《上网行为管理》由会员分享,可在线阅读,更多相关《上网行为管理(22页珍藏版)》请在金锄头文库上搜索。
1、上网行为管理方案建议书目录第1章 需求概述 11.1 背景介绍 11.2 上网行为管理需求 11.2.1 用户和终端多样化,管理复杂 11.2.2 应用和内容不可视,存在风险 21.2.3 网络流量识不全,控不住 3第2章 可视可控、感知风险的上网管理方案 52.1 全面的上网可视可控 52.2 用户的可视与可控 52.2.1 安全便捷的身份识别 62.2.2 安全可视的用户管理 72.3 行为的可视与可控 82.3.1 全面精准的应用识别 82.3.2 应用标签化管控 82.3.3 灵活细致的权限控制 82.3.4 非法的内容识别与管控 92.3.5 全面完整的行为审计 102.4 流量的可
2、视与可控 162.4.1 网络流量可视化 162.4.2 合理有效的流量控制 17第3 章 方案优势 203.1 全面完整 203.2 细致精准 203.3 灵活有效 203.4 简单便捷 21第1章 需求概述1.1 背景介绍随着互联网技术的发展,组织的业务模式和员工的工作模式、行为习惯都在 不断发生改变: 网上业务:组织建设了更多的网上业务平台,通过互联网来开展业务;沟通桥梁:内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流,提升工作效率,获取资讯和知识,维系人脉关系; 移动互联网:移动互联网的消费化趋势也逐渐影响到组织内部的IT系统, 员工更喜欢通过WLAN、移动终端类开展工作
3、; 新的法规要求: 2017年 6月 1日,网络安全法正式推出,其中对组织明 确提出上网行为审计的要求,并且要求至少留存上网日志 6 个月。因此,在员工的日常工作中,#XX客户#需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造,提供一个更安全、更高效的上网环境。1.2 上网行为管理需求互联网已经成为重要的生产资料,越来越多组织的业务在向互联网迁移,然 而互联网却是一把“双刃剑”,管理得好可以让办公效率大增,促进业务的发展; 而缺乏管理的互联网将带来诸多问题,不仅降低工作效率,还给组织带来各种业 务风险。而且互联网也在不断发生变化,从最早使用PC、有线局域网,到更多使用 移动终
4、端、WLAN来进行办公,从早期的网页、PC应用,到移动APP的广泛发展, 愈加复杂的上网环境,“看不见管不住”,使得上网管理困难重重。由于互联网 应用的多样化,一些看似正常的上网行为,也可能隐藏着巨大的风险。1.2.1用户和终端多样化,管理复杂1.2.1.1 BYOD 上网难管理随着移动终端的普及,员工往往会采用PC、智能手机、Pad等多种终端,通 过有线和无线网络,在不同的位置(办公座位、会议室等),接入企业IT系统。这种使用场景的多样化,让传统上网管理的手段,难以应对内部资料的泄密、移 动终端设备的盗用、移动 APP 难以管控等管理问题。所以,IT部门需要基于用户角色、终端类别、使用位置、
5、应用类别、时间 等更多的元素,为员工不同的上网情景,制定更精细的网络管理策略,提升办公 效率的同时,降低安全风险。1.2.1.2 访客上网认证繁琐企业组建 WLan 后,当有来宾访客需要上网时,要么直接开放,安全风险高,人员随意接入,无法定位身份;要么需要提前申请临时账号,管理复杂。所以,组织需要一套使用便捷,即来即用,同时又能满足安全合规要求的来 宾访客认证系统。1.2.1.3 私接无线,引入安全隐患在一些没有提供Wlan的单位,员工为了便捷性,往往会通过360随身WiFi、 家用WiFi路由器等方式私自建立个人Wlan,让自己的移动终端可以随意使用单 位的上网资源。这给企业的安全策略管理带
6、来的很多的管理漏洞。所以,IT部门需要针对私接的非法无线热点、非法代理等威胁进行有效的 识别、管控。1.2.2应用和内容不可视,存在风险大量新应用和老应用的新版本,给应用识别与管控以及后续的运维带来巨大 的挑战,让网络难管控,难运维。另外,即使是同一个应用也可能具有两面性, 他们有“好”的功能,也可能有“坏”的功能,“好”功能具有实用性,而“坏” 功能具有风险性,因此,此类应用的管控成了一个两难的问题。1.2.2.1 工作效率低下网络的普及改变了传统的办公方式,而内网中总有部分用户在上班时间有意 无意的做与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购等, 而且越来越多的员工正在通过
7、企业无线网络来使用移动APP版的淘宝、陌陌。这 严重影响工作效率,从而导致企业竞争力的下降。所以,组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。1.2.2.2 网络违法风险企业内网用户在日常办公中拥有访问互联网的权限,可通过QQ、MSN、论坛 或微博等方式外发信息,如果包含了色情、赌博、反动等不良内容,都属于网络 违规违法行为,企业或个人将承担法律责任。所以,组织需要根据 82 令的相关要求,建立全面、完善的上网行为的合规 审查机制,并建立严格的审查权限管理机制。1.2.2.3 数据泄密风险伴随着网盘、社交媒体、流量加密等应用/技术的广泛使用,企业重要数据 泄密的方式越来
8、越多样,风险越来越高。在有意无意间,一个员工就可以轻易的 把企业内部的敏感信息、高价值信息资产,外发的互联网上,给组织的公众形象、 业务开展带来严重的风险。所以,组织需要对员工制定严格、细粒度的互联网数据传输控制策略、合规 审查策略,防止重要数据的泄密行为发生。1.2.3网络流量识不全,控不住由于P2P流量没有明显的协议特征,再加上其带宽侵蚀性的特性,造成P2P 流量的全流量识别困难。而且传统缓存丢包的方式,无法真正抑制P2P流量,因 此就不能很好的保障带宽。大量客户反馈已经有传统流控设备,业务却依然卡顿, 也是这个原因。1.2.3.1 带宽滥用和浪费互联网中充斥着 P2P 下载、在线视频、游
9、戏、在线小说等耗费带宽的非关键 业务应用,用户在使用这些应用的过程中必然会占用大量的带宽,而关键的业务 应用、关键人员角色则得不到足够的资源。而且近年来 P2P 协议应用更广泛,比 如常见的在线流媒体等,P2P流量往往识别不全,难以管控,给带宽管理带来很 大挑战。此外,传统的带宽管理策略都是静态的,当带宽空闲时,依然会限制用户的 流量,带宽价值被大大浪费。所以,IT部门需要能看清网络流量,针对各种应用类型、用户角色、带宽占用情况等,提供更加灵活、细致、动态的带宽管理策略,提升用户上网体验。第2章 可视可控、感知风险的上网管理方案结合上述的用户需求以及IT系统的现状,深信服可以为#XX客户#提供
10、一套 完整、可视的互联网出口安全解决方案,帮助用户实现上网的可视可控,感知上 网的行为风险。即能轻松满足安全合规管理的要求,又能提升IT运维效率和IT 价值,还提升了用户上网的操作体验。2.1 全面的上网可视可控针对网络管理问题的各类上网行为,从逻辑上可以分为用户、终端、应用、 内容、流量5 个要素,而从业务管理的角度可以合并为“用户”、“行为”、“流 量”三个元素,其中“用户”包含用户身份和用户终端,“行为”包含网络应用 和网络内容。深信服上网行为管理AC 直坚持上网的可视与可控,可以实现“用户”的 可视可控、“行为”的可视可控以及“流量”的可视与可控。深信服AC通过深 入识别技术,全面识别
11、网络中的用户、行为和流量,并通过分析和可视化的展现, 帮助管理者看清网络状况;并且,可以对“用户”、“行为”、“流量”进行精 准灵活的管控,让用户上网高效,管理更省心。移动直联网覘僂帕無細廿认证 基于场黑的认证方式 菲法Wi-Fi热点営控 *基于缭类型和位胃策曜-P2P智能识别*鎳容单移动应用与礙蔭管控移动应用识5!1-*七借统互联网(PG有线网第)-账号密码、IP/MAC绑定-与AD等认合防共享上网精准识别与控制基于特征P2P趁基于应用的流颐略全面嗣干万级山骅应用识别库力谑网页/曲附牛过滤审计-憎控用户行为2.2 用户的可视与可控深信服上网行为管理可以根据不同的场景提供不同的认证方式,以此识
12、别用 户身份;可以识别用户的上网终端类型,并对移动终端进行管控,防止非法用户 通过私接 Wi-Fi 接入网络。2.2.1安全便捷的身份识别为了针对不用角色身份的用户,避免身份冒充、权限滥用等出现,提供即安 全又便捷的认证方式,深信服上网行为管理可以提供如下多种身份认证。2.2.1.1 内部员工身份认证深信服AC支持本地认证功能,包括Web认证、用户名/密码认证、 IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能,能够准确识别上网用户, 从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权 限。AC支持与LDAP、Radius、POP3等外部认证服务器或者SA
13、M、CAMS等认证计 费系统结合进行身份认证。当用户在认证服务器上进行认证后,AC能够获取用 户认证信息,用户不用在AC 上进行第二次身份认证,形成单点登录,避免重复 认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网用户,从而对该 用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。2.2.1.2 外来访客身份认证为了省去复杂的临时账号申请机制,让外来访客便捷的接入网络,但又满足 合规要求。深信服上网行为管理AC提供了短信认证、微信认证、二维码认证等 多种方式,当来宾接入网络后,系统会自动推送出专门针对来宾访客认证界面。短信认证,来宾只需要输入手机号码,获得并输入短信验证
14、码后,就可以获 得上网权限。而且为了简化用户操作,与传统的短信验证相比,用户只需要点击 3 次既可完成,十分便捷,不需要在浏览器和短信界面来回切换。微信认证,访客认证页面会自动提醒来宾需要关注组织的“官方微信公众账 号”,并发送上网请求,才能获得上网权限。这可以帮助组织推广社交媒体的粉 丝数量,更好的帮助组织推广品牌宣传。二维码认证,访客认证页面会自动弹出一个二维码,只有内部接待人员用自 己的移动终端扫描二维码,确认同意后,访客才能获得上网权限。而且,为了满 足合规要求,接待人员,可以在页面上备注来宾身份信息,便于后续查找。2.2.1.3 网络虚拟账号识别深信服AC支持识别各种网络应用的虚拟账号,包括微信、QQ、百度贴吧、 人人网、网易邮箱、熊猫TV、美团、京东、链家网等100多种常见应用的账号 情况,据此可以确认用户的网络身份,也方便后续进行针对性的管控。2.2.2安全可视的用户管理2.2.2.1 用户状况可视深信服AC支持用户状况的可视化呈现,能够实时展示上网总人数,以及上 网用户的终端类型分布(PC或移动端)、认证方式,并在首页动态展示各种类 型终端的上网人数。10.0S6 优(S* 39 1.973inty-.* iKrflE王 简星HWA円占日甲曲汁:鼻讯勺舟竹M2 SB发现新務动牖的行;!:凰SH:移城财口荀詰邀.您动终诰列丈七辽
