网康互联网控制网关方案.doc

网康互联网控制网关解决方案 北京网康科技有限公司 2011年7月 目 录 1、互联网行为管理理念 4 1.1互联网管理的发展 4 1.2互联网管理的几个方向 4 1.3互联网管理的内容 6 1.4互联网管理解决什么问题 7 1.5网康科技上网行为管理理念 – 洞悉，管控，驾驭 7 2、互联网管理方案设计 8 2.1目前用户普遍存在的问题 8 2.2系统设计必须考虑的功能因素 8 2.3系统设计必须考虑的技术因素 9 2.4单位用户通用行为内容构成 10 2.5修复隐患点各功能模块概述 11 3、总体设计方案 13 3.1建设目标 13 3.2审计功能实现 13 3.3实施非明文文件传输隐患规避 19 3.4查询模式建议和监控 23 4、网康NS-ICG介绍 30 4.1 设备系统的安全性 30 4.2可靠性原则保障和易用性 31 1、互联网行为管理理念 互联网作为一个拥有完全社会特征的虚拟环境，其管理与单位的管理密不可分，然而互联网的管理复杂度远超过一般的单位管理。互联网管理包括：风险管理、合规管理、行为管理和链路管理。 1.1互联网管理的发展 从互联网使用的历程来看，首先是接入，让互联网可用；其次是高效率，出口链路的流量管理；然后是访问控制，让大家安全合理的使用互联网；最后上升到员工行为分析和管理。 归纳起来，一是关注上网权限（什么样的人允许使用互联网），二是关注上网速度（保证起码的办公需要），三是关注上网内容（泛指各种互联网应用及其信息），四是员工行为分析和管理。实际上，使用权限、访问速度、上网内容、行为分析密不可分，都是互联网管理的重要组成部分。 完整的互联网访问管理遵循“记录—分析—决策—实施策略—再记录、分析”这样一个螺旋式上升的，逐步完善的过程。 1.2互联网管理的几个方向 权限管理 对互联网的使用是不是开放的，需要什么样身份的人才可以接入网络。 链路管理 链路管理是互联网管理的基础，主要是如何保障互联网出口链路的畅通、高速。 链路管理包括带宽分配、流量整形、异常流量的防护等。 风险管理 过去我们往往把信息安全局限于通信保密，局限于对信息加密功能要求，其实网络信息安全牵涉到方方面面的问题，是一个极其复杂的系统工程。从简化的角度来看，要实施一个完整的网络与信息安全体系，至少应包括三类措施，并且三者缺一不可。 一是社会的法律政策，政府、单位等单位的规章制度以及安全教育等外部软环境。在该方面政府有关部门的主要领导应当扮演重要的角色，只有技术措施并不能保证百分之百的安全。 二是技术方面的措施，如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等。 三是审计和管理措施，该方面措施同时包含了技术与社会措施。其主要措施有：实时监控单位网络安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等，以防患于未然。 合规管理 国家《互联网安全保护技术措施规定 对于上市机构，随着美国SOX法案的生效，由国务院批准、财政部牵头发起，证监会、国资委共同参与成立的“单位内部控制标准委员会”正式在北京成立，这预示着我国单位在内部控制方面将迎来一部类似美国萨班斯法案的标准体系，这对于的内部管理提出挑战，也创造了机遇。 怎样标识定位用户？ 哪些用户可以使用互联网？ 哪些用户正在访问互联网？ 管理行为 哪些类型的网站是本单位明令禁止访问的？ 对影响工作效率的网络应用进行阻断还是流控？ 是否需要针对工作时间和下班时间设置不同的策略？ 管理内容 员工的邮件有没有泄露单位的敏感信息？ 员工的言论有没有触犯国家的有关法规？ 员工使用互联网在多大程度上做与工作无关的事情？ 管理带宽 出口网络带宽真的不够用吗？ 宝贵的带宽资源有多少用于核心业务的传输？ 对于P2P下载大量消耗带宽有无良策？ 1.4互联网管理解决什么问题 挑战： 人员随意接入互联网 安全威胁不断 浏览不良网页 工作效率低下 网速越来越慢 机密信息外泄 违反国家法律 逃避单位监管 管理： 开启上网认证 杜绝安全隐患 屏蔽不良网站 保障工作效率 合理利用带宽 开启信息审计 遵从国家法律 过滤出口数据，无法躲藏 1.5网康科技上网行为管理理念 – 洞悉，管控，驾驭 洞悉 – 谁在使用网络，网络中发生了什么 管控 – 制定策略，管理控制 驾驭 – 检查结果，持续优化 2、互联网管理方案设计 2.1目前用户普遍存在的问题 员工的互联网接入权限没有一套整体的管理制度；员工在工作时间P2P下载占用较大的带宽资源，使其它员工正当的互联网访问受到影响；员工在上班时间玩游戏、炒股，严重影响了工作效率，且带来较坏的影响；员工有意或无意接入一些不良网站，造成网络中大量木马、病毒的传播，引发安全风险；论坛发帖带来潜在的法律风险非常大；内部机器中毒疯狂外发数据包造成出口防火墙不堪重负