《上网行为管理解决方案》由会员分享,可在线阅读,更多相关《上网行为管理解决方案(27页珍藏版)》请在金锄头文库上搜索。
1、上网行为管理解决方案201年11月1。项目背景随着信息时代的到来,国际互联网的普遍应用已日益渗透到我国社会政治、经济、文化生活的各个角落.互联网是一个连接全世界的、开放的、自由的信息网络,涉及到社会各个领域,它带来的是其开放性、兼容性、高效性与跨国性的信息传播,人们因此而受益颇多。在信息化推进的同时,不可避免的伴随着计算机犯罪的增加、网上黑客的猖獗、色情信息的泛滥、信息间谋的潜入。XX集团,重视IT基础架构的建设,从而助推业务系统综合实力的提升。但是有必要在现有IT基础架构的基础上建设上网行为管理系统,通过下属的行政效能监察室来记录或者管理市直属单位以及各二级单位的上网行为。其必要性在于:第一
2、:从遵守国家政策角度,每个联网单位有义务建设行为、内容管理系统。第二:作为能源类单位,必须遵守萨班斯法案或者类似法案,该法案要求企业的内控活动,不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录,对审计过程也有存档的要求。同时公安部互联网安全保护技术措施规定(公安部令第82号)第十三条,互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存六十天记录备份的功能。第三:通过互联网传递信息已经成为企业的关键应用,然而信息的机密性、健康性、政治性等问题也随之而来。需通过上网行为管理设备制定精细化的信息收发监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律
3、风险,并且保护企业的信息资产,尤其是勘探信息、经营信息等。第四:可以通过管理上网用户的行为,提高企业的运作效率,避免与工作无关的信息的干扰。第五:通过优化互联网的运行和监控,最大限度的保障已投资的信息资产(如带宽等)。2网络现状X集团内部网络基础建设已基本完成,但缺少相应的监控手段,管理者无法看到职工具体在利用网络做些什么事情。虽然防火墙已经部署,但作为一个客体安全产品,它可以很有效的防御一些外来的攻击,但对单位职工上网行为处于一种透明状态,防火墙无法做到主体安全的管理,网络中充斥大量的P2P、网络视频等消耗带宽很大的应用,导致网络拥塞,正常业务无法得到保障.内部职工甚至从事一些泄露公司机密的
4、行为,单位也束手无策。单位管理者需对职工的对外发送信息,如:BBS发帖;外发邮件的内容;网站信息的浏览等等,做到实时监管,一旦发现职工有损害国家利益的行为或从事非法活动,立刻得以定位,并对其进行处理。目前存在的主要问题1) 上网行为无法对应到具体的用户当前的网络一般采用自动获取或固定IP的方式上网,在传统的网络设备中也只能做到查询IP的流量,无法对应到具体的用户,外来人员上网、盗用IP等情况时有发生,管理员无法在技术手段上进行有效的管理。2) 无法对泄密行为进行有效的管理和监控 随着网络的发展,电子邮件、论坛发帖、聊天软件等外发行为可能导致公司机密内容有意或无意的外泄,传统的网络设备无法识别外
5、发行为的内容,更无法做到外发行为的管控,造成了很大的泄密风险。3) 无法全天候的保障单位核心互联网业务的带宽随着单位访问互联网的内容越来越丰富,用户需求也越来越大,很可能会导致互联网出口出现拥塞,一些日常核心的业务就不能够顺畅的进行。面对目前的情况,现有设备不能做到有效的流量管理功能。在网络拥塞时核心业务也需要等待,这种现象相当影响职工的工作效率。3) 无法对可能的隐患服务进行有效的快速定位目前互联网中存在较多的蠕虫病毒,这些病毒可能会在职工不知情的情况下产生大量的无意义的流量,严重的会占用单位的出口带宽,但是目前防火墙等设备并不具备识别网络协议的能力,因此不能指导性的给出哪些流量是无效流量,
6、给网络拥塞的快速定位造成了较大的困难。4) 无法很好的满足国家在互联网安全方面的政策方针公安部预205年颁布了互联网安全保护技术措施规定既82号令,要求“互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施”。胡总书记在20年的重要讲话中强调“要大力发展和传播健康向上的网络文化,切实把互联网建设好、利用好、管理好”。因此公安部更要求各个单位严格落实8号令。3.解决方案根据XX集团的实际网络情况,我们建议部署上网行为管理设备。它面向主体的互联网管理与控制。可采用如下图方式接入网络,,需要串接入现有网络(部署时会引起短暂断网情况),但不改变原有网络结构,为透明桥方式接入。部署示意图如下:网
7、康NIG产品提供灵活的带宽控制功能、可以基于用户、用户组、特定的应用协议及总带宽进行灵活的设定,有效的进行上网行为日志纪录。通过网康公司基于本土研发的应用特征库,可以直接对所有常见的网络应用程序及子应用进行有效的监控审计及阻断.例如,通过配置P的应用阻断策略,凭借网康科技的精准的P2P子协议识别技术,准确的实施应用控制策略.通过网康N-ICG产品对常用综合下载软件迅雷做细致的流量控制,包括下载h、ftp等方式的资源。即时通讯P2P下载流媒体网络游戏网络电视炒股软件QBiToetTSP联众游戏PPLiv大智慧SNeule系列MMS浩方游戏平台Q直播指南针Yaoo通P点点通QuckTe梦幻西游PS
8、tream同花顺AIM(CQ)KaZai跑跑卡丁车沸点证券之星网易泡泡KugoSMTP泡泡堂Ue钱龙新浪CnutaPO3街头篮球磊客盘口王搜迅雷MAP4QQ音速ysee大策略IRCagaa远程登录新浪游戏大厅青娱乐ebal代理Tene中国游戏中心BBseeSOCKSRP远程桌面劲舞团S热血江湖根据网康公司多年积累的ur库(200多万条)及51个预分类,可以方便的对如色情、暴力等不良网站进行全面的监控审计和有效控管。BBS站点Web通信在线聊天网络游戏网上交易色情计算机与互联网成人赌博博彩毒品文学违反道德违反法律犯罪技能病毒房地产娱乐医疗健康广告财经商业机动车参考社会生活新闻媒体远程代理旅游体育
9、儿童宗教与信仰求职招聘艺术法律政治军事门户网站与搜索引擎教育科学非盈利组织博客4网络控制策略4.1用户管理在使用上网行为管理系统之前,我们为XX集团及做一个详细的用户管理规划,以方便我们快捷的对网络行为进行准确定位.用户是互联网访问的标识主体(即谁在访问),是网康上网行为管理的目标对象.除身份认证信息外,一个完整的用户定义还包含其组织信息和访问策略。每一个互联网访问都对应唯一的用户(或用户组),这是网康上网行为管理系统实现基于用户和用户组的访问控制的基础.而建立完整和准确的用户信息更是保证上网行为管理系统进行有效互联网访问审计(监控,查询,报表等)的关键.通过网康上网行为管理系统提供的Web管
10、理界面,可以输入、维护用户和组的信息,从而建立起和本单位实际组织结构相一致的组织信息。用户和组的维护功能包括新建、删除、更新、改变所属关系等。4.2用户认证管理用户是上网行为管理产品最为核心的要素,任何一条策略都是针对一个用户或者部门设置的,因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。网康I提供了丰富的用户认证方式以及符合企业实际的用户管理能力,很好地满足企业对于用户的管理要求。策略制订4。2.防泄密策略设置互联网存在多种泄密途径,通常的途径包括:1、 论坛。论坛提供开放的言论空间,是发布网络言论的重要途径。一旦涉密信息出现在网络论坛中,会通过网络迅速传播.2、 IM软件。IM
11、软件已经成为沟通的重要手段,通过M传播消息、发送文件,也会使得信息传播实况。3、 邮件。通过邮件附件,可以迅速的将单位内部的资料发送给其他人。邮件的群发功能,更使得传播效应大大增强。4、 木马后门。木马程序会在计算机终端上开启后门,使得电脑上的全部资料完全暴露于入侵者勉强,毫无保密性可言。n 网采用关键字库过滤技术,对涉及涉密内容的信息进行过滤,禁止涉密信息发网络论坛;同时,提供智能告警功能,一旦出现状况,能够快速定位,迅速介入1.审计所有论坛发帖的内容2设置关键字,当匹配关键字时阻塞本次发帖,并记录3。当有匹配关键字的发帖出现时,系统向管理员发送告警邮件如图所示:所有内网用户论坛发帖的行为被
12、记录,一旦发生泄密事件能定位到人。带有机密信息的发帖内容不会流传到互联网上,杜绝论坛发帖的泄密方式n 对SM邮件标题、正文、附件内容进行进行管控1.严格人工控制:将所有邮件阻塞,保存原文及附件,必须通过人工审核才能发送 。宽松人工控制:将匹配关键条件的邮件阻塞,保存原文及附件,必须通过人工审核才能发送 非人工控制:将匹配关键条件的邮件阻塞,保存原文及附件,并且能够以邮件的方式向管理员报警,其他邮件直接放行4。非控制审计:将所有邮件放行,但记录匹配关键条件的邮件,保存原文及附件,并且能够以邮件的方式向管理员报警n 对wbail邮件外发行为进行管。对Webmil进行阻塞或直接放行 2详细记录邮件的
13、基本信息、正文内容,保留传输的附件原文 3能够以邮件方式主动向管理员报警 n 对IM类的软件(QQ,MN,SYPE,飞信等)进行外发文字,文件名称过滤1.记录Q的聊天人员及内容2。对存在泄密可能的员工,禁止其QQ使用 3。对涉密人员的Q在线或离线文件传输进行控制4.对涉密人员的Q网络硬盘进行控制5。对涉密人员的群共享进行控制 n 通过封堵木马类协议和强制主机安装查杀木马的杀毒软件,防止木马泄密在互联网出口和数据库机房的出口线路上同时封堵木马类的应用协议强制内网所有用户安装查杀木马的杀毒软件,否则不能上网,堵住木马泄密的源头4.2流量控制策略设置下面以对P2P协议做限速为例进行流量控制功能说明。
14、 1)通过选择策略管理对象设置带宽通道对象,点击添加:优先级:设定带宽的优先级别,从级别到级别7,共计8个级别。数字越小优先级越高。配合策略设定,会优先保障优先级较高的通道内的网络连接和通信。为关键应用保证带宽和网络服务质量。上传速率:设定上传速率。(当带宽紧张时所要保证的保证带宽)最大上传速率:设定最大上传速率.指超过上传速率后,借用带宽后所达到的最大上传速率(假设其他通道还有富余上传带宽的话)。下载速率:设定下载速率。(当带宽紧张时所要保证的下载带宽)最大下载速率:设定最大下载速率。指超过下载速率后,借用带宽后所达到的最大下载速率(假设其他通道还有富余下载带宽的话)。将此带宽通道应用到P协议上)选择策略设置流量控制,点击添加,选择2P,如下设置通道,选择P2P带宽通道点击确定,至此P2P下载限制设置好.最后点击立即生效使规则生效。.2.3应用限额策略网康ICG能够针对应用进行时长和流量的限额设置,规定每天所选的应用可以使用多长时间或者多少流量。如上图所示,设定宿舍计算机每天只能上网5小时,时间到后所有应用将被屏蔽。4.2.4应用封堵策略 网康ICG能够针对应用进行不同用户、不同时间的封堵,从而达到灵活管控的目的。如上图所示,针对宿舍进行工作时间所有应用进行封堵,使得宿舍在工作时间
