北京網(wǎng)康科技有限公司
2010年7月
1、網(wǎng)絡(luò )現狀與問(wèn)題分析
1.1上網(wǎng)行為審計機制缺乏:
1)網(wǎng)絡(luò )用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)行為沒(méi)有有效的分析依據,不了解互聯(lián)網(wǎng)訪(fǎng)問(wèn)整體的組成情況。
2)不了解哪些用戶(hù)訪(fǎng)問(wèn)了哪些類(lèi)型的網(wǎng)站,哪些用戶(hù)試圖訪(fǎng)問(wèn)或者曾經(jīng)訪(fǎng)問(wèn)了不良類(lèi)型網(wǎng)站,哪些網(wǎng)站訪(fǎng)問(wèn)次數最高,哪些用戶(hù)訪(fǎng)問(wèn)次數最高。
3)不了解是否有用戶(hù)使用互聯(lián)網(wǎng)發(fā)布不良言論和敏感信息,當發(fā)生非法外發(fā)事件時(shí),無(wú)日志可查,無(wú)法給公安機關(guān)響應的留存記錄。
因此,目前安縵頤和酒店對互聯(lián)網(wǎng)的訪(fǎng)問(wèn)審計基本上是空白一片,無(wú)法有效評估當前互聯(lián)網(wǎng)訪(fǎng)問(wèn)的健康程度,無(wú)法規避當發(fā)生意外事件時(shí)的法律風(fēng)險。
1.2安全風(fēng)險:
1)內網(wǎng)用戶(hù)有意或者無(wú)意訪(fǎng)問(wèn)互聯(lián)網(wǎng)中的隱患類(lèi)網(wǎng)站如病毒,色情等類(lèi)型網(wǎng)站把病毒引入內網(wǎng),帶來(lái)嚴重的安全隱患。
2)網(wǎng)絡(luò )中蠕蟲(chóng)類(lèi)病毒無(wú)法進(jìn)行有效的預警和控制,當爆發(fā)時(shí)不具備降低病毒風(fēng)險的機制。
1.3法律風(fēng)險:
1)網(wǎng)絡(luò )中用戶(hù)試圖訪(fǎng)問(wèn)國家嚴格禁止的色情,違反法律法規,邪教等類(lèi)型的網(wǎng)站帶來(lái)法律風(fēng)險。
2)由于互聯(lián)網(wǎng)的開(kāi)放性,有內部用戶(hù)通過(guò)互聯(lián)網(wǎng)(如貼吧,論壇,博客等等)發(fā)布對酒店不利,甚至于嚴重危害黨和國家安全的非法言論,帶來(lái)法律風(fēng)險。
3)內部用戶(hù)在baidu,google上搜索不健康,不道德和國家法律不允許的資源。
2、解決方案
根據酒店網(wǎng)絡(luò )整體建設規劃的要求,此方案在酒店網(wǎng)絡(luò )出口處放置一臺網(wǎng)康互聯(lián)網(wǎng)控制網(wǎng)關(guān),實(shí)現對酒店內部所有用戶(hù)的行為進(jìn)行審計和管理。
通過(guò)本次建設,應可達到對互聯(lián)網(wǎng)行為有效的風(fēng)險規避,減少法律風(fēng)險,提升工作效率,保障核心應用使用質(zhì)量,盡最大可能的避免不合規信息的外發(fā),并可全面監控,審計,管理互聯(lián)網(wǎng)行為。
2.1部署方式
根據當前互聯(lián)網(wǎng)接入模式,我們建議在酒店網(wǎng)絡(luò )總出口處部署一臺網(wǎng)康互聯(lián)網(wǎng)控制網(wǎng)關(guān)(網(wǎng)康NS-ICG),物理部署模式建議為透明串接,以保證透明無(wú)縫接入、完全的審計管控效果。具體工作模式依據原有上網(wǎng)方式、具體應用可以靈活配置。
部署示意圖
在網(wǎng)絡(luò )總出口處部署一臺網(wǎng)康互聯(lián)網(wǎng)控制網(wǎng)關(guān),過(guò)濾內部所有人員的上網(wǎng)行為。
2.2上網(wǎng)行為管理功能實(shí)現
1)、人員追蹤
網(wǎng)康NS-ICG通過(guò)有效的用戶(hù)身份識別,使得策略的管理和行為的追蹤能夠根據不同的需求進(jìn)行靈活的管理。
網(wǎng)康NS-ICG提供全面的認證機制,除了傳統的認證方式外,還提供私有認證,使得用戶(hù)的識別種類(lèi)更加豐富。
對于固定IP的用戶(hù),如果管理員已經(jīng)將用戶(hù)信息匯總到Excel、TXT等文件中,可以通過(guò)網(wǎng)康NS-ICG的導入功能更加快捷的創(chuàng )建用戶(hù)和分組信息。
對于動(dòng)態(tài)IP的用戶(hù)(酒店客房),網(wǎng)康NS-ICG可以支持web認證,上網(wǎng)的時(shí)候輸入用戶(hù)名和密碼,有效追蹤到上網(wǎng)行為的發(fā)起者。在WEB認證方式下,管理員可以設定并分發(fā)統一的初始口令,并定義賬號緩存的有效時(shí)間,保障用戶(hù)身份的安全,使用戶(hù)身份的確定與具體上網(wǎng)設備完全無(wú)關(guān)。
2)、網(wǎng)頁(yè)過(guò)濾
Web是互聯(lián)網(wǎng)上內容最豐富、訪(fǎng)問(wèn)量最大的應用,然而網(wǎng)頁(yè)內容良莠不齊,充斥許多反動(dòng)、暴力、色情以及其它不健康的信息;網(wǎng)康ICG通過(guò)預分類(lèi)過(guò)濾技術(shù)、URL自動(dòng)分類(lèi)引擎以及靈活的策略設置,對違反國家法律、危害單位安全的內容進(jìn)行過(guò)濾,避免用戶(hù)有意無(wú)意訪(fǎng)問(wèn)包含非法內容的網(wǎng)頁(yè),凈化網(wǎng)絡(luò ),減少病毒進(jìn)入局域網(wǎng)的幾率,降低法律風(fēng)險,創(chuàng )造文明健康的辦公環(huán)境。
3)、流量監控
網(wǎng)絡(luò )應用層出不窮,對帶寬資源的占用也越來(lái)越高,特別是以P2P為代表的下載軟件,如果不加限制,會(huì )嚴重消耗單位的帶寬資源,從而影響正常的業(yè)務(wù)數據的傳輸。網(wǎng)康NS-ICG支持應用層的帶寬分配與流量管理,可以針對用戶(hù)或部門(mén)、按照時(shí)間段,對每一種應用協(xié)議進(jìn)行帶寬限制。網(wǎng)康NS-ICG像一臺網(wǎng)絡(luò )協(xié)議分析儀,能夠識別并統計網(wǎng)絡(luò )上有哪些類(lèi)型的數據在傳輸,哪些應用在運行,哪些協(xié)議在使用,哪些服務(wù)器的流量占用了主要的帶寬資源,哪個(gè)用戶(hù)的上網(wǎng)行為顯著(zhù)消耗了帶寬等。根據這些量化的統計數據,通過(guò)預先設定若干個(gè)虛擬的帶寬通道,將帶寬通道與具體的用戶(hù)或網(wǎng)絡(luò )應用綁定,從而對其流量進(jìn)行限制、整形,達到帶寬管理的目的,保證服務(wù)器,關(guān)鍵業(yè)務(wù)流量,降低甚至阻塞非工作相關(guān)業(yè)務(wù)流量。
5)、內容審計和過(guò)濾
通過(guò)互聯(lián)網(wǎng)傳遞信息已經(jīng)成為互聯(lián)網(wǎng)用戶(hù)的關(guān)鍵應用,然而信息的機密性、健康性、政治性等問(wèn)題也隨之而來(lái)。通過(guò)網(wǎng)康NS-ICG,您可以制定精細化的信息收發(fā)監控策略,有效控制信息的傳播范圍,控制敏感信息的泄露,避免可能引起的法律風(fēng)險。針對酒店的實(shí)際情況進(jìn)行內容的監控:
² 敏感或者非法關(guān)鍵字阻斷:如色情,法輪功,邪教等等
² 對論壇發(fā)帖內容進(jìn)行監控并記錄,并設置敏感關(guān)鍵字阻斷報警,當發(fā)生非法言論行為進(jìn)行預警并做到事前控制。
² 特殊用戶(hù)開(kāi)啟聊天記錄審計,做到重點(diǎn)防護,防止意外情況發(fā)生。
² 每個(gè)節點(diǎn)用戶(hù)的網(wǎng)站訪(fǎng)問(wèn)情況。
² 每個(gè)節點(diǎn)用戶(hù)的應用使用情況。
² 加密網(wǎng)站的訪(fǎng)問(wèn)記錄……
6)、實(shí)時(shí)監控
網(wǎng)康NS-ICG支持管理員實(shí)時(shí)地監控設備運行健康狀況與當前網(wǎng)絡(luò )活動(dòng),在第一時(shí)間內對網(wǎng)絡(luò )異常進(jìn)行定位分析,及時(shí)追蹤到內網(wǎng)的安全事件。
7)、查詢(xún)統計與報表分析
對用戶(hù)網(wǎng)絡(luò )行為進(jìn)行記錄與分析,是上網(wǎng)行為管理產(chǎn)品必備的重要功能。對日志的存留與分析,既是對國家法律法規的遵從,也是真正管理好員工上網(wǎng)、有效利用網(wǎng)絡(luò )資源的需要。針對用戶(hù)上網(wǎng)行為以及相關(guān)內容查詢(xún)統計,能夠對單位的網(wǎng)絡(luò )活動(dòng)進(jìn)行較長(cháng)時(shí)間的回溯與反查,幫助管理人員全面了解網(wǎng)絡(luò )的使用情況,為改進(jìn)網(wǎng)絡(luò )管理提供詳實(shí)準確的依據。網(wǎng)康ICG能夠根據提供如下的查詢(xún)統計分析工具:
² 基于用戶(hù)的綜合上網(wǎng)行為查詢(xún)
² 網(wǎng)絡(luò )流量查詢(xún),數據粒度可選,如:按匯總數據,小時(shí)流量,細節流量
² Web訪(fǎng)問(wèn)記錄查詢(xún),數據粒度可選,如:全鏈接,僅主鏈接
² 電子郵件收發(fā)記錄查詢(xún),可查看完整的郵件正文與附件內容
² 論壇發(fā)帖內容查詢(xún),可查看完整的發(fā)帖正文與上傳文件
網(wǎng)康NS-ICG支持根據時(shí)間、用戶(hù)、應用對上網(wǎng)行為進(jìn)行全方位的統計,內容涵蓋網(wǎng)絡(luò )流量、Web訪(fǎng)問(wèn)、郵件收發(fā)、IM聊天、論壇發(fā)帖、P2P下載等各種網(wǎng)絡(luò )應用。并提供多達50種預置報告模版,獲得不同角度的統計報告。
8)、異常監控
對網(wǎng)絡(luò )中異常流量,異常用戶(hù)進(jìn)行監控,并對異常行為進(jìn)行有效的控制,當某些主機中毒,或者流量異常時(shí),通過(guò)設備防護功能,有效控制異常流量,定位異常源頭,必要情況直接屏蔽異常主機。
3、網(wǎng)康NS-ICG簡(jiǎn)介
3.1設備系統的安全性
為避免管理員誤操作,自身系統被攻擊,而導致的設備異常繼而影響的用戶(hù)業(yè)務(wù),設備可提供如下安全性保障機能。
1)、管理員分級,分權,角色區分
設備可分級提供多個(gè)管理員角色,每個(gè)角色具備不同的能力,同時(shí)同級別管理員各自配置的策略他人不能刪除更改。
設備可分權限設定多個(gè)管理員角色,每個(gè)角色具備對指定用戶(hù)的管理與審計權限,防止某一部門(mén)管理員可以管控與審計其它部門(mén)員工的上網(wǎng)行為。
設備可定義登錄權限,限制登錄計算機,有效避免帳號口令被盜導致非法用戶(hù)登錄。
2)、系統無(wú)硬盤(pán)依賴(lài)
考慮到審計設備記錄日志量很大,因此設備中的硬盤(pán)是易損部分,即使配置日志中心數據不記錄到本地硬盤(pán)時(shí),由于硬盤(pán)提供部分Cache,也會(huì )導致硬盤(pán)故障風(fēng)險高。因此設備應提供無(wú)硬盤(pán)依賴(lài)系統,當本地硬盤(pán)損壞后,設備依舊可以使用板載的固件啟動(dòng),并保證控制審計功能正常,當有外置數據中心時(shí)還可保障數據的有效存儲。確保設備自身可可靠性。
3)、系統bypass實(shí)現
考慮到應用層增值系統串入網(wǎng)絡(luò )后,不應該在任何一次異常時(shí)影響原有網(wǎng)絡(luò )的可用性,開(kāi)啟設備的智能Bypass體系。
當設備斷電后可進(jìn)入物理導通狀態(tài)。
當設備異常但仍仍加電時(shí)也可進(jìn)入物理導通狀態(tài)。
當巡檢設備時(shí)可使用快速切換開(kāi)關(guān),避免巡檢帶來(lái)的風(fēng)險。
3.2設備系統的易用性
1)、設備可使用串口進(jìn)行配置
作為網(wǎng)絡(luò )設備,網(wǎng)康NS-ICG提供了物理串口配置模式,便于IT人員在機房,在無(wú)法遠程訪(fǎng)問(wèn)的情況下?lián)碛凶罨镜呐渲,故障排查保障,提高原理的易用性?/SPAN>
2)、設備可使用命令行進(jìn)行配置
網(wǎng)康NS-ICG提供了SSH方式加密的遠程連接命令行,便于當web管理系統失效時(shí)依舊可以通過(guò)遠程方式對設備進(jìn)行基本操作,避免IT人員的奔波,提升工作效率。
3)、設備可使用web界面配置
簡(jiǎn)明界面:網(wǎng)康NS-ICG提供了簡(jiǎn)明,清晰,任務(wù)模式的web配置界面,可讓管理員快速定位問(wèn)題的來(lái)源,快速實(shí)現策略的配置。
在線(xiàn)幫助啟用:同時(shí)網(wǎng)康NS-ICG提供了即時(shí)在線(xiàn)幫助,用戶(hù)點(diǎn)擊幫助后,當前操作的指導會(huì )直接出現,可極大保障使用的正確性。