职员工作效率低下、网速越来越慢、安全隐患不断、网络下载、娱乐、网购、视频、网络违法行为、信息泄露等;中科网威ANYSEC上网行为管理系统是一款集上网行为管控、应用识别控制、流量控制管理、内容审计分析、VPN防火墙于一体的专业网络安全控制产品。
随着Internet接入的普及和带宽的增加,一方面员工上网条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱性。据IDC调查发现,在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体/WEB视频的员工正在日益增加,令网络管理者头疼不已。IDC的数据统计显示,员工30%-40%的上网活动与工作无关;更多主要使用IM聊天、浏览无关网页、BBS论坛发帖、网络游戏、P2P下载、流媒体、在线视频等不仅导致职员工作效率低下,还潜在可能向公网泄露内部机密信息,并可能因访问非法网站或发表非法言论而违反法律。互联网资源的滥用,给企业、政府、事业单位等各行业各组织带来了巨大的损失。另外无孔不入的病毒(尤其是木马、ARP欺骗等)、恶意软件、DOS攻击等仍然大肆泛滥,严重影响了企事业单位应用系统的运行和业务的正常运作;特别在针对内网安全方面(尤其是PC客户端准入安全检查)缺少专门的网络安全控制审计设备,无法查找和修复内网的安全隐患,从而无法有效的保护整个内部网络的安全性。
互联网的蓬勃发展,为企业提供了丰富的信息资源和畅通的网络工作平台。受益于互联网的同时,越来越多的企业已经认识到:不受控制的互联网使用行为对企业造成安全威胁,随着信息化程度的提高,如多线程的下载、在线视频、在线游戏、P2P 应用、蠕虫病毒、以及 DOS/DDOS 攻击等多种新型的流量在网络中大量出现。在不作控制的情况下,这些非关键业务严重影响网络中正常业务的运行,导致网络资源的极大消耗,并由此引发以下问题:(1)职员工作效率低下、(2)网速越来越慢、(3)安全隐患不断、(4)网络下载、娱乐、网购、视频、(5)网络违法行为、信息泄露;因此对网络流量和网络行为进行管理监控,是保障业务正常运行的关键,因此选择上网行为管理/流控产品为您提供最具竞争力的解决方案。
对企中科网威ANYSEC上网行为管理系统是一款集上网行为管控、应用识别控制、流量控制管理、内容审计分析、VPN防火墙于一体的专业网络安全控制产品,业内部网络及业务应用实现最高安全级别的保护,对网络行为实现最灵活的控制管理审计,实现 IT 网络资源最大程度的管控和优化。中科网威流控/行为管理系统基于内核架构实现上网行为管理和内容审计,对比与基于应用层级别的其他同类产品,具有无可比拟的性能优势。
针对一般企业单位的管理目标和需求,中科钢威提供如下上网行为管理安全控制解决方案,中科网威ANYSEC上网行为管理解决方案网络拓扑如下所示:
如上图所示,考虑到整个网络的安全性能以及可管理性,建议如以下布署:
信息中心署一台中科网威上网行为管理系统,对内网进行管控员工上网行为和对所有网络应用流量识别并管控,中科网威上网行为管理集上网行为管控、流量监控、带宽管理、应用识别控制、访问控制、VPN防火墙、多线路负载均衡、内容审计过滤、多用户认证接入、黑白名单管理、统计分析报表等功能于一体,除对内网用户做精细的上网行为管控之外,更有效提供带宽利用率保障关键应用。
多线路负载均衡
通过ANYSEC上网行为管理产品多线负载均衡、带宽叠加智能选路功能,用户可同时连接多条公网线路,形成一条公网总出口,提升整体带宽水平。再结合多ISP线路智能选路,内网员工访问不同运营资源时,AE能够自动为用户匹配最佳出口,保障重要服务的带宽质量和服务质量。
P2P下载控制
P2P下载对带宽的吞噬能力众所周知,而每天不断更新的P2P软件,让大多数控制工具只能封堵“昨天的BT软件”。中科网威AE控制网关P2P智能应用识别功能不仅能识别和管控用户常用的P2P软件及版本,对不常见的和未来将出现的P2P亦能管控。单纯禁止使用P2P下载可能导致用户不满或实施困难,AE智能P2P流控技术,将限制指定用户开启P2P占用的带宽。既允许用户使用P2P下载,又不会滥用机构宝贵的带宽资源。
带宽统计和管理
ANYSEC上网行为管理数据中心对内网员工的各种网络行为进行记录、审计、统计及趋势、报表等。借助图形化报表、曲线和统计结果,可以了解哪些行为占用了带宽资源,并能自动形成报表文档,定时发送到指定邮箱,让IT管理者轻松掌控用户网络行为分布和带宽资源使用等情况。
ANYSEC上网行为管理针对不同用户(组)结合具体应用进行合理的带宽通道划分,如为内网服务器提供充足带宽;保障关键部门Email收发的带宽需求,且为重要部门每位员工平均分配带宽资源,既防止带宽滥用,又提升了带宽的使用效率。
上班时间无关网页浏览、IM聊天、在线视频、网络游戏等降低了企业的工作效率,如何在上班时间对内网员工的网络行为进行管理和引导?
网页过滤策略
上班时间从事与工作无关网络活动,管理者却难以阻止,如上班时间浏览新闻网站、论坛发帖等。ANYSEC上网行为管理能针对不同用户(组)提供基于角色的管理方法,让管理者实现指定的员工和部门在工作时间只能访问特定的网站,例如行业信息网站、公司门户网站等,而其他未经允许的网页浏览都将被拒绝。
IM聊天软件的管理
上班时间使用QQ、MSN等私人聊天,不仅影响工作效率,还可能因IM传文件而引入病毒和向外泄密。面对Skype、Yahoo Messenger、旺旺、飞信等众多IM软件,IT管理员使用现有防火墙等传统网络安全设备,通过封堵端口和服务器IP的方式,不仅费时费力且无法根治。ANYSEC上网行为管理通过检测应用数据包的特征字段,实现对IM聊天软件、在线视频、网络游戏、下载等诸多应用的管控。
各种行为的管理
网页过滤、IM聊天等管控只是内网行为管理的一部分。面对员工上班即下载未看完的电视剧,搜索最新网络新闻、图片、视频,上班时间更新博客、上传图片、下载电影、程序等问题,ANYSEC上网行为管理通过限制用户搜索指定关键字,过滤用户上传下载的指定文件,将员工精力更多聚焦在工作上。
上网时间管理
每个单位都有其工作时间安排,所以,根据不同时间段为用户分配网络访问权限,是专业上网行为管理设备必须考虑的问题之一。ANYSEC上网行为管理通过为不同部门、不同员工,基于时间段进行权限分配,也可以限制员工一天内总的上网时间,实现人性化管理。
多数单位已经在公网接口处部署了防火墙、IPS等设备,但内网依然病毒频发、攻击不断,是何原因?堡垒最容易从内部突破,内网员工主动“邀请”病毒、木马等进入内网!
拦截不良网页
ANYSEC上网行为管理内置自动更新2000多万条URL库,包括色情、反动等分类,潜藏在此类网站中的威胁将被ANYSEC上网行为管理轻松过滤;ANYSEC上网行为管理允许用户手工添加新URL分类;再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字,实现对各类网页的全面过滤,降低内网员工访问不良网页和危险网页的可能。
假冒网上银行的钓鱼网站、加密的反动HPPTS网站等,显示“加密化”已经成为趋势,而业界多数设备无法对SSL加密网页进行管控。ANYSEC上网行为管理通过证书验证链接黑白名单技术,过滤含有不可信任数字证书的SSL网站,实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。
文件传输控制
针对QQ、MSN等IM软件的病毒,通过引诱用户下载指定文件或打开指定URL链接而传播;ANYSEC上网行为管理“拦截不良网页”措施将避免用户访问含病毒URL地址;ANYSEC上网行为管理还可限制使用QQ、MSN等进行文件传递或视频通话。
通过HTTP、HPPTS、FTP从互联网下载的文件,往往打开或运行后导致用户电脑感染病毒、木马,甚至瘫痪。该风险还会伺机爆发,感染更多用户,瘫痪整个网络。而此类行为和流量经过ANYSEC上网行为管理时,ANYSEC上网行为管理首先限制用户通过HTTP、FTP上传下载指定类型的文件,对于允许传输的文件,AC的网关杀毒功能将查杀该文件中潜藏的病毒、木马。
强制修复内网安全
根据木桶理论,机构内网的安全级别取决于安全等级最低的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等,但并非所有用户都能遵从,进而形成内网安全短板。一旦该“短板用户”访问安全风险网站、下载含病毒文件、执行非法程序等,极易导致自己感染病毒,还将感染整个内网员工群。借助网络准入访问规则技术,ANYSEC-A将检测接入终端的操作系统及补丁、杀毒/防火墙软件等安全状况,不安装、不运行指定安全软件,就不允许接入Internet,从而强制修复内网安全策略。
防DOS、ARP欺骗
即使部署众多安全措施,安全威胁仍无孔不入。来自外网的DOS攻击AC能防御;而来自内网的DOS攻击,不仅吞噬带宽,还将影响出口网关的稳定。传统防火墙等无法防御来自内网的DOS攻击,而ANYSEC上网行为管理通过检测流量和异常网络行为等技术,彻底防御来自外网和内网的DOS攻击。
ARP协议原本用于“从IP地址寻找MAC地址”,但病毒等引起的ARP欺骗导致子网内所有用户无法访问Internet,定位故障点又颇为麻烦。有别于部分厂商依赖第三方软件的方案,ANYSEC上网行为管理通过内置防ARP欺骗功能组件,保障用户网络的可用性和可靠性。
目前网络违法事件也层出不穷:网络间谍、网络泄密、网络造谣和非法言论等。如果员工无控制利用公司网络,则法律问题和风险将难以避免;如果没有证据,无法找到直接责任人,IT部门则将成为该违法事件的直接责任人。
外发信息控制
员工们更多选择使用IM软件、Email、BBS、论坛、个人博客等方式将办公室和机构内信息发布出去。而ANYSEC上网行为管理能够封堵IM聊天软件,过滤和审计Email邮件收发,过滤访问论坛、网站的行为,而网络发帖ANYSEC上网行为管理一样可以进行过滤和审计,让员工们认识到自己需要为其网络行为负责。
对外来人员接入内网的认证,通过ANYSEC上网行为管理提供的完整用户接入认证体系:可以启用Web方式的用户名/密码认证,IP和MAC地址绑定,或与机构的Radius、LDAP、微软域控服务器联动,ANYSEC上网行为管理甚至可以借助机构的POP3邮件服务器上的用户帐号数据,对接入用户进行强身份认证,未经授权的局域网接入用户将无法访问任何网络资源。
法律规避和举证
员工个人偏好导致的非正当网络行为,例如访问色情、反动网站等,ANYSEC上网行为管理能有效过滤和拦截;ANYSEC上网行为管理亦可过滤张贴的非法网络言论,即使逃脱过滤进入BBS的煽动性言论、网上聊天中的侵犯性语言等,也可在ANYSEC上网行为管理数据中心中找到相关记录作为法律举证的重要依据。ANYSEC上网行为管理通过独立数据中心实现行为日志海量存储,结合图形化的报表、查询、统计工具,和内容检索工具,让机构的管理者可以轻松掌控您的网络和内部员工的网络访问行为。