上网行为管理解决方案.docx
《上网行为管理解决方案.docx》由会员分享,可在线阅读,更多相关《上网行为管理解决方案.docx(28页珍藏版)》请在冰豆网上搜索。
上网行为管理解决方案
上网行为管理解决
方案
上网行为管理
解决方案
11月
1.项目背景
随着信息时代的到来,国际互联网的普遍应用已日益渗透到中国社会政治、经济、文化生活的各个角落。
互联网是一个连接全世界的、开放的、白由的信息网络,涉及到社会各个领域,它带来的是其开放性、兼容性、高效性与跨国性的信息传播,人们因此而受益颇多。
在信息化推进的同时,不可避免的伴随着计算机犯罪的增加、网上黑客的猖獗、色情信息的泛滥、信息间谋的潜入。
XX集团,重视IT基础架构的建设,从而助推业务系统综合实力的提升。
可是有必要在现有IT基础架构的基础上建设上网行为管理系统,经过下属的行政效能监察室来记录或者管理市直属单位以及各二级单位的上网行为。
其必要性在于:
第一:
从遵守国家政策角度,每个联网单位有义务建设行为、内容管理系统。
第二:
作为能源类单位,必须遵守萨班斯法案或者类似法案,该法案要求企业的内控活动,不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录,对审计过程也有存档的要求。
同时〈〈公安部互联网安全保护技术措施规定(公安部令第82号)》第十三条,互联网
服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存六十天记录备份的功能。
第三:
经过互联网传递信息已经成为企业的关键应用,然而信息的机密性、健康性、政治性等问题也随之而来。
需经过上网行为管理设备制定精细化的信息收发监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律风险,而且保护企业的信息资产,特别是勘探信息、经营信息等。
第四:
能够经过管理上网用户的行为,提高企业的运作效率,避免与工作无关的信息的干扰。
第五:
经过优化互联网的运行和监控,最大限度的保障已投资的信息资产(如带宽等)。
2.网络现状
XX集团内部网络基础建设已基本完成,但缺少相应的监控手段,管理者无法看到职工具体在利用网络做些什么事情。
虽然防火墙已经部署,但作为一个客体安全产品,它能够很有效的防御一些外来的攻击,但对单位职工上网行为处于一种透明状态,防火墙无法做到主体安全的管理,网络中充斥大量的P2P、网络视频等消耗带宽很大的应用,导致
网络拥塞,正常业务无法得到保障。
内部职工甚至从事一些泄露公司机密的行为,单位也束手无策。
单位管理者需对职工的对外发送信息,如:
BBS发帖;夕卜发邮件的内容;网站信息的浏览等等,做到实时监管,一旦发现职工有损害国家利益的行为或从事非法活动,马上得以定位,并对其进行处理。
当前存在的主要问题
1)上网行为无法对应到具体的用户
当前的网络一般采用白动获取IP或固定IP的方式上网,在传统
的网络设备中也只能做到查询IP的流量,无法对应到具体的用户,外来人员上网、盗用IP等情况时有发生,管理员无法在技术手段上进行有效的管理。
2)无法对泄密行为进行有效的管理和监控
随着网络的发展,电子邮件、论坛发帖、聊天软件等外发行为可能导致公司机密内容有意或无意的外泄,传统的网络设备无法识别外发行为的内容,更无法做到外发行为的管控,造成了很大的泄密风险。
3)无法全天候的保障单位核心互联网业务的带宽
随着单位访问互联网的内容越来越丰富,用户需求也越来越大,很可能会导致互联网出口出现拥塞,一些日常核心的业务就不能够顺畅的进行。
面对当前的情况,现有设备不能做到有效的流量管理功能。
在网络拥塞时核心业务也需要等待,这种现象相当影响职工的工作效率。
3)无法对可能的隐患服务进行有效的快速定位
当前互联网中存在较多的蠕虫病毒,这些病毒可能会在职工不知情的情况下产生大量的无意义的流量,严重的会占用单位的出口带宽,可是当前防火墙等设备并不具备识别网络协议的能力,因此不能指导性的给出哪些流量是无效流量,给网络拥塞的快速定位造成了较大的困难。
4)无法很好的满足国家在互联网安全方面的政策方针
公安部预颁布了〈〈互联网安全保护技术措施规定》既82号令,要求“互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施…”。
胡总书记在的重要讲话中强调“要大力发展和传播
健康向上的网络文化,切实把互联网建设好、利用好、管理好”。
因此公安部更要求各个单位严格落实82号令。
3.解决方案
根据XX集团的实际网络情况,我们建议部署上网行为管理设备。
它面向主体的互联网管理与控制。
可采用如下图方式接入网络,,需要串接入现有网络(部署时会引起短暂断网情况),但不改变原有网络结构,为透明桥方式接入。
部署示意图如下:
网康NS-ICG产品提供灵活的带宽控制功能、能够基于用户、用户组、特定的应用协议及总带宽进行灵活的设定,有效的进行上网行为日志纪录。
经过网康公司基于本土研发的应用特征库,能够直接对所有常见的网络应用程序及子应用进行有效的监控审计及阻断。
例如,经过配置P2P的应用阻断策略,凭借网康科技的精准的P2P子协议识别技术,准
确的实施应用控制策略。
3.解决方案
根据XX集团的实际网络情况,我们建议部署上网行为管理设备。
它面向主体的互联网管理与控制。
可采用如下图方式接入网络,,需要串接入现有网络(部署时会引起短暂断网情况),但不改变原有网络结构,为透明桥方式接入。
部署示意图如下:
网康NS-ICG产品提供灵活的带宽控制功能、能够基于用户、用户组、特定的应用协议及总带宽进行灵活的设定,有效的进行上网行为日志纪录。
经过网康公司基于本土研发的应用特征库,能够直接对所有常见的网络应用程序及子应用进行有效的监控审计及阻断。
例如,经过配置P2P的应用阻断策略,凭借网康科技的精准的P2P子协议识别技术,准
确的实施应用控制策略。
4.网络控制策略4.1用户管理
在使用上网行为管理系统之前,我们为XX集团及做一个详细的用户
管理规划,以方便我们快捷的对网络行为进行准确定位。
用户是互联网访问的标识主体(即谁在访问),是网康上网行为管理的目标对象。
除身份认证信息外,一个完整的用户定义还包含其组织信息和访问策略。
每一个互联网访问都对应唯一的用户(或用户组),这是网康上网行为管理系统实现基于用户和用户组的访问控制的基础。
而建立完整和准确的用户信息更是保证上网行为管理系统进行有效互联网访问审计(监控,查询,报表等)的关键。
经过网康上网行为管理系统提供的Web管理界面,能够输入、维护用户和组的信息,从而建立起和本单位实际组织结构相一致的组织信息。
用户和组的维护功能包括新建、删除、更新、改变所属关系等。
型蛔祀肯哲
」野部hia
用p场未夕思名莉满辑
*裁也争制用尸中益机出I除心螭-a取棺绑世
□
珥ffK系
ha
文,甲户却
173.1fl.1141
J总於e印匕顽彳发一0
呻陌通3建ine僵SflC
n
里础:
用尸总
192.108,19G.11-1921a.
J总北间南F厨技一制
(□
W用所
172.16.11.-13
席必司帝门A殒宜,痼
洎的JD
n
172.1flJ1.44
£5公司牌I'A研友一坦J
o
里用户站
172.161145
吧您司肆匚4咽长―部
4.2用户认证管理
用户是上网行为管理产品最为核心的要素,任何一条策略都是针对一个用户或者部门设置的,因此对于用户的识别、认证与管理能力决定
了上网行为管理的效果。
网康ICG提供了丰富的用户认证方式以及符合
企业实际的用户管理能力,很好地满足企业对于用户的管理要求
M认四置陌认认旺方式对萌杵屈户有制若开启分网圈认证,WjSA噬合祉证’诃询设即
+高2S!
8置
认M型财认认11方可
Scffi
M■证盛型:
用户氏剧
IP身m迎判X
HTTP^押用户召别V
X
翻匡户弱1
d"11堂型:
客P端诅试
ACMX
瓢网:
fiA认证X
露肖*本她认证X
|认迎您1土wriiiJUi
低玮邮iTX
LDAP好
□as
RADU酣还X
岫F号小itK
4.2策略制订
4.2.1防泄密策略设置
互联网存在多种泄密途径,一般的途径包括:
1、论坛。
论坛提供开放的言论空间,是发布网络言论的重要途径。
一旦涉密信息出现在网络论坛中,会经过网络迅速传播。
2、IM软件。
IM软件已经成为沟通的重要手段,经过IM传播消息、发送文件,也会使得信息传播实况。
3、邮件。
经过邮件附件,能够迅速的将单位内部的资料发送给其它人。
邮件的群发功能,更使得传播效应大大增强。
4、木马后门。
木马程序会在计算机终端上开启后门,使得电脑上
的全部资料完全暴露于入侵者勉强,毫无保密性可言。
网采用关键字库过滤技术,对涉及涉密内容的信息进行过滤,禁止涉密信息发网络论坛;同时,提供智能告警功能,一旦出现状况,能够快速定位,迅速介入
1.审计所有论坛发帖的内容
2.设置关键字,当匹配关键字时阻塞本次发帖,并记录
3.当有匹配关键字的发帖出现时,系统向管理员发送告警邮件
论坛发帖
*庄询均*[晒讯或营掘忡)
—1
El町*
用p
p
g
EL3t*蛀
n
13^41
5日rry
192.1&8.196.1|?
2
It:
:
rPlbU:
L1■■■'rrs1lin1cco-irei「二:
icce
EH
5支7事
3
口
2011-01ID13柚11
Cneny
1QQ.1Clk106.1^72
Mto:
慵H4(wJbiiTM1CGMWmBi^tftUra
3
n
201141-lfi13:
":
*3
Cieiry
r时配也j.armrtitwT*1.侃#4们豹22
事哀下蜜
««兽息伽
n
Kt1-01
gny
FixtteRF.fcyedu.:
r地吐9ftijn皇J知二
n
13:
1&星
艾七臣等
?
2JJ0
1
□
13:
14:
S7
Ciarry1
192.1&2.19E.172
hlfp;JJlpiti,byr.XUsteitigMJBi跚508804
点任¥
*
n
3011-011Q13HS0
Ctienv
1Q2.1Clk1K.172
Wfafffcr—tbw.*1
酿=e,淋
n
3011-01-IQ
Cncmry
r亨’'K.l^ai9fe.2^cta.'-.tw-prrtid.Fhpid'
原长下彖
1
记示而■可
如图所示:
所有内网用户论坛发帖的行为被记录,一旦发生泄密事件能定位到人。
带有机密信息的发帖内容不会流传到互联网上,杜绝论坛发帖的泄密方式
对SMTP邮件标题、正文、附件内容进行进行管控
1.严格人工控制:
将所有邮件阻塞,保存原文及附件,必须经过人工审核才能发送
2.宽松人工控制:
将匹配关键条件的邮件阻塞,保存原文及附件,必须经过人工审核才能发送
3.非人工控制:
将匹配关键条件的邮件阻塞,保存原文及附件,而且能够以邮件的方式向管理员报警,其它邮件直接放行
4.非控制审计:
将所有邮件放行,但记录匹配关键条件的邮件,保存原文及附件,而且能够以邮件的方式向管理员报警
对webmail邮件外发行为进行管
1.对Webmail进行阻塞或直接放行
2.详细记录邮件的基本信息、正文内容,保留传输的附件原文
3.能够以邮件方式主动向管理员报警
珏P思燃I遂我震翎由日俱st
掘HHSlb螂如]|flUMiKS珂nolWnKiw祠jviWfXIflHK罅尸戒
把Hl-iilH!
捋叫曜哩度1垩&口呻现做3此眺!
丁岫1村:
尸村京舞岸■-Z安董
✓
炉
|5■:
・.M\
■titAj
WflA;,ufpngjwngWnrCm:
;r
n*w_dIVUAWTIlt^Q=)34CQW
*■Mm
*m:
|g_
对IM类的软件(QQ,MSN,SKYPE飞信等)进行外发文字,文件
名称过滤
1.记录QQ的聊天人员及内容
2.对存在泄密可能的员工,禁止其QQ使用
3.对涉密人员的QQ在线或离线文件传输进行控制
4.对涉密人员的QQ网络硬盘进行控制
5.对涉密人员的群共享进行控制
时向
齿户
IP
竞iX帐M
访1旬塞L专鸟内氏
Ml1-01-19IJlJ-Ofi
■Cherry
19216fi1M172
QQ
追出
1113472002
2011-01-191Z;OS:
52
匚henv
QQ
市唱政
谢潮仁先探5
2011011912:
07:
49
chnjy
192166.196172
QQ
Ml1-01-19170726
rpi・rry
1WIBS196173
QQ
1113472003
经过封堵木马类协议和强制主机安装查杀木马的杀毒软件,防止
木马泄密
在互联网出口和数据库机房的出口线路上同时封堵木马类的应用
协议
、新津应用控制第略
名称:
封堵木马类协训
优先锹
送择用户
用户;[未选择用户]
控制方式:
阻塞P
应用刊表
#匚)回文件共享H□「-:
仃棚用H二H妇里和隧道木马
当口匣海盗逐控
Uat/上兴远控出jEFreeRatV2.0七01/MRAT园空SQlZICybemetw1.0g[?
sav2.5田曰3就
□二网络管理
强制内网所有用户安装查杀木马的杀毒软件,否则不能上网,堵
住木马泄密的源头
用户:
■未认样号户11嫌拄用口1Stig:
苫有同』诅锂脂可
础;不富育V谐宁的全邳*裾顷1方式;尾垩W
退岸蚯出:
憧尹件祐扣心弟住吁聂柱玉=愤莎性辛醐成1剑亲呆韦软件巷刮回集+盘垣乘故件拍ok擒
名祁捅四迎仔钠病引¥乔右王正郴典注够子项以值辛惭割日表型邸EA
E汀E再w旌工民单叫濒do
.
±lljf«2DO9faS±ll5..n^5DOO
ZUte%洛M帕杪舌g茶.n^50M
E巴期与校宜卡巴折n525DM
I
!
>-JtFMaiOfaT+eti..rui丸呻
CNortonMIV_.fe?
No4on.n&25DOO
mcatma.?
i若咨McMee.帕街cim
4.2.2流量控制策略设置
卜面以对P2P协议做限速为例进行流量控制功能说明
1)经过选择策略管理对象设置带宽通道对象,点击添
加:
噂*MJXHk
别。
数字越小优先级越高。
配合策略设定,会优先保障优先级较高的通道内的网络连接和通信。
为关键应用保证带宽和网络服务质量。
上传速率:
设定上传速率。
(当带宽紧张时所要保证的保证带宽)
最大上传速率:
设定最大上传速率。
指超过上传速率后,借用带宽后所达到的最大上传速率(假设其它通道还有富余上传带宽的话)。
下载速率:
设定下载速率。
(当带宽紧张时所要保证的下载带宽)
最大下载速率:
设定最大下载速率。
指超过下载速率后,借用带宽后所达到的最大下载速率(假设其它通道还有富余下载带宽的话)。
将此带宽通道应用到P2P协议上
2)选择策略设置流量控制,点击添加,选择P2P,如下
^£3E2P
点府点更件T载
^leOorikeY/eMulft
^iGnutela
riKaZaAFastTrack)
司PP点点JI
l^lKuooo
屋]XX下吧
^IWinNX
设置通道,选择P2P带宽通道
,寿建带蜜通道痢略
匚偷云]|W
点击确定,至此P2P下载限制设置好。
最后点击立即生效使规则生效。
4.2.3应用限额策略
网康ICG能够针对应用进行时长和流量的限额设置,规定每天所
选的应用能够使用多长时间或者多少流量
'而落
如上图所示,设定宿舍计算机每天只能上网5小时,时间到后
所有应用将被屏蔽。
4.2.4应用封堵策略
网康ICG能够针对应用进行不同用户、不同时间的封堵,从而达
到灵活管控的目的。
宿舍在工作时间无法上网
4.2.4连接数控制
网康ICG能够针对新建连接数进行控制,有效的防止用户计算机
中毒等异常状态对整个网络出口造成影响
5.网络监控实时分析
5.1流量监控
翌积流最最大的降用排名——依据总流量
■迅留
□MTTP
■GitTv^cejit
□FPLw
□束扣P辨应用OJPP)
□skype
□QQ
□VUjie«
□泉拉协议
■FTP
■1其他
分别以图文形式显示流量最大的若干应用和流量最大的若干用
科活
上隹速率(Kbps)
下哉速率(kbps)
总速率(Kbps)
用户
历史流量
1
HTTP
9,065
U3r2&4
133,149
查看
查看
2
Sopcaet
100,100
Q.573
109,631
查看
查看
3
PPLive
11,427
24,520
35tQ47
查看
查看
4
BiForreni
10,757
6.B79
17.435
查看
查看
5
skype
3,563
4h032
7,505
查看
查看
6
UUsee
2.072
3.996
6.05E
查看
宜看
7
QQLive
937
4,642
5.778
查着
查着
3
数据佶毓
1,370
3,469
4,839
查看
查看
g
未知P加应用(UDP)
1.610
3.C37
4.E97
查看
查看
10
FTP
132
4,451
4,532
查看
查看
用户流量排名
排名
用尸
上隹速率(Kbps)
下载速率(Kbps)
总速率(Kbps)
座用
历史流量…
1
10.200.3.169
174
6,195
6,359
查看
查看
2
10.200.23.1S6
64
2,943
3,006
查看
查看
3
10.200.56.2
57
2,558
2,624
查看
查看
4
10.200.111.104
1.9B1
125
2,106
查看
5
10200.72.02
2,010
79
2.06S
查看
6
10.200.1.47
30
2,053
2,083
查看
查看
7
202.204193.202
1,982
50
2,031
查着
查看
8
10.20071180
54
1,926
1,979
查看
查看
g
202,204.196.66
1.677
273
1,949
M
查着
10
202.204.19S.53
1,413
433
1,845
查看
查看
5.2应用监控
经过应用监控查询能够实时获取内网用户应用状态,并可进行
过滤查询,如下图:
a云趣姑#抽**样1
关球户
谶
4SIP
IfeMO
目的忡
目血口
If收字芒数*印
2OCIB-Q4-J311.2521
2d2.2Dtl19B.£:
2
HTTP
202204.1SBEI2
131^
211249.^31443
90
a
犯
M[旧DO
icums.g
Bitlorrsmt
fO.2DOJ6.9i
4S76
823.165.13M.21J
30
g
44
200^04-2310:
3105
202.2W1951
FTP
20£2t4.1dSI
241?
IM10JW1&1
ii
i
1
2HnB^>4-221^29:
1s
la.2nD.5a.gB
HTTF
51NM』36.1EI1
30
1IQ.20iD.5Q.93
JJIT
i
1
200B-(M-2420D0054
2O2.2C4203.1BS
http
202204213.165
377S
60190.05207
:
W
31
«31
2OD&a4-lfi1TSGar
1lOL3OD.11S.ZlB
iDJina.ll'fii.zia
X50
BD.1lj0J33
?
1I62
■
7
200B-04231.2:
1»43
20+.61
2&2204.2C451
J20C
89L221.140.49
幡?
1
1
2®tH4-23l.Z:
1Ma
10.2010.51.IS
1D.iao.si.1§
1b4l
1bt廊
i
1
200&043317:
3SD5
10LSD05282
httf-
iDJOO.5562
21B9120151
叙1
1
1
D5
1D1H111111□
HTTP
ID200113.1Id
C41J11B9IM
沏
I
11
2ODB-O4-2113:
06S4
202.10^201.60
PPbw
2O2.2O4.2ft1M
SN2t
221193.7145
y.wo
1*
2J
2inM^33?
7
laiDOJlIlB
MHF也
1DJDD5M1-«
1JQ1
2CK.BIUU
17613
159
190
2OOB-O4-2313bOU7
1OL2OC110.»
PPUw
iojaa.ine.2i
2J8S
SI.212.3101
1:
iU4
1
MJ3.1240
HOJOOSA
DunronrenE
10.2005^224
3799
2D1m.4l150
桃的
1
5.3网站访问监控
经过网站访问监控能够实时查看内网用户访问网站的情况,并
对应相关分类,如下图:
,JE捏常果认M淫我件」
府间
吊户
同妹
12?
0030
10rjpQ77.112
htt。
为gnme』t中ci事以bene/i5陌自个中口1『Li#Qif
社右生话
未匹配
12:
0039
10.10077.112
Mtp.
帷攵活
弟匹配
12>0039
1CIJOOIfi.flB
Eu1||□UlT■!
Ltih叫
枷配
1MD30
1J13.134
HtD>2Ctftncrl^io’z它春n炒conciVtenniG^tfcirntjtmLia
拒汗
壬匹配
1"邱
ifCl.aO5B.l37
Hi■口+riFmAEibEl.uahihhaimliJI沮:
白&: