上网行为管理解决方案.docx

上网行为管理解决方案.docx

《上网行为管理解决方案.docx》由会员分享，可在线阅读，更多相关《上网行为管理解决方案.docx（28页珍藏版）》请在冰豆网上搜索。

上网行为管理解决方案

上网行为管理解决

方案

上网行为管理

解决方案

11月

1.项目背景

随着信息时代的到来，国际互联网的普遍应用已日益渗透到中国社会政治、经济、文化生活的各个角落。

互联网是一个连接全世界的、开放的、白由的信息网络，涉及到社会各个领域，它带来的是其开放性、兼容性、高效性与跨国性的信息传播，人们因此而受益颇多。

在信息化推进的同时，不可避免的伴随着计算机犯罪的增加、网上黑客的猖獗、色情信息的泛滥、信息间谋的潜入。

XX集团，重视IT基础架构的建设，从而助推业务系统综合实力的提升。

可是有必要在现有IT基础架构的基础上建设上网行为管理系统，经过下属的行政效能监察室来记录或者管理市直属单位以及各二级单位的上网行为。

其必要性在于：

第一：

从遵守国家政策角度，每个联网单位有义务建设行为、内容管理系统。

第二：

作为能源类单位，必须遵守萨班斯法案或者类似法案，该法案要求企业的内控活动，不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录，对审计过程也有存档的要求。

同时〈〈公安部互联网安全保护技术措施规定（公安部令第82号）》第十三条，互联网

服务提供者和联网使用单位依照本规定落实的记录留存技术措施，应当具有至少保存六十天记录备份的功能。

第三：

经过互联网传递信息已经成为企业的关键应用，然而信息的机密性、健康性、政治性等问题也随之而来。

需经过上网行为管理设备制定精细化的信息收发监控策略，有效控制关键信息的传播范围，以及避免可能引起的法律风险，而且保护企业的信息资产，特别是勘探信息、经营信息等。

第四：

能够经过管理上网用户的行为，提高企业的运作效率，避免与工作无关的信息的干扰。

第五：

经过优化互联网的运行和监控，最大限度的保障已投资的信息资产（如带宽等）。

2.网络现状

XX集团内部网络基础建设已基本完成，但缺少相应的监控手段，管理者无法看到职工具体在利用网络做些什么事情。

虽然防火墙已经部署，但作为一个客体安全产品，它能够很有效的防御一些外来的攻击，但对单位职工上网行为处于一种透明状态，防火墙无法做到主体安全的管理，网络中充斥大量的P2P、网络视频等消耗带宽很大的应用，导致

网络拥塞，正常业务无法得到保障。

内部职工甚至从事一些泄露公司机密的行为，单位也束手无策。

单位管理者需对职工的对外发送信息，如：

BBS发帖；夕卜发邮件的内容；网站信息的浏览等等，做到实时监管，一旦发现职工有损害国家利益的行为或从事非法活动，马上得以定位，并对其进行处理。

当前存在的主要问题

1）上网行为无法对应到具体的用户

当前的网络一般采用白动获取IP或固定IP的方式上网，在传统

的网络设备中也只能做到查询IP的流量，无法对应到具体的用户，外来人员上网、盗用IP等情况时有发生，管理员无法在技术手段上进行有效的管理。

2）无法对泄密行为进行有效的管理和监控

随着网络的发展，电子邮件、论坛发帖、聊天软件等外发行为可能导致公司机密内容有意或无意的外泄，传统的网络设备无法识别外发行为的内容，更无法做到外发行为的管控，造成了很大的泄密风险。

3）无法全天候的保障单位核心互联网业务的带宽

随着单位访问互联网的内容越来越丰富，用户需求也越来越大，很可能会导致互联网出口出现拥塞，一些日常核心的业务就不能够顺畅的进行。

面对当前的情况，现有设备不能做到有效的流量管理功能。

在网络拥塞时核心业务也需要等待，这种现象相当影响职工的工作效率。

3）无法对可能的隐患服务进行有效的快速定位

当前互联网中存在较多的蠕虫病毒，这些病毒可能会在职工不知情的情况下产生大量的无意义的流量，严重的会占用单位的出口带宽，可是当前防火墙等设备并不具备识别网络协议的能力，因此不能指导性的给出哪些流量是无效流量，给网络拥塞的快速定位造成了较大的困难。

4）无法很好的满足国家在互联网安全方面的政策方针

公安部预颁布了〈〈互联网安全保护技术措施规定》既82号令,要求“互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施…”。

胡总书记在的重要讲话中强调“要大力发展和传播

健康向上的网络文化，切实把互联网建设好、利用好、管理好”。

因此公安部更要求各个单位严格落实82号令。

3.解决方案

根据XX集团的实际网络情况，我们建议部署上网行为管理设备。

它面向主体的互联网管理与控制。

可采用如下图方式接入网络，，需要串接入现有网络（部署时会引起短暂断网情况），但不改变原有网络结构，为透明桥方式接入。

部署示意图如下：

网康NS-ICG产品提供灵活的带宽控制功能、能够基于用户、用户组、特定的应用协议及总带宽进行灵活的设定，有效的进行上网行为日志纪录。

经过网康公司基于本土研发的应用特征库，能够直接对所有常见的网络应用程序及子应用进行有效的监控审计及阻断。

例如，经过配置P2P的应用阻断策略，凭借网康科技的精准的P2P子协议识别技术，准

确的实施应用控制策略。

3.解决方案

根据XX集团的实际网络情况，我们建议部署上网行为管理设备。

它面向主体的互联网管理与控制。

可采用如下图方式接入网络，，需要串接入现有网络（部署时会引起短暂断网情况），但不改变原有网络结构，为透明桥方式接入。

部署示意图如下：

网康NS-ICG产品提供灵活的带宽控制功能、能够基于用户、用户组、特定的应用协议及总带宽进行灵活的设定，有效的进行上网行为日志纪录。

经过网康公司基于本土研发的应用特征库，能够直接对所有常见的网络应用程序及子应用进行有效的监控审计及阻断。

例如，经过配置P2P的应用阻断策略，凭借网康科技的精准的P2P子协议识别技术，准

确的实施应用控制策略。

4.网络控制策略4.1用户管理

在使用上网行为管理系统之前，我们为XX集团及做一个详细的用户

管理规划，以方便我们快捷的对网络行为进行准确定位。

用户是互联网访问的标识主体（即谁在访问），是网康上网行为管理的目标对象。

除身份认证信息外，一个完整的用户定义还包含其组织信息和访问策略。

每一个互联网访问都对应唯一的用户（或用户组），这是网康上网行为管理系统实现基于用户和用户组的访问控制的基础。

而建立完整和准确的用户信息更是保证上网行为管理系统进行有效互联网访问审计（监控，查询，报表等）的关键。

经过网康上网行为管理系统提供的Web管理界面，能够输入、维护用户和组的信息，从而建立起和本单位实际组织结构相一致的组织信息。

用户和组的维护功能包括新建、删除、更新、改变所属关系等。

型蛔祀肯哲

」野部hia

用p场未夕思名莉满辑

*裁也争制用尸中益机出I除心螭-a取棺绑世

□

珥ffK系

ha

文，甲户却

173.1fl.1141

J总於e印匕顽彳发一0

呻陌通3建ine僵SflC

n

里础:

用尸总

192.108,19G.11-1921a.

J总北间南F厨技一制

（□

W用所

172.16.11.-13

席必司帝门A殒宜，痼

洎的JD

n

172.1flJ1.44

£5公司牌I'A研友一坦J

o

里用户站

172.161145

吧您司肆匚4咽长―部

4.2用户认证管理

用户是上网行为管理产品最为核心的要素，任何一条策略都是针对一个用户或者部门设置的，因此对于用户的识别、认证与管理能力决定

了上网行为管理的效果。

网康ICG提供了丰富的用户认证方式以及符合

企业实际的用户管理能力，很好地满足企业对于用户的管理要求

M认四置陌认认旺方式对萌杵屈户有制若开启分网圈认证，WjSA噬合祉证’诃询设即

+高2S!

8置

认M型财认认11方可

Scffi

M■证盛型：

用户氏剧

IP身m迎判X

HTTP^押用户召别V

X

翻匡户弱1

d"11堂型：

客P端诅试

ACMX

瓢网:

fiA认证X

露肖*本她认证X

|认迎您1土wriiiJUi

低玮邮iTX

LDAP好

□as

RADU酣还X

岫F号小itK

4.2策略制订

4.2.1防泄密策略设置

互联网存在多种泄密途径，一般的途径包括:

1、论坛。

论坛提供开放的言论空间，是发布网络言论的重要途径。

一旦涉密信息出现在网络论坛中，会经过网络迅速传播。

2、IM软件。

IM软件已经成为沟通的重要手段，经过IM传播消息、发送文件，也会使得信息传播实况。

3、邮件。

经过邮件附件，能够迅速的将单位内部的资料发送给其它人。

邮件的群发功能，更使得传播效应大大增强。

4、木马后门。

木马程序会在计算机终端上开启后门，使得电脑上

的全部资料完全暴露于入侵者勉强，毫无保密性可言。

网采用关键字库过滤技术，对涉及涉密内容的信息进行过滤，禁止涉密信息发网络论坛；同时，提供智能告警功能，一旦出现状况，能够快速定位，迅速介入

1.审计所有论坛发帖的内容

2.设置关键字，当匹配关键字时阻塞本次发帖，并记录

3.当有匹配关键字的发帖出现时，系统向管理员发送告警邮件

论坛发帖

*庄询均*［晒讯或营掘忡）

—1

El町*

用p

p

g

EL3t*蛀

n

13^41

5日rry

192.1&8.196.1|?

2

It:

:

rPlbU:

L1■■■'rrs1lin1cco-irei「二:

icce

EH

5支7事

3

口

2011-01ID13柚11

Cneny

1QQ.1Clk106.1^72

Mto：

慵H4（wJbiiTM1CGMWmBi^tftUra

3

n

201141-lfi13:

":

*3

Cieiry

r时配也j.armrtitwT*1.侃#4们豹22

事哀下蜜

««兽息伽

n

Kt1-01

gny

FixtteRF.fcyedu.:

r地吐9ftijn皇J知二

n

13:

1&星

艾七臣等

?

2JJ0

1

□

13:

14:

S7

Ciarry1

192.1&2.19E.172

hlfp;JJlpiti,byr.XUsteitigMJBi跚508804

点任¥

*

n

3011-011Q13HS0

Ctienv

1Q2.1Clk1K.172

Wfafffcr—tbw.*

1

酿=e，淋

n

3011-01-IQ

Cncmry

r亨’'K.l^ai9fe.2^cta.'-.tw-prrtid.Fhpid'

原长下彖

1

记示而■可

如图所示：

所有内网用户论坛发帖的行为被记录，一旦发生泄密事件能定位到人。

带有机密信息的发帖内容不会流传到互联网上，杜绝论坛发帖的泄密方式

对SMTP邮件标题、正文、附件内容进行进行管控

1.严格人工控制：

将所有邮件阻塞，保存原文及附件，必须经过人工审核才能发送

2.宽松人工控制：

将匹配关键条件的邮件阻塞，保存原文及附件，必须经过人工审核才能发送

3.非人工控制：

将匹配关键条件的邮件阻塞，保存原文及附件，而且能够以邮件的方式向管理员报警，其它邮件直接放行

4.非控制审计：

将所有邮件放行，但记录匹配关键条件的邮件，保存原文及附件，而且能够以邮件的方式向管理员报警

对webmail邮件外发行为进行管

1.对Webmail进行阻塞或直接放行

2.详细记录邮件的基本信息、正文内容，保留传输的附件原文

3.能够以邮件方式主动向管理员报警

珏P思燃I遂我震翎由日俱st

掘HHSlb螂如］|flUMiKS珂nolWnKiw祠jviWfXIflHK罅尸戒

把Hl-iilH!

捋叫曜哩度1垩&口呻现做3此眺!

丁岫1村：

尸村京舞岸■-Z安董

✓

炉

|5■:

・.M\

■titAj

WflA；,ufpngjwngWnrCm：

；r

n*w_dIVUAWTIlt^Q=）34CQW

*■Mm

*m：

|g_

对IM类的软件（QQ,MSN,SKYPE飞信等）进行外发文字，文件

名称过滤

1.记录QQ的聊天人员及内容

2.对存在泄密可能的员工，禁止其QQ使用

3.对涉密人员的QQ在线或离线文件传输进行控制

4.对涉密人员的QQ网络硬盘进行控制

5.对涉密人员的群共享进行控制

时向

齿户

IP

竞iX帐M

访1旬塞L专鸟内氏

Ml1-01-19IJlJ-Ofi

■Cherry

19216fi1M172

QQ

追出

1113472002

2011-01-191Z；OS：

52

匚henv

QQ

市唱政

谢潮仁先探5

2011011912:

07:

49

chnjy

192166.196172

QQ

Ml1-01-19170726

rpi・rry

1WIBS196173

QQ

1113472003

经过封堵木马类协议和强制主机安装查杀木马的杀毒软件，防止

木马泄密

在互联网出口和数据库机房的出口线路上同时封堵木马类的应用

协议

、新津应用控制第略

名称：

封堵木马类协训

优先锹

送择用户

用户；［未选择用户］

控制方式：

阻塞P

应用刊表

#匚）回文件共享H□「-:

仃棚用H二H妇里和隧道木马

当口匣海盗逐控

Uat/上兴远控出jEFreeRatV2.0七01/MRAT园空SQlZICybemetw1.0g［?

sav2.5田曰3就

□二网络管理

强制内网所有用户安装查杀木马的杀毒软件，否则不能上网，堵

住木马泄密的源头

用户：

■未认样号户11嫌拄用口1Stig:

苫有同』诅锂脂可

础;不富育V谐宁的全邳*裾顷1方式；尾垩W

退岸蚯出：

憧尹件祐扣心弟住吁聂柱玉=愤莎性辛醐成1剑亲呆韦软件巷刮回集+盘垣乘故件拍ok擒

名祁捅四迎仔钠病引¥乔右王正郴典注够子项以值辛惭割日表型邸EA

E汀E再w旌工民单叫濒do

.

±lljf«2DO9faS±ll5..n^5DOO

ZUte%洛M帕杪舌g茶.n^50M

E巴期与校宜卡巴折n525DM

I

!

>-JtFMaiOfaT+eti..rui丸呻

CNortonMIV_.fe?

No4on.n&25DOO

mcatma.?

i若咨McMee.帕街cim

4.2.2流量控制策略设置

卜面以对P2P协议做限速为例进行流量控制功能说明

1）经过选择策略管理对象设置带宽通道对象，点击添

加：

噂*MJXHk

别。

数字越小优先级越高。

配合策略设定，会优先保障优先级较高的通道内的网络连接和通信。

为关键应用保证带宽和网络服务质量。

上传速率：

设定上传速率。

（当带宽紧张时所要保证的保证带宽）

最大上传速率：

设定最大上传速率。

指超过上传速率后，借用带宽后所达到的最大上传速率（假设其它通道还有富余上传带宽的话）。

下载速率：

设定下载速率。

（当带宽紧张时所要保证的下载带宽）

最大下载速率：

设定最大下载速率。

指超过下载速率后，借用带宽后所达到的最大下载速率（假设其它通道还有富余下载带宽的话）。

将此带宽通道应用到P2P协议上

2）选择策略设置流量控制，点击添加，选择P2P,如下

^£3E2P

点府点更件T载

^leOorikeY/eMulft

^iGnutela

riKaZaAFastTrack）

司PP点点JI

l^lKuooo

屋］XX下吧

^IWinNX

设置通道，选择P2P带宽通道

，寿建带蜜通道痢略

匚偷云］|W

点击确定，至此P2P下载限制设置好。

最后点击立即生效使规则生效。

4.2.3应用限额策略

网康ICG能够针对应用进行时长和流量的限额设置，规定每天所

选的应用能够使用多长时间或者多少流量

'而落

如上图所示，设定宿舍计算机每天只能上网5小时，时间到后

所有应用将被屏蔽。

4.2.4应用封堵策略

网康ICG能够针对应用进行不同用户、不同时间的封堵，从而达

到灵活管控的目的。

宿舍在工作时间无法上网

4.2.4连接数控制

网康ICG能够针对新建连接数进行控制，有效的防止用户计算机

中毒等异常状态对整个网络出口造成影响

5.网络监控实时分析

5.1流量监控

翌积流最最大的降用排名——依据总流量

■迅留

□MTTP

■GitTv^cejit

□FPLw

□束扣P辨应用OJPP）

□skype

□QQ

□VUjie«

□泉拉协议

■FTP

■1其他

分别以图文形式显示流量最大的若干应用和流量最大的若干用

科活

上隹速率（Kbps）

下哉速率（kbps）

总速率（Kbps）

用户

历史流量

1

HTTP

9,065

U3r2&4

133,149

查看

查看

2

Sopcaet

100,100

Q.573

109,631

查看

查看

3

PPLive

11,427

24,520

35tQ47

查看

查看

4

BiForreni

10,757

6.B79

17.435

查看

查看

5

skype

3,563

4h032

7,505

查看

查看

6

UUsee

2.072

3.996

6.05E

查看

宜看

7

QQLive

937

4,642

5.778

查着

查着

3

数据佶毓

1,370

3,469

4,839

查看

查看

g

未知P加应用（UDP）

1.610

3.C37

4.E97

查看

查看

10

FTP

132

4,451

4,532

查看

查看

用户流量排名

排名

用尸

上隹速率（Kbps）

下载速率（Kbps）

总速率（Kbps）

座用

历史流量…

1

10.200.3.169

174

6,195

6,359

查看

查看

2

10.200.23.1S6

64

2,943

3,006

查看

查看

3

10.200.56.2

57

2,558

2,624

查看

查看

4

10.200.111.104

1.9B1

125

2,106

查看

5

10200.72.02

2,010

79

2.06S

查看

6

10.200.1.47

30

2,053

2,083

查看

查看

7

202.204193.202

1,982

50

2,031

查着

查看

8

10.20071180

54

1,926

1,979

查看

查看

g

202,204.196.66

1.677

273

1,949

M

查着

10

202.204.19S.53

1,413

433

1,845

查看

查看

5.2应用监控

经过应用监控查询能够实时获取内网用户应用状态，并可进行

过滤查询，如下图：

a云趣姑#抽**样1

关球户

谶

4SIP

IfeMO

目的忡

目血口

If收字芒数*印

2OCIB-Q4-J311.2521

2d2.2Dtl19B.£：

2

HTTP

202204.1SBEI2

131^

211249.^31443

90

a

犯

M[旧DO

icums.g

Bitlorrsmt

fO.2DOJ6.9i

4S76

823.165.13M.21J

30

g

44

200^04-2310:

3105

202.2W1951

FTP

20£2t4.1dSI

241?

IM10JW1&1

ii

i

1

2HnB^>4-221^29:

1s

la.2nD.5a.gB

HTTF

51NM』36.1EI1

30

1IQ.20iD.5Q.93

JJIT

i

1

200B-（M-2420D0054

2O2.2C4203.1BS

http

202204213.165

377S

60190.05207

：

W

31

«31

2OD&a4-lfi1TSGar

1lOL3OD.11S.ZlB

iDJina.ll'fii.zia

X50

BD.1lj0J33

?

1I62

■

7

200B-04231.2:

1»43

20+.61

2&2204.2C451

J20C

89L221.140.49

幡?

1

1

2®tH4-23l.Z：

1Ma

10.2010.51.IS

1D.iao.si.1§

1b4l

1bt廊

i

1

200&043317:

3SD5

10LSD05282

httf-

iDJOO.5562

21B9120151

叙1

1

1

D5

1D1H111111□

HTTP

ID200113.1Id

C41J11B9IM

沏

I

11

2ODB-O4-2113:

06S4

202.10^201.60

PPbw

2O2.2O4.2ft1M

SN2t

221193.7145

y.wo

1*

2J

2inM^33?

7

laiDOJlIlB

MHF也

1DJDD5M1-«

1JQ1

2CK.BIUU

17613

159

190

2OOB-O4-2313bOU7

1OL2OC110.»

PPUw

iojaa.ine.2i

2J8S

SI.212.3101

1：

iU4

1

MJ3.1240

HOJOOSA

DunronrenE

10.2005^224

3799

2D1m.4l150

桃的

1

5.3网站访问监控

经过网站访问监控能够实时查看内网用户访问网站的情况，并

对应相关分类，如下图:

，JE捏常果认M淫我件」

府间

吊户

同妹

12?

0030

10rjpQ77.112

htt。

为gnme』t中ci事以bene/i5陌自个中口1『Li#Qif

社右生话

未匹配

12:

0039

10.10077.112

Mtp.

帷攵活

弟匹配

12>0039

1CIJOOIfi.flB

Eu1||□UlT■!

Ltih叫

枷配

1MD30

1J13.134

HtD>2Ctftncrl^io’z它春n炒conciVtenniG^tfcirntjtmLia

拒汗

壬匹配

1"邱

ifCl.aO5B.l37

Hi■口+riFmAEibEl.uahihhaimliJI沮:

白&：