政策需求,尤其是那些超越了组织界限的网络(例如互联网),需要对网络进行综合控制,以限制用户间的互连。
可以通过在网关中按照一定规则过滤信息来实现这样的控制。
这些限制应基于商业应用的访问政策和需求来考虑,并应定期进行维护和更新。
ISO/IEC17799对访问控制提出如下基本要求,并做出细节描述:
用户标识和鉴别
连接时间的限制
应用访问控制
敏感信息隔离
监视系统访问和使用
事件记录
对于互联网访问控制,需要完全遵循ISO/IEC17799标准,实施对信息访问和商业处理活动的控制,才能有效保障民生商业信息活动的安全管理。
4.2主体管理技术理念
越来越多的互联网访问出口阻塞以及网络安全问题是由于内部用户的不当访问造成的。
主体管理通俗的讲就是将公司的管理政策(在本方案中即为上网管理规定)通过技术手段落实到内部用户身上,增加管理规定的可操作性和可审计性。
4.3主体管理构架于真实的组织结构之上
由于主体管理的策略设置时所有对象都是基于人(行为主体)同时策略相对复杂(同一个部门中的不同小部门,不同人可能产生策略差异),因此在策略主体定义时为了避免策略产生后期的不可逆转性,采用真实的多级组织结构(不是平面组)进行主体定义是十分必须的。
4.4基于行为后果的搜索引擎技术分类网址库
由于上网行为管理中WEB的控制多基于内置分类库实现,少部分会由用户自定义补充,因此分类库的建立方式和库容量将直接决定WEB的控制效果,目前业界先进厂商均采用基于搜索引擎技术的网址分类库。
(基于行为后果的分词技术为XX专利技术,通过该技术XX已经拥有900万的URL网址分类库)
搜索引擎可全天候的在WEB站点中根据自定义的分词技术进行URL网址库的更新,并且及时的将更新的网址库提供给客户。
4.5细粒度树形协议分类库
高端的互联网访问管理产品多采用树形应用协议分类库(类似于注册表技术)。
由于在设置应用协议的控管策略时用户的需求可宽,可严,可细化,并且需要高可读性,传统避免平面协议库在与已有协议嵌套或近似的新协议产生时出现可读性严重降低。
采用细粒度的树形协议分类库将有效提高行为管理策略的可读性。
而策略高可读性是安全产品必尊的发着之一。
4.6流行的五元组方式的策略定义
主体管理中策略设定时通常采用人――时间――行为――管理方式――审计方式的五元组方式进行策略的定义。
该种策略的定义将极大提高策略的可读性,有效的避免策略的冲突,便于问题的排查。
4.7DPT,DST技术
DPT:
深度包检测技术。
DST:
深度流检测技术。
由于互联网访问管理其根本就是依托有效的内置库配合DPT,DST技术进行行为控管。
DPT技术主要用于处理行为控管,DST技术主要用于处理内容审计。
4.8持续的、可学习的本地更新技术
由于互联网内容和应用协议的变化非常快,用户互联网访问行为识别的时效性很强,而对互联网资源的识别能力和识别范围是互联网访问管理的基础,因此设备具有持续更新能力将有效降低时效性风险。
并且,这种更新能力的支持力度不应该也不可能对所有内容和协议一视同仁。
不同国家的互联网内容和应用的发展具备明显的文化差异,识别更新服务必须具备学习和分析目标用户的互联网访问范围的能力,有针对性的进行识别工作,并将识别特征动态更新到设备,才可以使设备的有效管控最大化,更新时效最大化。
4.9安全基础的PPDR理念
通过信息安全表述模型——PPDR模型的分析,我们可以对需要建设的整体解决方案有一个完整的概念。
确定Policy策略、Protection防护、Detection检测和Response响应四个方面的安全需求。
PPDR模型阐述了一个提供724不间断安全管理和保障的产品和服务的全部综合套件以及全面安全解决方案。
PPDR方案是一个超前的安全模型。
它的指导思想比传统安全方案(传统安全在本质上是静态的,如防火墙和加固验证等)有突破性提高。
五、XX集团上网行为管理解决方案和技术实现
XX互联网控制网关(NSICG)是XX公司推出的面向应用层协议的专业的互联网访问管理产品,支持透明网桥或代理模式,支持web高速缓存,基于人/分支部分/大部门、时间段的上网行为策略,可有效的满足XX的互联网访问管理需求。
通过XX互联网访问管理设备,可以识别并统计网络上究竟有哪些网站被浏览,哪些数据在传输,哪些应用在运行,哪些协议在被使用,哪些行为占用了主要的带宽资源等。
根据这些量化数据,可以了解每一个行为主体的上网情况,因而可以设置相应的管理策略,实现总带宽资源的充分利用,网络行为的清洁,同时也为以后IT基础构架建设提供了可靠的依据
此外,XXICG支持对突发流量的整形,对由内部病毒和攻击引起的异常流量进行识别与控制,能够防御来自内部的恶意的DOS攻击,减轻了出口线路的工作负载,同时也确保互联网管理设备本身的安全运行。
5.1整体解决方案
在总部互联网出口部署一台ICG设备,采用串接模式;在每个分公司的互联网出口部署一台ICG设备,也采用串接模式;由于中国XX有多个分公司,这就需要总部进行统一的集中管理,因此在总部配置一台ICG集中管理平台,可以统一下发策略和统一管理;由于员工的上网行为日志是记录在多台ICG上,为了对日志进行统一整体的分析,建议在总部配置一台日志中心服务器,可以记录和存储XX公司所有员工的上网行为海量信息,并能够进行统一的分析和查询。
5.1总部ICG部署的网络拓扑
XXNSICG可以根据XX总部实际网络环境灵活部署,为了保持总部原有网络拓扑结构,XXNSICG可以以透明网桥模式串接入网络。
XXNSICG通过XX动态更新服务保持最新的互联网内容和应用的识别能力,并依据策略管理和记录用户的访问行为。
用户可以在内网通过加密的中文web图形管理界面对设备进行管理。
5.2分公司ICG部署的网络拓扑
XXNSICG可以根据XX分公司实际网络环境灵活部署,为了保持省分公司原有网络拓扑结构,XXNSICG可以透明串接入网络。
XXNSICG通过XX动态更新服务保持最新的互联网内容和应用的识别能力,为内部用户提供HTTP、HTTPS、SOCKS代理服务,并依据策略管理和记录用户的访问行为。
用户可以在内网通过加密的中文web图形管理界面对设备进行管理。
5.3NSICG的技术实现介绍
我们建议采用XX科技的互联网访问管理NSICG系列产品,该产品提供灵活的用户管理,WEB策略,应用管理,带宽管理功能功能模块,通过灵活的组合可实现XX集团的上网行为控管功能。
XXNSICG支持千兆电口及光口接入,提供更高性能和更丰富的管理特性。
该产品在应用层上深度分析用户在网络上的各种应用,灵活调控用户使用各种应用的流量。
从流量、内容、用户行为目的等角度实现对应用协议的结构化管理,通过监控、统计、控制等技术手段引导网络用户的上网行为,并为网络管理提供依据,使有限的网络资源最大限度的有效利用,减少由于内部原因造成的网络出口故障和非法内容传播风险,从而保障网络的高效、健康、稳定的运行。
5.3.1可靠高效的硬件系统和智能容错旁路技术
该产品采用专用的硬件平台和XXNSOS安全系统,提供稳定高效的理性能和上网行为管理能力。
设备支持700M+的吞吐量,极大地满足用户当前和未来的网络性能的要求。
在系统高可靠性方面,NSICG的可靠性可以达到99.99%,并且提供7X24小时连续不间断工作。
系统中硬件设备的平均无故障时间大于2万小时。
XX产品还提供一套完整的容错硬件和解决方案。
为避免设备单点故障,NSICG系列产品提供硬件bypass与软件bypass双重保护,确保网络一路畅通。
硬件bypass:
在网桥或透明代理模式下,由于意外原因发生设备掉电时,XXICG将自动启动硬件bypass功能,设备在物理上成为一条连通的网线,不会对已有的网络连接产生任何影响。
软件bypass:
在串接模式下,要保障互联网访问可用,必须要保证NSICG功能的可用性,当NSICG设备系统异常或负载超过设定的安全阀值时,系统自动启动软件bypass功能,以设备最大带宽“放行”数据包。
当设备负载恢复到安全阀值以下时,系统自动恢复各种处理功能。
在实际应用中,我们不能排除设备软硬件发生故障的可能性,但采用软Bypass和无源的硬Bypass功能,可以极大的提高整个系统的可用性和可靠性。
下图是软硬Bypass触发条件的微调菜单:
5.3.2灵活安全的设备管理方式
XXNSICG采用HTTPS方式对设备进行安全管理,提供全功能的中文图形化管理界面。
此外还支持SSH与console控制台通过命令行进行配置管理。
5.3.3专业级的应用识别和分类,层次清晰的结构化管理
XX关注国内流行的各种互联网应用,并将其进行合理归类,使之成为树形目录结构的100多种以上的应用协议库,这种结构使策略、监控、统计报表可以灵活的按协议组、协议、子协议来管理。
如下图所示,对一些多功能的流行应用,XX协议识别精确到应用的子协议,将更多细节纳入策略框架中。
例如:
允许qq聊天,但阻止qq传输文件,上班时间保障qq远程协助的带宽等等。
同样,我们可以通过阻塞P2P、网络电视来减少带宽资源浪费;通过在工作时间对网络游戏、炒股的限制提高员工工作的效率等。
5.2.4迅速准确的协议跟踪识别
XX通过对国内网民日常使用的应用做统计,跟踪中国互联网应用的变化,选择对客户网络影响最大的流行应用进行深入分析,这些应用通常不是标准的网络服务,无法通过地址、端口特征来区分。
所以,XX协议库不需要通过标准端口服务来扩充支持协议数量(但提供自定义协议接口),而是专注于流行互联网应用的协议特征识别跟踪,并通过动态更新,不断在第一时间提供最新应用的管理支持。
5.3.5细致的用户组织结构管理
为XX集团用户建立清晰的真实的组织结构图,可利用文件导入、扫描、LDAP导入的方式统一将用户一次性添加,并与可设定与LDAP目录自动同步:
XX支持多种用户方式,包括本地web认证、AD域透明认证、包括LD第三方认证等。
规划并部署合适的认证方式,可以把互联网访问管理正真应用到具体用户,实现基于用户身份的访问管理,而不是传统基于设备的访问管理。
5.3.6XX灵活精细的带宽管理策略
为不同部门的不同应用设定带宽策略。
用户可以根据需要定义多个虚拟带宽通道,对于每个通道,可以指定其保障上下行速率、限制上下行速率、优先级等参数对数据流近进行整形,见下图。
各参数的含义如下:
上传/下载速率:
数据流的保障吞吐量。
低于此临界值的数据流以最高优先级通过,不受任何数据流管理或整形机制的限制。
最大速率:
数据流的峰值带宽。
超过此临界值的数据流被抑制并丢弃。
峰值带宽的意义在于,如果该服务器访问量很大,超过了基本保障带宽,它可以在峰值带宽之下暂时“借用”其它通道空闲的资源,以提高总带宽利用率。
优先级:
当数据流带宽在保障带宽和最大带宽设置之间时,设备首先让较高优先级的数据流通过,并且只有在没有其它更高优先级的数据流时,才让较低优先级的信息流通过。
系统支持八个优先级。
这样可以保障最重要的资源得到最优先的带宽。
与传统流量管理产品不同,XX的带宽管理是互联网访问行为管理的延伸,管理的一方面是切断违规的上网行为,另一面是降低违规行为的服务质量,保障合规行为的服务质量。
所以XX的带宽管理完全融入XX互联网访问管理策略框架之中,基于用户(或组)、时间、访问对象来执行不同的管理动作。
对于流量分配,XX通过设定若干个不同优先级的保障带宽或限制带宽的通道对象,并在策略中调用,精确到1KB进行分配给不同应用和用户,然后提供图形监控界面实时查看带宽通道对象的流量。
除此以外,NSICG也支持给用户或每组的每个用户平均分配带宽,如给每用户最多分配30Kbps带宽:
Ø多层次灵活控管对象
全局控管模型一级单位控管模型二级单位控管模型
Ø多方式灵活选择控管时间
设定控管时间段
灵活的通道带宽管理设置
针对每用户设定带宽上限
5.3.7异常流量防护报警,保障出口线路的稳定
为避免来自内网的允许合法协议产生超常流量攻击(如SYN病毒攻击,WEB蠕虫等),XXICG支持基于IP的请求限速、流量限速等控制规则。
通过设置来源IP访问的上传包速率、上传速率、新建连接速率、小包发送速率等多个阀值,对突发流量进行带宽整形,可以保证线路充分的请求响应能力。
超出阀值的流量,可以进行带宽限制、全部阻塞,或者只阻塞超出阀值部分,对于异常流量的IP,可以设置列入黑名单进行屏蔽。
如下图所示:
当网络正常运行时,XXNSICG可以定时采集网络各项运行指标,如流量速率、包速率、小包速率、连接速率、ip数、及各指标的最大值、平均值等,根据这些数据,我们可以得到网络正常运行的基线,并据此设定自动防护规则,对异常的流量进行自动管控,以实现网络无人值守时的自我防护,保障互联网出口带宽的畅通。
5.3.
升级会员 