上网行为管理解决专项方案.doc

资源描述

上网行为管理处理方案 11月 1.项目背景伴随信息时代到来，国际互联网普遍应用已日益渗透到中国社会政治、经济、文化生活各个角落。互联网是一个连接全世界、开放、自由信息网络，包含到社会各个领域，它带来是其开放性、兼容性、高效性和跨国性信息传输，大家所以而受益颇多。在信息化推进同时，不可避免伴伴随计算机犯罪增加、网上黑客猖獗、色情信息泛滥、信息间谋潜入。 XX集团，重视IT基础架构建设，从而助推业务系统综合实力提升。不过有必需在现有IT基础架构基础上建设上网行为管理系统，经过下属行政效能监察室来统计或管理市直属单位和各二级单位上网行为。其必需性在于：第一：从遵守国家政策角度，每个联网单位有义务建设行为、内容管理系统。第二：作为能源类单位，必需遵守萨班斯法案或类似法案，该法案要求企业内控活动，不管是人还是信息系统操作步骤全部必需明白地定义并保留相关统计，对审计过程也有存档要求。同时《公安部互联网安全保护技术方法要求（公安部令第82号）》第十三条，互联网服务提供者和联网使用单位依据本要求落实统计留存技术方法，应该含有最少保留六十天统计备份功效。第三：经过互联网传输信息已经成为企业关键应用，然而信息机密性、健康性、政治性等问题也随之而来。需经过上网行为管理设备制订精细化信息收发监控策略，有效控制关键信息传输范围，和避免可能引发法律风险，而且保护企业信息资产，尤其是勘探信息、经营信息等。第四：能够经过管理上网用户行为，提升企业运作效率，避免和工作无关信息干扰。第五：经过优化互联网运行和监控，最大程度保障已投资信息资产（如带宽等）。 2.网络现实状况 XX集团内部网络基础建设已基础完成，但缺乏对应监控手段，管理者无法看到职员具体在利用网络做些什么事情。即使防火墙已经布署，但作为一个客体安全产品，它能够很有效防御部分外来攻击，但对单位职员上网行为处于一个透明状态，防火墙无法做到主体安全管理，网络中充斥大量P2P、网络视频等消耗带宽很大应用，造成网络拥塞，正常业务无法得到保障。内部职员甚至从事部分泄露企业机密行为，单位也束手无策。单位管理者需对职员对外发送信息，如：BBS发帖；外发邮件内容；网站信息浏览等等，做到实时监管，一旦发觉职员有损害国家利益行为或从事非法活动，立即得以定位，并对其进行处理。现在存在关键问题 1) 上网行为无法对应到具体用户目前网络通常采取自动获取IP或固定IP方法上网，在传统网络设备中也只能做到查询IP流量，无法对应到具体用户，外来人员上网、盗用IP等情况时有发生，管理员无法在技术手段上进行有效管理。 2) 无法对泄密行为进行有效管理和监控伴随网络发展，电子邮件、论坛发帖、聊天软件等外发行为可能造成企业机密内容有意或无意外泄，传统网络设备无法识别外发行为内容，更无法做到外发行为管控，造成了很大泄密风险。 3) 无法全天候保障单位关键互联网业务带宽伴随单位访问互联网内容越来越丰富，用户需求也越来越大，很可能会造成互联网出口出现拥塞，部分日常关键业务就不能够顺畅进行。面对现在情况，现有设备不能做到有效流量管理功效。在网络拥塞时关键业务也需要等候，这种现象相当影响职员工作效率。 3) 无法对可能隐患服务进行有效快速定位现在互联网中存在较多蠕虫病毒，这些病毒可能会在职员不知情情况下产生大量无意义流量，严重会占用单位出口带宽，不过现在防火墙等设备并不含有识别网络协议能力，所以不能指导性给出哪些流量是无效流量，给网络拥塞快速定位造成了较大困难。 4) 无法很好满足国家在互联网安全方面政策方针公安部预颁布了《互联网安全保护技术方法要求》既82号令，要求“互联网服务提供者、联网使用单位负责落实互联网安全保护技术方法…”。胡总书记在关键讲话中强调“要大力发展和传输健康向上网络文化，切实把互联网建设好、利用好、管理好”。所以公安部更要求各个单位严格落实82号令。 3.处理方案依据XX集团实际网络情况，我们提议布署上网行为管理设备。它面向主体互联网管理和控制。可采取以下图方法接入网络，，需要串接入现有网络（布署时会引发短暂断网情况），但不改变原有网络结构，为透明桥方法接入。布署示意图以下：网康NS-ICG产品提供灵活带宽控制功效、能够基于用户、用户组、特定应用协议及总带宽进行灵活设定，有效进行上网行为日志纪录。经过网康企业基于本土研发应用特征库，能够直接对全部常见网络应用程序及子应用进行有效监控审计及阻断。比如，经过配置P2P应用阻断策略，凭借网康科技正确P2P子协议识别技术，正确实施应用控制策略。经过网康NS-ICG产品对常见综合下载软件迅雷做细致流量控制，包含下载http、ftp等方法资源。即时通讯 P2P下载流媒体网络游戏网络电视炒股软件 QQ BitTorrent RTSP 联众游戏 PPLive 大智慧 MSN eMule系列 MMS 浩方游戏平台 QQ直播指南针 Yahoo通 PP点点通 QuickTime 梦幻西游 PPStream 同花顺 AIM(ICQ) KaZaA Email 跑跑卡丁车沸点证券之星网易泡泡 Kugoo SMTP 泡泡堂 UUsee 钱龙新浪UC Gnutella POP3 街头篮球磊客盘口王搜Q 迅雷 IMAP4 QQ音速 Mysee 大策略 IRC Vagaa 远程登录新浪游戏大厅青娱乐 Webmail 代理 Telnet 中国游戏中心 BBsee SOCKS RDP远程桌面劲舞团 SSH 热血江湖依据网康企业多年积累url库（多万条）及51个预分类，能够方便对如色情、暴力等不良网站进行全方面监控审计和有效控管。 BBS站点 Web通信在线聊天网络游戏网上交易色情计算机和互联网成人赌博博彩毒品文学违反道德违反法律犯罪技能病毒房地产娱乐医疗健康广告财经商业机动车参考社会生活新闻媒体远程代理旅游体育儿童宗教和信仰求职招聘艺术法律政治军事门户网站和搜索引擎教育科学非盈利组织博客 4.网络控制策略 4.1用户管理在使用上网行为管理系统之前，我们为XX集团及做一个具体用户管理计划，以方便我们快捷对网络行为进行正确定位。用户是互联网访问标识主体（即谁在访问），是网康上网行为管理目标对象。除身份认证信息外，一个完整用户定义还包含其组织信息和访问策略。每一个互联网访问全部对应唯一用户（或用户组），这是网康上网行为管理系统实现基于用户和用户组访问控制基础。而建立完整和正确用户信息更是确保上网行为管理系统进行有效互联网访问审计（监控，查询，报表等）关键。经过网康上网行为管理系统提供Web管理界面，能够输入、维护用户和组信息，从而建立起和本单位实际组织结构相一致组织信息。用户和组维护功效包含新建、删除、更新、改变所属关系等。 4.2用户认证管理用户是上网行为管理产品最为关键要素，任何一条策略全部是针对一个用户或部门设置，所以对于用户识别、认证和管理能力决定了上网行为管理效果。网康ICG提供了丰富用户认证方法和符合企业实际用户管理能力，很好地满足企业对于用户管理要求 4.2策略制订 4.2.1 防泄密策略设置互联网存在多个泄密路径，通常路径包含： 1、论坛。论坛提供开放言论空间，是公布网络言论关键路径。一旦涉密信息出现在网络论坛中，会经过网络快速传输。 2、 IM软件。IM软件已经成为沟通关键手段，经过IM传输消息、发送文件，也会使得信息传输实况。 3、邮件。经过邮件附件，能够快速将单位内部资料发送给其它人。邮件群发功效，更使得传输效应大大增强。 4、木马后门。木马程序会在计算机终端上开启后门，使得电脑上全部资料完全暴露于入侵者勉强，毫无保密性可言。 n 网采取关键字库过滤技术，对包含涉密内容信息进行过滤，严禁涉密信息发网络论坛；同时，提供智能告警功效，一旦出现情况，能够快速定位，快速介入 1.审计全部论坛发帖内容 2.设置关键字，当匹配关键字时阻塞此次发帖，并统计 3.当有匹配关键字发帖出现时，系统向管理员发送告警邮件图所表示：全部内网用户论坛发帖行为被统计，一旦发生泄密事件能定位到人。带有机密信息发帖内容不会流传到互联网上，杜绝论坛发帖泄密方法 n 对SMTP邮件标题、正文、附件内容进行进行管控 1.严格人工控制：将全部邮件阻塞，保留原文及附件，必需经过人工审核才能发送 2.宽松人工控制：将匹配关键条件邮件阻塞，保留原文及附件，必需经过人工审核才能发送 3.非人工控制：将匹配关键条件邮件阻塞，保留原文及附件，而且能够以邮件方法向管理员报警，其它邮件直接放行 4.非控制审计：将全部邮件放行，但统计匹配关键条件邮件，保留原文及附件，而且能够以邮件方法向管理员报警 n 对webmail邮件外发行为进行管 1.对Webmail进行阻塞或直接放行 2.具体统计邮件基础信息、正文内容，保留传输附件原文 3.能够以邮件方法主动向管理员报警 n 对IM类软件（QQ,MSN,SKYPE，飞信等）进行外发文字，文件名称过滤 1.统计QQ聊天人员及内容 2.对存在泄密可能职员，严禁其QQ使用 3.对涉密人员QQ在线或离线文件传输进行控制 4.对涉密人员QQ网络硬盘进行控制 5.对涉密人员群共享进行控制 n 经过封堵木马类协议和强制主机安装查杀木马杀毒软件，预防木马泄密在互联网出口和数据库机房出口线路上同时封堵木马类应用协议强制内网全部用户安装查杀木马杀毒软件，不然不能上网，堵住木马泄密源头 4.2.2 流量控制策略设置下面以对P2P协议做限速为例进行流量控制功效说明。 1）经过选择策略管理à对象设置à带宽通道对象，点击添加：优先级：设定带宽优先等级，从等级0到等级7，累计8个等级。数字越小优先级越高。配合策略设定，会优先保障优先级较高通道内网络连接和通信。为关键应用确保带宽和网络服务质量。上传速率：设定上传速率。（当带宽担心时所要确保确保带宽）最大上传速率：设定最大上传速率。指超出上传速率后，借用带宽后所达成最大上传速率（假设其它通道还有富余上传带宽话）。下载速率：设定下载速率。（当带宽担心时所要确保下载带宽）最大下载速率：设定最大下载速率。指超出下载速率后，借用带宽后所达成最大下载速率（假设其它通道还有富余下载带宽话）。将此带宽通道应用到P2P协议上 2）选择策略设置à流量控制，点击添加，选择P2P，以下设置通道，选择P2P带宽通道点击确定，至此P2P下载限制设置好。最终点击立即生效使规则生效。 4.2.3应用限额策略网康ICG能够针对应用进行时长和流量限额设置，要求天天所选应用能够使用多长时间或多少流量。如上图所表示，设定宿舍计算机天天只能上网5小时，时间到后全部应用将被屏蔽。 4.2.4应用封堵策略网康ICG能够针对应用进行不一样用户、不一样时间封堵，从而达成灵活管控目标。如上图所表示，针对宿舍进行工作时间全部应用进行封堵，使得宿舍在工作时间无法上网。 4.2.4连接数控制网康ICG能够针对新建连接数进行控制，有效预防用户计算机中毒等异常状态对整个网络出口造成影响 5.网络监控实时分析 5.1流量监控分别以图文形式显示流量最大若干应用和流量最大若干用户。 n 应用流量排名 n 用户流量排名 5.2 应用监控经过应用监控查询能够实时获取内网用户应用状态，并可进行过滤查询，以下图： 5.3 网站访问监控经过网站访问监控能够实时查看内网用户访问网站情况，并对应相关分类，以下图： 5.4 搜索引擎监控 5.5用户统计以用户为对象对管理系统支持全部网络行为进行统计，实现对用户访问网站、应用及外发信息（邮件、论坛发帖、聊天信息三种类型）进行统计功效。 5.6应用流量统计经过对管理系统支持全部应用上传流量、下载流量、总流量及访问用户数进行统计，了解网络资源使用情况。 6. 统计汇报输出分析网康ICG支持依据时间、用户、应用对上网行为进行全方位统计，内容涵盖网络流量、Web访问、邮件收发、IM聊天、论坛发帖、P2P下载等多种网络应用。并提供多达50种预置汇报模版，取得不一样角度统计汇报。 6.1递进式（Dill-down）统计分析面对纷繁复杂数据，大家习惯从宏观到微观、从全局到局部逐步地认知、了解，分析层次由浅入深，分析粒度由粗到细。实际上，多数抽象事务分类和分层普遍遵照这一规律，如日期以年、月、日表示，行政区根据国家、省、市、县进行组织，大家思维习惯实际上是这种客观存在主观映射。网康ICG采取递进（drill-down）方法，把统计数据层次分明地展现给用户，帮助管理员快速在全局和细节上把握网络活动情况。比如：为了了解一周内企业职员访问web情况，ICG引导用户根据以下操作：URL总类别数 -> 哪些网站类别 -> 某类网站所包含具体网址 -> 某网址有哪些人在什么时间访问，层层递进，把web访问信息清楚地展示出来，以下图所表示。另外，除了根据网站类别查看，还能够根据站点、请求数等进行递进查询分析。递进统计分析 6.2预置汇报模版分析汇报是实施上网行为管理设备后进行效果评定最直观工具，也是了解网络活动和调整管理策略最关键依据。网康ICG提供用户/部门上网综合汇报、流量分析汇报、用户排名汇报、应用排名汇报、网络应用时间走势汇报5大类50多个汇报模版，以表格、饼图、柱图、线图等多个形式展现，方便管理员进行全方面分析。 n 用户上网综合汇报在选定时间范围内，对于选定用户：总流量，下载流量，上传流量汇报总流量历史走势汇报应用排名汇报（按流量）访问最多URL类别排名，和访问次数阻断数最多URL类别排名，和阻断次数请求数最多URL站点排名，和请求次数阻断数最多URL站点排名，和阻断次数发帖最多站点排名，和发帖数量发送邮件最多email类型，和发送数量 IM聊天条数 n 部门上网综合汇报在选定时间范围内，对于选定部门（用户组）：部门总流量，下载流量，上传流量汇报部门总流量历史走势汇报部门应用排名汇报（按流量）部门访问最多URL类别排名，和访问次数部门阻断数最多URL类别排名，和阻断次数部门请求数最多URL站点排名，和请求次数部门阻断数最多URL站点排名，和阻断次数部门发帖最多站点排名，和发帖数量部门发送邮件最多email类型，和发送数量部门IM聊天条数 n 流量分析汇报总流量走势汇报累计流量最大应用排名累计流量最大用户排名累计流量最大网站排名流量分析汇报 n 用户排名汇报网络访问最活跃用户排名 Web访问最多用户排名 Web阻断次数最多用户排名发送邮件数量最多用户排名聊天条数最多用户排名发帖数量最多用户排名用户排名汇报（流量） n 应用排名汇报请求数最多网站类别排名阻断数最多网站类别排名请求数最多网站排名阻断数最多网站排名发送邮件数最多email类型排名发帖站点排名 Web类别排名汇报（请求数） n 时间走势汇报 Web访问走势汇报阻断信息走势汇报邮件发送走势汇报论坛发帖走势汇报 IM聊天走势汇报应用流量走势汇报一天内流量随时间走势汇报 7.网康产品说明 ² 北京网康是互联网控制管理领域先行者，中国企业信息化500强上网行为管理设备指定提供商，专做上网行为管理一款产品。 ² 网康互联网控制网关建立了世界上最大适应中国大陆URL地址数据库，超出多万URL地址。汉字地址网站90%以上百分比，共51个分类，能够在线连续更新。经过对成人，色情等非法网站强有力过滤，能够保障职员接触到是一个绿色，文明互联网。 ² 网康互联网控制网关建立了世界上最大符合中国人上网习惯当地化网络应用协议管理数据库，涵盖了中国流行多种网络应用大类别，经过对多种网络应用流量限流和控制，能够保障职员通畅访问互联网。 ² 提供长久可连续特征库升级能力，立即跟进最新互联网使用行为。关键技术叙述： ² 主体管理技术理念：越来越多互联网访问出口阻塞和网络安全问题是因为内部用户不妥访问造成。主体管理通俗讲就是将企业管理政策（在本方案中即为上网管理要求）经过技术手段落实到内部用户身上，增加管理要求可操作性和可审计性。 ² 基于行为后果搜索引擎技术分类网址库：因为上网行为管理中Web控制多基于内置分类库实现，少部分会由用户自定义补充，所以分类库建立方法和库容量将直接决定Web控制效果，现在业界优异厂商均采取基于搜索引擎技术网址分类库。（基于行为后果分词技术为网康专利技术，经过该技术网康已经拥有1200多万URL网址分类库）。 ² 细粒度树形协议分类库：高端互联网访问管理产品多采取树形应用协议分类库（类似于注册表技术）。因为在设置应用协议控管策略时用户需求可宽，可严，可细化，而且需要高可读性，传统避免平面协议库在和已经有协议嵌套或近似新协议产生时出现可读性严重降低。采取细粒度树形协议分类库将有效提升行为管理策略可读性，而策略高可读性是安全产品必尊法则之一。

展开阅读全文