解决方案
清大信安(北京)科技有限公司
随着网络技术的飞速发展,网络的安全性越来越引起广泛的关注。网络作为一柄双刃剑既能促进信息交流,加强员工合作,成倍的增加工作效率;也能让您的公司降低工作效率,泄漏公司机密,甚至担当法律风险。根据IDC统计,54%的员工在工作时浏览过工作无关的网站甚至包含黄色网站,70%的安全损失是由企业内部员工的不规范上网造成的。Internet如今已经成为一把双刃剑,用好他你能降低成本,实现办公自动化,流程无纸化;相反,使你管理变的举步为艰,安全性漏洞百出。
1. 面临问题分析
随着网络技术的飞速发展,网络的安全性越来越引起广泛的关注。网络作为一柄双刃剑既能促进信息交流,加强员工合作,成倍的增加工作效率;也能让您的公司降低工作效率,泄漏公司机密,甚至担当法律风险。根据IDC统计,54%的员工在工作时浏览过工作无关的网站甚至包含黄色网站,70%的安全损失是由企业内部员工的不规范上网造成的。Internet如今已经成为一把双刃剑,用好他你能降低成本,实现办公自动化,流程无纸化;相反,使你管理变的举步为艰,安全性漏洞百出。
我们推出的就是能让你迅速提升工作效率,降低生产成本的产品和方案。这里将详细告诉你上网行为管理是如何让你的企业运行得更有效率。
2. 上网行为管理解决方案
2.1 “上网行为管理系统”有什么样的功能:
“ 上网行为管理系统”是一款安全产品,用于管理用户的上网行为:是否允许上网、分时段上网、过滤不良信息、限制敏感信息;全中文用户访问日志管理,用户向互联网发布信息的日志管理;聊天、游戏等分时段管理。
Ø 用户上网行为的审计功能:系统提供对所有用户上网行为的审计功能。可记录用户网页浏览、FTP传输、连网游戏等的上网行为记录。
Ø 记录用户向互联网发布的信息:系统可以将用户向互联网任意网站发布的各类信息(如贴子)记录下来,这样可以避免由于员工向互联网随意发布不良信息,给单位带来不必要的麻烦。
Ø 上网流量的统计分析功能:对所有用户分24小时的流量统计分析功能,并可对某一个用户当前流量及上网行为等进行实时监视。该功能还可以作为基于应用的网络管理工具。通过该功能可以查看用户在用的端口号、网络协议、在线的用户行为等。是一个基于应用层的网管工具。
2.2 “上网行为管理系统”的管理目标
“突破”目前系统管理者对用户互联网使用情况一无所知的现状。让管理者对所辖用户的上网行为一目了然,揭开用户上网行为的帷幕。并为管理者提供一个基于互联网应用层的网络管理工具。
2.3 “上网行为管理系统”适用的用户群
“ 系统”适用户于政府单位、大中小企业、大中院校、生活小区等需要对用户上网行为进行管理的单位或部门。软件本身的功能及应用,已超出了纯网络管理软件的范筹,甚至是管理者分析用户行为、统计工作效率等的管理工具。
Ø 可以管理多少用户
“系统”可同时对上千用户实施进行管理。
Ø 是否会影响用户网络速度
“ 系统” 采取网络监听与控制技术,与用户网络相当于处在一个“并联”状态,决不会因为安装了本系统而影响用户的正常浏览。
Ø 谁需要“上网行为管理系统”
“上网行为管理系统”可以方便地安装在“老板”的桌面上,对员工的上网行为一目了然,并且全中文的用户浏览日志,可以帮助“老板”全面分析员工的日常行为。是一套可用性极强的员工上网管理软件。
2.4 “上网行为管理系统”和防火墙的互补
防火墙主要是防止外来的攻击。但是网络安全决不只是外来攻击这一个方面,用户浏览信息的安全、上网行为的安全也是一个重要方面,即所谓内容安全。这些内容包括用户是否是合法上网?用户浏览的信息是否都是“绿色”的,用户上网是否都是为了工作、学习所需?用户应用互联网是否是在真正提高工作效率?是否在工作时间长时间聊天、游戏?用户是否向互联网发布了不良信息等等!“上网行为管理系统”就是针对这些问题研制的专项产品。
2.5 “上网行为管理系统”与其它内容过滤产品的比较:
“上网行为管理系统”更注重用户的上网行为管理,“净网 / 过滤”功能只是其中的一个单项。系统采取了人性化设计,几乎每一项功能都可以灵活设定,达到管理与使用完美的统一。
在内容过滤方面,系统采用了居国际领先水平的内容实时判别技术,完全摒弃传统的单纯采用 “网址库” 过滤技术。因此避免用户象应用杀毒软件一样,每天上网更新最新的 “不良网址库” 。同时由于采用内容实时研判技术,在内容控制方面更具独有的优势,除将 “ 反动、邪教、色情 ” 等内容列入不良信息外,还将“ 成人话题、成人用品、同性恋、交友、游戏、聊天、证券 ” 等内容列入 “ 敏感 ” 信息,供用户有选择地进行控制。这些手段使得用户可以浏览任何综合性网页,但其中某些敏感性内容则受到控制,真实反应用户需求。
3. 方案所关注的问题
3.1 使用了“上网行为管理系统”是否会将所有用户的“敏感信息”都封杀?
不会。系统在设计时已充分考虑到了用户的多种应用需求,特为用户设计了分用户组设定安全策略的工作模式。不同用户组可以分别对10类信息有选择地控制,在日志记录方面,还提供了是否记日志的选项。
3.2 “上网行为管理系统”操作使用是否方便?
系统使用非常方便、直观,系统所有功能都以一键式操作完成,用户几乎不用进行产品培训,便能自如应用系统。甚至可以将该系统安装到领导(老板)的办公桌上。
3.3. 系统日志是否是域名(URL)的罗列?
不是。由于系统是采取网页内容智能判别技术,所以有能力将用户浏览网页的中文标题摘录下来作为日志进行管理。用户访问的信息一目了然。这是采用网址库过滤技术所无法达到的。通过全中文日志,管理者更可以对用户的行为、喜好等进行分析。该产品甚至可以作为特定人群“行为分析”的工具。
3.4. “上网行为管理系统”是否要求安装客户端,可以适应多少用户?
不需要安装客户端。系统可以满足数百至上千用户。
4. 产品优势
4.1 自主知识产权的操作系统
TsingSec Operating System(TSecOS)是清信安科技自主知识产权的操作系统。它是清大信安高速数据通讯平台(USAP)的核心部分,借鉴了成熟的Linux 2.6内核,采用模块化设计和并行数据处理理念。具有高效性、高安全性、高健壮性、扩展性、可移植性、模块化、标准化等特征。
TSecOS能够支持多种硬件平台,如NP、ASIC、多核等,其核心的专家会诊系统(ECS)把传统的串行数据处理方式优化为并行处理模式, 通过系统策略配置各个功能模块,可以实现全方位的需求满足和安全控制,保障了系统安全快速的运行。
4.2 USAP高性能的数据通讯平台
高速数据通信平台USAP:基于自主知识产权TSecOS的模块化通用安全应用平台。可以根据用户的实际需求制定相应策略来配置系统,达到对用户实际需求的无缝契合。模块化设计,使系统具有很高的灵活性,具备海量处理数据的功能,可提供电信级万兆互联网管理解决方案。
4.3 专家会诊系统(Expert Consultation System)
USAP采用了专家会诊系统,对多个安全处理单元一次并行处理,可以使得数据包分析处理时间大幅度缩减。
假如n个安全功能中最耗时的一项功能共计耗时Tm,则USAP处理一个包的时间理论上为T=Tm,其中 Tm=Max {T1, t2, Tm,… Tn}。
由此看出USAP的数据包处理速度有大幅度提高,而且具有安全功能越多,优越性越好的特性,这项技术的应用成为清大信安的安全网关产品的一大性能突破。
4.4 零拷贝技术(ZERO-COPY 技术)
传统的网络数据报处理,需要经过网络设备到操作系统内存空间,系统内存空间到用户应用程序空间这两次拷贝,同时还需要经历用户向系统发出的系统调用。
而零拷贝技术则首先利用DMA技术将网络数据报直接传递到系统内核预先分配的地址空间中,避免CPU的参与;同时,将系统内核中存储数据报的内存区域映射到检测程序的应用程序空间,检测程序直接对这块内存进行访问,从而减少了系统内核向用户空间的内存拷贝,同时减少了系统调用的开销,实现了真正的“零拷贝”。
从而,改善了数据分析过程,减少数据复制过程,降低CPU负载,提高系统效率。并且避免了数据拷贝过程中因资源占用而导致的数据丢包现象。
清大信安上网行为管理系统结合了TSecOS与专家会诊系统(ECS)、ZERO-COPY等多种先进技术,大大提高了数据的处理能力,并在一定程度上增强了系统的稳定性。
4.5 高可靠性
作为多用途的网络行为管理系统如果以路由或桥接模式接入到网络中时,难免会存在造成网络单点故障的风险,鉴于此,清大信安网络行为管理系统提供如下解决方案以降低风险:
l 硬件采用By-Pass设计,避免产生网络中断
l 系统方面采用高可靠性的HA设计,网络行为管理系统具有双机热备功能
4.6 DPI与DFI相结合数据分析技术
普通的报文识别技术
DPI: 即“Deep Packet Inspection”,称为“深度数据包检测”。
DPI不仅分析IP包头的五元组(源地址、目的地址、源端口、目的端口以及协议类型),而且还增加了应用层分析,识别各种应用及其内容,如下图所示:
DPI技术
DFI:即“Deep/Dynamic Flow Inspection”深度/动态数据流检测技术.
DFI技术采用的是一种基于流量行为的应用识别技术,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比,从而实现鉴别应用类型。
鉴于DPI在应用区分、识别精度、功能扩展等方面优势明显,而DFI在对新应用和加密协议的识别方面有一定的优势。清大信安采用了以DPI分析技术为主,传统普通报文分析和DFI技术来处理分析加密应用协议为辅的方式综合分析数据包,综合分析应用层特征值和应用协议行为;UDP/TCP 端口、端口范围和端口列表;IP 地址、地址范围、子网或主机列表;MAC地址;VLAN标签、MPLS 标签、IP PRECEDENCE、MPLS EXP;传输方向等。以此来达到精确分析应用和协议的目的。
4.7 层进式设计
接入管理:
当客户需要接入网络时,对客户进行识别,确定用户的合法身份。网络的使用是基于账号和密码的认证方式,用户只需在web 页面中输入用户名和密码,用户的认证信息就会通过加密的方式发送到网关,在与数据库的数据进行匹配之后,网关将根据系统已经设置完成的用户权限返回对应的用户或用户组,用户将根据得到的授权使用网络资源。
权限管理:
跟据不同的用户和用户组,设定用户的上网权限,包括用户上网使用的计算机,用户接入网络的IP 地址,用户的上网时间段,用户禁止浏览的网站,用户上网的每天或每月能够上网的总计时长等等。
应用管理:
在权限管理基础之上,进一步精细的针对网络应用进行管理,例如:针对P2P下载以及下载速度的权限管理、针对Email收发的权限管理以及针对聊天工具的使用权限的管理等。从而实现对用户流量的管理。
内容管理:
对用户网络应用的内容进行识别并管理。比如对BBS、BLOG、论坛、社区等网络发帖的内容进行记录;并可针对关键字报警以及阻断发帖;对使用MSN、ICQ、飞信等网络聊天软件进行聊天的内容进行关键字过滤以及报警,防止非法信息传播,同时还对这些聊天内容进行加密保存,必要时可提供给安全部门作为司法证据。
4.8 分角色管理
清信安上网行为管理系统还具有多角色管理划分的特性,灵活地按用户角色或者分组对用户上网行为进行有效控制,不但支持分级多用户管理和集中式管理,还应支持多权限管理。
不同的管理账号具备不同的管理权限,比如普通的浏览权限和全局的配置权限等。另外,它还具备很强的权限体系,敏感数据必须只有特别授权的用户才能使用,以防止系统本身造成信息的泄密。
4.9 即插即用
清信安上网行为管理系统是真正的即插即用设备,能够实现用户端即插即用,不论用户采用的是自动分配IP地址的方式,还是已经设定好了网络适配器的网络IP地址等参数,都无需修改这些参数(如IP、Mask、Gateway、DNS 和DHCP等任何参数)插上网线即可上网。极大的简化了网络的管理,提高了网络的可靠性。
4.10 准确完善的URL分类库
系统中集成了默认的URL分类库,这些分类库是根据中国的当前情况而进行了合理的采集及分类,符合我国用户的网络使用环境的需求。目前URL分类库已进行准确分类的域名达到500余万条,是由清大信安公司组织专门的团队进行人工分类的,并参照国内专业机构所提供的专业数据,分类结果较为准确,所涵盖的URL地址类型也较为全面,基本覆盖了在国内用户中有一定访问量的URL地址。
4.11 定期更新URL库及应用库
为保证URL分类库的准确性及实时性,系统会定期更新URL分类库;由于系统是基于应用对数据进行分析的,因此在当前诸如MSN、QQ等即时聊天软件,钱龙、大智慧等股票软件以及P2P下载软件等等的应用特征码不断更新的情况下,也会定期更新系统的应用协议库,以保证对所有网络应用的准确识别。
5. 产品部署
清大信安网络行为管理系统可以采用多种方式灵活部署,通过分析处理流入和流出的数据包,有效地实现对网络数据的监控。
5.1 路由或网桥部署模式
路由模式和网桥模式都属于串联式的部署模式,都是通过将上网行为管理系统直接串接在用户网络链路中实现的。
网桥模式:可以实现对内网数据监控、控制和管理功能,主要适用于不希望更改网络结构、路由配置、IP 配置的用户使用。
路由模式:可以实现对所有数据的审计、控制和拦截功能,适用于对网络拓扑的更改不敏感的用户使用。
5.2 旁路部署模式
旁路部署模式,是采用与交换机的镜像端口相连,通过抓包的方式,实现对网络数据的审计。它的优点是可靠性高,安全性好,不增加网络延迟,设备故障时不影响整个网络运行。
5.3 集中管理的部署模式
集中管理部署模式主要适合大中型企业、政府、教育城域网等有分支机构的单位。它的特点是在中心和各分支机构都部署清信安网络行为管理系统;中心集中管理平台可以向所有的清信安上网行为管理系统统一下发策略,并监控所有清信安上网行为管理设备状态;定时上传分支机构的日志记录。