搜索
上网行为管理系统解决方案襄樊志明电子有限公司2011年元月志明电子上网行为管理系统解决方案联系人:林平瑛唐峰瑶联系电话:1517263306213886218185第2页共14页目录1、互联网行为管理理念.............................................................................31.1互联网管理的发展............................................................................31.2互联网管理的几个方向.....................................................................31.3互联网管理的内容............................................................................51.4互联网管理解决什么问题..................................................................52、网络系统总体设计方案..........................................................................52.1建设目标..........................................................................................52.2设计目标..........................................................................................62.3系统实现方式及拓扑.........................................................................6志明电子上网行为管理系统解决方案联系人:林平瑛唐峰瑶联系电话:1517263306213886218185第3页共14页1、互联网行为管理理念互联网作为一个拥有完全社会特征的虚拟环境,其管理与学校、政府、金融、企业等机构(部门)网络的管理密不可分,然而互联网的管理复杂度远超过政府、金融、企业、学校等机构(部门)网络的管理。互联网管理包括:风险管理、合规管理、行为管理和链路管理。1.1互联网管理的发展从互联网使用的历程来看,首先是接入,让互联网可用;其次是高效率,出口链路的流量管理;然后是访问控制,让大家安全合理的使用互联网;最后上升到员工行为分析和管理。归纳起来,一是关注上网速度,二是关注上网内容(泛指各种互联网应用及其信息),三是入网用户(学生,教职员工,宿舍,家属)行为分析和管理。实际上,访问速度、上网内容、行为分析密不可分,都是互联网管理的重要组成部分。完整的互联网访问管理遵循“记录—分析—决策—实施策略—再记录、分析”这样一个螺旋式上升的,逐步完善的过程。1.2互联网管理的几个方向集中管理对于同一个(组)机构有各自不同的局域网,自己的网络自己管理的环境,对其实现网络的集中审计和控管,统一制定策略,统一采集日志信息,统一查看系统状态信息等,保证各分支信息安全和网络的稳定、统一。链路管理链路管理是互联网管理的基础,主要是如何保障互联网出口链路的畅通、高速。链路管理包括带宽分配、流量整形、异常流量的防护等。风险管理过去我们往往把信息安全局限于通信保密,局限于对信息加密功能要求,其实网络信息安全牵涉到方方面面的问题,是一个极其复杂的系统工程。从简化的角度来看,要实施一个完整的网络与信息安全体系,至少应包括三类措施,并且三者缺一不可。志明电子上网行为管理系统解决方案联系人:林平瑛唐峰瑶联系电话:1517263306213886218185第4页共14页一是社会的法律政策,单位的规章制度以及安全教育等外部软环境。在该方面政府有关部门的主要领导应当扮演重要的角色。二是技术方面的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等。只有技术措施并不能保证百分之百的安全。三是审计和管理措施,该方面措施同时包含了技术与社会措施。其主要措施有:实时监控网络安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等,以防患于未然。合规管理国家《互联网安全保护技术措施规定》、《信息安全等级保护》、《企业信息系统风险管理》等安全指导,均对学校、政府、企业、银行互联网访问的控制、审计提出要求。公安部33号令以及2006年3月1日颁布实施的公安部82号令,都对互联网使用单位内部用户的上网行为提出了行为审计和记录的要求,尤其82号令要求互联网访问行为日志“至少留存60天”。行为管理社会化是互联网的基本特点。也是互联网管理区别于局域网管理的最大不同之处。随着互联网Web2.0等交互式技术的广泛应用,互联网社会化程度日趋明显,互联网与用户之间的相互影响也越来越大。可以说,很多的政府部门管理风险是由于对员工的片面管理造成的,往往通过人员的其他行为可以更有效的分析引导。用户的上网行为实际上反映了上网用户的社会行为,互联网管理不仅仅是网络实体的管理,可以提升到学校管理的高度。社会化特征使互联网更具有管理价值目前市场有不少产品也宣称能够对应用进行管理,对流量进行控制。这样的产品很多是从传统的安全产品通过增加新功能、或者置换概念而来,如UTM、内网安全管理、应用安全网关等等。它们可能在某个层面,从某个角度解决用户的特定问题,但并不全面,不能称为上网行为管理产品。志明电子上网行为管理系统解决方案联系人:林平瑛唐峰瑶联系电话:1517263306213886218185第5页共14页1.3互联网管理的内容管理用户哪些用户可以使用互联网?怎样标识定位用户?哪些用户正在访问互联网?管理行为哪些类型的网站是明令禁止访问的?对影响工作效率的网络应用进行阻断还是流控?是否需要针对工作时间或者上课时间和下班时间或者下课时间设置不同的策略?管理内容用户的邮件有没有泄露单位的敏感信息?用户的言论有没有触犯国家的有关法规?用户使用互联网在多大程度上做与工作无关的事情?管理带宽单位的带宽真的不够用吗?宝贵的带宽资源有多少用于业务的传输?对于P2P下载大量消耗带宽有无良策?1.4互联网管理解决什么问题挑战:安全威胁不断浏览不良网页工作效率低下网速越来越慢机密信息外泄违反国家法律管理:杜绝安全隐患屏蔽不良网站保障工作效率合理利用带宽防止机密外泄遵从国家法律2、网络系统总体设计方案2.1建设目标根据网络整体建设规划的要求,此方案在网络出口处部署1台互联网控制网关(上网行为管理设备),实现对全网用户的上网行为进行审计和管理。志明电子上网行为管理系统解决方案联系人:林平瑛唐峰瑶联系电话:1517263306213886218185第6页共14页通过本次建设,应可达到对互联网行为有效的风险规避,减少法律风险,提升工作效率,保障核心应用使用质量,降低p2p滥用导致的网络延时,尽最大可能的避免核心信息的外发,并可全面监控,审计,管理互联网行为。由于互联网行为管理是较为新兴的技术,每个机构的策略并不具备普遍性,需要顾问式的引导,因此在策略配置层面需要提供专业的互联网行为管理顾问思路,协助学校建立起完善的互联网行为访问规范,并将规范全面落实到行为审计设备中,用技术推动互联网行为安全的进程。2.2设计目标本次系统的设计目标1、实现行为审计工作的流程化、制度化、集中化任何行为审计的操作中实现标准的工作化流程,在已有机构里包括权限分发,策略模板制定,策略下发,策略回收。在新建机构时包含设备模型化,操作规范化。对于多出口的网络部署多台设备的情况下,可以实现集中管理,集中审计,策略的集中下发等。2、实现审计方法的简易化作为增值类网络产品,要求不能对现有网络造成过大的耦合,可快速部署,快速配置,快速查询。3、安全、可靠,有效的行为审计系统作为在链路中串入的设备,必须实现自身安全,自身可靠,原有链路可靠,以及审计后果的有效性;或者旁路接到网络中实现信息内容的审计功能4、行为审计的长期可持续利用设备标准的,频繁的,持续的更新服务,使得审计工作可持续性的发展,保证长期有效的安全。可以外置专业的日志服务器,使得审计信息长期大量保存2.3系统实现方式及拓扑2.3.1旁路模式旁路安装方式有以下两种,可以根据各自网络环境,任选一种方式:志明电子上网行为管理系统解决方案联系人:林平瑛唐峰瑶联系电话:1517263306213886218185第7页共14页1、交换机端口镜像模式安装:通过交换机端口镜像,把与与路由器或防火墙连接的那个口,即上网的总出口的信息拷贝到(也可说镜像到)交换机的安装监控系统的机器连接的口上,这样,该系统就可以收到所有上网信息了,从而达到控制的目的。如图(一)此种模式下要求核心交换机具备端口镜像功能。2、HUB模式安装:把HUB插入到路由器或防火墙跟交换机中间,它的所有口的信息都是共享的,也就是以硬件的方式实现每个口的信息都会拷贝到其他的所有口上,这样,安装在HUB上的监控系统就可以监控所有机器志明电子上网行为管理系统解决方案联系人:林平瑛唐峰瑶联系电话:1517263306213886218185第8页共14页2.3.2串行模式串行模式也可称为透明网桥模式安装:2.3.3功能介绍实时监控上网行为:提供实时上网行为监控,管理人员可以实时查看用户当前上网的情况,及每个用户上网的历史记录,包括其访问的IP地址、网址、服务类型、流量等等。由此,管理人员可以实时了解用户的上网情况,主要访问的站点,以及常有的网络活动行为,如是否有下载、网络游戏、炒股、在线收看网络电视等耗用网络资源,影响OA、ERP、CRM、视频会议等关键应用的上网行为发生,从而保障了网络的正常运行。用户权限及角色管理:提供强大的上网用户管理功能,可以根据IP、MAC地址、验证帐号、Windows域帐号、IC卡等多种方式来管理上网的用户,并可对用户按照部门、角色进行分组管理,有效杜绝非法终端及用户的接入。志明电子上网行为管理系统解决方案联系人:林平瑛唐峰瑶联系电话:1517263306213886218185第9页共14页上网内容监控:可以对上网内容进行监控,包括收发邮件的内容、即时聊天(QQ、MSN、Yahoo等)、BBS发帖、FTP和Telnet会话内容等,并对监控的内容进行记录分类,在出现敏感信息时自动发送邮件等信息通知管理人员,帮助管理人员及时处理影响工作的上网行为,切实履行管理人员的职责。注:腾迅QQ因经常升级且聊天信息为加密信息,因此不保证能监控所有版本的QQ的聊天信息。管理控制上网行为:提供完整的管理策略,可以灵活的按用户角色或者分组对用户的上网行为进行控制,如规定用户的上网时段、上网IP、上网地址等。同时,可限制p2p、BT、emule等严重占用资源的软件,禁止和屏蔽不良网址,如游戏、暴力色情等网站。统计分析:提供数十种统计报表,可对上网流量、时间等进行统计。可实时查看每个IP通过的流量,也可以查看整个网络的流量,生成各类统计表、排行榜,以图表的方式从各个角度对用户上网进行分析,统计结果可导出到Excel表格,方便进行二次处理。日志记录和审计:详细记录用户上网行为的各类日志,包括HTTP、SMTP、POP3、Telnet、QQ、MSN、游戏等数十种日志,同时记录访问时间、IP地址、MAC地址、流量等重要信息,并自动对网络访问、服务内容、网络流量、聊天内容等信息进行归档,方便管理者根据各种条件查询、审核全部用户的互联网访问情况。自动整理和备份:支持数据的自动整理和备份功能,可以根据管理人员的设定,对各种设定数据和日志记录进行自动整理,删除不必要的数据,从而保证系统的正常运行。还可以按要求对记录的数