《公司员工上网行为解决方案》由会员分享,可在线阅读,更多相关《公司员工上网行为解决方案(13页珍藏版)》请在金锄头文库上搜索。
1、上网行为管理及网络安全解决方案*公司FO *公司 一、需求概述1. 背景需求分析 随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在DC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Wb网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已.据IDC的数据统计,企业中员工30%至4%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。尤其值得注意的是,中国员工比其它地区的员工每周多花7。小时的时间来使用、玩
2、游戏、P2P软件或流动媒体。互联网滥用,给中国企业带来了巨大的损失。这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络泄密和违法行为。企业网作为一个开放的网络系统,运行状况愈来愈复杂.企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括:管理员如何对企业网络效能行为进行统计、分析和评估?IT管理员如何限制一些非工作上网行为和非正常上网行为(如色情网站),如何监控、控制和引导员工正确使用网络?IT管理员如何杜绝员工
3、通过电子邮件、MSN等途径泄漏企业内部机密资料?I管理员如何在万一发生问题时有一个证据或依据?因此,如何有效地解决这些问题,以便提高员工的工作效率,降低企业的安全风险,减少企业的损失,已经成为中国企业迫在眉睫的紧要任务.当前内网安全管理也随之提升到一个新的高度,在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时,从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。越来越多的企事业单位需要对内网进行统一管理以调整网络资源的合理利用。1.2 具体需求分析某某有限公司访问控制详细需求分析:随着业务的发展,信息化建设步伐的加快,某公司网络安全问题也日益严峻。虽然在网络出口处已部署了专门
4、的防火墙设备,但无孔不入的病毒(尤其是木马病毒)、垃圾邮件仍然大肆泛滥,严重影响了企业应用系统的运行和公司业务的正常运作;另外,在针对内网的安全方面(尤其是C客户端准入安全检查),由于缺少专门的客户端安全检查设备,无法有效的保护整个局域网的安全性。最为重要的是企业对员工的网络使用方面没有很好的限制方法,导致员工的工作效率低下,而且T下载严重影响了企业内部关键应用的使用。 通过对某公司需求的了解,在内网行为方面在以下几个方面需要解决。所面临的问题:。2.1 无法做到细致的访问控制首先公司内部办公网络有着自己的网络服资源,将来又可能上其他系统如:OA系统、EP系统、WB服务器、邮件服务器等。并且公
5、司的部门、人员组成十分复杂,无法对这些用户进行细致的分组规定他们访问的资源的权限。还有Q、MSN、等网络资源同样无法进行有效的控制,导致用户可以任意的使用网络资源使员工效率降低,并且加大了企业的风险.1。22 无法对内网用户的网络行为进行有效的监控提到网络安全问题,大多数用户都只关注外网安全。但是其实企业的信息资产更多的不是被黑客窃取,而是通过内部泄漏的。所以虽然公司内部已经部署了防火墙等安全设备,但是无法对内网用户的网络行为进行有效的监控,包括邮件、B上传、下载等。1。2。 没有很好的统计方法,无法得知内网的使用状况管理员无法具体知道网络的使用情况只能听员工反映的情况,最多只能简单的记录一些
6、访问情况,查寻与统计相当不方便。1 无法保证客户端的安全性由于员工的机器没有限制,所以无法保证在上网时的安全性,导致很容易从访问网站中感染病毒,木马,等不安全因素,从而影响整个内网用户的应用.13 网络现状分析某某有限公司目前在Iternt出口处部署了防火墙设备,内部网络通过核心三层交换机,层交换连接到各部门办公区域,由于为将来可能会上系统、ERP系统、WEB服务器、邮件服务器等,具体的部署结构图如下:目前网络的使用情况:某某有限公司内部办公网络办公用户大约在100人左右.在P2P流量控制方面没有下载带宽限制,内网有很多病毒,经常出现攻击事件,内网用户上网权限没有有效限制等。鉴于以上情况,某某
7、有限公司需部署一台上网行为管理设备实现以下需求:1、对内部用户不同的部门划分不同的组并给予不同的上网权限,如经理以上级别的领导,要求内网行为不受限制;财务部门仅开放国税、地税等税务相关网站,其它任何访问Inrnt的活动均受限制。2、开设公共区域,使没有上网权限的用户,可以通过自己的用户名、密码在这些PC上进行有限的互联网活动,同时记录每个公共区域用户在互联网上的行为。3、对终端用户PC机上的代理软件进行彻底封堵。4、对内网用户所有的上网行为,包括MSN、Q等聊天内容以及上传下载进行监控审计,通过集中报表的方式反应网络的使用情况。二、解决方案 1 A上网行为管理设备功能介绍 控制功能:细致的访问
8、控制功能,有效管理用户上网NOR C安全网关不仅可以对员工访问WE、等常用服务的内容进行控制,更可以对QQ、BT、MS、KPE等各种P2P软件的行为进行限制和控制。丰富的报表功能还可以分析出企业的Ineret的详细使用情况,为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。基于W的和LDAadius集成的用户认证功能,使得对上网用户的管理变得十分灵活方便。表.1:访问控制功能一览表功能模块功能性能指标身份认证MAC绑定结合准入规则功能,可实现跨三层交换机的MAC绑定功能WEB认证B认证的用户名和密码可以使用本地用户密码也可以和LD服务器、Mirosf的AD服务器、Radius服务器,
9、POP3服务器联动 单点登录支持基于MicosofD域的单点登陆,用户登陆域以后,不需要再次在WEB认证页面输入密码客户端安全检查网络准入规则对上网的终端进行安全检查,可检查是否安装了防病毒软件、个人防火墙软件或病毒库是否升级、操作系统是否安装安全补丁以及是否运行了某个不该运行的软件上网权限控制策略管理分组、分时段,有选择性的封堵各种上网行为代理检测能识别采用Ht、Htps、Socks等代理服务器绕过防火墙检查的行为,防止访问非法网站P2P控制允许管理员有选择性的封堵各种P2P和IM软件上网时长限制在用户达到管理员设定的最长上网时间后拒绝该用户对互联网的继续访问UL控制数十种多达300万条UR
10、库,控制对危险、反动、色情等各类站点的访问内容过滤关键字过滤基于网址/搜索引擎以及T上传的关键字过滤功能.如通过E发邮件、通过BS发表言论文件类型过滤对HTTP FTP上传下载的文件做文件类型过滤邮件过滤可对发送的邮件做关键字、邮箱地址的过滤。保证内部机密信息不外泄漏SSL证书过滤及控制通过对网站的数字证书和数字签名进行审核和对照,利用S证书库内置的可信任证书颁布机构列表,对SL连接的证书内容进行可信度评估,当危险站点采用了伪造的数字证书来骗取内网用户信任时,C可以判断出其本来面目并进行阻断,避免组织成员蒙受经济损失。 (二)报表功能:强大的数据报表中心,提供直观的上网数据统计SORC网关拥有
11、强大的数据中心,管理者可分组、用户、规则、协议等多种查询对象,按饼图、柱状图、曲线图等方式进行查询,可直观地查看到网络流量、邮件、网络监控、IPS系统、准入规则、防火墙等详细信息,并可直接打印和导出报表。SFO AC网关强大的日志系统和丰富的报表功能,可详细分析出企业的Internet的详细使用情况,为网络管理员和决策者提供了最有效的数据支持。表2。2:数据中心功能一览表功能详细指标流量统计日志包含内网流量统计概要、组流量排行、流量日志、流量趋势等,用饼状、柱型等直观地表示网络内部的流量排名邮件日志包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能,可详细统计用户所有收发邮件的具体情况网络监
12、控日志包括监控统计摘要、监控排行、监控查询、监控趋势等功能。管理员可详细监控内网用户使用互联网资源的具体使用情况准入规则日志包括准入规则摘要、准入排行、准入查询等功能,管理员可对内部网络的违规机器进行详细统计和查看IS日志包含I日志摘要、IPS排行、I查询、PS趋势等功能,可显示详细的网络安全情况防火墙日志包含防火墙摘要、防火墙排行、防火墙查询、防火墙趋势等功能,管理员可以对防火墙的日志进行更为详细地分析日志库管理主要包含日志库信息、日志库查询、日志库切换等功能用户管理管理员可在此新增用户、查询用户 (三)带宽及流量管理功能:强大的QOS功能及流量分析INFO AC安全网关强大的访问控制和QO
13、功能可以使得企业合理利用Itenet资源,为不同的用户分配不同的带宽和上网权限,使得Intrnt资源得到有效利用,并大大提高员工的工作效率.SFO AC安全网关可以详细记录和分析所有流量的内容,包括tt、tene等常用软件的内容和常用IM软件的内容.另外还能按用户、用户组、协议和时间对Internet流量进行统计分析,以优化员工对Itenet的资源使用情况。使得企业有限的带宽能得到最充分的利用,提高企业的网络利用率。表2。3:QOS及流量控制功能一览表功能详细指标QS保证使用差分业务模型实现QOS使用随机早期检测RED丢弃算法提供流量控制流量控制能针对内网每个用户或者不同的组,限定其上网能占用
14、的带宽资源,使企业内网带宽资源得到充分有效的利用针对PP应用采用上行流量和下行流量得限制,保证整个网络得带宽 (四)增值的安全防护功能:多重的安全防护,给网内设备予更有力的保护。强大AC的病毒防护模块在通过网页过滤、应用控制、流量合理划分和监控审计后,需要的就是一个和谐的内网环境。内网用户中毒,感染局域网,导致业务中断,这在很多组织机构中曾经出现过。C为此为组织网络从外至内提供三道牢固的内网安全防线。从进口杜绝来自外网的隐患,并节省下巨额的购买防毒设备的费用。 2。2 设备选型及介绍根据对某某有限公司的网络结构了解,推荐使用深信服科技C1100上网行为管理设备,它隶属于深信服上网行为管理C1产
15、品系列.AC10系列设备是中端内网行为管理产品中的典范,是安全防范意识强、需要管理和控制互联网访问的用户的第一选择.目前已经成功运行在政府、教育科研、电信、金融证券、电网电力、石油石化、制造等行业。终上所述,1100上网行为管理设备在这个项目上是十分合适的,以下是此设备的基本性能参数:SINFOR 5100A性能参数表:重要性能指标:l 吞吐速度:100M bpsl 包转发速率:96,000l 可管理用户数:00l 并发会话数目:0,00l 最大规则数目:24l 最大时间规则数目:12l 最大QOS规则数目:28网络接口:l 标准接口:10ASET (RJ4) 4(AN2 LAN1 DMZ )l 扩展接口:无l 串口:R23 * 1硬件规格:l 电源功率1W
