《网络准入技术与上网行为管理技术的区别浅析》由会员分享,可在线阅读,更多相关《网络准入技术与上网行为管理技术的区别浅析(7页珍藏版)》请在金锄头文库上搜索。
1、一、背景1、网络准入技术发展背景当前,政府、学校及企业等构建了大量内部计算机网络,以支持自身的信息 化建设。由于主要业务都运行在内部网络,一旦其受到破坏,将产生严重的后果。 针对各种网络安全威胁,人们开发应用了防火墙、IDS、IPS、VPN、杀毒软件等 软硬件技术。虽然耗资巨大,但各种安全威胁仍然未得到有效解决。终端作为网络的关键组成和服务对象,其安全性受到极大关注。终端准入控 制技术是网络安全一个重要的研究方向,它通过身份认证和完整性检查,依据预 先设定的安全策略,通过软硬件结合的方式控制终端的访问权限,能有效限制不 可信、非安全终端对网络的访问,从而达到保护网络及终端安全的目的。终端准入控
2、制技术的研究与应用对于提高网络安全性,保障机构正常运转具 有重要作用;对于机构解决信息化建设中存在的安全问题具有重要意义。目前, 终端准入控制技术已经得到较大的发展和应用,在安全领域起到越来越重要的作 用。终端准入控制根据预定安全策略,对接入网络的终端进行身份认证和安全性 检查,确保可信、安全的终端访问网络,拒绝或限制不安全终端的接入,体现了 终端安全与准入控制的结合,可以有效提高网络对安全威胁的主动防御能力。为了解决网络安全问题,上世纪 90 年代以来,国内外提出了主动防御、可 信计算等概念,认为安全应该回归终端,以终端安全为核心来解决信息系统的安 全问题。同时,很多安全厂家相继提出了新的安
3、全构想 终端准入控制是目前新 型的安全防御技术,可以有效地解决因不安全终端接入网络而引起的威胁,从而 真正保障网络的安全。根据相关数据,近年来,中国终端准入解决方案市场规模达到 2.38 亿元人 民币,同比增长了 31.49%,用户数量开始呈现规模化快速增长,中国终端准入 解决方案的用户达到 116 万。2、上网行为管理技术的发展背景随着计算机网络的出现和互联网的飞速发展,网络信息系统给企事业单位带 来了巨大的便利和机遇,但网络信息化是把双刃剑,随之而来的安全和管理问题 也在困扰着用户。如何在信息化给企业单位带来效率提高、竞争力增强的同时, 也能得心应手的应对复杂的网络安全和内部的员工上网管理
4、,是摆在很多管理者 面前的一道难题。首先,互联网上各类应用带来工作的便利的同时,也为工作效率带来的挑战。 在线聊天、浏览娱乐类网站、网络视频、网络游戏、在线炒股、博客、微博等无 时无刻不在占用正常的工作时间。另外,互联网充斥着各种良莠不齐的信息,企 事业单位员工在获取有用信息的同时,也容易被不良内容侵蚀。员工从内网访问 互联网不良资源,或通过内网向互联网发布一些过激言论、反动信息等,不仅会 为企事业单位形象带来负面影响,甚至如果触犯了国家的法律招致有关部门的调 查,还会牵连公司面临法律风险。其次,各企事业单位为了业务发展进行了大量的 IT 设备与带宽资源投资, 意图提升关键业务的使用质量,提升
5、整体办公效率。但是宝贵的带宽资源却被各 类 P2P 应用、在线视频、娱乐网站访问等挤占,这造成了带宽资源被大量浪费。针对以上需求,需要有效的方法实现对各种网络服务的访问控制,同时需要 有效的方法实现对不同应用占用的带宽进行分类管理,对于P2P下载等无关应用 进行带宽限制,对关键应用用进行带宽保障,从而提升带宽资源使用率。二、单项介绍1、网络准入技术介绍网络准入控制 (NAC) 是一项可以只允许合法的、值得信任的终端设备(例 如PC、服务器、PDA )接入网络,而不允许其它设备接入网络的一种新兴网络技 术。准入控制能够在用户访问网络之前确保用户的身份是信任关系。当终端接入网络时,首先由终端设备和
6、网络接入设备(如:交换机、无线 AP、 VPN 等)进行交互通讯。然后,网络接入设备将终端信息发给网络准入设备 对接入终端和终端使用者进行检查。当终端及使用者符合网络准入设备上定义的 策略后,网络准入设备会通知网络接入设备,对终端进行授权和访问控制。网络准入控制产品及技术主要实现以下目标:用户身份认证和上网权限管理自动发现网络上的所有接入设备,并记录 IP/Mac 地址,可由管理员描述该 ip/mac 的使用人,可将 IP/Mac 绑定作为用户认证接入网络进行准入控制,防止 外来电脑接入内部网络中。当用户 ip/mac 发生变动时,管理员能方便的对发生 改变的用户 ip/mac 进行修改。能导
7、入、导出 ip/mac 列表。能对终端用户的上网权限进行管理,对于内网用户,除可访问本单位业务系 统外禁止访问互联网。防止文件非法外传控制能实现对终端设备的 usb 口的禁止、启用控制。能实现对 U 盘(包括 USB 硬盘)的读写控制。管理员可以设臵允许读的 U 判标识、允许写的 U 盘标识、对 读写是否要审计。当 U 盘接入到终端设备时,会判断该 U 盘是可以被读、被写还 是不可以接入到终端设备,同时控制用户对 U 盘的操作。资产信息自动采集可以采集到终端详细的软硬件配臵信息,所有这些信息都被保存在数据库 中,管理员可以在线浏览或者输出各种资产报表。可以对终端设备的硬件配臵变 化进行监控。当
8、终端用户新增一个硬件或有硬件配臵发生变动时系统会记录详细 配臵变更信息,包括什么时间、哪个终端设备、哪个用户、变更的配臵项、变化 前的配臵、变化后的配臵,产生配臵变更告警事件,及时通知管理员。标准功能:身份认证 除基于用户名和密码的身份认证外,同时,支持多元素绑定,如帐号、 MAC 地址、 IP 地址等。 未通过身份认证的网络终端禁止接入网络。安全状态评估 根据管理员配臵的安全策略,用户可以进行的安全认证检查包括终端病毒库 版本检查、终端补丁检查等。准入控制按照用户角色权限规范用户的网络使用行为。终端用户的所属用户组、访问 策略等安全措施均可由管理员统一配臵实施。用户可以根据自己的实际需要,为
9、 内部员工、外来访客等不同人群,定义不同的安全策略执行方式。桌面资产管理对终端资产全方位的监控和管理,可以对终端软硬件使用情况、变更情况进 行监控,帮助客户更有效地管理企业的桌面资产。U 盘审计及外设管理可以对U盘和外设的访问过程进行监控,可以查看重要文件通过U盘拷贝时, 有无存在不当使用行为。可以对终端用户的各种外设进行控制,而且在离线状态 下依然生效。2、上网行为管理技术介绍上网行为管理产品及技术可实现对互联网访问行为的全面管理。在网页过 滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、 上网安全等多个方面为提供解决方案。随着计算机、宽带技术的迅速发展,网络办公日益
10、流行,互联网已经成为人 们工作、生活、学习过程中不可或缺、便捷高效的工具。但是,在享受着电脑办 公和互联网带来的便捷同时,员工非工作上网现象越来越突出,企事业单位普遍 存在着电脑和互联网络滥用的严重问题。与工作无关的行为占用了有限的带宽, 影响了正常的工作效率。上网行为管理产品及技术是专用于防止非法信息恶意传播,避免国家机密、 商业信息、科研成果泄漏的产品;并可实时监控、管理网络资源使用情况,提高 整体工作效率。上网行为管理产品系列适用于需实施内容审计与行为监控、行为 管理的网络环境,尤其是按等级进行计算机信息系统安全保护的相关单位或部门上网行为管理产品及技术主要实现以下目标:防止带宽资源滥用
11、通过基于应用类型、网站类别、用户/用户组等带宽分配策略,限制P2P、在 线视频、大文件下载等应用所占用的带宽,提升上网速度和网络办公应用的使用 效率。防止无关网络行为影响工作效率可基于用户/用户组、应用、时间等条件的上网授权策略,可管控所有与工 作无关的网络行为,并可根据各组织不同要求进行授权的灵活调整。防止病毒木马等网络风险利用内臵的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵 不良网站等,从源头上切断病毒、木马的潜入,再结合DOS防御等多种安全手段,确保安全上网。标准功能上网人员管理 利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点 登录方式准确识别确保
12、上网人员合法性上网浏览管理 利用搜索框关键字的识别、记录、阻断技术,确保上网搜索内容的合法性, 避免不当关键词的搜索带来的负面影响。利用网页分类库技术,对海量网址进行提前分类识别、记录、阻断确保上网 访问的网址的合法性。利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载 文件的合法性利用对MSN、飞信、QQ、skype、雅虎通等主流IM软件的外发内容关键字识 别、记录、阻断确保外发言论的合法性上网应用管理 利用不依赖端口的应用协议库进行应用的识别和阻断上网流量管理 可针对用户或用户组或某个应用设臵通道上限值和下限值,合理分配物理带 宽、避免单个用户的流量过大抢占其他用户带宽上
13、网行为分析对网络当前速率、带宽分配、应用分布、等进行统一展现三、网络准入与上网行为管理的区别下面我们就详细说一下这两类产品的区别:第一:产品起点不一样。行为管理的产品是 6-7 年前提出来的,比如记录员工的上网日志,禁止员工 上某些类型的网站,或者根据权限来禁止某些员工使用股票和游戏等软件。主要 目的是规范单位员工的上网行为,提高单位的工作效率,是为了按照权限来控制 员工上网而设计。网络准入控制产品采用准入控制技术通过主动监控桌面电脑的安全状态和 管理状态,将不安全的电脑隔离、进行修复。准入控制技术能够有效促进内网合 规建设,减少网络事故。第二:管理目标不一致。上网行为管理的产品的主要目标是为
14、了规范员工的上网行为,通过禁止员 工的一些上网行为,提供员工的工作效率,降低单位的法律风险。网络准入控制产品的主要目标是内部发起的恶意攻击和内部保密数据盗用 或失窃。通过网络准入控制产品和技术完善终端安全管理,真正从源头上控制各 种事件的源头、遏制由内网发起的攻击和破坏。第三:管理对象不一样。 上网行为管理产品是管理人,限制大家上网的;网络准入控制产品是管网络 的,是让大家安全上网的。第四:管理手段不一样。上网行为管理产品通过策略,来设定各种复杂的权限,来决定谁能干什么, 谁不能干什么。比如谁可以(或者谁不可以)看视频,谁可以(或者谁不可以) 炒股票等。网络准入控制产品产品通过策略,来设定各种应用或者人,决定那个 应用或者那个人的可以接入网络(保障),或者那个应用或者个人不能接入网络 (限制)。第五:适合的客户群不一样。 上网行为管理产品,适合企事业单位管理文化比较严格的网络环境,企业的 目标通过上网行为管理产品来禁止员工的某些上网行为,提供员工的工作效率。 网络准入控制产品适合有重要数据或者涉密数据的企事业单位,企业的目标通过 网络准入控制产品加强人机边界安全,禁止非法接入,增强影响信息系统的安全 性,减少业务数据被窃取、篡改,引发信息安全事件的可能性。准确掌握终端计 算机的IP等网络信息,利于网络日常维护工作。
