上网行为管理-深信服上网行为管理解决方案模版.doc

上网行为管理_深信服上网行为管理解决方案模版 上网行为管理方案建议书 目录 第1章必需求概述 (1) 1.1 背景介绍 (1) 1.2 上网行为管理必需求 (1) 1.2.1 用户和终端多样化，管理复杂 (1) 1.2.2 应用和内容不可视，存在风险 (2) 1.2.3 网络流量识不全，控不住 (3) 第2章可视可控、感知风险的上网管理方案 (5) 2.1 全面的上网可视可控 (5) 2.2 用户的可视与可控 (5) 2.2.1 安全便捷的身份识别 (6) 2.2.2 安全可视的用户管理 (7) 2.3 行为的可视与可控 (8) 2.3.1 全面精准的应用识别 (8) 2.3.2 应用标签化管控 (8) 2.3.3 灵活细致的权限控制 (8) 2.3.4 非法的内容识别与管控 (9) 2.3.5 全面完整的行为审计 (10) 2.4 流量的可视与可控 (16) 2.4.1 网络流量可视化 (16) 2.4.2 合理有效的流量控制 (17) 第3章方案优势 (20) 3.1 全面完整 (20) 3.2 细致精准 (20) 3.3 灵活有效 (20) 3.4 简单便捷 (21) -2- 第1章必需求概述 随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变： ⏹网上业务：组织建设了更多的网上业务平台，通过互联网来展开业务； ⏹沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟 通和交流，提升工作效率，获取资讯和知识，维系人脉关系； ⏹移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统， 员工更喜爱通过WLAN、移动终端类展开工作； ⏹新的法规要求：2021年6月1日，网络安全法正式推出，其中对组织明 确提出上网行为审计的要求，并且要求至少留存上网日志6个月。 因此，在员工的日常工作中，#XX客户#必需要针对互联网出口平台的如下上 网行为管理、上网安全防护必需求进行改造，提供一个更安全、更高效的上网环境。 互联网已经成为重要的生产资料，越来越多组织的业务在向互联网迁移，然而互联网却是一把“双刃剑〞，管理得好可以让办公效率大增，促进业务的发展；而缺乏管理的互联网将带来诸多问题，不仅降低工作效率，还给组织带来各种业务风险。 而且互联网也在不断发生变化，从最早使用PC、有线局域网，到更多使用 移动终端、WLAN来进行办公，从早期的网页、PC应用，到移动APP的广泛发展，愈加复杂的上网环境，“看不见管不住〞，使得上网管理困难重重。由于互联网应用的多样化，一些看似正常的上网行为，也可能隐藏着庞大的风险。 1.2.1用户和终端多样化，管理复杂 随着移动终端的普及，员工往往会采纳PC、智能手机、Pad等多种终端，通 过有线和无线网络，在不同的位置〔办公座位、会议室等〕，接入企业IT系统。这种使用场景的多样化，让传统上网管理的手段，难以应对内部资料的泄密、移动终端设备的盗用、移动APP难以管控等管理问题。 所以，IT部门必需要基于用户角色、终端类别、使用位置、应用类别、时间等更多的元素，为员工不同的上网情景，制定更精细的网络管理策略，提升办公效率的同时，降低安全风险。 企业组建WLan后，当有来宾访客必需要上网时，要么直接开放，安全风险高，人员随意接入，无法定位身份；要么必需要提前申请临时账号，管理复杂。 所以，组织必需要一套使用便捷，即来即用，同时又能满足安全合规要求的来宾访客认证系统。 1.2.1.3私接无线，引入安全隐患 在一些没有提供Wlan的单位，员工为了便捷性，往往会通过360随身WiFi、家用WiFi路由器等方式私自建立个人Wlan，让自己的移动终端可以随意使用单位的上网资源。这给企业的安全策略管理带来的很多的管理漏洞。 所以，IT部门必需要针对私接的非法无线热点、非法代理等威胁进行有效的识别、管控。 1.2.2应用和内容不可视，存在风险 大量新应用和老应用的新版本，给应用识别与管控以及后续的运维带来庞大的挑战，让网络难管控，难运维。另外，即使是同一个应用也可能具有两面性，他们有“好〞的功能，也可能有“坏〞的功能，“好〞功能具有有用性，而“坏〞功能具有风险性，因此，此类应用的管控成了一个两难的问题。 网络的普及改变了传统的办公方式，而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。这 严重影响工作效率，从而导致企业竞争力的下降。 所以，组织必需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。 企业内网用户在日常办公中拥有访问互联网的权限，可通过、MSN、论坛或微博等方式外发信息，如果包涵了色情、赌博、反动等不良内容，都属于网络违规违法行为，企业或个人将承当法律责任。 所以，组织必需要依据82令的相关要求，建立全面、完善的上网行为的合规检察机制，并建立严格的检察权限管理机制。 伴随着网盘、交际媒体、流量加密等应用/技术的广泛使用，企业重要数据泄密的方式越来越多样，风险越来越高。在有意无意间，一个员工就可以轻易的把企业内部的敏感信息、高价值信息资产，外发的互联网上，给组织的公众形象、业务展开带来严重的风险。 所以，组织必需要对员工制定严格、细粒度的互联网数据传输控制策略、合规检察策略，防止重要数据的泄密行为发生。 1.2.3网络流量识不全，控不住 由于P2P流量没有显然的协议特征，再加上其带宽腐蚀性的特性，造成P2P 流量的全流量识别困难。而且传统缓存丢包的方式，无法真正抑制P2P流量，因此就不能很好的保证带宽。大量客户反馈已经有传统流控设备，业务却依旧卡顿，也是这个原因。 互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必定会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。而且近年来P2P协议应用更广泛，比如常见的在线流媒体等，P2P流量往往识别不全，难以管控，给带宽管理带来很大挑战。 此外，传统的带宽管理策略都是静态的，当带宽空闲时，依旧会限制用户的流量，带宽价值被大大浪费。 所以，IT部门必需要能看清网络流量，针对各种应用类型、用户角色、带宽占用状况等，提供更加灵活、细致、动态的带宽管理策略，提升用户上网体验。 第2章可视可控、感知风险的上网管理方案结合上述的用户必需求以及IT系统的现状，深信服可以为#XX客户#提供一套完整、可视的互联网出口安全解决方案，帮助用户实现上网的可视可控，感知上网的行为风险。即能轻松满足安全合规管理的要求，又能提升IT运维效率和IT 价值，还提升了用户上网的操作体验。 针对网络管理问题的各类上网行为，从逻辑上可以分为用户、终端、应用、内容、流量5个要素，而从业务管理的角度可以合并为“用户〞、“行为〞、“流量〞三个元素，其中“用户〞包涵用户身份和用户终端，“行为〞包涵网络应用和网络内容。 深信服上网行为管理AC一直保持上网的可视与可控，可以实现“用户〞的可视可控、“行为〞的可视可控以及“流量〞的可视与可控。深信服AC通过深入识别技术，全面识别网络中的用户、行为和流量，并通过分析和可视化的展现，帮助管理者看清网络状况；并且，可以对“用户〞、“行为〞、“流量〞进行精准灵活的管控，让用户上网高效，管理更省心。 深信服上网行为管理可以依据不同的场景提供不同的认证方式，以此识别用户身份；可以识别用户的上网终端类型，并对移动终端进行管控，防止非法用户通过私接Wi-Fi接入网络。 为了针对不用角色身份的用户，避免身份冒充、权限乱用等出现，提供即安全又便捷的认证方式，深信服上网行为管理可以提供如下多种身份认证。 深信服AC支持本地认证功能，包括Web认证、用户名/密码认证、 IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能，能够准确识别上网用户，从而对该用户进行上网行为管理，而关于未通过认证的用户则限制其网络访问权限。 AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后，AC能够获取用户认证信息，用户不用在AC上进行第二次身份认证，形成单点登录，避免重复认证所带来的麻烦。通过身份认证功能，AC能够准确识别上网用户，从而对该用户进行上网行为管理，而关于未通过认证的用户则限制其网络访问权限。 为了省去复杂的临时账号申请机制，让外来访客便捷的接入网络，但又满足合规要求。深信服上网行为管理AC提供了短信认证、微信认证、二维码认证等多种方式，当来宾接入网络后，系统会自动推送出专门针对来宾访客认证界面。 短信认证，来宾只必需要输入手机号码，获得并输入短信验证码后，就可以获得上网权限。而且为了简化用户操作，与传统的短信验证相比，用户只必需要点击3次既可完成，十分便捷，不必需要在浏览器和短信界面来回切换。 微信认证，访客认证页面会自动提醒来宾必需要关注组织的“官方微信公众账号〞，并发送上网请求，才干获得上网权限。这可以帮助组织推广交际媒体的粉丝数量，更好的帮助组织推广品牌宣扬。 二维码认证，访客认证页面会自动弹出一个二维码，只有内部接待人员用自己的移动终端扫描二维码，确认同意后，访客才干获得上网权限。而且，为了满足合规要求，接待人员，可以在页面上备注来宾身份信息，便于后续查找。 深信服AC支持识别各种网络应用的虚拟账号，包括微信、、百度贴吧、人人网、网易邮箱、熊猫TV、美团、京东、链家网等100多种常见应用的账号状况，据此可以确认用户的网络身份，也方便后续进行针对性的管控。 深信服AC支持用户状况的可视化浮现，能够实时展示上网总人数，以及上网用户的终端类型分布〔PC或移动端〕、认证方式，并在首页动态展示各种类型终端的上网人数。 深信服AC拥有专业的终端识别和管控功能，能够识别上网终端类型并进行管控，帮助组织发现非法接入的终端，避免带来安全漏洞。 深信服AC通过四个方面来实现“行为〞的可视可控：首先全面精准识别应用，然后基于业务视角管控应用，其次对应用进行灵活细致的权限控制，最后关于特别应用内容进行定向精准识别与管控。 深信服上网行为管理系统具有千万级URL库和国内最大的应用识别规则库，包涵2800多种应用、6000多种规则，以及1000多种移动应用，可识别目前网络中各种主流应用和APP软件，如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。 而且，深信服上网行为管理保持每半个月更新一次的快速迭代，不仅新增常用应用，还及时淘汰老旧应用，避免识别库的臃肿。 管理员可通过深信服AC对应用或具体细分动作进行标签化，例如，迅雷下载定义为“高带宽消耗〞标签、网盘的上传动作定义为“泄密风险〞标签等。管理员在制定策略时，可通过标签来选择相应的应用或细分动作，不用逐个选择，从而避免错选漏选，提升管理效率。 为了针对一个用户有多台BYOD终端进行灵活、细致的策略管控，深信服AC 可以识别各种终端类型，包括windows、IOS、安卓、phone、pad等类型，还可以识别出用户接入网络的位置，包括有线、无线、办公位、会议室等等。 针对具有多面性的应用，比如网盘，其上传功能有泄密风险，而其下载具有有用性，因此，应该精细管控网盘的不同动作，如：封堵网盘上传，放通网盘下载。通过精细化的管控，兼顾安全和有用性。 为了满足移动终端的管理必需要，深信服上网行为管理可以针对1000多种移动终端的APP进行管控，防止员工通过移动终端来进行和工作无关的应用，避免工作效率的下降。 越来越多的网页使用SSL加密，如Google搜索、Gmail、邮箱、bbs甚至赌博网站，而因为采纳了加密技术，一般的管理产品无法对其内容进行识别管理，别有用心的用户可以利用这一缺陷绕过管理，通过SSL加密邮件、BBS、论坛公布的反动言论或者是向外发送组织的机密信息，导致管理漏洞。 深信服AC能精准识别SSL加密的网页和邮箱等，如百度、360、Foxmail邮箱等，并能够基于关键字对加密内容进行有效过滤。 深信服上网行为管理系统通过技术革新，可以精准的识别出，当前网络中员工私自架设的无线AP，私接的Wi-Fi，以及代理上网应用，从而防止带宽资源的乱用，防止黑客通过非法AP接入企业网络入侵。 深信服上网行为管理系统不仅记录内网用户访问了哪些网站，使用了哪些应用，还能对用户的上网行为内容进行深入审计，如IM聊天内容、微博、交际论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时，还支持SSL加密网页和应用的内容审计，避免错审漏审，帮助企业深入的了解员工上网行为。 AC支持实时监控功能，可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不必需要登陆数据中心即可实时查看网络的各种应用和流量使用状况，简单快捷。 运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全状况。 在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名状况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行状况的页面跳转。此外AC还支持实时连接监控，显示用户的所有会话连接状况。2.3.5.2全面、灵活的应用审计 AC实时监控和完善的应用审计功能，支持对网页内容、邮件收发、IM聊天、微博论坛等应用的全面审计，帮助网络管理员了解内网用户的上网行为，同时也作为追查依据。 网页审计：内网用户访问的URL地址、网页标题、时间等内容，AC能够完全监控与记录。 同时，通过网页快照功能，直观展现网页内容，便于管理人员快速查看。 邮件收发：关于Webmail或邮件客户端收发邮件，AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等，附件内容可提供下载做进一步审核。 IM聊天：关于、MSN、Gtalk等聊天应用，无论是Web版或是桌面版，AC 均能具体记录其聊天内容。 微博论坛：关于微博、交际论坛发帖不仅能够依据关键字进行过滤，公布的内容也能全面记录，准确还原发帖内容，提升可读性。 大型机构天天产生数十G日志数据，通过深信服AC独立数据中心实现日志海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。 通过统计报表功能，将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的具体的报表和图形化统计结果，并且支持导出PDF等文档、Email投递等功能，方便IT部门将统计结果向高层汇报。 通过AC数据中心的内容检索工具，可以实现类似Google一样的内容搜索，从海量日志中查询必需要的日志记录，并且支持高级搜索，支持订阅和自动Email 投递功能，极大的方便了管理者的使用。 机构的总裁、高层领导网络访问行为，财务部收发的邮件，关乎机构机密信息，对其记录审计反而成为泄密风险。因此AC支持免审计Key功能。在AC上为总裁、财务部相关人员生成免审计Key。当使用该免审计Key认证后，AC从底层免除对该人员的一切记录。一旦免审计功能被恶意取消后，当再插入该免审计Key后会自动弹出警告，且禁止该人员访问网络，彻底保证信息安全。 企业内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中心中，这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被乱用，领导的Email、MSN聊天内容等被肆意传播、私自张贴到互联网上必将给组织造成不良影响、甚至经济损失。 因此AC提供日志检察Key技术。数据中心管理员只有插入该Key后才干以审计、查询权限接入数据中心，从而对行为日志进行具体查询。关于没有该Key 的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看，无权限对行为日志进行审计、查询，从而保证行为日志记录不被乱用。 深信服上网行为管理系统通过多级父子通道技术，能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后，管理员能够给不同通道分配不同带宽。同时，带宽的分配并不是一成不变的。深信服上网行为管理系统具有动态流控功能，在总体带宽利用率偏低时自动调整策略，有效提升带宽利用率，避免资源浪费。 在P2P应用流量控制方面，通过深信服P2P智能流控技术，能够有效的抑制P2P流量，使得核心业务应用有足够的带宽资源。 深信服AC为管理员提供了网络流量可视化方案，管理员可以实时查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况〔包括DOS攻击、ARP欺骗等〕等信息，直观了解当前网络运行状况。 通过布暑深信服AC，可对网络出口链路总带宽进行细分，采纳“基于队列的流控技术〞，即建立通道，将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用，在通道中可以限制或保证其带宽，控制灵活。深信服AC支持多级父子通道，即在父通道中嵌套子通道，最大可支持8级父子通道。通过多级父子通道技术，能够完全匹配公司的组织架构，针对不同级别的通道进行带宽调整，为用户提供细致的流量管理手段，使得带宽分配更灵活、更合理。 目前，通过封IP、端口等限制“带宽杀手〞P2P应用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借P2P 智能识别技术，不仅识别和管控常用P2P、加密P2P，还能对不常见和将来将出现的P2P应用加以控制。 目前互联网上流行的P2P下载、流媒体等应用程序通常具备激烈的带宽侵占特性，传统流控手段是通过缓存和丢包手段来实现流量控制的目的，但是某些 P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制，即使被丢包依旧不会主动降低速率，仍抢占大量的带宽资源。同时关于下行的接收流量来说，被丢掉的数据包已经占用了线路带宽，关键业务的带宽依旧得不到提升，流控达不到预期的效果。 针对这些问题， AC通过智能流控功能，能有效解决P2P应用的问题。虽然基于UDP协议的P2P应用对丢包不敏感，但是下行流量与上行流量有显著的相关性，只要控制住上行流量，下行流量就能得到控制。当开启AC的智能流控功能时，系统会依据下行流量的设定值对上行流量进行自动调整，从而达到控制和减少下行流量的效果，从源头处有效限制P2P流量。 当带宽有限时，企业希望通过限制P2P、流媒体等应用来保证邮件、访问网站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略，依据应用的重要性分配相应的带宽。无论网络状况如何变动，分配的带宽都是固定的，不能自动调整，这样的流控策略往往造成带宽资源的浪费。比如某些业务应用带宽资源不够，而其他应用的带宽资源却处于空闲状态，得不到有效利用。 针对此类问题， AC提供了动态流控功能。用户可通过配置线路空闲阀值， 以及定义线路的空闲和繁忙状态，实现针对性制定流控策略。当线路空闲时可以放宽通道带宽限制，应用流量可突破原来设定的最大带宽限制；当线路繁忙时可以下压通道带宽，使带宽恢复到被限制状态，执行原有的流控策略。通过灵活的带宽管理，最大满足业务对带宽的必需求，实现带宽的最大价值。 第3章方案优势 除了传统的封堵、流控、审计等功能外，深信服的上网行为管理针对无线、有线网络的各种PC、移动终端上网碰到的新问题、新风险，提供了统一全面的管理功能：员工、来宾的统一接入管理，BYOD的权限控制、移动APP/云应用管控和审计。从而简化了IT运维操作，降低了管理难度。 上网行为管理不是简单的对应用进行封堵，而是依据不同的管理必需求来对应用进行限制。深信服上网行为管理能够对网络应用进行细分控制，如分别识别出网盘应用中的登陆、浏览、上传和下载等动作，依据企业中防泄密必需求，实现同意浏览下载，同时禁止上传。通过细分控制，能够更细致的对员工的上网行为进行管理。 在审计方面，深信服上网行为管理系统不仅记录内网用户访问了哪些网站，使用了哪些应用，还能对用户的上网行为内容进行深入审计，如IM聊天内容、微博、交际论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时，还支持SSL加密网页和应用的内容审计，避免错审漏审，帮助企业深入的了解员工上网行为。 AC支持父子通道技术，最高可支持八级，能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后，管理员能够给不同通道分配不同带宽。同时，由于通道具有父子关系属性，在后期维护中既能整体调整带宽，又能局部调节，带宽分配更灵活。 P2P应用具有激烈的带宽腐蚀特性，为了保护带宽资源不被乱用，必需对P2P 流量进行控制。传统的流控技术对P2P应用不起作用，外网线路依旧被占用，影响核心业务应用。通过深信服P2P智能流控技术，能够有效的从源端抑制P2P下行流量，使得核心业务应用有足够的带宽资源。 同时，AC具有动态流控功能，在总体带宽利用率偏低时自动调整策略，有效提升带宽利用率，避免资源浪费。 基于用户、终端、位置、业务多个维度的策略管理，能够依据用户在不同位置，使用不同终端时自动匹配相应的上网管理策略，灵活性强，适用于每一种应用场景。 深信服的上网行为管理方案，与其他多厂商设备组合方案相比，可以让IT 管理员维护更简单，用户使用更便捷： AC的外来访客的二维码认证功能，不但省去了复杂的临时账号申请流程，提升了工作效率，还能提升来宾体验，加强对企业形象认可。 在应用管理方面，引入标签化的概念，对应用打上标签，通过选择标签来指定多个应用，而无须再一个一个的查找，使得应用管理更加灵活高效。