一、上网行为管理与SINFOR AC上网行为管理系统
(一)上网行为管理与企业竞争力
随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在IDC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。据IDC的数据统计,企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。
企业网作为一个开放的网络系统,运行状况愈来愈复杂。企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括:
IT管理员如何对企业网络效能行为进行统计、分析和评估?
IT管理员如何限制一些非工作上网行为和非正常上网行为(如色情网站),如何监控、控制和引导员工正确使用网络?
IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料?
IT管理员如何在万一发生问题时有一个证据或依据?
(二)企业网络管理的好帮手——SINFOR AC上网行为管理系统
一直以来,安全防御理念局限在常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计、防病毒、IDS)等方面的防御,重要的安全设施大致集中于机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。但是在实际情况下,来自网络内部的安全威胁才是多数网络管理人员真正需要面对的问题。
网络作为信息时代企业的生产工具,同样面临着适当监控、合理使用的问题。在美国和欧洲,有80%的企业对员工的互联网活动进行监视,而且这一举措得到了法律条文上的支持。随着中国加入WTO,经济领域的国际竞争进一步加剧,国内的企业也开始认真考虑合理使用网络资源,充分提高企业竞争力的问题。
尤其值得注意的是,中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。互联网滥用,给中国企业带来了巨大的损失。
因此,如何有效地解决这些问题,以便提高员工的工作效率,降低企业的安全风险,减少企业的损失,已经成为中国企业迫在眉睫的紧要任务。当前内网安全管理也随之提升到一个新的高度,在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时,从内到外诸如访问控制、监控、审计、访问跟踪、流量限制等问题也日益凸现。越来越多的企事业单位需要对内网进行统一管理以调整网络资源的合理利用。
针对内网安全上的这些问题,SINFOR M5*000-AC上网行为管理设备是一个非常好的解决方案。在内部安全的上网行为管理(网络安全审计)上,为保证企业合理使用Internet资源,防止企业信息资产泄漏,SINFOR AC安全网关提供了完善的访问控制功能。通过合理设置访问权限,能够杜绝对不良网站和危险资源的访问,防止P2P软件对企业网络带来的安全风险。通过带宽管理和访问跟踪技术,能有效防止对Internet资源的滥用。SINFOR AC安全网关独特的敏感内容拦截和安全审计功能更为防止保密信息泄漏提供了最有效的保证。
此外,作为一个UTM整合式设备,SINFOR AC安全网关还提供了丰富的外部安全保障措施。除了强大的防火墙模块和VPN模块之外,SINFOR AC安全网关还集成了来自欧洲的领先病毒厂商F-PROT的杀毒引擎,对内网用户接收的邮件和下载的文件进行病毒过滤,降低了内网用户感染病毒的风险。另外,强大的垃圾邮件过滤功能将大量垃圾邮件拒之门外,也大大提高了员工使用Internet的办公效率。同时SINFOR AC安全网关还提供了高效的IPS(入侵防御系统)功能,能有效识别和抵御3000多种攻击,更大范围的保护了企业连接到Internet的安全。
(三)SINFOR AC上网行为管理系统应用效果
通过采用深信服SINFOR AC上网行为管理设备,可以帮助用户实现完善的上网行为管理和网络安全审计,并达到如下效果
1. 规范员工上网行为(比如禁止员工上班时间聊天/打游戏)、提高互联网效率
据IDC的数据统计,企业中员工30%至40%的上网活动与工作无关(如聊天、游戏、购物等)。宽带的接入使得企业24小时连接在互联网上,不可避免地导致了员工工作效率的降低。通过深信服SINFOR AC的使用可以把与工作无关的上网行为降低到最低,去除员工的分心,让他们专注于工作中。
2. 内网安全,保护内部数据安全、防止机密信息泄漏
如今的企业正在大量使用电子邮件进行各种信息交流,公司内部员工利用互联网可以轻易地将企业的关键信息传播出去,一些商业上、技术上的关键性信息的泄漏会给企业带来无法弥补的损失。针对此,深信服创新性的提出了邮件延迟审计的专利技术,可以按要求对邮件进行审核拦截。
3. 流量控制、带宽管理,提升带宽利用率
通过智能QOS及对带宽流量的合理划分,深信服AC上网行为管理设备可以提高业务应用系统的效率,帮助企业最大化网络基础建设和带宽的投资回报。
4. 降低企业的法律责任
今天的员工利用公司提供的互联网连接,访问色情、反政府等不良网站,发表非法言论或从事其他一些非法活动。这些与互联网有关的活动有可能会导致公司的法律诉讼。深信服AC上网行为管理设备可以将这些问题网站限制掉,使得企业免于面临这些潜在的问题。
5. 整合式UTM设备,可提供内网和外网的安全联动
作为一个UTM整合式设备,SINFOR AC安全网关还提供了丰富的外部安全保障措施。除了强大的防火墙模块和VPN模块之外,SINFOR AC安全网关还集成了来自欧洲的领先病毒厂商F-PROT的杀毒引擎,对内网用户接收的邮件和下载的文件进行病毒过滤,降低了内网用户感染病毒的风险。另外,强大的垃圾邮件过滤功能将大量垃圾邮件拒之门外,也大大提高了员工使用Internet的办公效率。同时SINFOR AC安全网关还提供了高效的IPS(入侵防御系统)功能,能有效识别和抵御3000多种攻击,更大范围的保护了企业连接到Internet的安全。
二、SINFOR AC上网行为管理设备功能介绍
(一)控制功能:细致的访问控制功能,有效管理用户上网
SINFOR AC安全网关不仅可以对员工访问WEB、FTP、MAIL等常用服务的内容进行控制,更可以对QQ、BT、MSN、SKYPE等各种P2P软件的行为进行限制和控制。丰富的报表功能还可以分析出企业的Internet的详细使用情况,为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。基于Web的和LDAP/Radius集成的用户认证功能,使得对上网用户的管理变得十分灵活方便。
访问控制功能一览表
危险网站阻隔 使用更新的不良网站列表阻隔对色情、病毒、钓鱼网站的访问
访问控制策略 提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略
P2P拦截 使用深度内容检测技术及在线网关监控技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔
用户认证 提供Web登录认证功能,提供本地用户数据库和LDAP、RADIUS用户数据集成功能
文件上传下载控制控制 对HTTP、FTP文件上传、下载类型和大小进行控制,也能对QQ、MSN等P2P软件的文件传送进行拦截
IPMAC绑定 提供灵活的IPMAC绑定策略
代理识别功能 能识别采用Http、Https、Socks等代理服务器绕过防火墙检查的行为,从而进行阻断
敏感数据拦截 对HTTP、FTP、SMTP、IMAP等应用协议做敏感数据拦截,以防泄密或引起法律纠纷
(二)监控功能:完善的内容过虑和访问审计功能,防止机密信息泄漏
谈到安全问题时,大多数人都只关注外网安全,但其实企业的信息资产更多的不是被黑客窃取,而是通过内部泄漏的。SINFOR AC安全网关完善的访问审计和监控功能能够有效防止信息通过Internet泄漏,并建立强大的内部安全的威慑,减少内部泄密的行为。对于邮件类型的应用还采用了深信服“邮件延迟审计”的专利技术来保证先审计后发送。SINFOR AC的访问审计/监控模块为企业构筑了强大的内部安全屏障。
邮件延迟审计 对外发邮件进行延迟缓存,审计后才能发出,确保信息资产不外泄
实时监控 实时监控用户的上网行为
内网监控 针对员工在网上的所有行为,包括聊天记录、浏览的网页、上传下载的文件等进行详细的记录,以监控员工上班时间的工作行为,防止企业内部机密、情报等泄漏,并事后追查责任人
(三)报表功能:强大的数据报表中心,提供直观的上网数据统计
SINFOR AC网关拥有强大的数据中心,管理者可分组、用户、规则、协议等多种查询对象,按饼图、柱状图、曲线图等方式进行查询,可直观地查看到网络流量、邮件、网络监控、IPS系统、准入规则、防火墙等详细信息,并可直接打印和导出报表。SINFOR AC网关强大的日志系统和丰富的报表功能,可详细分析出企业的Internet的详细使用情况,为网络管理员和决策者提供了最有效的数据支持。
数据中心功能一览表
流量统计日志 包含内网流量统计概要、组流量排行、流量日志、流量趋势等,用饼状、柱型等直观地表示网络内部的流量排名
邮件日志 包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能,可详细统计用户所有收发邮件的具体情况
网络监控日志 包括监控统计摘要、监控排行、监控查询、监控趋势等功能。管理员可详细监控内网用户使用互联网资源的具体使用情况
准入规则日志 包括准入规则摘要、准入排行、准入查询等功能,管理员可对内部网络的违规机器进行详细统计和查看
IPS日志 包含IPS日志摘要、IPS排行、IPS查询、IPS趋势等功能,可显示详细的网络安全情况
防火墙日志 包含防火墙摘要、防火墙排行、防火墙查询、防火墙趋势等功能,管理员可以对防火墙的日志进行更为详细地分析
日志库管理 主要包含日志库信息、日志库查询、日志库切换等功能
用户管理 管理员可在此新增用户、查询用户
(四)带宽及流量管理功能:强大的QOS功能及流量分析
SINFOR AC安全网关强大的访问控制和QOS功能可以使得企业合理利用Internet资源,为不同的用户分配不同的带宽和上网权限,使得Internet资源得到有效利用,并大大提高员工的工作效率。
SINFOR AC安全网关可以详细记录和分析所有流量的内容,包括http、ftp、mail、telnet等常用软件的内容和QQ、ICQ、MSN、YAHOO、MESSAGER等IM软件的内容。另外还能按用户、用户组、协议和时间对Internet流量进行统计分析,以优化员工对Internet的资源使用情况。使得企业有限的带宽能得到最充分的利用,提高企业的网络利用率。
QOS保证 使用差分业务模型实现QOS
使用随机早期检测RED丢弃算法提供流量控制
流量控制 能针对内网每个用户或者不同的组,限定其上网能占用的带宽资源,使企业内网带宽资源得到充分有效的利用
(五)丰富的外网安全功能:包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等
SINFOR AC安全网关还可以作为一个UTM整合式设备,为企业提供丰富的外部安全保障措施。除了强大的防火墙模块和VPN模块之外,SINFOR AC安全网关还集成了来自欧洲的领先病毒厂商F-PROT的杀毒引擎,对内网用户接收的邮件和下载的文件进行病毒过滤,降低了内网用户感染病毒的风险。另外,强大的垃圾邮件过滤功能将大量垃圾邮件拒之门外,也大大提高了员工使用Internet的办公效率。同时SINFOR AC安全网关还提供了高效的IPS(入侵防御系统)功能,能有效识别和抵御3000多种攻击,更大范围的保护了企业连接到Internet的安全。
三、SINFOR AC上网行为管理系统主要技术优势
(一)深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件
(1)深度的内容检测技术:目前的P2P软件,如QQ、MSN等IM即时通讯软件以及BT、电驴等下载软件,在用TCP或者UDP数据包的传送过程中,其报文段都会有一段特征码,该特征码是用来标识其数据包类型。SINFOR AC安全网关的深度内容检测技术,可以检测出数据包的报文中相对应的特征码,并根据预置策略进行及时封堵。SINFOR AC上网管理设备内置了多种深度内容检测技术所依赖的特征码规则,并且可以从网站上更新下载。依靠这种技术,SINFOR AC网关可以封堵目前所有的P2P软件;避免了最终用户在IM或者P2P软件上浪费时间,提高了员工的工作效率和企业的生产效率,并防止泄密或由于员工泄密引起的重大损失。
(2)在线网关监控技术:与其他旁路监听的访问监控产品不同的是,SINFOR AC使用了在线网关监控技术。所有的旁路监听产品,对UDP发送的数据都难以拦截,并且拦截往往有一定时延,拦截敏感数据的效果不佳,并且容易遗漏监控数据。SINFOR AC的在线拦截监控技术能保证拦截到所有敏感数据,外出数据无一纰漏。
(二)邮件的延迟审计(专利技术)
SINFOR AC安全网关独有的邮件延迟审计功能保证了企业的重要信息不外泄。目前电子邮件已经成为人们最重要的沟通方式。电子邮件快捷、方便的特点已经成为企业与外部沟通的最有效的方式之一。企业内部大量的信息都通过电子邮件方式发送到外部,因而电子邮件也成为泄漏企业重要信息的重要途径之一。
SINFOR AC安全网关独创的邮件延迟审计功能,可以对经由AC安全网关的所有邮件进行延迟审计。对于内网用户向外发送邮件,AC安全网关会对其进行延迟缓存,只有等待管理员审计后才能发出,确保了企业信息资产不外泄,保证了企业内网信息的安全,且邮件延迟审计对发件人完全透明。
(三)独有的网络访问准入规则(专利技术)
企业的安全隐患,往往是由于内网用户客户端缺乏安全防范造成的。为了从根本上杜绝企业内部网络安全隐患,减少内网用户遭受间谍软件、病的风险。深信服科技创新性地采用了网络访问准入规则这一技术。 网络访问准入规则,是管理员在SINFOR AC安全网关的准入规则中预先定制好内网计算机的安全策略。所谓安全策略,是指特定的安全标准。如:用户计算机的操作系统是否安装有管理员指定的系统补丁,以及用户的计算机是否安装有相应的杀毒程序或者防火墙,或者是用户的计算机是否启动相应的杀毒程序、防火墙程序等等,这一系列的安全标准都可以定制成相应的安全策略。
当用户计算机访问网络请求的数据包通过SINFOR AC安全网关时,若启用了WEB认证,当用户通过WEB认证后,此时用户的计算机会自动从AC安全网关下载相应的安全策略扫描程序,并根据指定的安全策略启动扫描程序,检查用户的计算机是否具备了相应的安全策略。只有符合相应的安全策略的计算机才允许访问外部网络,不具备相应安全条件的用户计算机,不允许上网。这样从根本上提高了企业用户计算机的安全性,减少了企业用户遭受蠕虫、病毒、木马以及间谍软件的风险。
(四)WEB认证技术
AC安全网关基于Web的用户认证功能,使得管理员对上网用户的管理变得十分灵活方便。用户启用了Web认证功能以后,除了对客户端的本地身份(如:用户名密码认证,LDAP、RADIUS等认证)进行常规性认证以外,还将启用Web认证。当客户端在浏览器中输入任意网址时,AC安全网关会要求用户输入用户名和密码进行认证。只有当用户输入了正确的帐号,该用户才能够访问Internet。
(五)高度集成,部署灵活
SINFOR AC安全网关很重要的一个特点就是除了作为专用的上网行为管理设备外,它还是一个整合式的UTM设备,将访问控制/监控、网关杀毒、防垃圾邮件、防火墙、VPN和IPS等多种功能都集成在一个网关。用户可以使用较低的成本同时拥有多种网络安全模块,大大降低了企业在网络安全方面的总体拥有成本。另外,用户在使用AC作为上网行为管理设备的同时,也可以选择使用AC设备的其他某个或某几个功能模块,比如将AC作为杀毒网关或防火墙等的网络设备使用,可与原有网络安全产品融合,部署灵活的同时也保护了投资。
