企業上网行为管理系统的应用.docVIP

企业上网行为管理系统的应用 从企业网络访问互联网的信息安全出发，介绍了在企业内网建设上网行为管理系统。构建完整的终端与用户上网行为的管理体系，为企业提供—个安全、高效的企业上网环境。 随着Internet接入的普及和带宽的增加。一方面员工上网条件得到改善，另一方面也给公司带来更高的网络使用危险性、复杂性和混乱性。内网用户访问互联网多样化资源信息方便易行，同时很有可能受到网络上木马、病毒等的攻击，从而造成内网的瘫痪。另外在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐和电影等BT下载、在线收看流媒体的员工正在日益增加。从事与工作无关的活动，不仅影响工作效率，而且占用了带宽资源，很有可能使得企业的重要业务得不到保障，更有甚者，发表不良、反动言论，严重影响公司的企业形象。 在企业内网建设一个高效性、安全性和规范性的上网行为管理系统，可以提高员工工作效率，有效降低非工作上网行为，保障网络资源合理使用；减少安全风险，避免上网导致的病毒、恶意代码给企业带来的潜在风险；同时提高网络可管理性，便于网络与行政管理。 一、网络现状与问题 目前，大型企业网络现状拓扑如图1所示。企业内网核心交换机通过防火墙与IP城域网连接，以访问互联网。现有网络网关处通过部署防火墙解决网络安全问题。但是随着员工的增多，缺乏规划的管理逐渐暴露出诸多问题： 点击图片查看大图 图1 网络现状拓扑图 (1)安全问题：在互联网应用方面，HTTP、SMTP、FTP、POP3等协议，几乎每天都面临不同的安全风险，病毒、蠕虫、垃圾邮件、木马程序、网络钓鱼等恶意行为也在伺机攻击企业的IT系统。 (2)保密问题：客户资料、商业信息、企业秘密等机密文件，可能轻易地通过E-mail、QQ、MSN、BBS等网络行为向外发送，防火墙对此是无法耻的，这就导致重要焦斟泄，造成安全隐患。 (3)管理问题：网络游戏、聊天交友、BT下载、在线音乐、在线电影等不适当的网络行为不但影响了员工的工作效率，而且还占用企业大量的网络出口带宽资源。给企业正常的网络业务带来极大的影响。 企业上网的解决方案 为对访问互联网敏感信息的内容进行检查、过滤和控制，屏蔽来自互联网的恶意代码、非法网页和有害信息，应在企业内网互联网出口部署上网行为管理系统网关设备，并实现与终端管理平台用户目录集成，构建完整的终端与用户行为的管理体系。上网行为管理系统网关设备具备以下特征： (1)提供全面准确的通信内容管理、网络行为管理手段； (2)满足高性能要求，提供强大的分析和处理能力，保证正常网络通信的质量； (3)具备高可靠的自身安全性，保证网络、自身设备的高可用性； (4)提供方便灵活的部署方式，丰富的系统管理能力。 上网行为管理系统的部署应以现有网络改动最小为原则，简化部署过程，减少链路或业务中断时间。根据不同的部署方式有不同的建设方案： 1．旁挂方式 考虑到互联网访问的要求高可用性及实时性，系统性能不能降低原有网络带宽，延迟，抖动等性能指标，同时不改变用户习惯，新增上网行为管理器物理旁接在现有网络互联网出口处。为保障系统高可用性，上网行为管理器采用双机冗余部署方式，设备发生故障时，不影响访问互联网。旁挂方式网络拓扑结构如图2所示。 点击图片查看大图 图2 旁挂方式网络拓扑图 上网行为管理器通过办公用户互联网核心交换机现网多余的SPAN端I=／流量映射方式，使上网行为管理系统获取办公用户的互联网访问流量并进行分析和策略过滤控制，或者采用路由方式进行流量分析和策略过来控制，都不会对现有网络的处理速度产生影响。 另外，新增1台服务器，作为日志存储服务器，提供存储6个月以上的报告能力。该新增服务器在本系统中起外置存储作用，故无需双机备份。 2.串接方式 新增上网行为管理器物理串接在网关NAT设备和核心交换机之间，可以对上网行为管理系统的数据进行上网安全过滤、上网行为控制和审计。串接方式网络拓扑结构如图3所示。 为保障系统高可用性，上网行为管理器采用双机冗余网桥(透明)模式部署，且设备发生故障时自动切换为中继设备，除上网行为管理功能失效外，不影响访问互联网。 点击图片查看大图 图3 串接方式网络拓扑图 另外。新增1台服务器，作为日志存储服务器，，提供存储6个月以上的报告能力。该新增服务器在本系统中起外置存储作用，故无需双机备份。 三、方案对比 以上两种方案中，旁挂方式的优点在于无需对现网作调整、不会降低原有网络性能指标、不改变用户习惯。施工容易，缺点是需在三层交换机上作端口影像。串接方式的优点是无需在三层交换机上作端口影像，效率较高，但会影响现网数据流