|
1、互联网行为管理理念 互联网作为一个拥有完全社会特征的虚拟环境,其管理与学校、政府、金融、企业等机构(部门)网络的管理密不可分,然而互联网的管理复杂度远超过政府、金融、企业、学校等机构(部门)网络的管理。互联网管理包括:风险管理、合规管理、行为管理和链路管理。 1.1互联网管理的发展 从互联网使用的历程来看,首先是接入,让互联网可用;其次是高效率,出口链路的流量管理;然后是访问控制,让大家安全合理的使用互联网;最后上升到员工行为分析和管理。 归纳起来,一是关注上网速度,二是关注上网内容(泛指各种互联网应用及其信息),三是入网用户(学生,教职员工,宿舍,家属)行为分析和管理。实际上,访问速度、上网内容、行为分析密不可分,都是互联网管理的重要组成部分。 完整的互联网访问管理遵循“记录—分析—决策—实施策略—再记录、分析”这样一个螺旋式上升的,逐步完善的过程。 1.2互联网管理的几个方向 l 集中管理 对于同一个(组)机构有各自不同的局域网,自己的网络自己管理的环境,对其实现网络的集中审计和控管,统一制定策略,统一采集日志信息,统一查看系统状态信息等,保证各分支信息安全和网络的稳定、统一。 l 链路管理 链路管理是互联网管理的基础,主要是如何保障互联网出口链路的畅通、高速。 链路管理包括带宽分配、流量整形、异常流量的防护等。 l 风险管理 过去我们往往把信息安全局限于通信保密,局限于对信息加密功能要求,其实网络信息安全牵涉到方方面面的问题,是一个极其复杂的系统工程。从简化的角度来看,要实施一个完整的网络与信息安全体系,至少应包括三类措施,并且三者缺一不可。 一是社会的法律政策,单位的规章制度以及安全教育等外部软环境。在该方面政府有关部门的主要领导应当扮演重要的角色。 二是技术方面的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等。只有技术措施并不能保证百分之百的安全。 三是审计和管理措施,该方面措施同时包含了技术与社会措施。其主要措施有:实时监控网络安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等,以防患于未然。 l 合规管理 国家《互联网安全保护技术措施规定》、《信息安全等级保护》、《企业信息系统风险管理》等安全指导,均对学校、政府、企业、银行互联网访问的控制、审计提出要求。 公安部33号令以及2006年3月1日颁布实施的公安部82号令,都对互联网使用单位内部用户的上网行为提出了行为审计和记录的要求,尤其82号令要求互联网访问行为日志“至少留存60天”。 l 行为管理 社会化是互联网的基本特点。也是互联网管理区别于局域网管理的最大不同之处。随着互联网Web2.0等交互式技术的广泛应用,互联网社会化程度日趋明显,互联网与用户之间的相互影响也越来越大。 可以说,很多的政府部门管理风险是由于对员工的片面管理造成的,往往通过人员的其他行为可以更有效的分析引导。 用户的上网行为实际上反映了上网用户的社会行为,互联网管理不仅仅是网络实体的管理,可以提升到学校管理的高度。社会化特征使互联网更具有管理价值 目前市场有不少产品也宣称能够对应用进行管理,对流量进行控制。这样的产品很多是从传统的安全产品通过增加新功能、或者置换概念而来,如UTM、内网安全管理、应用安全网关等等。它们可能在某个层面,从某个角度解决用户的特定问题,但并不全面,不能称为上网行为管理产品。 1.3互联网管理的内容 q 管理用户 § 哪些用户可以使用互联网? § 怎样标识定位用户? § 哪些用户正在访问互联网? q 管理行为 § 哪些类型的网站是明令禁止访问的? § 对影响工作效率的网络应用进行阻断还是流控? § 是否需要针对工作时间或者上课时间和下班时间或者下课时间设置不同的策略? q 管理内容 § 用户的邮件有没有泄露单位的敏感信息? § 用户的言论有没有触犯国家的有关法规? § 用户使用互联网在多大程度上做与工作无关的事情? q 管理带宽 § 单位的带宽真的不够用吗? § 宝贵的带宽资源有多少用于业务的传输? § 对于P2P下载大量消耗带宽有无良策? 1.4互联网管理解决什么问题 挑战: q 安全威胁不断 q 浏览不良网页 q 工作效率低下 q 网速越来越慢 q 机密信息外泄 q 违反国家法律 | 管理: q 杜绝安全隐患 q 屏蔽不良网站 q 保障工作效率 q 合理利用带宽 q 防止机密外泄 q 遵从国家法律 |
2、网络系统总体设计方案 根据网络整体建设规划的要求,此方案在网络出口处部署1台互联网控制网关(上网行为管理设备),实现对全网用户的上网行为进行审计和管理。 通过本次建设,应可达到对互联网行为有效的风险规避,减少法律风险,提升工作效率,保障核心应用使用质量,降低p2p滥用导致的网络延时,尽最大可能的避免核心信息的外发,并可全面监控,审计,管理互联网行为。 由于互联网行为管理是较为新兴的技术,每个机构的策略并不具备普遍性,需要顾问式的引导,因此在策略配置层面需要提供专业的互联网行为管理顾问思路,协助学校建立起完善的互联网行为访问规范,并将规范全面落实到行为审计设备中,用技术推动互联网行为安全的进程。 本次系统的设计目标 1、 实现行为审计工作的流程化、制度化、集中化 任何行为审计的操作中实现标准的工作化流程,在已有机构里包括权限分发,策略模板制定,策略下发,策略回收。在新建机构时包含设备模型化,操作规范化。 对于多出口的网络部署多台设备的情况下,可以实现集中管理,集中审计,策略的集中下发等。 2、 实现审计方法的简易化 作为增值类网络产品,要求不能对现有网络造成过大的耦合,可快速部署,快速配置,快速查询。 3、 安全、可靠,有效的行为审计系统 作为在链路中串入的设备,必须实现自身安全,自身可靠,原有链路可靠,以及审计后果的有效性;或者旁路接到网络中实现信息内容的审计功能 4、 行为审计的长期可持续 利用设备标准的,频繁的,持续的更新服务,使得审计工作可持续性的发展,保证长期有效的安全。可以外置专业的日志服务器,使得审计信息长期大量保存 2.3系统实现方式及拓扑 2.3.1 旁路模式 旁路安装方式有以下两种,可以根据各自网络环境,任选一种方式: 1、交换机端口镜像模式安装:通过交换机端口镜像,把与与路由器或防火墙连接的那个口,即上网的总出口的信息拷贝到(也可说镜像到)交换机的安装监控系统的机器连接的口上,这样,该系统就可以收到所有上网信息了,从而达到控制的目的。如图(一)
此种模式下要求核心交换机具备端口镜像功能。 2、HUB模式安装:把HUB插入到路由器或防火墙跟交换机中间,它的所有口的信息都是共享的,也就是以硬件的方式实现每个口的信息都会拷贝到其他的所有口上,这样,安装在HUB上的监控系统就可以监控所有机器 2.3.2串行模式 串行模式也可称为透明网桥模式安装: 2.3.3功能介绍 实时监控上网行为: 提供实时上网行为监控,管理人员可以实时查看用户当前上网的情况,及每个用户上网的历史记录,包括其访问的IP地址、网址、服务类型、流量等等。由此,管理人员可以实时了解用户的上网情况,主要访问的站点,以及常有的网络活动行为,如是否有下载、网络游戏、炒股、在线收看网络电视等耗用网络资源,影响OA、ERP、CRM、视频会议等关键应用的上网行为发生,从而保障了网络的正常运行。 用户权限及角色管理: 提供强大的上网用户管理功能,可以根据IP、MAC地址、验证帐号、Windows域帐号、IC卡等多种方式来管理上网的用户,并可对用户按照部门、角色进行分组管理,有效杜绝非法终端及用户的接入。 上网内容监控: 可以对上网内容进行监控,包括收发邮件的内容、即时聊天(QQ、MSN、Yahoo等)、BBS发帖、FTP和Telnet会话内容等,并对监控的内容进行记录分类,在出现敏感信息时自动发送邮件等信息通知管理人员,帮助管理人员及时处理影响工作的上网行为,切实履行管理人员的职责。 注:腾迅QQ因经常升级且聊天信息为加密信息,因此不保证能监控所有版本的QQ的聊天信息。 管理控制上网行为: 提供完整的管理策略,可以灵活的按用户角色或者分组对用户的上网行为进行控制,如规定用户的上网时段、上网IP、上网地址等。同时,可限制p2p、BT、emule等严重占用资源的软件,禁止和屏蔽不良网址,如游戏、暴力色情等网站。 统计分析: 提供数十种统计报表,可对上网流量、时间等进行统计。可实时查看每个IP通过的流量,也可以查看整个网络的流量,生成各类统计表、排行榜,以图表的方式从各个角度对用户上网进行分析,统计结果可导出到Excel表格,方便进行二次处理。 日志记录和审计: 详细记录用户上网行为的各类日志,包括HTTP、SMTP、POP3、Telnet、QQ、MSN、游戏等数十种日志,同时记录访问时间、IP地址、MAC地址、流量等重要信息,并自动对网络访问、服务内容、网络流量、聊天内容等信息进行归档,方便管理者根据各种条件查询、审核全部用户的互联网访问情况。 自动整理和备份: 支持数据的自动整理和备份功能,可以根据管理人员的设定,对各种设定数据和日志记录进行自动整理,删除不必要的数据,从而保证系统的正常运行。还可以按要求对记录的数据进行远程备份,方便管理人员离线查看。 异常管理: 可以根据用户上网状态,对用户上网电脑的异常状况进行检测,如IP连接数、数据特征包、流量等,遇异常状况自动告警或者采用相应的控制措施,保障网络的安全通畅。 2.3.4软硬一体化设备与纯软件系统的比较 功能比较表 | 编号 | 产品形态 | 软硬件一体化专用设备 | 纯软件系统 | 一 | 产品特征 | 1 | 系统平台 | 基于Linux系统 | 基于WIN32系统 | 2 | 产品定位 | 均衡发展的上网行为管理产品 | 偏UTM的上网行为管理产品 | 3 | 使用对象 | 中高层管理人员或网络技术人员 | 专业网络技术人员 | 4 | 抓包技术 | 改写网卡驱动程序 | 普通内核抓包 | 5 | | 抓包基本不占用CPU资源 | 大流量消耗系统资源 | 6 | 控制方式 | Netfilter+发送破坏连接数据 | Netfilter | | | 可阻断数据传输 | 可阻断数据传输 | | | 可阻隔UDP应用 | 可阻隔UDP应用 | | | 可旁路破坏QQ等常规应用连接 | 不可在旁路方式下控制连接 | 7 | 接入方式 | 支持网关、网桥、旁路三种方式 | 支持网关、网桥、旁路三种方式 | 8 | 管理方式 | B/S架构 | B/S架构 | 9 | 多网段支持 | 支持,可直接获取跨网段电脑的MAC地址 | 支持,获取真实MAC地址需安装客户端插件 | 10 | TRUNK链路 | 支持 | 不支持 | 11 | 数据管理 | 本机集成MYSQL数据库系统 | 需安装单独的数据库系统 | | | 便于查询、统计、分析 | 本设备只做简单的统计、分析 | 二 | 实时监控 | 1 | 在线实时监控 | 提供丰富的在线监控信息 | 提供简单的流量、连接监控信息 | | | 可以实时刷新在线用户,实时流量,IP连接,web访问信息,表单,邮件,FTP以及IM聊天信息等。 | 无 | 2 | 实时流量 | 可以实时刷新每个人时实产生的数据量,速率,并进行排序,快速找到流量最大的或占用带宽最大的计算机。 | 可以监控当前流量 | 3 | 实时IP连接 | 可以实时刷新每条IP连接所访问的目的地址,端口,以及流量等信息。 | 可以监控连接信息 | 4 | 实时网站连接 | 可以实时查看WEB访问的网址,网页标题等 | 无 | 5 | 实时表单内容 | 可以实时查看记录BBS发帖等表单信息内容,包括上传的附件 | 无 | 6 | 实时邮件内容 | 可以实时查看记录邮件(包括WebMail)所发送的所有内容及附件。 | 无 | 7 | 实时IM记录 | 可以实时查看常用聊天工具的聊天记录。 | 无 | 8 | FTP/TELNET | 可实时查看TELNET和FTP操作及传输的文件 | 无 | 三 | 日志记录分析 | 1 | 网站访问信息 | 可以记录并查询用户访问的URL地址、网页标题、网址类别、访问时间和访问流量 | 可记录用户访问的URL地址、网页标题。 | 3 | 邮件内容信息 | 可以记录并查询SMTP、POP3和WebMail邮件所有内容,包括收件人、抄送、密送、主题、正文及附件内容 | 不能将WebMail转换成EML邮件格式 | 4 | 论坛发贴信息 | 可记录并查询BBS发帖等所有POST表单的连接、信息内容及附件 | 可以记录发贴的内容 | 6 | IM信息 | 可记录并查询常用聊天工具账号、收发信息内容和部分文件传送。通过桌面插件可支持加密IM软件的信息内容记录 | 可记录明文聊天信息 | 7 | IP连接信息 | 可记录并查询所有IP连接的访问时间、访问流量和服务类型 | 只记录可识别的IP连接信息 | 8 | 统计分析 | 数十种统计分析图表,扩展性好,并可根据客户需要定制。支持直接打印,或导出成Excel,或邮件报表分发 | 简单日志查询和统计报表 | 9 | 报表分发 | 自动生成报告,支持订阅 | 不支持 | 10 | 日志离线浏览 | 对备份日志无需连接系统即可浏览和查询 | 不支持 | 四 | 用户管理 | 1 | 用户定位方式 | 支持IP、MAC、Web账号、Windows域、LDAP、IC卡、RADIUS、交换机端口、VlanID、二代身份证识别等多种认证方式 | 仅支持IP、MAC、AD、帐号等认证方式,MAC地址认证需要安装客户端插件。 | | | 可实现多种验证在一个网络里面混合使用 | 不能混合使用 | 2 | 用户绑定 | 支持IP、MAC、账户互相绑定 | 支持IP、MAC绑定 | 3 | 用户生成 | 可以批量导入或自动抓取,自动抓取到的用户可以设置使用机器名或IP地址命名。 | 可以批量导入或自动抓取,自动抓取到的用户可以设置使用机器名或IP地址命名。 | | | 未创建用户可以设置自动创建、不做管理、或禁止上网 | 未创建用户可自动创建 | | | 灵活地批量用户导入,属性对应方便 | 批量导入用户时需严格按照格式要求导入,文件不能有误差 | 4 | 部门划分 | 可以绑定IP段和部门,自动抓取的用户将自动划到相应部门。 | 可以手动给每个用户选择部门 | | | 支持多级部门管理,可以批量移动用户到相应部门。 | | 5 | 双重认证 | 支持,可以同时使用两种认证方式来确定唯一用户身份,如:基于MAC地址采用本地验证。 | 不支持 | 6 | 用户数量大时快速查找用户 | 树状结构,方便查找 | 树状结构 | | | 可以输入用户名或用户IP等信息直接定位用户,非常方便。 | | 五 | 网站过滤 | 1 | URL库分类 | 支持,一级分类 | 支持,一级分类 | 2 | 自定义URL组 | 支持 | 支持 | 3 | 根据URL关键字过滤 | 支持 | 支持 | 4 | 对于违反策略的访问给出提示页面 | 支持,可自定义提示信息或指定显示某网站 | 支持 | 5 | 网站访问黑白名单 | 支持,可以对于禁止访问的网站列入黑名单,对于无需过滤的网站列入白名单。 | 支持 | 六 | 访问控制 | 1 | 控制的网络应用种类 | 能够识别近百种常用网络服务应用。并可以针对特定服务如:QQ、迅雷、大智慧;或服务类别如:游戏、股票、视频,进行控制 | 可对网络常见应用进行协议分析和过滤控制 | | | 完全网络抓包分析。 | 部分应用控制需要客户端插件配合。 | 2 | 基于特征的协议识别 | 通过服务器地址、端口号、协议及数据包特征综合分析,准确识别应用服务 | 部分协议基于特征识别,对于部分动态端口可以识别 | 3 | 加密应用识别 | 可精确识别HTTPS、无界、自由门等破网工具 | 仅能识别HTTPS | 4 | 网页重定向 | 可以把访问某些禁止访问的网站的请求重定向到指定网站或显示成指定页面。 | 可以把访问某些禁止访问的网站的请求重定向到一个指定页面 | | | 可以设定先访问某指定页面后才可以正常上网 | | 5 | 基于用户设置策略 | 可以对用户,组,全局设置策略 | 可以对用户、用户组设置策略 | | | 可以设定规则的优先级 | | 6 | 基于时间范围 | 可定义规则生效周期、范围和时间段,例如:工作日与非工作日,法定节假日等,可以针对设定的周期控制到某周期内每天任意时间段,精确到秒 | 可定义规则生效日期时间范围,选择星期一至星期日,时间精确到小时 | 7 | 设置监控范围 | 可以对不同范围采用不同认证方式,包括免监控和禁止上网。 | 支持,可以设置某些地址免监控 | | | 对于敏感用户可以完全免监控,或不监控敏感信息内容,只监控IP或网站访问连接 | | 8 | 控制每个用户在一天内最长上网时间或上网流量 | 可以控制某用户或某组,某周期内最长上网时间或流量,超出后可以禁止其上网、只允许使用某些指定应用或访问某些指定网站 | 支持每天每用户最长上网时间设定 | 七 | 信息泄密控制 | 1 | 电子邮件记录 | 支持smtp、pop3协议及网页邮件发送的邮件记录,并还原成完整的邮件。 | 支持对通过SMTP、webmail方式发送邮件进行记录,webmail显示杂乱。 | 2 | 邮件拦截审核 | 支持,可以对smtp外发邮件进行管理。 | 支持,可以对smtp外发邮件进行管理。 | | | 可以对邮件的收件人、发件人、主题、正文内容、附件大小等敏感信息设定控制规则。 | 可以对收件人、主题、内容等信息设定控制规则。 | | | 可以控制包含敏感信息的邮件禁止发送、自动转发到指定邮箱、或等待管理员审核之后确定如何处理等。 | 可以针对包含敏感信息的邮件,设置是否需要管理员审核。 | | | 可以对拦截下来的邮件发送通知给收件人、发件人、或指定邮箱,并自定义通知内容。 | 可以对拦截下来的邮件发通知到指定邮箱。 | 3 | 论坛发贴报警 | 可以对指定敏感字样的发帖内容做限制发送、告警或邮件通知。 | 对违反策略的论坛发贴可以报警。 | 4 | 支持IM信息审计 | 记录常用聊天软件产生的聊天信息,如:腾讯QQ、MSN、SKYPE、雅虎通、网易POPO等 | 可以记录常用聊天软件产生的聊天信息。 | 5 | 对于违反策略的IM聊天内容进行邮件报警 | 支持 | 不支持 | 八 | 桌面管理 | 1 | 在线计算机信息 | 获取当前在线计算机的系统信息,包括运行情况、系统配置等 | 不支持 | 2 | 屏幕截屏 | 可对客户运行的电脑进行截屏 | 不支持 | 3 | 计算机准入 | 通过规则设定,控制使用不同操作系统的计算机是否允许上网,控制未安装杀毒软件或运行某些危险程序的计算机是否允许访问网络等。 | 支持 | 4 | 计算机程序管理 | 监视并控制计算机是否可以运行指定程序 | 不支持 | 八 | 其它功能 | 1 | 计费管理 | 支持按流量和时间计费 | 不支持 | | | 支持储值卡、包月制、计时制等多种资费策略 | | 2 | 带宽管理 | 多级别QoS控制 | 基于QoS控制 | | | 可以针对某用户、某几个用户或某组、某几个组设置共享带宽或平均带宽 | 可以定义用户组和组内每个用户的上行和下行的流量带宽 | | | 可以分别设置是否借用其他空闲带宽资源或是否把自己空闲的资源借给他人使用。保证带宽资源的有效利用,或保证网络访问的通畅 | 可以设置借用或被借用,做上限控制或带宽保证 | | | 支持通道分割的8级优先控制,非通道分割的任意优先控制 | | 3 | 网络异常管理 | 可以对异常流量,异常数据包量,异常连接数,或某时间周期内流量上限做控制 | 不支持 | 九 | 稳定性 | 1 | 稳定性 | 稳定性好,某进程运行时间过长或不正常时,可以自动重新运行该进程,保证进程良好运行。适合长期工作。 | 超大流量情况下运行不稳定 | 2 | 避免设备单点故障 | 网桥接入时支持软硬件bypass功能,软件bypass可以实现设备负载高时自动暂停过滤功能,确保网络畅通。硬件bypass则在设备掉电时变成一根直通的网线,避免断网故障。 | 支持硬件BYPASS功能 | 3 | 备份机制 | 本地备份+远程备份 | | 4 | 系统自维护 | 自动清理系统废弃资源和维护数据完整 | 手工清理 |
文章来自:it33 链接:http:\\www.it33.com
|