很多企业目前的网络结构只能防御来自外网的安全风险和威胁,对于来自内网的肆意的互联网访问行为、带宽滥用、潜在的泄密、法律违规等也无法进行有效地管控,同时内网员工的各种互联网访问行为也无法有效的监控和审计。
企业机构中存在的安全隐患
很多用户认为,在网络中不断部署传统防火墙、IPS、IDS等设备,可以提高网络的安全性,但是为何频频发生内部重要信息被盗取?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限,目前的大多防火墙都是工作在网络层,通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。而通过交流发现,该校的网络设备中原有的设备对现有的网络环境中存在的一些安全隐患及复杂的网络环境无法做到全面的防护及应用,主要存在的风险有以下几个方面:
1)机密信息外泄,组织蒙受损失
组织内部重要资料和秘密资料通过无线网络的Web、Email、QQ 和MSN 等途径向外散发,或被别有用心的人截获而加以利用,或是进行不当互联网访问而引起组织内部计算机感染木马病毒,加大了组织重要及秘密信息的曝光率,给组织信息安全带来隐患:
➢ 对于政府、事业单位以及其他公共服务单位,如果无线网管理的不够完善,将会带来极大信息安全隐患,例如经济等类型的重要的信息被通过非法渠道泄漏,此举必然会有损组织的权威及名誉,并导致组织的公信力下降;
➢ 对于公司企业,互联网管理的缺失会有可能导致企业重要及机密信息外泄,一旦发生企业机密信息外泄的情况,企业因此而投入了的大量人力物力将会付诸东流,此类案例在互联网广泛使用的今天是屡见不鲜的;
2)滥用带宽资源,影响正常业务
当前的互联网存在种类众多的应用,基于前面的分析我们会发现,组织成员在使用互联网时更多的是进行娱乐活动,如网络电视、P2P下载等;诸如此类的使用会严重消耗组织的网络带宽,正常业务通讯得不到保障,只能通过增加办公成本来增加带宽,但是网速和带宽没有得到根本的改善。
3)病毒木马肆行,安全问题凸显
高风险网站导致病毒、木马、流氓软件在内网散播,造成无法正常的使用网络。研究发现:45%Kazaa含恶意代码,众多的互联网访问都存在被恶意软件入侵的可能,BT、MSN等已成为病毒、蠕虫、间谍软件的重要传播渠道。病毒、木马及流氓软件轻者会给使用目标计算机及网络时带来一些麻烦;严重者会在组织网络中传播木马病毒,导致组织信息外泄;更严重者不仅会导致信息外泄,更能导致组织网络瘫痪,无法正常使用互联网。
4)存在不当应用,潜藏法律风险
调查发现,在日常互联网的使用中,存在以下较为普遍的现象:
➢ 黄赌毒是非法互联网使用的主要方面:P2P搜索、非法网站访问、非法传播不健康的信息等,最为典型的当属前一段时间的“艳照门”事件,非法的信息传播极大的恶化了互联网环境;
➢ 不当言论的发表,会给组织带来不必要的法律风险。很多互联网使用者在自觉与不自觉中会在互联网上发表诸如反动言论、色情、反政府、邪教等,给所在的互联网部门带来潜在的法律风险;
➢ 员工黑客的存在,也会给组织带来新的法律风险。
➢ 我国公安部门严格查禁利用互联网发表反动言论、色情、反政府、邪教等非法活动,详情请参考我国公安部门的相关发文。以上所述的非法互联网活动如果不加管理,将会给所在的组织带来极大的潜在法律及道德风险
企业机构上网行为管理解决方案
1. 方案介绍
上网行为管理针对用户访问的URL进行过滤,每次的访问请求都会和URL访问控制列表中的内容进行匹配,只可以访问非禁止的内容,从而禁止对一些非法的网站进行浏览和访问,并且对各个区域的用户进行不同的限速策略。对各个上网用户进行带宽管理、保证正常业务带宽,对P2P流媒体进行带宽的限制。对员 工上网浏览网页、邮件、IM、外发等进行审计,防止机密数据的外泄。
2.方案优点
1)强大的监控和审计,保护内部数据安全、防止机密信息泄露
➢ 记录所有访问过的网址、HTTP/FTP上传下载、通过BBS、BLOG发表的网址与帐号;
➢ 各种搜索记录,QQ、MSN登录时间等,所有上网记录,均可完整再现;
➢ 独特的VIP优先功能,彻底免除对组织高层领导的网络流量的限制;
2)流量限制,优化带宽资源的使用
➢ 应用分流,提升带宽利用率,流量负载分担,智能选择最优上网线路。
➢ 告别普遍困扰各级酒店的难题:少数用户 P2P 滥用导致其他用户针对网速缓慢的频繁投诉、游戏用户对于网游速度得不到保证的频繁投诉;
➢ 对P2P等非业务应用和非业务部门进行带宽限制,基于用户(组)、应用类别、时间段等进行带宽分配,细化到应用级别和针对每用户的带宽划分;
➢ 智能应用优先级技术,重要数据优先传送,提升带宽使用效率。
3)海量日志存储、丰富的报表功能,为组织决策提供最有效的数据支持
➢ 网络行为日志支持海量存储,满足公安部82号令存储90天要求,且日志的查询、统计、审计等不影响网关性能;
➢ 全面记录所有上网行为日志,图形化的日志查询、审计、统计功能;
➢ 提供搜索界面,实现海量日志的内容检索和搜索。
4)更多安全功能,全面提升内网安全级别
防范来自公网和源自内网的DOS攻击,提升网络可用性;防ARP攻击、欺骗,对异常ARP进行监控,统计。
5)提升客户满意度,带来更多经济效益
避免传统模式,需工作人员上门开通带宽,做一些网络设置,既耗时有费力,有时还不能让客户满意。瑞星RAC网络认证服务器设备减少不必要的人力投入和带宽成本。同时大大提高了工作效率,给客户全新的体验。
3. 方案实际效果
1)WEB 访问控制
Web访问是互联网重要应用之一,因此RAC产品采用基于网站分类的URL库进行web访问识别,RAC使用的分类库是根据中国实际情况进行的合理分类,符合我国用户的网络使用环境的需求。同时也对URL分类进行控制:URL关键字控制、网页内容过滤等。具体截图如下:
用户可根据web访问的要求分类进行控制,从而满足健康上网的需求。除此之外,用户还可实时查看用户网页访问、在线游戏、在线视频等信息,具体截图如下:
(1)记录网站访问的时间、IP地址、URL地址、访问次数等信息;
(2)记录在线游戏访问的时间、IP地址、游戏类型等信息;
(3)记录在线视频的时间、IP地址、URL地址等信息;
2)电子邮件审计控制
通过设置策略,RAC设备记录了用户 网络中邮件发件人、收件人、标题、正文、附件、大小等详细信息,同时也针对发件人、收件人、标题内容、正文内容、附件名称进行审计和控制。
3)即时聊天监控
对于目前主流的聊天工具(包括MSN、QQ、YAHOO、ICQ、飞信等)进行了审计。利用RAC产品记录用户聊天帐号、上下线时间、聊天持续时间、聊天等内容,此外对于聊天记录(如MSN/ICQ/飞信等)的有关文件上传、下载的动作进行了有效的控制。具体截图如下:
飞信
4)HTTP/IM 传输审计
对于上网行为中常用的FTP及HTTP的下载的审计功能,通过对于这种基本方式下载的审计,用户能够很好的掌握自己网络用户的下载行为,其中,下载行为的审计包括:记录FTP 登陆帐号、密码、服务器IP 地址,传输文件的时间、文件名称、传输方向、大小等;记录HTTP下载时可审计下载的文件名、时间、大小等信息。具体截图如下:
HTTP传输
IM传输
5)P2P 协议监控
对于P2P这种下载严重吞噬着企业的网络带宽的下载行为的全面审计。 过程中,瑞星RAC网络认证服务器能够识别和控制多种P2P软件的应用,如迅雷、BitTorrent、eMule等,真正优化了用户网络环境,保证了正常的业务带宽。 具体截图如下:
6)非业务应用审计
针对用户网络中的非业务应用进行审计 ,所谓非业务应用包含了很多种,如:网络游戏、炒股软件、网络电话、网络电视等等,对于这些网络行为, 瑞星RAC网络认证服务器可以进行记录和阻断。 其中包括:
(1)记录网络游戏的在线开始时间、结束时间、游戏时间段;
(2)记录用户开始使用炒股软件的用户IP地址、MAC地址、开始/结束使用时间;
(3)记录用户使用应用代理的用户IP、MAC地址,上线、下线时间等信息;
(4)记录用户使用网络电视的IP地址、MAC地址、时间、访问网站、以及URL。
7)异常网络流量报警
瑞星RAC网络认证服务器产品的实时监控网络流量状态功能,例如针对内网特定流量的监控; 统计警告网络中的异常流量,例如网络内部的异常流量状态,并给出异常流量报警。具体截图如下:
8)BBS外发信息监控管理
针对BBS论坛外发信息进行监控,针对BBS论坛发帖内容的关键字过滤, 附件记录复制、下载、保存、备份,同时, BBS发贴内容的阻断,该功能很大程度上降低了企业可能因为言论问题而带来的法律风险。具体截图如下:
带宽管理能力 同用户反复沟通以及结合现网实现需求分析后,对于带宽管理功能的具体配置如下:
1. 对于所有外网局域网用户整体P2P应用流量为: 下行最小带宽保障5KBps,最大限速5KBps
2. 对于所有外网局域网用户个人分别限速50KBps
3. 对于所有外网局域网用户阻断视频流
9)P2P应用流量的限速
针对上述配置选用“迅雷下载”软件对某一个 文件进行下载,观察其下载速度的变化:
(1)在瑞星RAC网络认证服务器产品上开启限速策略,此时下载某一 文件,下载速度始终控制在5KBps以内,与上述配置相吻合。
(2)在瑞星RAC网络认证服务器产品上关闭限速策略,此时下载某一文件,下载速度随即远高于5KBps,此时由于P2P下载占用大量的带宽,其他用户明显感觉上网速度变慢。
10)视频流量的阻断
针对上述配置选用“优酷网”对某一个 视频点击播放,观察是否能否播放成功:
(1)在瑞星RAC网络认证服务器产品上开启阻断策略,点击该 视频,始终处于加载中无法播放,与上述配置相吻合。
(2)在瑞星RAC网络认证服务器产品上关闭阻断策略,此时播放同一 视频,能够正常播放,此时由于视频流占用大量的带宽(上下行5.6M/S),其他用户明显感觉上网速度变慢。
4. 方案优势
1) 丰富的统计报表
全面丰富的统计报表
➢ 基于IP 地址和网段、部门、用户生成报表。
➢ 基于日期生成报表。
➢ 多样类型和分组报表,提供全方面的信息。
➢ 报表采用线性图、柱状图、饼图、表格清晰地显示统计的内容。
➢ 定制并自动生成发送报表。
➢ 支持网络使用统计排名,并指定TOP-N 显示的数量。
➢ 报表可以方便的打印。
网络全局报表
➢ 全局报表提供网络总的使用情况,包括
➢ 网络流量-时间分布图。
➢ 24 小时上网高峰曲线图。
➢ 应用层协议分布饼图。
➢ 流量、上网时间TOP-N 用户信息。
➢ 实时在线用户信息。
流量-时间分布报表
➢ 流量-时间分布图显示过去一段时期内网络流量随时间的分布曲线,便于管理员掌握网络资源使用的情况。
➢ 流量-时间曲线。
➢ 流入、流出统计数据。
流入、流出明细表
2) IP管理和用户管理
IP/MAC绑定
瑞星上网行为管理支持IP/MAC绑定,系统可以单个或批量的探测IP的MAC地址,然后实施绑定。通过IP/MAC绑定可以帮助用户合理的管理网络,如某用户更改自己的IP或MAC则无法上网。
认证
网关把用户的账号、IP、VLAN ID、MAC地址进行三层绑定,以此确保了用户的唯一性,避免了资源的盗用。
瑞星RAC系统提供了简单方便的认证方式便于企业中用户的接入:
➢ 用户上网前的登陆认证采用Web页面方式,用户上网只需要三步:进入无线区域、启动计算机、打开浏览器,瑞星将用户强制连接到网络管理员设定的访问页面,输入用户名和密码进行用户身份认证,无需下载客户端软件和更改用户端设置,即插即用,非常方便用户使用。
➢ 当用户通过系统认证后,在一段时间内无需再次认证,插上网线就可以继续使用网络,同时网关也对该用户进行计费,不需要硬件的支持。
➢ 用户还可以通过网页来查看上网的时间和流量等信息。
➢ 方便的退出机制,用户可以直接在Web页面上Logout、关闭驻留页面、关机、拔掉网线方式来退出和停止使用网络资源。
授权
输入用户名和密码后,用户的认证信息将通过加密的方式发送到多功能网关,在与数据库的数据进行匹配之后,网关将根据系统已经设置完成的用户权限返回给对应的用户或用户组,用户将根据得到的授权使用网络资源。
统计
对网络的使用是基于账号和密码的认证方式,用户只需在web页面中输入网络管理员提供的账号和密码登录网关,便可使用网络资源。为确保记录用户使用网络资源的情况更加准确,客户端还提供一些附加功能,如即时查询使用时间、流量等费用信息。
常用的统计信息如下:
➢ 时间统计:统计用户登录到用户退出登录的时间段;
➢ 流量计费:统计用户上网端口流入、流出数据量(字节数、数据包数);
➢ 节假日监测管理:包括节假日、星期、特定日;
➢ 非工作时间管理:在工作时间以外的网络访问检测;
➢ 以及其他多种策略供网络管理员选择,来管理不同的用户。
用户的管理
提供了对无线网络的支持,将用户无线网卡的MAC地址与用户名和密码进行绑定,使用无线网络时,瑞星RAC系统可通过用户名和密码的认证方式,确定用户的唯一性,从而对用户进行行为管理监测。可以对针对网络用户身份对其网络访问进行限制,普通用户,可以根据不同网络需求,在特定时间内采取基于策略的上网权限行为管理,进而促进用户合理使用网络资源。多功能网关能够针对用户访问的URL进行过滤,每次的访问请求都会和URL访问控制列表中的内容进行匹配,必须不是设置中禁止访问的内容才允许访问,从而禁止对一些非法的网站进行浏览和访问。
3) 设备功能备份
瑞星RAC上网认证系统本身具备路由器和放火墙功能,同时也是现有网络出口设备的有效备份。也就是说当网络现有路由器或防火墙出现故障时,上网行为管理系统可随时作为备份。
4) 管理方便
管理员管理上网行为管理系统是基于信息加密后的安全的web界面,无需安装任何管理软件,能够安全可靠的实现对上网行为管理系统设备的远程管理。
支持不同权限的管理员,通过管理员分组,可以建立具有不同管理权限的管理员(组),能够实现根据不同需要分配特定的权限。
根据不同管理员组定制不同的登录页面,显示特定的配置菜单和配置选项。
部分管理员具有最高系统权限,能够管理系统中所有的配置,能够新建其他用户和其他管理帐户。 部分管理员能够管理用户相关各选项包括新建用户,设置用户权限,设定用户的费率和用户的其他策略。
5) 满足未来网络需求
灵活的设备升级功能,同时作为一个有效的网络管理平台,我们可以在未来的应用当中实时的根据客户需求,定制相应得管理功能。
6) 切合实际的服务支持 (服务支持体系)
1.售前技术支持服务
2.售前客户度身订制服务
3.售后培训服务
4.售后技术支持和到场服务
用户的技术服务请求分为三种级别,服务级别的划分取决于对应用系统运行的关键程度和备用资源的合理调用,并依服务等级的不同,决定相应的服务响应时间。