上网行为管理与发展趋势

上网行为管理与发展趋势信息科学与工程学院姚羽yaoyu@mail.neu.edu.cn上网行为管理与发展趋势2个人简介姚羽，博士，副教授，东北大学信息学院计算机系统研究所副所长主要研究方向为网络与信息安全，恶意代码，非线性动力学。主持国家自然科学基金项目：网络蠕虫传播的非线性动力学及预警方法研究（60803132）办公电话：83686617；移动电话：13130283275上网行为管理与发展趋势3主要内容上网行为管理的定义上网行为管理的必要性上网行为管理的技术措施上网行为管理的一般规范未来发展趋势上网行为管理与发展趋势上网行为管理的定义顾名思义，上网行为的管理即对使用互联网的人员进行规范管理。不能制约自己的人，不能称之为自由的人。———毕达哥拉斯上网行为管理与发展趋势5上网行为管理的必要性国内员工上网现状造成的后果管理存在缺失技术存在局限人的因素：员工vs安全策略上网行为管理与发展趋势国内员工上网现状目前员工的非工作上网行为，可分为四大类：获取与工作无关的资讯活动浏览新闻、看小说、看图片、收看收听视频和音频等；从互联网下载与工作内容无关的数据如音乐、电影、程序及其他资料等；三是从事获取个人收益的活动如网上购物、炒股、兼职、发布广告等；四是进行虚拟世界的沟通活动如上网聊天、BBS论坛、撰写博客、收发私人邮件等。6上网行为管理与发展趋势7国内员工上网现状中国员工每周多花7.6小时来使用即时通信工具、玩游戏、P2P或流动媒体员工上网下载音乐方面比拉美高16%；上网进入聊天室比其他国家高约8%玩在线游戏比其他国家高约12%其它：炒股，看新闻，在线视频…上网行为管理与发展趋势8国内员工上网现状5.64.20.01.02.03.04.05.06.0每周处理私人事务时间（小时）中国亚洲平均60%26%0%10%20%30%40%50%60%70%上网浏览个人信件中国印度上网行为管理与发展趋势造成的后果工作效率下降网速降低面临安全威胁法律、政策风险上网行为管理与发展趋势面临安全威胁恶意代码恶意软件机密外泄网络钓鱼上网行为管理与发展趋势11面临安全威胁71%的恶意代码来自受信赖的网站79%的公司机密信息从Web上被下载68%的恶意软件进入公司网络中53%的安全网站重定向至未知网站的拦截率上网行为管理与发展趋势12面临的威胁40%23%0%10%20%30%40%50%因访问无关网站遭到钓鱼攻击泄露过机密中国亚洲平均上网行为管理与发展趋势网络钓鱼攻击上网行为管理与发展趋势14P2P软件的威胁吞噬网络带宽恶意代码传播的新途径信息泄露的新途径上网行为管理与发展趋势吞噬网络带宽占用连接数量多不易进行封锁上网行为管理与发展趋势P2P软件的威胁反动、淫秽数据传播的新途径恶意代码传播的新途径依赖P2P网络传播病毒蠕虫自身构成P2P网络P2P网络中存在钓鱼信息泄露的新途径错误开放P2P共享文件夹2008年，香港出入境信息泄露事件上网行为管理与发展趋势法律、政策风险发布违法信息发布机密信息公共渠道的信息：情报获取的重要来源网络聊天、电子邮件透露机密散布导向性言论隐私权问题上网行为管理与发展趋势管理的缺失大量企业允许员工访问各种网站1835.5%33.9%9.6%21.0%对网速没有影响对网速有轻微影响对网速影响严重不清楚调查问题：您认为P2P（电驴、BT等下载工具）对贵公司正常的上网应用的影响如何上网行为管理与发展趋势19管理的缺失大量企业允许员工访问各种网站50%98%55%57%72%0%10%20%30%40%50%60%70%80%90%100%与工作无关的网站免费邮件服务器购物网站视频下载网站图片下载网站上网行为管理与发展趋势20技术的局限81%的恶意软件实时检出率62%的URL过滤率53%的安全网站重定向拦截率61%的防护措施能够阻止间谍软件将信息传送至外部服务器70%的网络钓鱼拦截率44%的即时通讯附件拦截率上网行为管理与发展趋势21人的因素：员工vs安全策略大量员工会试图绕过安全策略54%25%15%6%试图绕过不会绕过不确定无安全策略上网行为管理与发展趋势人的因素：员工vs安全策略“绿坝——花季护航”上网行为管理与发展趋势23面临的问题知识难网络行为管理涉及到相当专业的技术，管理者往往没有相关方面的知识。区分难网络访问复杂，难以区分合理和非法的网络访问。举证难缺乏有效的跟踪分析工具，事后无法汇总、举证。控制难缺乏有效的管理控制工具上网行为管理与发展趋势请看Flash上网行为管理系统24上网行为管理与发展趋势25上网行为管理的技术措施应具备的功能技术分类体系结构技术方案选择上网行为管理与发展趋势上网行为管理的技术措施应具备的功能管理网络带宽保障内容安全提高生产效率规避法律风险26上网行为管理与发展趋势上网行为管理的技术措施应具备的功能管理网络带宽网络带宽控制P2P软件控制27上网行为管理与发展趋势上网行为管理的技术措施应具备的功能保障内容安全拦截不良网页文件传输控制（FTP，IM）28上网行为管理与发展趋势上网行为管理的技术措施应具备的功能提高生产效率URL匹配策略IM（即时通讯）软件的管理对各种应用的管理（视频，音频，游戏）上网时间管理29上网行为管理与发展趋势上网行为管理的技术措施应具备的功能规避法律风险身份认证记录和举证30上网行为管理与发展趋势上网行为管理的技术措施应具备的功能实时监控，随时掌控网络资源使用状况用户监控行为监控带宽监控运行监控攻击监控网页过滤应用控制内容审计带宽管理行为分析网页抓取网络游戏网页访问虚拟通道日志查询全息识别P2P下载电子邮件带宽整形统计报告自动分类网络电视即时通讯统计复用异常定位实时更新在线炒股论坛发帖优先级控制趋势分析用户管理策略管理设备管理网络管理日志管理驾驭互联网URL数据库应用数据库日志数据库监控平台控制审计平台管理平台上网行为管理与发展趋势32上网行为管理的技术措施技术分类软件管理系统旁路监听型软件“木马”型软件代理服务型软件硬件管理系统X86主机+软件型硬件代理型硬件透明型混合式上网行为管理与发展趋势上网行为管理的技术措施体系结构透明式认证式上网行为管理与发展趋势体系结构透明式(1)上网行为管理与发展趋势体系结构透明式(2)上网行为管理与发展趋势体系结构认证式上网行为管理与发展趋势技术方案选择软件产品采购硬件产品采购上网行为管理与发展趋势38软件产品采购五点注意1.“查”抓包技术2.“验”P2P软件封堵效果3.“核”带宽控制方式4.“明”部署方式5.URL库的问题上网行为管理与发展趋势1.“查”抓包技术Winpcap抓包技术免费接口旁路模式优点软件价钱便宜缺点最高支持100Mbps无法进行流量限制上网行为管理与发展趋势“查”抓包技术识别依据必须交换机镜像技术的支持只能以旁路监听方式部署无法进行流量限制购买后，只能用于小型网络上网行为管理与发展趋势2.“验”P2P软件封堵效果常见的P2P流量识别方法端口识别仅适用于固定端口的P2P软件特征识别识别已知的P2P协议特征仅适用于已知的P2P协议连接模式识别建立P2P流量模型可以识别未知P2P流量，实时性差41上网行为管理与发展趋势2.“验”P2P软件封堵效果早期P2P软件都采用了固定端口，因而比较容易被各种管理软件识别封堵现在P2P软件使用随机端口（有些甚至使用HTTP、SMTP等一些常见端口）某些软件夸大宣传选购时要使用迅雷、BT、电驴等P2P软件实际测试上网行为管理与发展趋势3.“核”带宽控制方式核实软件的控制方式，是否能够按需灵活分配带宽资源限速限时禁用“限制带宽”vs“限制流量”带宽：单位时间内传输的报文总数流量：一段时间内传输的报文总数上网行为管理与发展趋势3.“核”带宽控制方式带宽控制参数是否灵活个人职位部门技术部门操作人员时段数据类型44上网行为管理与发展趋势4.“明”部署方式软件厂商宣传部署安方便任意电脑安装使用宣传陷阱需要在交换机做端口镜像增加了部署成本和复杂性需要部署代理服务器影响网速需要安装“木马”程序上网行为管理与发展趋势5.URL库的问题URL库是网站过滤功能的关键URL库无法涵盖全部恶意网站URL库更新往往收费URL库无法过滤由搜索引擎搜得的结果URL库不能过滤加密URL（HTTPS）从国外购买的URL库难以符合中国国情某些厂商甚至让用户添加URL库46上网行为管理与发展趋势47硬件产品采购六点注意1硬件设计架构2部署模式3日志管理及备份4统计报表5管理界面6培训与维护上网行为管理与发展趋势1硬件设计架构x86架构+软件服务器/工控机基本硬件配置信息：CPU、内存、硬盘等网卡：PCI-E插槽ASIC架构+嵌入式软件上网行为管理与发展趋势2部署模式穿透式连接于网络出口无需修改网络设备配置上网行为管理与发展趋势部署模式旁路式需要配置交换机端口映射50上网行为管理与发展趋势部署模式其它应关注的是否支持冗余备份部署后网络吞吐性能如何51上网行为管理与发展趋势3日志管理及备份硬件产品存在存储容量的限制应支持开放的标准接口，支持第三方日志输出和备份功能上网行为管理与发展趋势4统计报表直接生成各类报表日、周、月时段报表报表直接打印及导出细化到部门或员工个人，以方便考核上网行为管理与发展趋势5管理界面操作直观方便支持通过Web方式升级界面配置导入/导出功能多种事件告警形式上网行为管理与发展趋势多种事件告警形式55上网行为管理与发展趋势6培训与维护硬件产品使用难度较高，维修维护成本较高部署培训维护培训硬件更换设备维修维护周期数据库升级（软件产品亦须考虑）上网行为管理与发展趋势知名品牌深信服网康网控宝Websense飞鱼星…57上网行为管理与发展趋势58上网行为管理规范的制定技术的局限规范的基本内容一个案例上网行为管理与发展趋势59技术的局限“三分技术，七分管理”48bit的MAC地址保证全球唯一性点分的16进制数：00.00.0C.01.23.45制造商ID由公司分配的地址部分00000C012345上网行为管理与发展趋势60三分技术，七分管理Internetfirewall上网行为管理与发展趋势61三分技术，七分管理Internetfirewall202.118.19.1202.118.19.2202.118.19.3202.118.19.1202.118.19.250上网行为管理与发展趋势62三分技术，七分管理Internetfirewall202.118.19.1202.118.19.2202.118.19.3202.118.19.1202.118.19.25000-0F-FE-A2-6C-4B00-26-A1-C6-14-5200-47-1C-2D-41-F1上网行为管理与发展趋势63上网行为管理规范的制定基本内容明确员工责任明确违规行为明确企业管理权限明确处罚规定上网行为管理与发展趋势64上网行为管理规范的制定案例：某公司员工上网规定员工责任网络工具使用禁止的行为危害网络安全的行为处罚上网行为管理与发展趋势65员工上网规定案例为加强互联网的使用管理，防止在使用互联网中发生违规和泄密事件，确保办公网安全畅通，根据国家有关网络信息服务管理的相关法规制定本规定。第一条员工连入互联网的计算机系统的口令和帐号必须由个人保管、使用，不得泄露给无关人员。关于个人保密管理的规定上网行为管理与发展趋势66员工上网规定案例第二条员工上网不得从事与本职工作不相关的活动（网络工具使用的规定）即时聊天软件网络服务电子邮箱隐私管理上网记录