上网行为管理解决方案.docVIP

上网行为管理解决方案 网康趙捷 NETENTSEC  2011年11月 1. 项目背景 随着信息时代的到来，国际互联网的普遍应用已日益渗透到我国社会政治、经济、 文化生活的各个角落。互联网是一个连接全世界的、开放的、自由的信息网络，涉及到 社会各个领域，它带来的是其开放性、兼容性、高效性与跨国性的信息传播，人们因此 而受益颇多。在信息化推进的同时，不可避免的伴随着计算机犯罪的增加、网上黑客的 猖獗、色情信息的泛滥、信息间谋的潜入。 XX集团，重视IT基础架构的建设，从而助推业务系统综合实力的提升。但是有必 要在现有IT基础架构的基础上建设上网行为管理系统，通过下属的行政效能监察室来记 录或者管理市直属单位以及各二级单位的上网行为。其必要性在于： 第一：从遵守国家政策角度，每个联网单位有义务建设行为、内容管理系统。 第二：作为能源类单位，必须遵守萨班斯法案或者类似法案，该法案要求企业的内 控活动，不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录，对审计 过程也有存档的要求。同时《公安部互联网安全保护技术措施规定 （公安部令第82号）》 第十三条，互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施，应 当具有至少保存六十天记录备份的功能。 第三：通过互联网传递信息已经成为企业的关键应用，然而信息的机密性、健康性、 政治性等问题也随之而来。需通过上网行为管理设备制定精细化的信息收发监控策略， 有效控制关键信息的传播范围，以及避免可能引起的法律风险，并且保护企业的信息资 产，尤其是勘探信息、经营信息等。 第四：可以通过管理上网用户的行为，提高企业的运作效率，避免与工作无关的信 息的干扰。 第五：通过优化互联网的运行和监控，最大限度的保障已投资的信息资产（如带宽 等） 2. 网络现状 XX集团内部网络基础建设已基本完成，但缺少相应的监控手段，管理者无法看到 职工具体在利用网络做些什么事情。虽然防火墙已经部署，但作为一个客体安全产品， 它可以很有效的防御一些外来的攻击，但对单位职工上网行为处于一种透明状态，防火 墙无法做到主体安全的管理，网络中充斥大量的P2P、网络视频等消耗带宽很大的应用， 导致网络拥塞，正常业务无法得到保障。内部职工甚至从事一些泄露公司机密的行为， 单位也束手无策。单位管理者需对职工的对外发送信息，如： BBS发帖；外发邮件的内 容；网站信息的浏览等等，做到实时监管，一旦发现职工有损害国家利益的行为或从事 非法活动，立刻得以定位，并对其进行处理。 目前存在的主要问题 1） 上网行为无法对应到具体的用户 当前的网络一般米用自动获取IP或固定IP的方式上网，在传统的网络设备中 也只能做到查询IP的流量，无法对应到具体的用户，外来人员上网、盗用 IP等情 况时有发生，管理员无法在技术手段上进行有效的管理。 2） 无法对泄密行为进行有效的管理和监控 随着网络的发展，电子邮件、论坛发帖、聊天软件等外发行为可能导致公司 机密内容有意或无意的外泄，传统的网络设备无法识别外发行为的内容，更无法 做到外发行为的管控，造成了很大的泄密风险。 3）无法全天候的保障单位核心互联网业务的带宽 随着单位访问互联网的内容越来越丰富，用户需求也越来越大，很可能会导致 互联网出口出现拥塞，一些日常核心的业务就不能够顺畅的进行。 面对目前的情况， 现有设备不能做到有效的流量管理功能。在网络拥塞时核心业务也需要等待，这种 现象相当影响职工的工作效率。 3） 无法对可能的隐患服务进行有效的快速定位 目前互联网中存在较多的蠕虫病毒，这些病毒可能会在职工不知情的情况下产 生大量的无意义的流量，严重的会占用单位的出口带宽，但是目前防火墙等设备并 不具备识别网络协议的能力，因此不能指导性的给出哪些流量是无效流量，给网络 拥塞的快速定位造成了较大的困难。 4） 无法很好的满足国家在互联网安全方面的政策方针 公安部预2005年颁布了《互联网安全保护技术措施规定》既 82号令，要求“互 联网服务提供者、联网使用单位负责落实互联网安全保护技术措施…”。胡总书记在 2007年的重要讲话中强调“要大力发展和传播健康向上的网络文化，切实把互联网 建设好、利用好、管理好”。因此公安部更要求各个单位严格落实 82号令。3. 解决方案 根据XX集团的实际网络情况，我们建议部署上网行为管理设备。 它面向主体的互联 网管理与控制。可采用如下图方式接入网络，，需要串接入现有网络（部署时会引起短 暂断网情况），但不改变原有网络结构，为透明桥方式接入。部署示意图如下： 网康NS-ICG产品提供灵活的带宽控制功能、可以基于用户、用户组、特定的应用协 议及总带宽进行灵活的设定，有效的进行上网行为日志纪录。 通过网康公司基于本土研发的应用特征库，可以直接对所有常见的