第一篇:深信服AC系列上网行为管理
深信服AC系列上网行为管理产品作为中国上网行为管理领域的第一品牌,可助您实现对互联网访问行为的全面管理。深信服上网行为管理产品凭借强大的功能和简便的操作,可在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。
深信服科技在IDC中国发布的2010年下半年中国安全内容管理市场(上网行为管理市场)报告中占有率达到40%,在2009年占有率达到33.8%,蝉联市场占有率第一。
深信服上网行为管理为您解决以下问题:
防止带宽资源滥用
深信服AC系列上网行为管理产品通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽,保障OA、ERP等办公应用获得足够的带宽支持,提升上网速度和网络办公应用的使用效率。
防止无关网络行为影响工作效率
深信服AC系列上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为,并可根据各组织不同要求进行授权的灵活调整,包括基于不同用户身份差异化授权、智能提醒等。
记录上网轨迹满足法规要求
深信服AC系列上网行为管理产品可以帮助组织详尽记录用户的上网轨迹,做到网络行为有据可查,满足组织对网络行为记录的相关要求、规避可能的法规风险。
管控外发信息,降低泄密风险
深信服AC系列上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为,从事前防范、事中告警、事后追踪等多方面防范泄密,为组织保护信息资产安全,降低网络风险。
掌握组织动态、优化员工管理
深信服AC系列上网行为管理产品通过风险智能报表来自动发现存在离职风险或有工作效率问题的员工,并通过关键字报表和热贴报表来反映员工思想动态。风险智能报表能够自动提示管理者关注离职倾向、泄密风险、工作效率降低等员工管理风险,而关键字报表和热贴排行等报表将有助于组织深入了解员工的思想动态,并以此为基础实施组织文化建设、制度改进等针对性措施,从而提高员工管理水平。
为网络管理与优化提供决策依据
深信服AC系列上网行为管理产品提供了丰富的网络可视化报表,能够提供详细报告让管理者清晰掌握互联网流量的使用情况,找到造成网络故障的原因和网络瓶颈所在,从而对精细化管理网络并持续加以优化提供了有效依据。
防止病毒木马等网络风险
通过部署深信服AC系列上网行为管理产品,利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入,再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段,实现立体式安全护航,确保组织安全上网。
低成本且有效推行IT制度
深信服AC系列上网行为管理产品能够实现用户网络权限的细致分配以及带宽的优化管理,通过事前精细规范、事中智能提醒、事后报表呈现等手段实现有效管理;通过将是否具备上网权限与用户对IT制度的遵从情况进行绑定,强制要求用户遵从组织IT制度里的各项细则规定(如必须安装指定的杀毒软件或桌面管理软件等),并且可以根据组织要求进行各种智能提醒,通过创新技术的应用,让IT管理制度融入每位用户的日常工作中。
深信服“第二代上网行为管理”推出的上网安全桌面产品,弥补了传统上网行为管理在安全方面的不足。上网安全桌面产品采用了业内领先的“沙盒”以及“重定向”等技术,仅占用电脑极小部分内存,在不改变用户使用习惯、不增加操作复杂度的前提下,将内网与风险重重的互联网隔离开,防止病毒、木马对电脑和内部局域网的侵袭,保护内网电脑与企业信息、个人隐私安全。同时,位于网关处的上网行为管理设备与终端安全桌面形成了端到端的安全解决方案,上网安全桌面与AC设备的恶意网址过滤等创新技术相结合,实现立体式安全护航,形成一套真正适合企业级市场的上网行为管理方案。
目前在上网安全领域,深信服上网安全桌面产品得到了大量客户的认可,已有招商银行等大型金融、企业客户使用。
防止病毒对电脑的破坏:
访问互联网时,常常会无意中下载到一些包含恶意病毒的文件,这些病毒程序通常是极具破坏力的,严重时会造成计算机系统的崩溃。当内网用户使用安全桌面上网,“沙盒”以及“重定向”技术使本机内真实系统与文件、注册表得到了保护,而访问目录权限功能使病毒无法访问继而感染本机内部文件,有效地防止了病毒对本机系统的破坏,弥补传统杀毒产品对安全事件事前防护的不足。
防止电脑数据泄露:
互联网上同样充斥着各种木马程序,当用户上网时,木马就可能通过一封经过伪装的邮件附件,非正规网站上下载的文件,甚至是浏览器程序漏洞,悄悄潜入这台电脑。这样黑客便可以肆无忌惮的通过木马窃取被感染电脑内的文件。当这台电脑存储有个人隐私或企业机密信息时,就会因为信息泄露而造成巨大的经济损失。深信服上网安全桌面产品根据安全规则对本机文件数据进行了隔离,依靠“沙盒”等技术,安全桌面内的任何程序试图获取本机被隔离文件数据的行为都将被禁止,使黑客无从下手,从而有效保护了敏感数据的安全性。
双网隔离保护内网安全:
现在许多互联网病毒都是通过内部局域网进行传播,一旦内部网络中某一用户不慎感染了病毒,则很有可能将病毒传染到内网的其他电脑上,造成企业或组织内部网络瘫痪,业务中断,造成巨大的经济损失。同时IT维护人员重装电脑,恢复网络,疲于奔命,苦不堪言。深信服上网安全桌面通过规则设置对默认桌面和安全桌面进行网络隔离,默认桌面只允许访问局域网,而安全桌面只允许访问Internet,禁止访问局域网,从而做到互联网与内部网络的隔离。当用户通过安全桌面访问互联网时,不小心感染病毒或木马,病毒也无法通过内部网络感染局域网的其它个人主机或服务器设备,木马程序也无法窃取内部网络的数据信息,起到了保护内网安全的作用。
轻量级轻松切换简单易用:
终端在开启了上网安全桌面后,仅占用非常小的CPU和内存,不会给终端系统带来负荷压力。安全桌面和默认桌面通过任务栏、导航条便可轻松切换,操作方便。同时默认桌面的应用程序可以复制到安全桌面,所以用户在安全桌面上网时,可正常使用各应用程序。而Outlook、Foxmail、QQ/MSN聊天记录、收藏夹等办公必备的软件属于白名单进程,当安全桌面重启时,这些软件产生的日志不会被删除,可以继续使用。安全性与工作效率两手抓!
端到端部署管理便捷:
大多的杀毒产品提供的并非企业级解决方案,所以在组织中强制每个用户去安装并及时更新杀毒产品,是一件非常困难的事情。位于终端的上网安全桌面与深信服第二代上网行为管理产品组成了端到端的企业级管理解决方案。IT管理员通过位于网关处的上网行为管理设备向终端安全桌面统一下发网络和数据访问权限策略,实现了终端安全的统一管理,简单方便。
深信服第二代上网行为管理以“管理、速度、安全”三位一体的整体解决方案,提出上网行为管理新理念。通过建立端到端的管理解决方案,不仅满足了用户对上网行为的管控,还通过安全桌面功能解决了对病毒、木马等互联网危险的事先防御,保障内部网络及信息安全。
第二篇:深信服上网行为管理解决方案
有线无线网络 统一上网行为管理方案
东莞市广云网络科技有限公司
联系人:许应甫 *** 0769-89868856 QQ:35447664 地址:东莞市南城区第一国际D座1810室
2015年8月10日
第1章 需求概述
1.1 背景介绍
随着互联网技术的发展,组织的业务模式和员工的工作模式、行为习惯都在不断发生改变:
网上业务:组织建设了更多的网上业务平台,通过互联网来开展业务;
沟通桥梁:内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流,提升工作效率,获取资讯和知识,维系人脉关系;
移动互联网:移动互联网的消费化趋势也逐渐影响到组织内部的IT系统,员工更喜欢通过WLAN、移动终端类开展工作;
因此,在员工的日常工作中,ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造,提供一个更安全、更高效的上网环境。
1.2 上网行为管理需求
员工访问互联网的习惯正在发生变化,从最早使用PC、有线局域网,到更多使用移动终端、WLAN来进行办公,如果过度开放的上网环境会带来以下问题:
1.2.1 工作效率低下
网络的普及改变了传统的办公方式,而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购等,而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。这严重影响工作效率,从而导致企业竞争力的下降。
所以,组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。
1.2.2 带宽滥用和浪费
互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用,用户在使用这些应用的过程中必然会占用大量的带宽,而关键的业务应用、关键人员角色则得不到足够的资源。
深信服科技版权所有www.xiexiebang.com 1 此外,传统的带宽管理策略都是静态的,当带宽空闲时,依然会限制用户的流量,带宽价值被大大浪费。
所以,IT部门需要针对各种应用类型、用户角色、带宽占用情况等,提供更加灵活、细致、动态的带宽管理策略,提升用户上网体验。
1.2.3 BYOD难管理
随着移动终端的普及,员工往往会采用PC、智能手机、Pad等多种终端,通过有线和无线网络,在不同的位置(办公座位、会议室等),接入企业IT系统。这种使用场景的多样化,让传统上网管理的手段,难以应对内部资料的泄密、移动终端设备的盗用、移动APP难以管控等管理问题。
所以,IT部门需要基于用户角色、终端类别、使用位置、应用类别、时间等更多的元素,为员工不同的上网情景,制定更精细的网络管理策略,提升办公效率的同时,降低安全风险。
1.2.4 WLAN安全隐患
在一些没有提供Wlan的单位,员工为了便捷性,往往会通过360随身WiFi、家用WiFi路由器等方式私自建立个人Wlan,让自己的移动终端可以随意使用单位的上网资源。这给企业的安全策略管理带来的很多的管理漏洞。
所以,IT部门需要针对私接的非法无线热点、非法代理等威胁进行有效的识别、管控。
1.2.5 访客接入繁琐
企业组建WLan后,当有来宾访客需要上网时,要么直接开放,安全风险高,人员随意接入,无法定位身份;要么需要提前申请临时账号,管理复杂。
所以,组织需要一套使用便捷,即来即用,同时又能满足安全合规要求的来宾访客认证系统。
1.2.6 数据泄密
伴随着网盘、社交媒体、流量加密等应用/技术的广泛使用,企业重要数据泄密的方式越来越多样,风险越来越高。在有意无意间,一个员工就可以轻易的把企业内部的深信服科技版权所有www.xiexiebang.com 敏感信息、高价值信息资产,外发的互联网上,给组织的公众形象、业务开展带来严重的风险。
所以,组织需要对员工制定严格、细粒度的互联网数据传输控制策略、合规审查策略,防止重要数据的泄密行为发生。
1.2.7 网络违规违法
企业内网用户在日常办公中拥有访问互联网的权限,可通过QQ、MSN、论坛或微博等方式外发信息,如果包含了色情、赌博、反动等不良内容,都属于网络违规违法行为,企业或个人将承担法律责任。
所以,组织需要根据82令的相关要求,建立全面、完善的上网行为的合规审查机制,并建立严格的审查权限管理机制。
第2章 有线无线网络统一行为管理方案
结合上述的用户需求以及IT系统的现状,深信服可以为ISD提供一套完整、可视、智能联动的互联网出口安全解决方案。
深信服科技版权所有www.xiexiebang.com 3 2.1 方案整体概述
本次方案建议采用深信服上网行为管理设备AC1台,部署在如下位置:
互联网出口上网行为管理:部署深信服AC于互联网出口,针对有线网络终端和用户提供接入认证、权限控制、合规审计;此外,还针对有线/无线的全部用户、关键应用,提供全局统一的带宽控制策略。智能联动:
此外,互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通过用户认证信息的联动、单点登录等功能,将上网终端和用户身份信息进行同步关联,让用户只需要认证一次就可以让多台AC同步识别身份信息,便于后续的报表分析、威胁定位、合规审计等。
2.2 有线和无线网络统一上网行为管理
部署了深信服上网行为管理设备,为可以帮助ISD提供一整套统一的有线、无线网络上网行为管理解决方案。这即满足了安全合规管理的要求,又提升了IT运维效率,深信服科技版权所有www.xiexiebang.com 4 还提升了用户上网的操作体验。
2.2.1 安全便捷的用户认证
为了针对不用角色身份的用户,避免身份冒充、权限滥用等出现,提供即安全又便捷的认证方式,深信服上网行为管理可以提供如下多种身份认证。
2.2.1.1 内部员工认证:
AC支持本地认证功能,包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后,AC能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
2.2.1.2 外来访客认证:
为了省去复杂的临时账号申请机制,让外来访客便捷的接入网络,但又满足合规要
深信服科技版权所有www.xiexiebang.com 5 求。深信服上网行为管理AC提供了短信认证、微信认证、二维码认证等多种方式,当来宾接入网络后,系统会自动推送出专门针对来宾访客认证界面。
短信认证,来宾只需要输入手机号码,获得并输入短信验证码后,就可以获得上网权限。而且为了简化用户操作,与传统的短信验证相比,用户只需要点击3次既可完成,十分便捷,不需要在浏览器和短信界面来回切换。
微信认证,访客认证页面会自动提醒来宾需要关注组织的“官方微信公众账号”,并发送上网请求,才能获得上网权限。这可以帮助组织推广社交媒体的粉丝数量,更好的帮助组织推广品牌宣传。
二维码认证,访客认证页面会自动弹出一个二维码,只有内部接待人员用自己的移动终端扫描二维码,确认同意后,访客才能获得上网权限。而且,为了满足合规要求,接待人员,可以在页面上备注来宾身份信息,便于后续查找。
2.2.2 灵活细致的权限控制
深信服上网行为管理系统具有千万级URL库和国内最大的应用识别规则库,包含1100多种应用、2400多种规则,可识别目前网络中各种主流应用,如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。
同时,AC还能够识别SSL加密应用,如加密邮箱、加密网页等。通过全面的应用识别,管理员能够根据不同应用制定不同的管理策略,限制与工作无关的行为,提高工作效率。
2.2.2.1 多维度的灵活策略
为了针对一个用户有多台BYOD终端进行灵活、细致的策略管控,深信服AC可以识别各种终端类型,包括windows、IOS、安卓、phone、pad等类型,还可以识别出用户接入网络的位置,包括有线、无线、办公位、会议室等等。
从而制定用户的上网策略时,可以从用户角色、使用终端类型、所在区域位置等维度进行组合,来制定精细的控制策略。比如用户角色A,在办公位置上使用PC接入,可以访问权限较多;但在接待区通过无线网络,使用iPad接入网络时,只有上网权限,不能访问内部安全界别较高的应用系统等。
2.2.2.2 移动APP管控
为了满足移动终端的管理需要,深信服上网行为管理系统可以针对数百种移动终端
深信服科技版权所有www.xiexiebang.com 的APP、云应用,防止员工通过移动终端来进行和工作无关的应用,避免工作效率的下降。
2.2.2.3 防止非法AP和代理
深信服上网行为管理系统通过技术创新,可以精准的识别出,当前网络中员工私自架设的无线AP,代理应用,从而防止带宽资源的滥用,防止黑客通过非法AP接入企业网络入侵。
2.2.2.4 应用标签化
管理员可通过AC对应用或具体细分动作进行标签化,例如,迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时,可通过标签来选择相应的应用或细分动作,不用逐个选择,从而避免错选漏选,提高管理效率。
2.2.2.5 加密应用识别
SSL(Secure Socket Layer)协议,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此,一方面,越来越多的网页使用SSL加密,如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站,而因为采用了加密技术,普通的管理产品无法对其内容进行识别管理,别有用心的用户可以利用这一缺陷绕过管理,通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息,导致管理漏洞。
2.2.3 合理有效的流量控制
深信服上网行为管理系统通过多级父子通道技术,能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后,管理员能够给不同通道分配不同带宽。同时,带宽的分配并不是一成不变的。深信服上网行为管理系统具有动态流控功能,在总体带宽利用率偏低时自动调整策略,有效提升带宽利用率,避免资源浪费。
在P2P应用流量控制方面,通过深信服P2P智能流控技术,能够有效的抑制P2P流量,使得核心业务应用有足够的带宽资源。
深信服科技版权所有www.xiexiebang.com 7 2.2.3.1 父子通道
通过部署AC,可对网络出口链路总带宽进行细分,采用“基于队列的流控技术”,即建立通道,将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用,在通道中可以限制或保障其带宽,控制灵活。AC支持多级父子通道,即在父通道中嵌套子通道,最大可支持8级父子通道。通过多级父子通道技术,能够完全匹配企业的组织架构,针对不同级别的通道进行带宽调整,为用户提供细致的流量管理手段,使得带宽分配更灵活、更合理。
2.2.3.2 P2P智能流控
目前,通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借P2P智能识别技术,不仅识别和管控常用P2P、加密P2P,还能对不常见和未来将出现的P2P应用加以控制。
目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性,传统流控手段是通过缓存和丢包手段来实现流量控制的目的,但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制,即使被丢包依然不会主动降低速率,仍抢占大量的带宽资源。同时对于下行的接收流量来说,被丢弃的数据包已经占用了线路带宽,关键业务的带宽依然得不到提升,流控达不到预期的效果。
针对这些问题,AC通过智能流控功能,能有效解决P2P应用的问题。虽然基于UDP
深信服科技版权所有www.xiexiebang.com 协议的P2P应用对丢包不敏感,但是下行流量与上行流量有显著的相关性,只要控制住上行流量,下行流量就能得到控制。当开启AC的智能流控功能时,系统会根据下行流量的设定值对上行流量进行自动调整,从而达到控制和减少下行流量的效果,从源头处有效限制P2P流量。
2.2.3.3 动态流量控制
当带宽有限时,企业希望通过限制P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略,根据应用的重要性分配相应的带宽。无论网络情况如何变动,分配的带宽都是固定的,不能自动调整,这样的流控策略往往造成带宽资源的浪费。比如某些业务应用带宽资源不足,而其他应用的带宽资源却处于空闲状态,得不到有效利用。
针对此类问题,AC提供了动态流控功能。用户可通过配置线路空闲阀值,以及定义线路的空闲和繁忙状态,实现针对性制定流控策略。当线路空闲时可以放宽通道带宽限制,应用流量可突破原来设定的最大带宽限制;当线路繁忙时可以下压通道带宽,使带宽恢复到被限制状态,执行原有的流控策略。通过灵活的带宽管理,最大满足业务对带宽的需求,实现带宽的最大价值。
2.2.4 全面精准的行为审计
深信服上网行为管理系统不仅记录内网用户访问了哪些网站,使用了哪些应用,还能对用户的上网行为内容进行深入审计,如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时,还支持SSL加密网页和应用的深信服科技版权所有www.xiexiebang.com 9 内容审计,避免错审漏审,帮助企业深入的了解员工上网行为。
2.2.4.1 实时监控
AC支持实时监控功能,可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况,简单快捷。
运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。
在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。此外AC还支持实时连接监控,显示用户的所有会话连接状况。
2.2.4.2 全面、灵活的应用审计
AC实时监控和完善的应用审计功能,帮助网络管理员了解内网用户的上网行为,同时也作为追查依据。
2.2.4.3 网页访问
内网用户访问的URL地址、网页标题、时间等内容,AC能够完全监控与记录。
同时,通过网页快照功能,直观展现网页内容,便于管理人员快速查看。
深信服科技版权所有www.xiexiebang.com 10
2.2.4.4 邮件收发
对于Webmail或邮件客户端收发邮件,AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等,附件内容可提供下载做进一步审核。
深信服科技版权所有www.xiexiebang.com 11
2.2.4.5 IM聊天
对于QQ、MSN、Gtalk等聊天应用,无论是Web版或是桌面版,AC均能详细记录其聊天内容。
2.2.4.6 微博论坛
对于微博、社交论坛发帖不仅能够根据关键字进行过滤,发布的内容也能全面记录,准确还原发帖内容,提高可读性。
深信服科技版权所有www.xiexiebang.com 12
2.2.4.7 SSL加密应用
同时,对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3,AC可以基于关键字过滤和内容审计记录。
针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能。
深信服科技版权所有www.xiexiebang.com 13
2.2.4.8 数据中心及报表
大型机构每天产生数十G日志数据,通过AC独立数据中心实现日志海量存储,而且提供了图形化的日志查询、统计、审计、报表中心等功能。
通过统计报表功能,将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果,并且支持导出PDF等文档、Email投递等功能,方便IT部门将统计结果向高层汇报。
AC的风险智能报表能够深入挖掘日志,根据管理员指定的上网行为特征及阈值,自动挖掘日志,自动帮助组织提前发现风险,包括:离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。
深信服科技版权所有www.xiexiebang.com 14
对于BBS发帖,AC还支持进行热帖排名,只准看贴不准发帖的灵活管控方式。通过AC数据中心的内容检索工具,可以实现类似Google一样的内容搜索,从海量日志中查询需要的日志记录,并且支持高级搜索,支持订阅和自动Email投递功能,极大的方便了管理者的使用。
2.2.4.9 免审计Key 机构的总裁、高层领导网络访问行为,财务部收发的邮件,关乎机构机密信息,对其记录审计反而成为泄密风险。因此AC支持免审计Key功能。在AC上为总裁、财务部相关人员生成免审计Key。当使用该免审计Key认证后,AC从底层免除对该人员的一切记录。一旦免审计功能被恶意取消后,当再插入该免审计Key后会自动弹出警告,且禁止该人员访问网络,彻底保障信息安全。
2.2.4.10 日志审查Key 企业内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中心中,这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用,领导的Email、MSN聊天内容等被肆意传播、私自张贴到互联网上必将给组织造成不良影响、甚至经济损失。
因此AC提供日志审查Key技术。数据中心管理员只有插入该Key后才能以审计、查询权限接入数据中心,从而对行为日志进行详细查询。对于没有该Key的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看,无权限对行为日志进行审计、查询,从而保障行为日志记录不被滥用。
深信服科技版权所有www.xiexiebang.com 15 第3章 方案优势
3.1 全面完整
无线有线统一管控:除了传统的封堵、流控、审计等功能外,深信服的上网行为管理针对无线、有线网络的各种PC、移动终端上网遇到的新问题、新风险,提供了统一全面的管理功能:员工、来宾的统一接入管理,BYOD的权限控制、移动APP/云应用管控和审计。从而简化了IT运维操作,降低了管理难度。
3.2 细致精准
上网行为管理不是简单的对应用进行封堵,而是根据不同的管理需求来对应用进行限制。深信服上网行为管理能够对网络应用进行细分控制,如分别识别出网盘应用中的登陆、浏览、上传和下载等动作,根据企业中防泄密需求,实现允许浏览下载,同时禁止上传。通过细分控制,能够更细致的对员工的上网行为进行管理。
在审计方面,深信服上网行为管理系统不仅记录内网用户访问了哪些网站,使用了哪些应用,还能对用户的上网行为内容进行深入审计,如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时,还支持SSL加密网页和应用的内容审计,避免错审漏审,帮助企业深入的了解员工上网行为。
3.3 灵活有效
AC支持父子通道技术,最高可支持八级,能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后,管理员能够给不同通道分配不同带宽。同时,由于通道具有父子关系属性,在后期维护中既能整体调整带宽,又能局部调节,带宽分配更灵活。
P2P应用具有强烈的带宽侵蚀特性,为了保护带宽资源不被滥用,必须对P2P流量进行控制。传统的流控技术对P2P应用不起作用,外网线路依然被占用,影响核心业务应用。通过深信服P2P智能流控技术,能够有效的从源端抑制P2P下行流量,使得核心业务应用有足够的带宽资源。
同时,AC具有动态流控功能,在总体带宽利用率偏低时自动调整策略,有效提升
深信服科技版权所有www.xiexiebang.com 16 带宽利用率,避免资源浪费。
基于用户、终端、位置、业务多个维度的策略管理,能够根据用户在不同位置,使用不同终端时自动匹配相应的上网管理策略,灵活性强,适用于每一种应用场景。
3.4 智能便捷
深信服的上网行为管理方案,与其他多厂商设备组合方案相比,可以让IT管理员维护更简单,用户使用更便捷: 智能联动:
互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通过用户认证信息的联动、单点登录等功能,将上网终端和用户身份信息进行同步关联,让用户只需要认证一次就可以让AC同步识别身份信息,便于后续的报表分析、威胁定位、合规审计等。从而,也极大的减少IT管理员配置、运维工作量。
便捷简单:
AC的外来访客的二维码认证功能,不但省去了复杂的临时账号申请流程,提升了工作效率,还能提升来宾体验,增强对企业形象认可。
在应用管理方面,引入标签化的概念,对应用打上标签,通过选择标签来指定多个应用,而无须再一个一个的查找,使得应用管理更加灵活高效。
第4章 方案价值
4.1 提升工作效率
网页过滤策略
上班时间从事私人活动,管理者却难以阻止,如上班时间浏览购物网站、上微博、论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法,让管理者实现指定用户和部门在工作时间只能访问特定的网站,例如行业信息网站、公司门户网站等,而其他未经允许的网页浏览都将被拒绝。IM(即时通讯)聊天软件的管理
深信服科技版权所有www.xiexiebang.com 17 上班时间使用QQ、MSN等私人聊天,不仅影响工作效率,还可能因IM传文件而引入病毒和向外泄密。面对的众多IM软件,AC通过检测应用数据包的特征字段,实现对IM聊天软件的管控,提升工作效率。全面的行为管理
网页过滤、IM聊天等管控只是内网行为管理的一部分。面对用户上班即挂机下载,搜索最新网络新闻、图片,上班时间更新博客、上传图片、看在线视频、网络游戏等问题,AC支持应用识别规则库,包含1500多种应用,对员工上网行为进行全面管理。上网时间管理
AC通过为不同部门、不同用户,基于时间段进行权限分配,也可以限制用户一天内总的上网时间,实现人性化管理。支持设定一定的上网时间值,当用户超过这个阀值时,将自动弹出提醒页面,提醒员工上班时间注意提高工作效率,不要从事与工作无关的网络活动。
4.2 提高带宽利用率
多线路策略
AC支持多线路复用、带宽叠加技术(专利号:200310112006X),企业通过AC同时连接多条公网线路,提升整体带宽水平。同时结合多线路智能选路技术(专利号:ZL03113974.4),做到流量的智能选路和负载均衡。P2P软件的控制
P2P行为对带宽具有强烈的吞噬能力,而传统的流控功能在P2P应用上不起作用。AC提供P2P智能识别专利技术(专利号: 200610156977.8),不仅能识别和管控常用P2P软件及版本,对不常见的和未来将出现的P2P亦能管控。而AC提供的P2P流控技术,将限制指定用户开启P2P后占用的带宽。既允许用户使用P2P,又不会滥用带宽。动态调节
AC支持动态流控功能,通过设定阈值,实现当整体带宽利用率过低时自动调整释放更多的带宽资源,让带宽得到有效利用,避免浪费,比传统单
一、死板的流控方法更有效的提升带宽利用率。带宽统计和管理
AC数据中心对内网用户的各种网络行为进行统计及趋势、报表等。借助图形化报
深信服科技版权所有www.xiexiebang.com 18 表、曲线和统计结果,可以帮助IT管理者轻松掌控网络行为分布和带宽资源使用等情况。
同时,AC基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智能流控,细致划分与分配带宽资源,如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行为得到带宽保障,提升整个机构的带宽使用效率。
4.3 避免泄密和法律风险
在部署上网行为管理系统后,通过定义关键字的方式,实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤,从而避免敏感信息泄露问题给企业带来经济损失。同时,有效防止不良信息外发行为,避免引来法律纠纷。即使发生了不良信息外发行为,也能够通过对内网用户上网行为实施记录审计,能够在发生网络违法事件的时候通过审计日志追查相关责任人,避免由企业承担相应法律责任。
同时,上网安全桌面根据规则对本机文件数据进行了隔离,安全桌面内的任何程序试图获取本机被隔离文件数据的行为都将被禁止,防止终端被木马入侵后文件信息遭窃取,从而帮助用户有效保护了敏感数据的安全性。
4.4 保障终端安全
防病毒、木马
内网用户在访问internet时,常常会无意中下载到一些包含恶意病毒的文件,这些病毒程序通常是极具破坏力的,严重时会造成计算机系统的崩溃,使员工无法正常工作。而如果在上网过程中使用上网安全桌面,则可以有效的防止这些病毒程序对本机造成破坏。
当内网用户使用安全桌面上网,文件、注册表重定向技术使本机内真实文件与注册表得到了保护,而访问目录权限功能使病毒无法访问继而感染本机内部文件,有效地防止了病毒对本机系统的破坏,弥补杀毒软件对安全事件事前防护的不足。上网安全桌面采用国际领先的沙盒技术保证了它能给用户带来一个干净、安全的网络应用环境,让用户使用起来再也不受病毒、木马泛滥的困扰。
同时,AC具有网关杀毒功能,对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤,降低内网用户感染病毒的风险。
深信服科技版权所有www.xiexiebang.com 19 拦截不良网页
AC内置自动更新的海量URL库,包括色情、反动等分类,潜藏在此类网站中的威胁将被AC过滤;AC允许用户手工添加新URL分类;再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字,实现对各类网页的全面过滤,降低内网用户访问不良网页和危险网页的可能。
假冒网上银行的钓鱼网站、加密的反动网站等,显示“加密化”已经成为趋势,而业界多数设备无法对SSL加密网页进行管控。AC通过证书验证链接黑白名单技术,过滤含有不可信任数字证书的SSL网站,实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。文件传输控制
针对QQ、MSN等IM软件的病毒,通过引诱用户下载指定文件或打开指定URL链接而传播;AC的“拦截不良网页”措施将避免用户访问含病毒URL地址;AC还可限制使用QQ、MSN等传递文件。
通过HTTP、FTP从互联网下载的文件,往往打开或运行后导致用户电脑感染病毒、木马,甚至瘫痪。该风险“感染点”还会伺机爆发,感染更多用户,使整个网络瘫痪。而此类行为和流量经过AC时,AC首先限制用户通过HTTP、FTP上传下载指定类型的文件,对于允许传输的文件,AC的网关杀毒功能将查杀该文件中潜藏的病毒、木马。
深信服科技版权所有www.xiexiebang.com 20
第三篇:深信服上网行为管理功能
深信服上网行为管理为您解决以下问题:
防止带宽资源滥用
深信服AC系列上网行为管理产品通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽,保障OA、ERP等办公应用获得足够的带宽支持,提升上网速度和网络办公应用的使用效率。
防止无关网络行为影响工作效率
深信服AC系列上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为,并可根据各组织不同要求进行授权的灵活调整,包括基于不同用户身份差异化授权、智能提醒等。
记录上网轨迹满足法规要求
深信服AC系列上网行为管理产品可以帮助组织详尽记录用户的上网轨迹,做到网络行为有据可查,满足组织对网络行为记录的相关要求、规避可能的法规风险。
管控外发信息,降低泄密风险
深信服AC系列上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为,从事前防范、事中告警、事后追踪等多方面防范泄密,为组织保护信息资产安全,降低网络风险。
掌握组织动态、优化员工管理
深信服AC系列上网行为管理产品通过风险智能报表来自动发现存在离职风险或有工作效率问题的员工,并通过关键字报表和热贴报表来反映员工思想动态。风险智能报表能够自动提示管理者关注离职倾向、泄密风险、工作效率降低等员工管理风险,而关键字报表和热贴排行等报表将有助于组织深入了解员工的思想动态,并以此为基础实施组织文化建设、制度改进等针对性措施,从而提高员工管理水平。
为网络管理与优化提供决策依据
深信服AC系列上网行为管理产品提供了丰富的网络可视化报表,能够提供详细报告让管理者清晰掌握互联网流量的使用情况,找到造成网络故障的原因和网络瓶颈所在,从而对精细化管理网络并持续加以优化提供了有效依据。
防止病毒木马等网络风险
通过部署深信服AC系列上网行为管理产品,利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入,再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段,实现立体式安全护航,确保组织安全上网。
低成本且有效推行IT制度
深信服AC系列上网行为管理产品能够实现用户网络权限的细致分配以及带宽的优化管理,通过事前精细规范、事中智能提醒、事后报表呈现等手段实现有效管理;通过将是否具备上网权限与用户对IT制度的遵从情况进行绑定,强制要求用户遵从组织IT制度里的各项细则规定(如必须安装指定的杀毒软件或桌面管理软件等),并且可以根据组织要求进行各种智能提醒,通过创新技术的应用,让IT管理制度融入每位用户的日常工作中。
第四篇:深信服AC网页跳转解决方法
一、终端提醒策略
进入深信服AC操作界面,在左侧导航菜单--用户与策略管理--上网策略--新增--终端提醒策略。
1、这个终端页面提醒,一般是:第一次打开浏览器会有这个提示,然后按设置的分钟数弹出页面,如果这个时候浏览器是打开的,那么会自动弹出这个页面,但是浏览器没有打开的话就不会弹,等打开了再弹。
2、这个页面可以是
1)设备内置的公告页面,在系统配置-----页面定制----终端页面提醒。并可以编辑自定义内容。
2)也可以显示外部的URL。
二、认证通过跳转
进入深信服AC操作界面,在左侧导航菜单--用户与策略管理—用户认证—认证选项。『认证通过跳转』用于设置Web认证用户在认证成功后的跳转页面。配置界面如下:
[最近请求的页面]勾选此项,则内网用户在认证成功后Web页面跳转到用户认证前请求的页面。
[注销页面]勾选此项,则用户在认证成功后Web页面跳转到用户注销页面。[自定义页面URL]勾选此项,则用户在认证成功后跳转到用户自定义的页面。[用户上网信息排行页面]勾选此项,则用户认证成功后跳转到用户上网信息排行页面。
第五篇:深信服上网行为管理给用户带来的价值
深信服AC给用户带来的价值
一、提高工作效率:
通过深信服AC细致的上网授权,可以让员工在不同时段拥有不同的上网权限,这就为“如何正确地做事”提供一个方法和工具。员工养成最好的上网习惯之后,员工的工作效率就会得到大幅提高。
二、网络带宽足够用
通过深信服精准的流量控制,让每一个与工作有关的网络应用得到最佳的流量分配,让与工作无关的带宽控制到最小,使得网络带宽得到最充分有效的利用。经过深信服精准的流控之后,网络带宽无需不断扩容,降低企业的网络带宽投入成本,并且又能保障企业每个部门的网络应用得到充分的保障。
三、让上网行为有据可查
当出现违法违规网络行为时,通过深信服AC全面的审计功能,能够查找违规人、违规时间和违规行为,这些记录可以作为法律依据对相关违规人追究法律责任。
四、让网络可视
通过深信服的图形报表功能,让管理人员了解网络资源状况和员工的网络应用情况。根据这些报表,管理者可以制定改善策略,更好的为精益管理服务。
五、保障日志安全
全面记录员工的上网行为是一把双刃剑,如果这些日志在企业内部流通或传播出去,将会给企业带来损害。因此保障这些日志的安全将是非常重要的工作。深信服AC考虑到这些日志的重要性,用户可以增加一个日志审查USBkey,为查询这些日志提供多一个安全身份认证。没有这个日志审查USBkey,即使超级管理员,也无法查看日志。只有拥有这个日志审查USBkey,并结合用户名和密码,才能访问日志(包括内置或外置数据中心),从而保障日志的安全。
六、保障企业商业机密不外泄
通过安全准入机制、非法线路外联、USB防拷贝、上网授权、上网审计等手段,并结合公司的管理制度、保密制度的结合,可以保障企业的商业机密的安全。