XX机构上网行为管理解决方案
杭州天网电子有限公司
XXX上网行为管理解决方案
一、需求概述
1.1 背景介绍
XX机构内部网络已搭建完毕:200台PC.四个网段.100M带宽出口.
1. 2需求分析
随着In ternet接入的普及和带宽的增加,一方面员工上网条件得到改善,另一方面也给机构带来更高的网络使用危险性、复杂性和混乱性。据IDC调查发现,在上班工作时间非
法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。IDC的数据统计显示,员工30%-40%勺上网活动与工作无关;而来自色情网站访问统计的分析表明:70%勺色情网站访问量发生在工作时间。而中国
员工比其它地区的员工每周多花7.6小时使用IM、玩游戏、P2P软件或流媒体。互联网滥用,
给中国企业、政府、高校、行业用户等各行业带来了巨大的损失。
员工随意使用网络将主要导致五个问题:(1)工作效率低下、(2)网速越来越慢、(3)安
全隐患不断、(4)信息和机密外泄、(5)网络违法行为。
为获取外部信息和资源、及与第三方合作伙伴、投资方等保持联系和沟通,机构内部网络必然与
互联网连通。IT管理者如何及时了解网络运行情况,并对网络整体状况作出基本
的分析,发现可能存在的问题(如访问违规网页、玩网页游戏、资源滥用、泄密、ARP欺骗等),并进行快速的故障定位,这一切都是对机构内网安全管理的挑战,这些问题包括:IT管理者如何对网络效能和行为进行统计、分析、评估?
IT管理者如何控制上班时间QC聊天、游戏、无关网站浏览等非工作网络访问行为?
IT管理者如何管控BT、PPLive等P2P行为,避免其严重占用带宽,同时如何为业务系统和关键用户保障带宽资源的分配,提升带宽利用率?
IT管理者如何防范用户“主动”下载含有病毒、木马、恶意软件的文件?
IT管理者如何杜绝通过Email、MSN等途径潜在的泄密行为?
IT管理者如何避免网络造谣、恶意言论和发贴等法律问题,并在发生问题时有据可查?
因此,如何有效地提高工作效率,提升带宽资源使用效率、改善内网安全环境、杜绝泄密行为、避免法律风险,已经成为各行业信息化建设中的首要任务。当前内网安全管理也随
之提升到一个新的高度,在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时,从内到外诸如访问控制、访问跟踪、流量限制、监控、审计等问题也日益凸现。越来越多的企事业单位需要对内网员工上网行为进行管理以实现网络资源的合理利用。
1. 3客户具体需求分析
XX机构网络访问控制详细需求分析:
随着业务的发展和信息化建设步伐的加快,XX机构的网络安全和内网员工的互联网访
问行为管控等问题日益严峻,虽然在网络出口处已部署了专门的防火墙设备,但无孔不入的
病毒(尤其是木马、ARP欺骗等)、恶意软件、DOS攻击等仍然大肆泛滥,严重影响了本机
构应用系统的运行和业务的正常运作;另外,在针对内网安全方面(尤其是PC客户端准入
安全检查),由于缺少专门的客户端安全检查设备,无法查找和修复内网的安全短板,从而无法有效的保护整个内部网络的安全性。
更为重要的是上班时间内部员工的网络访问行为没有很好的管理、控制方法,上班时间长时间使用QQ聊天、收发私人邮件、浏览无关网页、在BBS、论坛上发帖等,不仅导致
员工工作效率低下,还潜在可能向公网泄露机构内部机密信息,并可能因访问非法网站或发
别非法言论而违反法律。另外员工肆意使用BT、PPLive等P2P工具下载电影等、在线看
电视、看电影、听歌等,严重吞噬了有限的带宽资源,影响了机构内部关键应用和业务的开展。
通过对本机构内部网络目前存在的问题,我们看到XX机构在内网员工的互联网访问行
为管控方面需要解决几个问题。
1.3.1缺乏有效的统计方法,无法得知网络使用状况
对于机构网络的使用情况,有限的公网出口带宽的占用情况,用户最常发生的网络访问
行为,TOP 10用户最常访问的网站等,IT管理者当前都无法掌握真实情况,而只能靠部分员工反映或抱怨,通常只能简单记录的一些IP访问情况,查询、审计非常不便。
1.3.2无法做到细致的访问控制
机构因为需要获取外部信息和资源而与In ternet实现互联,通过Email等IT应用系统,
内网员工不仅可以与合作伙伴、第三方单位保持沟通,而且外网用户也可以方便的通过In ternet访问机构内部的WWW网站、FTP下载服务器等。
但是如果没有完善的互联网访问权限控制手段,而仅仅依靠传统的防火墙等设备,将无法有效管控内网员工的各种网络访问行为;内网员工在上班时间使用QQ、MSN等聊天,
浏览各种网站(甚至色情、反动网站),BBS、论坛发贴(包括不负责任的反动言论等),
在线炒股、网络游戏娱乐等,不仅降低了工作效率,甚至通过Email泄漏机构机密信息,给
机构带来直接经济损失,还可能引起不必要的法律纠纷。
1.3.3无法有效管理带宽流量,无法保障业务系统的带宽需求
机构现有的公网出口带宽通常都比较有限。一个带宽2M的In ternet出口,即使有两个
内部用户全速下载BT eMule等,其他用户和业务系统的访问与开展都会及其缓慢,甚至完全不可用。而IT管理者一方面无法有效的获知机构现有带宽资源的使用情况和利用率,同时对于各种P2P等非业务相关的网络访问行为也无法有效管控。
业务部门收发Email缓慢,领导的视频会议系统无法正常运作,设计部的CAD文件传输速度极慢等,都需要IT管理者优化机构有限带宽资源的使用情况,有效的限制非业务系统对带宽的占用,合理的划分和分配更多的带宽供业务系统所使用。
1.3.4无法保证客户端的端点安全性
类似于木桶理论,内网网络安全的等级取决于安全最薄弱环节。如果有内网员工的终端
设备使用陈旧的操作系统、不更新操作系统补丁、不安装指定的杀毒/防火墙软件、甚至不
更新,反而使用和安装机构不允许的软件,这都将造成该终端设备成为内网的安全短板。如果用户使用该终端设备肆意访问互联网,来自In ternet的病毒、木马、恶意程序等极易感
染和侵害该终端,从而进一步感染和泛滥到整个内网,影响更多用户的网络使用和业务的开
展。
1.3.5无法对用户网络行为进行有效监控和审计
提到网络安全问题,大多数用户都只关注外网安全。但其实机构内部的信息资产更多的
不是被黑客窃取,而是通过内部泄漏的。所以虽然机构已经部署了防火墙等安全设备,但是无法对内网员工的网络行为进行有效的监控和审计。
内网员工可能通过MSN聊天即将机构的机密信息无意间泄露出去,而更典型的是通过
Email邮件,将机构的信息资产通过邮件及附件发送到公网;还可能通过向公网BBS论坛
发贴的方式,不仅泄露机构信息,也可能发表不良言论、网络造谣等,不仅泄露机构的信息
资产,还难免招致法律问题;这就需要有别于传统防火墙的解决方案,对用户的网络访问行
为进行有效的监控和审计,做到有据可查。
1. 4客户网络现状分析
XX机构目前使用内部设备:
