上網(wǎng)行為安全背景

• 網(wǎng)絡(luò)安全威脅，木馬、病毒等隱蔽性越來越好，看似正常的網(wǎng)頁在不知不覺中就可能感染了木馬和病毒，主要原因還是缺乏有效的技術(shù)手段識別風(fēng)險網(wǎng)站和對病毒木馬的查殺
• 互聯(lián)網(wǎng)新應(yīng)用層出不窮、移動互聯(lián)網(wǎng)和無線讓環(huán)境更加復(fù)雜、各類新技術(shù)讓應(yīng)用的識別和管控更困難

帶寬濫用

• 現(xiàn)象
  • 上網(wǎng)體驗差，分支機構(gòu)與總部間數(shù)據(jù)交互慢
  • 語音、視頻會議系統(tǒng)斷斷續(xù)續(xù)
  • 郵件發(fā)送、資料下載受嚴重影響
  • 員工抱怨網(wǎng)絡(luò)環(huán)境，核心業(yè)務(wù)無法保障，IT部門屢遭投訴，部門績效受到影響
• 分析
  • P2P、流媒體等流量占用了70%以上的帶寬
  • 帶寬缺乏合理劃分與分配措施
  • 單純擴容帶寬，治標不治本

上網(wǎng)難監(jiān)控

• 現(xiàn)象

  • 企業(yè)辦公室淪為免費網(wǎng)吧，辦公效率低
  • 政務(wù)人員上班時間網(wǎng)絡(luò)聊天、炒股、網(wǎng)游，遭暗訪曝光，影響單位形象
  • 學(xué)校電子閱覽室，學(xué)生使用IM聊天、看在線視頻、網(wǎng)游，影響學(xué)習(xí)

• 分析

  • 用戶上網(wǎng)權(quán)限缺乏管理
  • 互聯(lián)網(wǎng)應(yīng)用泛濫、復(fù)雜、更新快等加大管理的困難性
  • 移動應(yīng)用快速增長，增加管理難度

信息泄露

• 現(xiàn)象
  • 高層領(lǐng)導(dǎo)的郵件信息、公司研發(fā)代碼等重要信息泄漏
  • 公司經(jīng)營決策、內(nèi)幕消息被競爭對手提前知曉
• 分析
  • 上網(wǎng)授權(quán)缺失，用戶肆意上網(wǎng)，為網(wǎng)絡(luò)泄密提供了通道
  • 主動外發(fā)信息泄密，或被黑客遠程控制而被動泄密并存
  • 泄密后無據(jù)可查，責(zé)任難追究，難以形成威懾

網(wǎng)絡(luò)違法

• 現(xiàn)象
  • 天涯、百度貼吧等已經(jīng)成為網(wǎng)絡(luò)造謠、人身攻擊的重災(zāi)區(qū)
  • 肆意外發(fā)反動、賭博、色情信息，遭受法律追究
  • 流行的自由門、無界瀏覽器等代理翻墻軟件，繞過公司管理
• 分析
  • 上網(wǎng)監(jiān)管缺失，用戶肆意上網(wǎng)
  • Web2.0使每人都成信息發(fā)布者
  • 缺乏日志記錄，無法舉證追蹤

安全威脅

• 現(xiàn)象
  • 無殺毒軟件、具有安全隱患的終端肆意上網(wǎng)，極易感染威脅
  • 訪問看似正常的網(wǎng)頁，卻可能因此感染木馬、惡意插件
  • 已感染威脅，用戶不知曉；甚至爆發(fā)病毒、ARP欺騙等大問題
• 分析
  • 管理制度如同空文，缺乏技術(shù)監(jiān)督導(dǎo)致執(zhí)行效果差
  • 互聯(lián)網(wǎng)威脅越來越多、隱蔽和感染技術(shù)越來越先進
  • 限于成本原因，網(wǎng)絡(luò)中沒有部署安全設(shè)備

上網(wǎng)行為安全需求

上網(wǎng)行為管理要素

• 要求所有的行為和日志都可以展示在用戶面前

• 用戶和終端、應(yīng)用和內(nèi)容、流量都需要可視和可控

用戶認證

• 用戶認證是上網(wǎng)行為管理的前置條件
• 可以驗證用戶身份的合法性，標識每一個上網(wǎng)用戶的身份，針對不同的身份信息，劃分不同的權(quán)限
• 目的
  • 確立上網(wǎng)用戶身份，驗證其合法性
  • 以該信息作為用戶標識，對用戶的上網(wǎng)行為進行控制及審計
  • 獲取用戶的手機號，微信號等為企業(yè)營銷提供高質(zhì)量營銷對象
• 功能
  • IP/MAC綁定
  • 本地用戶名-密碼認證
  • 第三方服務(wù)器認證
  • DKEY雙因素認證
  • 單點登錄
  • 短信認證/微信認證
  • 終端類型識別

應(yīng)用控制

• 屬于“封堵”的一部分，主要針對的是應(yīng)用程序
• 深信服的AC擁有最大的應(yīng)用識別庫，具有很多應(yīng)用規(guī)則，應(yīng)用標簽功能可以幫助管理員快速準確的找出具有某種特征的應(yīng)用，方便進行基于應(yīng)用的策略控制
• 目的
  • 封堵IM聊天、炒股、游戲、下載、在線視頻等應(yīng)用，規(guī)范上網(wǎng)行為， 提高員工工作效率
  • 封堵代理、翻墻軟件，規(guī)避不當(dāng)上網(wǎng)行為帶來的法律風(fēng)險
  • 封堵郵件，防止敏感信息泄露
    • 深信服AC（上網(wǎng)行為控制器）能夠識別SSL加密郵件，并且進行關(guān)鍵字過濾，有效防止內(nèi)部信息的泄露
• 功能
  • 應(yīng)用特征識別庫
  • 應(yīng)用管理標簽化
  • 精細化管控
  • 防代理防共享

網(wǎng)頁過濾

• 網(wǎng)頁過濾是“封堵、流控、審計”中“封堵”的下一個功能
• 通過對各種類型網(wǎng)頁的封堵，達到避免法律風(fēng)險、提高工作效率、保障上網(wǎng)安全的目的
• 目的
  • 過濾非法、不良網(wǎng)站，避免法律風(fēng)險
  • 過濾游戲、賭博、購物、在線視頻等網(wǎng)站，提高員工工作效率
  • 過濾惡意網(wǎng)頁，保障上網(wǎng)安全
• 功能
  • 千萬級URL識別庫
  • URL智能識別系統(tǒng)
  • URL云共享
  • 自定義URL
  • 惡意網(wǎng)址過濾

行為審計

• 行為審計能夠完整記錄用戶上網(wǎng)軌跡，如果發(fā)現(xiàn)網(wǎng)絡(luò)違法違規(guī)行為，能夠提供完整的日志進行事件追溯
• 目的
  • 記錄內(nèi)網(wǎng)用戶的上網(wǎng)行為，一旦發(fā)生網(wǎng)絡(luò)違法違規(guī)事件可作為追查證據(jù)
  • 統(tǒng)計用戶的上網(wǎng)時間、應(yīng)用流量、應(yīng)用分布等，為企業(yè)決策提供依據(jù)
  • 記錄內(nèi)網(wǎng)安全事件，幫助管理員發(fā)現(xiàn)安全威脅
• 功能
  • 網(wǎng)頁訪問審計
  • 郵件審計
  • IM聊天應(yīng)用審計
  • 外發(fā)文件審計
  • 微博、論壇發(fā)帖等

流量控制

• 流量管控是行為管理的三大核心功能之一
• 通過基于用戶、應(yīng)用、終端等多維度的流控策略，可以進行靈活的帶寬分配，實現(xiàn)流量動態(tài)調(diào)整，達到提高帶寬利用率，保障核心業(yè)務(wù)的目的
• 目的
  • 根據(jù)業(yè)務(wù)類型進行帶寬限制或保障，保證核心業(yè)務(wù)暢通運行
  • 靈活分配帶寬資源，實現(xiàn)動態(tài)調(diào)整，提高帶寬利用率
• 功能
  • 基于用戶/用戶組/應(yīng)用/網(wǎng)站類型的流控
  • 多級父子通道
  • 動態(tài)流控
  • P2P智能流控
  • 流控黑名單

上網(wǎng)行為管理的應(yīng)用場景

互聯(lián)網(wǎng)上網(wǎng)行為管控

• 是最基本的互聯(lián)網(wǎng)上網(wǎng)行為管控
• 目標客戶是全行業(yè)，只要有互聯(lián)網(wǎng)出口都有此需求
• 客戶需求
  • 使用網(wǎng)頁過濾和應(yīng)用封堵來規(guī)范上網(wǎng)
  • 有流控設(shè)備來保障核心業(yè)務(wù)和上網(wǎng)體驗
  • 需要上網(wǎng)行為審計記錄上網(wǎng)用戶的行為
• 具體方案
  • AC可以以路由或網(wǎng)橋形式部署在網(wǎng)絡(luò)出口
  • 開啟URL過濾和應(yīng)用封堵功能
  • 開啟流控和審計策略
  • 將網(wǎng)站、郵件、論壇、微博、IM等內(nèi)容審計以及靈活的報表呈現(xiàn)

一體化網(wǎng)關(guān)

• 上網(wǎng)行為管理作為一體化網(wǎng)關(guān)
• 目標客戶是多分支的企業(yè)、政府、金融等
• 客戶需求
  • 分支和總部之間有IPsec組網(wǎng)的需求
  • 分支要具有管控上網(wǎng)行為和滿足上網(wǎng)審計的需求
  • 分支需要有基礎(chǔ)的防火墻防護
• 方案
  • 使用深信服上網(wǎng)行為管理設(shè)備（AC）即可
  • 可以節(jié)省成本，使用一體化網(wǎng)關(guān)，即可滿足組網(wǎng)、安全、行為管控需求

無線網(wǎng)絡(luò)管理

無線WiFi管控營銷

• 目標客戶是建設(shè)公共WiFi的多分支用戶

• 客戶需求

  • 建設(shè)公共WiFi后，需要建立一個統(tǒng)一的認證平臺，并且每個分支需要單獨的認證頁面，以便做個性化的廣告推廣
  • 認證時可以結(jié)合短信、微信等的認證，認證的同時還可以為企業(yè)積累高質(zhì)量的營銷對象
  • 公共WiFi上網(wǎng)也需要保留上網(wǎng)審計記錄

• 部署方案

  • 分支統(tǒng)一部署上網(wǎng)行為管理AC

  • 總部部署集中管控平臺SC和Portal統(tǒng)一認證平臺

  • 部署行為感知系統(tǒng)，即做外置數(shù)據(jù)中心，也能進行日志分析

• 具體方案

  • 用戶認證前，用瀏覽器訪問任意網(wǎng)站
  • 無線控制器發(fā)現(xiàn)用戶沒有通過認證，重定向到Portal服務(wù)器
  • 在Portal服務(wù)器上進行認證，短信、微信等多種認證方式。
  • 通過認證，正常訪問網(wǎng)絡(luò)
  • 審計并將日志匯總至總部
  • 行為感知系統(tǒng)展示全網(wǎng)上網(wǎng)態(tài)勢

無線防共享上網(wǎng)

• 是為了對非法WiFi共享進行管控
• 技術(shù)優(yōu)勢是漏判率、誤判率低
• 部署方案
  • 將AC網(wǎng)關(guān)或網(wǎng)橋模式部署，可以識別并管控各種WiFi共享的行為
• 目標客戶
  • 政府、企業(yè)、金融等安全性要求較高的單位
  • 運行商承建高校的校園網(wǎng)，學(xué)生宿舍內(nèi)無線共享網(wǎng)絡(luò)，會影響運營商帶寬開戶率及收益
• 具體方案
  • 設(shè)備以網(wǎng)關(guān)或網(wǎng)橋模式部署在出口主干線路上，檢測發(fā)現(xiàn)共享行為后，依據(jù)策略告警并阻斷共享上網(wǎng)行為

數(shù)據(jù)價值分析

• 幫助客戶挖掘數(shù)據(jù)價值
• 目標客戶
  • 多分支網(wǎng)絡(luò)復(fù)雜難管理
  • 全網(wǎng)上網(wǎng)現(xiàn)狀不可視
• 應(yīng)用價值
  • 匯總實時數(shù)據(jù)，在總部統(tǒng)一呈現(xiàn)上網(wǎng)現(xiàn)狀及安全現(xiàn)狀
    、企業(yè)、金融等安全性要求較高的單位
  • 運行商承建高校的校園網(wǎng)，學(xué)生宿舍內(nèi)無線共享網(wǎng)絡(luò)，會影響運營商帶寬開戶率及收益
• 具體方案
  • 設(shè)備以網(wǎng)關(guān)或網(wǎng)橋模式部署在出口主干線路上，檢測發(fā)現(xiàn)共享行為后，依據(jù)策略告警并阻斷共享上網(wǎng)行為

數(shù)據(jù)價值分析

• 幫助客戶挖掘數(shù)據(jù)價值
• 目標客戶
  • 多分支網(wǎng)絡(luò)復(fù)雜難管理
  • 全網(wǎng)上網(wǎng)現(xiàn)狀不可視
• 應(yīng)用價值
  • 匯總實時數(shù)據(jù)，在總部統(tǒng)一呈現(xiàn)上網(wǎng)現(xiàn)狀及安全現(xiàn)狀

---

以上內(nèi)容均屬原創(chuàng)，如有不詳或錯誤，敬請指出。 本文作者： 壞壞 本文鏈接： http://t.csdn.cn/iHj0I 版權(quán)聲明： 本博客所有文章除特別聲明外，均采用 CC BY-NC-SA 4.0 許可協(xié)議。轉(zhuǎn)載請聯(lián)系作者注明出處并附帶本文鏈接！

總結(jié)

以上是生活随笔為你收集整理的上网行为管理概述的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。