上网行为管理概述
上網行為安全背景
- 網絡安全威脅,木馬、病毒等隱蔽性越來越好,看似正常的網頁在不知不覺中就可能感染了木馬和病毒,主要原因還是缺乏有效的技術手段識別風險網站和對病毒木馬的查殺
- 互聯網新應用層出不窮、移動互聯網和無線讓環境更加復雜、各類新技術讓應用的識別和管控更困難
帶寬濫用
- 現象
- 上網體驗差,分支機構與總部間數據交互慢
- 語音、視頻會議系統斷斷續續
- 郵件發送、資料下載受嚴重影響
- 員工抱怨網絡環境,核心業務無法保障,IT部門屢遭投訴,部門績效受到影響
- 分析
- P2P、流媒體等流量占用了70%以上的帶寬
- 帶寬缺乏合理劃分與分配措施
- 單純擴容帶寬,治標不治本
上網難監控
-
現象
- 企業辦公室淪為免費網吧,辦公效率低
- 政務人員上班時間網絡聊天、炒股、網游,遭暗訪曝光,影響單位形象
- 學校電子閱覽室,學生使用IM聊天、看在線視頻、網游,影響學習
-
分析
- 用戶上網權限缺乏管理
- 互聯網應用泛濫、復雜、更新快等加大管理的困難性
- 移動應用快速增長,增加管理難度
信息泄露
- 現象
- 高層領導的郵件信息、公司研發代碼等重要信息泄漏
- 公司經營決策、內幕消息被競爭對手提前知曉
- 分析
- 上網授權缺失,用戶肆意上網,為網絡泄密提供了通道
- 主動外發信息泄密,或被黑客遠程控制而被動泄密并存
- 泄密后無據可查,責任難追究,難以形成威懾
網絡違法
- 現象
- 天涯、百度貼吧等已經成為網絡造謠、人身攻擊的重災區
- 肆意外發反動、賭博、色情信息,遭受法律追究
- 流行的自由門、無界瀏覽器等代理翻墻軟件,繞過公司管理
- 分析
- 上網監管缺失,用戶肆意上網
- Web2.0使每人都成信息發布者
- 缺乏日志記錄,無法舉證追蹤
安全威脅
- 現象
- 無殺毒軟件、具有安全隱患的終端肆意上網,極易感染威脅
- 訪問看似正常的網頁,卻可能因此感染木馬、惡意插件
- 已感染威脅,用戶不知曉;甚至爆發病毒、ARP欺騙等大問題
- 分析
- 管理制度如同空文,缺乏技術監督導致執行效果差
- 互聯網威脅越來越多、隱蔽和感染技術越來越先進
- 限于成本原因,網絡中沒有部署安全設備
上網行為安全需求
上網行為管理要素
-
要求所有的行為和日志都可以展示在用戶面前
-
用戶和終端、應用和內容、流量都需要可視和可控
用戶認證
- 用戶認證是上網行為管理的前置條件
- 可以驗證用戶身份的合法性,標識每一個上網用戶的身份,針對不同的身份信息,劃分不同的權限
- 目的
- 確立上網用戶身份,驗證其合法性
- 以該信息作為用戶標識,對用戶的上網行為進行控制及審計
- 獲取用戶的手機號,微信號等為企業營銷提供高質量營銷對象
- 功能
- IP/MAC綁定
- 本地用戶名-密碼認證
- 第三方服務器認證
- DKEY雙因素認證
- 單點登錄
- 短信認證/微信認證
- 終端類型識別
應用控制
- 屬于“封堵”的一部分,主要針對的是應用程序
- 深信服的AC擁有最大的應用識別庫,具有很多應用規則,應用標簽功能可以幫助管理員快速準確的找出具有某種特征的應用,方便進行基于應用的策略控制
- 目的
- 封堵IM聊天、炒股、游戲、下載、在線視頻等應用,規范上網行為, 提高員工工作效率
- 封堵代理、翻墻軟件,規避不當上網行為帶來的法律風險
- 封堵郵件,防止敏感信息泄露
- 深信服AC(上網行為控制器)能夠識別SSL加密郵件,并且進行關鍵字過濾,有效防止內部信息的泄露
- 功能
- 應用特征識別庫
- 應用管理標簽化
- 精細化管控
- 防代理防共享
網頁過濾
- 網頁過濾是“封堵、流控、審計”中“封堵”的下一個功能
- 通過對各種類型網頁的封堵,達到避免法律風險、提高工作效率、保障上網安全的目的
- 目的
- 過濾非法、不良網站,避免法律風險
- 過濾游戲、賭博、購物、在線視頻等網站,提高員工工作效率
- 過濾惡意網頁,保障上網安全
- 功能
- 千萬級URL識別庫
- URL智能識別系統
- URL云共享
- 自定義URL
- 惡意網址過濾
行為審計
- 行為審計能夠完整記錄用戶上網軌跡,如果發現網絡違法違規行為,能夠提供完整的日志進行事件追溯
- 目的
- 記錄內網用戶的上網行為,一旦發生網絡違法違規事件可作為追查證據
- 統計用戶的上網時間、應用流量、應用分布等,為企業決策提供依據
- 記錄內網安全事件,幫助管理員發現安全威脅
- 功能
- 網頁訪問審計
- 郵件審計
- IM聊天應用審計
- 外發文件審計
- 微博、論壇發帖等
流量控制
- 流量管控是行為管理的三大核心功能之一
- 通過基于用戶、應用、終端等多維度的流控策略,可以進行靈活的帶寬分配,實現流量動態調整,達到提高帶寬利用率,保障核心業務的目的
- 目的
- 根據業務類型進行帶寬限制或保障,保證核心業務暢通運行
- 靈活分配帶寬資源,實現動態調整,提高帶寬利用率
- 功能
- 基于用戶/用戶組/應用/網站類型的流控
- 多級父子通道
- 動態流控
- P2P智能流控
- 流控黑名單
上網行為管理的應用場景
互聯網上網行為管控
- 是最基本的互聯網上網行為管控
- 目標客戶是全行業,只要有互聯網出口都有此需求
- 客戶需求
- 使用網頁過濾和應用封堵來規范上網
- 有流控設備來保障核心業務和上網體驗
- 需要上網行為審計記錄上網用戶的行為
- 具體方案
- AC可以以路由或網橋形式部署在網絡出口
- 開啟URL過濾和應用封堵功能
- 開啟流控和審計策略
- 將網站、郵件、論壇、微博、IM等內容審計以及靈活的報表呈現
一體化網關
- 上網行為管理作為一體化網關
- 目標客戶是多分支的企業、政府、金融等
- 客戶需求
- 分支和總部之間有IPsec組網的需求
- 分支要具有管控上網行為和滿足上網審計的需求
- 分支需要有基礎的防火墻防護
- 方案
- 使用深信服上網行為管理設備(AC)即可
- 可以節省成本,使用一體化網關,即可滿足組網、安全、行為管控需求
無線網絡管理
無線WiFi管控營銷
-
目標客戶是建設公共WiFi的多分支用戶
-
客戶需求
- 建設公共WiFi后,需要建立一個統一的認證平臺,并且每個分支需要單獨的認證頁面,以便做個性化的廣告推廣
- 認證時可以結合短信、微信等的認證,認證的同時還可以為企業積累高質量的營銷對象
- 公共WiFi上網也需要保留上網審計記錄
-
部署方案
-
分支統一部署上網行為管理AC
-
總部部署集中管控平臺SC和Portal統一認證平臺
-
部署行為感知系統,即做外置數據中心,也能進行日志分析
-
-
具體方案
- 用戶認證前,用瀏覽器訪問任意網站
- 無線控制器發現用戶沒有通過認證,重定向到Portal服務器
- 在Portal服務器上進行認證,短信、微信等多種認證方式。
- 通過認證,正常訪問網絡
- 審計并將日志匯總至總部
- 行為感知系統展示全網上網態勢
無線防共享上網
- 是為了對非法WiFi共享進行管控
- 技術優勢是漏判率、誤判率低
- 部署方案
- 將AC網關或網橋模式部署,可以識別并管控各種WiFi共享的行為
- 目標客戶
- 政府、企業、金融等安全性要求較高的單位
- 運行商承建高校的校園網,學生宿舍內無線共享網絡,會影響運營商帶寬開戶率及收益
- 具體方案
- 設備以網關或網橋模式部署在出口主干線路上,檢測發現共享行為后,依據策略告警并阻斷共享上網行為
數據價值分析
- 幫助客戶挖掘數據價值
- 目標客戶
- 多分支網絡復雜難管理
- 全網上網現狀不可視
- 應用價值
- 匯總實時數據,在總部統一呈現上網現狀及安全現狀
、企業、金融等安全性要求較高的單位 - 運行商承建高校的校園網,學生宿舍內無線共享網絡,會影響運營商帶寬開戶率及收益
- 匯總實時數據,在總部統一呈現上網現狀及安全現狀
- 具體方案
- 設備以網關或網橋模式部署在出口主干線路上,檢測發現共享行為后,依據策略告警并阻斷共享上網行為
數據價值分析
- 幫助客戶挖掘數據價值
- 目標客戶
- 多分支網絡復雜難管理
- 全網上網現狀不可視
- 應用價值
- 匯總實時數據,在總部統一呈現上網現狀及安全現狀
以上內容均屬原創,如有不詳或錯誤,敬請指出。 本文作者: 壞壞 本文鏈接: http://t.csdn.cn/iHj0I 版權聲明: 本博客所有文章除特別聲明外,均采用 CC BY-NC-SA 4.0 許可協議。轉載請聯系作者注明出處并附帶本文鏈接!
總結
- 上一篇: stm32点亮LED的有关寄存器配置CR
- 下一篇: 章泽天加入微软实习 网友:提升程序员整体