摘要:上网行为管理产品以用户身份精准识别、上网行为全面识别、上网终端及桌面环境识别为基础,通过上网权限划分、上网流量控制、上网行为审计和记录等手段,帮助组织IT制度的贯彻和执行,同时规范用户上网行为,达到效率、安全双丰收。
关键词:身份认证权限控制流量管理行为记录安全防护
中图分类号:TP393.07文献标识码:A文章编号:1674-098X(2011)03(a)-0019-01
1 概述
互联网已经普及到各企事业单位,用户可以实现随时随地访问Internet,网络已经成为信息传播的重要途径之一。据统计, 2010年上半年,有33.2%的网民在单位上网(CNNIC)。然而当员工使用单位的网络访问Internet时,随之而来的各种问题也不容忽视。具体表现在以下四个方面:
(1)宽带资源被滥用。在办公网络内,迅雷、BT、在线影音等P2P的行为直接将带
宽资源挤占,使得基于网络的正常办公应用受到严重影响。
(2)员工工作效率降低。上班时间玩游戏、偷菜、网上购物、看网络电视、聊天,
严重影响工作效率,办公室几乎成了免费的网吧。
(3)病毒的蔓延导致网络运行不畅。员工访问一些挂有木马的网站,或通过FTP下载文件等行为会引发局域网中毒事件,导致网络运行不畅。
(4)无法进行有效网络管理。IT管理员针对网内违法行为、资源滥用现象、病毒源等行为无法进行有效地追踪。网络行为得不到有效的记录,满足不了相关规定的要求。
2 上网行为管理产品简介
近年来,随着客户的高级需求、特别是高端客户需求的不断涌现,推动了高级上网行为管理产品开始融合终端安全检测、局域网准入控制、内网访问流量控制等功能。上网行为管理产品明确了身份认证、权限控制、流量管理、内容过滤、应用行为记录、数据分析、安全防护等基础功能,实现帮助客户实现内网统一身份认证,有效规避违规行为带来的法律与舆论风险。
3 上网行为管理产品的关键技术
3.1 识别技术
识别是管理的基础,识别能力是评判一款上网行为管理产品专业度的重要标准。业内优秀的上网行为管理产品识别率普遍可以达到85%~90%甚至更高。
(1)用户识别。用户身份识别是实施管理的依据,主流上网行为管理产品所支持的用户识别技术包括本地认证、第三方认证、多因素认证、软件免认证、硬件免认证、单点登录技术、强制认证、临时用户、用户自注册等。
(2)终端安全识别。终端识别技术包括终端硬件识别和终端安全状况识别等。终端安全识别包括进程、注册表、操作系统与补丁、杀毒软件与病毒库升级、多网卡状态、应用程序检测等。
(3)应用识别。上网行为管理产品的主流识别技术有两种:①DPI,也称“深度数据包检测”,即基于数据包组成内容特征的应用识别;②DFI,也称“深度流特征检测”,是在应用特征的统计学规律基础上的行为识别,是具有智能特性的识别技术。
(4)智能识别
①HTTPS非法网站识别:HTTPS 被广泛应用于通讯安全,大量钓鱼、挂马网站也使用HTTPS加密,而传统安全产品无法对HTTPS加密过的钓鱼、挂马网站进行识别,导致安全管理上存在严重漏洞。为解决此问题,上网行为管理产品提供了相应的SSL加密网站的甄别技术,将HTTPS类型非法网站排除在访问对象之外。
②网页智能识别:2009年“互联网网页数量达到336亿个,年增长率超过100%”(CNNIC),靠人工手动分类的方式已远远跟不上网页的增长速度,加上大量的私人博客和社交网页并未被传统的URL库收归,导致即使这些网页存在问题也很难被发现。为此,上网行为管理厂商提供基于关键字、网页分类特征的识别技术,将人工分类的技巧“传授”给产品,让产品“学习”之后,将新访问的不在库中的网页自动分类入库。
(5)威胁识别。来自网络的安全威胁,如:带毒、挂马的网页/邮件、黑客入侵、可信好友发来的潜在威胁的链接、终端中毒发起攻击、异常外发流量、异常端口扫描行为等,带来了许多管理和安全问题。威胁识别技术能及时发现、封锁、统计异常流量和异常终端,提前规避风险。
3.2 流控技术
“基于TCP窗口整形的流控技术”和“基于队列的流控技术”是目前专业流控产品采用的较多两种技术。
(1)基于TCP窗口整形的流控技术。这种技术的优势在于:可以对流量的控制非常精确,例如控制流量在几百K,它的误差甚至会控制在几个字节。不足是如果控制流量比较大,比如说几百M或几个G,那么TCP窗口整形的效果就不那么好了。
(2)基于队列的流控技术。它的策略的核心是建立很多管道(pipe),不同的对象对应不同的管道,然后通过调整不同管道的大小,让不同的对象有序通过。比如要限制P2P为10M,就可以定义一个10M大小的管道,然后指定对象是P2P协议,那么通过DPI识别出来的P2P协议就被分到这个管道里了。定义的对象可以是协议,也可以是IP地址、主机、网段、服务等。针对TCP窗口整形技术不能很好的整形大流量的缺点,队列技术采用公平排队,按优先级区分的方法,实现了对大流量的较好控制。
4 上网行为管理产品的基本功能
(1)身份认证。上网行为管理可以为组织提供多种身份认证方式,如:web认证,
与常见的第三方服务器结合认证(AD、LDAP、RADUIS、Proxy、POP3等),IP/MAC绑定认证等,更高级的还有key认证、硬件认证等。
(2)权限控制。提供基于时间、应用、用户(基本元素)的上网权限控制。权限控
制功能帮助组织建立与组织文化、业务职能、用户职权相匹配的上网权限管理体系,防止越权访问,防范法律和泄密风险。
(3)流量管理。提供基于时间、应用、用户组/用户、上下行带宽(基本元素)的流
量控制,帮助用户限制与业务无关应用的带宽占用情况,保障核心用户、核心业务的带宽需求。
(4)应用行为记录。提供上网行为记录、数据挖掘、日志定位功能,一方面帮助组
织提供满足主管部门要求的上网行为记录,避免安全事故发生后无据可查的情况,另一方面帮助组织进行业务分析,了解网络利用情况。
(5)安全防护。主流的专业上网行为管理产品都是硬件产品,作为管理产品其具有对网络威胁的识别和防御技术,一方面对网络威胁的防御(如防止 DOS 攻击、防ARP 欺骗)能保护产品本身的稳定安全,进而保障网络可靠性;另一方面识别并拦截网络中的异常流量,可以避免威胁扩散而给组织造成不良影响。
5 总结
上网行为管理把网络建设带到了一个新的高度,人们不在一味关注网络的带宽、延时、吞吐率,而是将越来越多的关注投入到用户行为的分析中去。只有有效的分析用户行为并加以引导,保证关键应用,才能建立一个有序的网络环境。
参考文献
[1]戴尚真.上网行为管理网关在网络管理中的应用.科技资讯.2007.
[2]陈异兵.费亚龙.王永波.企业员工上网行为管理研究.网络财富.2010.
[3]第26次中国互联网络发展状况调查统计报告.中国互联网信息中心.2010.