上网行为管理解决方案.docx

1、上网行为管理解决方案上网行为管理解决方案上网行为管理解决方案11月1.项目背景随着信息时代的到来，国际互联网的普遍应用已日益渗透到中国社 会政治、经济、文化生活的各个角落。互联网是一个连接全世界的、开 放的、白由的信息网络，涉及到社会各个领域，它带来的是其开放性、 兼容性、高效性与跨国性的信息传播，人们因此而受益颇多。在信息化 推进的同时，不可避免的伴随着计算机犯罪的增加、网上黑客的猖獗、 色情信息的泛滥、信息间谋的潜入。XX集团，重视IT基础架构的建设，从而助推业务系统综合实力的 提升。可是有必要在现有 IT基础架构的基础上建设上网行为管理系统， 经过下属的行政效能监察室来记录或者管理市直属

2、单位以及各二级单位 的上网行为。其必要性在于：第一：从遵守国家政策角度，每个联网单位有义务建设行为、内容 管理系统。第二：作为能源类单位，必须遵守萨班斯法案或者类似法案，该法 案要求企业的内控活动，不论是人还是信息系统的操作流程都必须明白 地定义并保存相关记录，对审计过程也有存档的要求。同时公安部互 联网安全保护技术措施规定（公安部令第 82号）第十三条，互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施，应当 具有至少保存六十天记录备份的功能。第三：经过互联网传递信息已经成为企业的关键应用，然而信息的 机密性、健康性、政治性等问题也随之而来。需经过上网行为管理设备 制定精细化的信

3、息收发监控策略，有效控制关键信息的传播范围，以及 避免可能引起的法律风险，而且保护企业的信息资产，特别是勘探信 息、经营信息等。第四：能够经过管理上网用户的行为，提高企业的运作效率，避免 与工作无关的信息的干扰。第五：经过优化互联网的运行和监控，最大限度的保障已投资的信 息资产（如带宽等）。2.网络现状XX集团内部网络基础建设已基本完成，但缺少相应的监控手段，管 理者无法看到职工具体在利用网络做些什么事情。虽然防火墙已经部 署，但作为一个客体安全产品，它能够很有效的防御一些外来的攻击， 但对单位职工上网行为处于一种透明状态，防火墙无法做到主体安全的 管理，网络中充斥大量的 P2P、网络视频等消

4、耗带宽很大的应用，导致网络拥塞，正常业务无法得到保障。内部职工甚至从事一些泄露公司机 密的行为，单位也束手无策。单位管理者需对职工的对外发送信息， 如：BBS发帖；夕卜发邮件的内容；网站信息的浏览等等，做到实时监 管，一旦发现职工有损害国家利益的行为或从事非法活动，马上得以定 位，并对其进行处理。当前存在的主要问题1）上网行为无法对应到具体的用户当前的网络一般采用白动获取 IP或固定IP的方式上网，在传统的网络设备中也只能做到查询 IP的流量，无法对应到具体的用户， 外来人员上网、盗用 IP等情况时有发生，管理员无法在技术手段上 进行有效的管理。2） 无法对泄密行为进行有效的管理和监控随着网络

5、的发展，电子邮件、论坛发帖、聊天软件等外发行为可 能导致公司机密内容有意或无意的外泄，传统的网络设备无法识 别外发行为的内容，更无法做到外发行为的管控，造成了很大的 泄密风险。3） 无法全天候的保障单位核心互联网业务的带宽随着单位访问互联网的内容越来越丰富，用户需求也越来越大， 很可能会导致互联网出口出现拥塞，一些日常核心的业务就不能够 顺畅的进行。面对当前的情况，现有设备不能做到有效的流量管理 功能。在网络拥塞时核心业务也需要等待，这种现象相当影响职工 的工作效率。3） 无法对可能的隐患服务进行有效的快速定位当前互联网中存在较多的蠕虫病毒，这些病毒可能会在职工不知 情的情况下产生大量的无意义

6、的流量，严重的会占用单位的出口带 宽，可是当前防火墙等设备并不具备识别网络协议的能力，因此不 能指导性的给出哪些流量是无效流量，给网络拥塞的快速定位造成 了较大的困难。4） 无法很好的满足国家在互联网安全方面的政策方针公安部预 颁布了互联网安全保护技术措施规定既 82号令, 要求“互联网服务提供者、联网使用单位负责落实互联网安全保护 技术措施”。胡总书记在 的重要讲话中强调“要大力发展和传播健康向上的网络文化，切实把互联网建设好、利用好、管理好”。因此公安部更要求各个单位严格落实 82号令。3.解决方案根据XX集团的实际网络情况，我们建议部署上网行为管理设备。它 面向主体的互联网管理与控制。可

7、采用如下图方式接入网络，需要串 接入现有网络（部署时会引起短暂断网情况），但不改变原有网络结 构，为透明桥方式接入。部署示意图如下：网康NS-ICG产品提供灵活的带宽控制功能、能够基于用户、用户 组、特定的应用协议及总带宽进行灵活的设定，有效的进行上网行为日 志纪录。经过网康公司基于本土研发的应用特征库，能够直接对所有常见的 网络应用程序及子应用进行有效的监控审计及阻断。例如，经过配置 P2P的应用阻断策略，凭借网康科技的精准的 P2P子协议识别技术，准确的实施应用控制策略。3.解决方案根据XX集团的实际网络情况，我们建议部署上网行为管理设备。它 面向主体的互联网管理与控制。可采用如下图方式接

8、入网络，需要串 接入现有网络（部署时会引起短暂断网情况），但不改变原有网络结 构，为透明桥方式接入。部署示意图如下：网康NS-ICG产品提供灵活的带宽控制功能、能够基于用户、用户 组、特定的应用协议及总带宽进行灵活的设定，有效的进行上网行为日 志纪录。经过网康公司基于本土研发的应用特征库，能够直接对所有常见的 网络应用程序及子应用进行有效的监控审计及阻断。例如，经过配置 P2P的应用阻断策略，凭借网康科技的精准的 P2P子协议识别技术，准确的实施应用控制策略。4.网络控制策略 4.1用户管理在使用上网行为管理系统之前，我们为 XX集团及做一个详细的用户管理规划，以方便我们快捷的对网络行为进行准

9、确定位。用户是互联网访问的标识主体（即谁在访问），是网康上网行为管 理的目标对象。除身份认证信息外，一个完整的用户定义还包含其组织 信息和访问策略。每一个互联网访问都对应唯一的用户（或用户组）， 这是网康上网行为管理系统实现基于用户和用户组的访问控制的基础。 而建立完整和准确的用户信息更是保证上网行为管理系统进行有效互联 网访问审计（监控，查询，报表等）的关键。经过网康上网行为管理系统提供的 Web管理界面，能够输入、维护 用户和组的信息，从而建立起和本单位实际组织结构相一致的组织信 息。用户和组的维护功能包括新建、删除、更新、改变所属关系等。型蛔祀肯哲野部hia用p场未夕思名莉满辑*裁也 争

10、制用尸 中益机出I除心螭 -a取棺绑世珥ffK系ha文，甲户却173.1fl.11 41J总於e印匕顽彳发一0呻陌通3 建ine 僵 SflCn里础:用尸总192.108,19G.11-1921 a.J总北间南F厨技一制（W用所172.16.11.-13席必司帝门A殒宜，痼洎的JDn172.1flJ1.445公司牌IA研友一坦Jo里用户站172.1611 45吧您司肆匚4咽长部4.2用户认证管理用户是上网行为管理产品最为核心的要素，任何一条策略都是针对 一个用户或者部门设置的，因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。网康 ICG提供了丰富的用户认证方式以及符合企业实际的用户

11、管理能力，很好地满足企业对于用户的管理要求M认四置陌认认旺方式对萌杵屈户有制若开启分网圈认证，WjSA噬合祉证诃询设即+高2S!8置认M型 财认认11方可ScffiM 证盛型：用户氏剧IP身m迎判 XHTTP押用户召别 VX翻匡户弱1d 11堂型：客P端诅试ACM X瓢网:fi A认证 X露肖*本她认证 X| 认迎您1土 wriiiJUi低玮邮iT XLDAP好asRADU酣还 X岫F号小it K4.2策略制订4.2.1防泄密策略设置互联网存在多种泄密途径，一般的途径包括:1、 论坛。论坛提供开放的言论空间，是发布网络言论的重要途 径。一旦涉密信息出现在网络论坛中，会经过网络迅速传播。2、 I

12、M软件。IM软件已经成为沟通的重要手段，经过 IM传播消 息、发送文件，也会使得信息传播实况。3、 邮件。经过邮件附件，能够迅速的将单位内部的资料发送给其 它人。邮件的群发功能，更使得传播效应大大增强。4、 木马后门。木马程序会在计算机终端上开启后门，使得电脑上的全部资料完全暴露于入侵者勉强，毫无保密性可言。网采用关键字库过滤技术，对涉及涉密内容的信息进行过滤，禁 止涉密信息发网络论坛；同时，提供智能告警功能，一旦出现状 况，能够快速定位，迅速介入1.审计所有论坛发帖的内容2.设置关键字，当匹配关键字时阻塞本次发帖，并记录3.当有匹配关键字的发帖出现时，系统向管理员发送告警邮件论坛发帖*庄询均

13、* 晒讯或营掘忡）1El町*用ppgEL3t* 蛀n13415 日 rry192.1&8.196.1|?2It: r P l bU :L1 rrs 1 lin1 c co - irei二:ic ceEH5支7事3口2011-01 ID 13 柚11Cneny1QQ.1Clk 106.172Mto：慵 H 4 (wJbiiTM 1 CGMWmBitftUra3n201141-lfi 13: *3Cieiryr 时配 也j. armrtit wT *1.侃#4们豹22事哀下蜜兽息伽nKt 1-01gnyF ixt te RF.fcy e du.:r 地吐9 ftijn 皇J 知二n13:1&星艾七

14、臣等?2JJ0113:14: S7Ciarry1192.1&2.19E.172hlfp;JJlp iti,byr.XUsteitigMJBi 跚 508804点任*n3011-01 1Q 13HS0Ctienv1Q2.1Clk1K.172Wfafffcrtbw.* -JtFMaiO faT+eti . rui丸呻C Norton MIV_. fe?No4on . n&25DOOmcatm a.? i 若咨McMee . 帕街cim4.2.2流量控制策略设置卜面以对P2P协议做限速为例进行流量控制功能说明1）经过选择策略管理 对象设置 带宽通道对象，点击添加：噂* MJ X Hk别。数字越小优先

15、级越高。配合策略设定，会优先保障优先级较 高的通道内的网络连接和通信。为关键应用保证带宽和网络服务 质量。上传速率：设定上传速率。（当带宽紧张时所要保证的保证带 宽）最大上传速率：设定最大上传速率。指超过上传速率后，借用带 宽后所达到的最大上传速率（假设其它通道还有富余上传带宽的 话）。下载速率：设定下载速率。（当带宽紧张时所要保证的下载带 宽）最大下载速率：设定最大下载速率。指超过下载速率后，借用带 宽后所达到的最大下载速率（假设其它通道还有富余下载带宽的 话）。将此带宽通道应用到 P2P协议上2）选择策略设置 流量控制，点击添加，选择 P2P,如下3 E2P点府点更件T载leOorikeY

16、/eMulftiGnutelariKaZaAFast Track）司PP点点JIllKuooo屋XX下吧IWinNX设置通道，选择 P2P带宽通道，寿建带蜜通道痢略匚偷云 | W点击确定，至此 P2P下载限制设置好。最后点击立即生效使规则 生效。4.2.3应用限额策略网康ICG能够针对应用进行时长和流量的限额设置，规定每天所选的应用能够使用多长时间或者多少流量而落如上图所示，设定宿舍计算机每天只能上网 5小时，时间到后所有应用将被屏蔽。4.2.4应用封堵策略网康ICG能够针对应用进行不同用户、不同时间的封堵，从而达到灵活管控的目的。宿舍在工作时间无法上网4.2.4连接数控制网康ICG能够针对新

17、建连接数进行控制，有效的防止用户计算机中毒等异常状态对整个网络出口造成影响5.网络监控实时分析5.1流量监控翌积流最最大的降用排名依据总流量迅留MTTPGit TvcejitFPLw束扣P辨应用OJPP)skypeQQVUji e泉拉协议FTP1其他分别以图文形式显示流量最大的若干应用和流量最大的若干用科活上隹速率(Kbps)下哉速率(kbps)总速率(Kbps)用户历史流量1HTTP9,065U3r2&4133,149查看查看2Sopcaet100,100Q.573109,631查看查看3PPLive11,42724,52035tQ47查看查看4BiForreni10,7576.B7917.

18、435查看查看5skype3,5634h0327,505查看查看6UUsee2.0723.9966.05E查看宜看7QQLive9374,6425.778查着查着3数据佶毓1,3703,4694,839查看查看g未知P加应用(UDP)1.6103.C374.E97查看查看10FTP1324,4514,532查看查看用户流量排名排名用尸上隹速率(Kbps)下载速率(Kbps)总速率(Kbps)座用历史流量110.200.3.1691746,1956,359查看查看210.200.23.1S6642,9433,006查看查看310.200.56.2572,5582,624查看查看410.200.1

19、11.1041.9B11252,106查看510 200.72.022,010792.06S查看610.200.1.47302,0532,083查看查看7202.204 193.2021,982502,031查着查看810.20071180541,9261,979查看查看g202,204.196.661.6772731,949M查着10202.204.19S.531,4134331,845查看查看5.2应用监控经过应用监控查询能够实时获取内网用户应用状态，并可进行过滤查询，如下图：a云趣姑# 抽*样1关球户谶4SIPIfeMO目的忡目血口If收字芒数*印2OCIB-Q4-J3 11.25 21

20、2d2.2Dtl 19B.：2HTTP202 204.1 SB EI2131211249.3 144390a犯M旧DOicums.gBitlorrsmtfO.2DOJ6.9i4S76823.165.13M.21J30g4420004-23 10:31 05202.2W 1951FTP202t4.1dSI241?IM 10J W 1&1iii12HnB4-22 1 29:1 sla.2nD.5a.gBHTTF51 NM36.1EI1301IQ.20iD.5Q.93J JITi1200B-(M-24 20D00542O2.2C4 203.1BShttp202 204 213.165377S6019

21、0.05 207：W31312OD&a4-lfi 1 TSGar1lOL3OD.11S.ZlBiDJina.llfii.ziaX50BD.1lj0J33?1I627200B-04231.2:1 4320+.612&2204.2C451J20C89L221.140.49幡?112tH4-23l.Z：1Ma10.2010.51.IS1 D.iao.si .1 1b4l1 bt廊i1200&043317:3S D510LSD052 82httf-iDJOO.55 6221B 9 120151叙111D51D1H111111 HTTPID 200113.1 IdC4 1J11B9 IM沏I112ODB

22、-O4-2113:06 S4202.10201.60PPbw2O2.2O4.2ft1 MSN2t221 193.7145y.wo1*2J2inM33?7laiDOJlIlBMHF也1DJDD5M1-1JQ12CK.BI UU176131591902OOB-O4-23 13bOU71OL2OC110.PPUwiojaa.ine.2i2J8SSI.212.31011：iU41M J3.12 40HOJOO SADunronrenE10.200 522437992D1 m.4l 150桃的15.3网站访问监控经过网站访问监控能够实时查看内网用户访问网站的情况，并对应相关分类，如下图:，JE捏常果认M淫我件府间吊户同妹12?00 3010 rjpQ 77.112htt。为gnm et中ci事以bene/i 5陌自个中口1Li# Qif社右生话未匹配12:003910.100 77.112Mtp.帷攵活弟匹配12 00 391CI JOO Ifi.flBE u 1 | UlT !Ltih叫枷配1MD301J 13.134HtD 2Ctftncrl ioz它春 n炒 con ciVtenniGtfcir nt jtmLia拒汗壬匹配1邱ifCl.aO5B.l37Hi口 +riF mAEibEl.uahihhaiml iJI 沮:白&：