上网行为管理方案

健威家具上网行为管理方案

V1.3

健威企业集团

2012年10月9日

目录

一、状况分析 ..................................................................................................................................................................... 3 1. 背景介绍.......................................................................................................................................... 3 2. 健威人性家具信息化建设现状 ...................................................................................................... 3 3. 信息安全架构分析 .......................................................................................................................... 4 4. 可行性分析...................................................................................................................................... 6 二、需求概述 ..................................................................................................................................................................... 7 1. 问题分析.......................................................................................................................................... 7 1.1 安全问题 ................................................................................................................................... 7 1.2 资源问题 ................................................................................................................................... 8 1.3 内容问题 ................................................................................................................................... 8 2. 需求分析.......................................................................................................................................... 8 2.1 实用性： ................................................................................................................................... 8 2.2 可操作性：................................................................................................................................ 9 2.3 网络设备及终端通信可靠： .................................................................................................... 9 2.4 安全保障：................................................................................................................................ 9 2.5 管理制度监督及落实： ............................................................................................................ 9 2.6 日志保存时间............................................................................................................................ 9 三、上网行为管理系统试用测试 .............................................................................................................................. 9 四、其他产品类型功能对比 ............................................................................................................. 11 五、总结 ............................................................................................................................................................................14 附录 ......................................................................................................................................................................................15

一、状况分析

1. 背景介绍

随着信息化建设的发展，健威家具信息网络已建立起设施完善、应用丰富的互联网网络。互联网渗透到工作、生活的方方面面，当下无论企业运作，或是客户业务间联系都已离不开网络上的各种应用作为沟通、交流的媒介，如广泛使用的ERP、Email，个人使用的即时通讯、FTP传输、FAX传真等等应用。

健威人性家具集团作为国内制造业信息数字化的领先者，重视IT基础架构的建设，从而助推公司综合实力的提升。在现有IT基础架构的基础上建设上网行为管理系统，通过管理上网用户的行为，提高企业的运作效率，避免与工作无关的信息的干扰。通过优化业务的运行，最大限度的保障已投资的信息资产（如带宽等）。

2. 健威人性家具信息化建设现状

              

INTERNET ：电信专线接入 OA系统：Coffice平台 ERP系统：TIPTOP平台

EMAIL服务：Winmail Server 内部邮件服务器 传真服务：EasyFax传真服务器 FTP文件系统：Serv-U服务器 DNS服务器：内部DNS服务器

代理服务器：采用代理服务认证上网 域管理：基于window系列的域服务管理 桌面杀毒：企业版瑞星杀毒软件

系统补丁服务：Microsoft Windows Server Update Services服务器 防火墙：FortiGate 400 （暂无法升级病毒库） 企业监控：DVR、CITRIX等数台监控服务器 内部电话：电信服务提供 网站应用：外部托管机房

从信息化建设规模情况可以看出企业对信息化整体投入庞大，管理模式先进，已经建立了较为完善的信息服务体系，为员工提供了丰富的应用资源，一个合理化的管理模式能更好地对服务资源进行合理的分配，提高员工的工作效率，有助于提高企业的核心竞争力。

3. 信息安全架构分析

上图显示：安全威胁主要分为服务供应商和终端客户的威胁

终端客户威胁的评估 病毒 现有防控手段 优化可能 优化手段 需完善NAC系统控制。 部署防病毒网关 限制病毒资源访问● 目前完美 部署IDS设备 部署蜜罐 增加审计机制，对邮件进行审计过滤● 限制恶意代码资源访问● 准确定位恶意代码资源站点分类● 防病毒网关 桌面杀毒产品 有 操作系统补丁升级服务器 FortiGate 400Fire Wall 无 邮件服务器安全过滤 邮件服务器安全过滤 暂无 有 有 有 拒绝服务 系统入侵 垃圾邮件 恶意代码 服务供应商威胁的评估 合规管理 未授权使用 上网行为安全 信息外泄 现有防控手段 代理服务器控制 域访问控制 代理服务器控制 无 优化可能 有 有 有 有 优化手段 需完善NAC系统控制 分级设置上网管理/控制策略● 控制未授权人员访问互联网● 控制管理非安全的上网行为● 增加上网行为控管，审计机制● 监控/审计/限制webmail● 监控/审计企业SMTP外发信息● 监控，审计网页信息上传● 限制网页附件粘贴大小● 监控/审计IM信息● 控管P2P软件的使用● 可快速查询出导致故障的行为● 多冗余线路 冗余网络架构 限制导致资源滥用的网络应用● 业务连续性 互联网带宽资源合理分配 有 资源滥用 FTP服务 有 根据上述评估信息可以看出在终端客户威胁控制层面较为完善，专业的安全产品部署有效的防止了多种应用的威胁。但可以看到依旧还存在一定的改进空间，主要是对外部威胁资源的认知和分类，不能简单的靠IT人员现有的设备和人力可以完成的，因此需要专业的安全产品进行辅助实现。

从基于服务供应商威胁层面的安全评估来看还存在较大的提升空间。目前所部署的安全设备大部分是被动安全设备，同时基本上也是由外向内的威胁防范，但是内部威胁，内部的管理却存在较多的空白，上网行为的控管，带宽的控管，档案留存，审计和分析的缺陷尤为突出。 总结：

在被动安全层面已经比较完善，但需要采用专用的主动安全技术产品来完善自己的安全构架，从而使企业在网络安全方面达到完美。

4. 可行性分析

结合在安全风险评估结果可以看出，目前存在的主要安全威胁基本都覆盖在了上网行为管理的范畴之内，分析表中带●的条目都可以通过上网行为管理方式进行优化和解决（网络站点/应用的管理控制，带宽的控管，主体的网络行为识别/报警，快速查询网内问题来源，网内上网行为的数据留存和审计，统计分析上网行为策略进一步优化管理方针）并且这些威胁是已经部署的安全工具所不能抵御的，并且这些威胁会引起当前IT部门大量的人力浪费（例如定位故障发生来源需要较长的时间，较多的人力投入）。因此部署上网行为管理的需求重要性是真实存在的。

 网络现状拓扑：

从目前网络拓扑来看，由于防火墙兼任路由功能，骨干网络及外链VPN网络均有终端及服务应用要求，终端上网请求均需要经过域管理服务器的认证，然后通过代理服务器访问互联网，验证后，发现部署在骨干网络上的深信服上网行为管理产品无法辨别通过代理上网的客户端数据，故目前该类型产品只能部署在域管理服务器和代理服务器的网络骨架上。

二、需求概述

1. 问题分析

1.1 安全问题

网络安全事件中40％以上是由互联网活动引起的。四通八达的网络，方便的不仅仅是正常信息的获取和交流。恶意代码，比如病毒、蠕虫、间谍软件等等，也在搭乘着便车。籍由网页、Email、聊天工具、下载工具等方式，侵入到网络的各个角落。而现有的安全手段捉襟见肘，不能很好的掌控应用层，乃至内容层面的控制管理，也无法做基于用户的，灵活的策略定制。

1.2 资源问题

企业员工平均每天的互联网活动中有近40%是用来在线聊天，浏览新闻娱乐、股票行情、色情网站，或处理个人事务。事实证明，不加管理的互联网活动，严重消耗了带宽资源，导致正常业务得不到应有的资源保障。而宝贵的工作、学习时间被无目的的上网闲逛、聊天占用着，极大地影响了人们的工作、学习效率，人力资源也在无形之中浪费殆尽。我们需要一种有效的资源管理控制手段，确保重要业务的正常运行，避免人力、带宽等重要资源的浪费。

1.3内容问题

纷繁复杂的网络世界，充斥着各种各样的信息。正如打开窗户，进来的不止是新鲜空气。我们在获取有用信息的同时，也被各种不良内容侵蚀着。同时，联通的网络也会把一些保密信息泄漏出去。任何企业都担心自己内部的机密信息泄露出去，而互联网偏偏又提供了方便的信息交流和传递环境。通过Web电子邮件或MSN、QQ等即时通信工具，任何数字文件都可以方便地通过互联网发送到企业外部。如何确保人们利用网络获取有用信息的同时，免受不良内容的干扰，同时安全保密信息，将直接影响到一个单位的战斗力。

2. 需求分析

2.1 实用性：

 设备部署后应可以立刻看到效果，可以最快体现出实际价值

2.2 可操作性：

 设备应采用图形化界面，便于非专业人员操作

 设备的各项配置应主要是勾选方式，提供最简单的控制实现能力

2.3 网络设备及终端通信可靠：

 设备应可以实现对互联网应用的识别并进行流量阻断、压缩、保障

 设备应可以实现多线路接入，并可以进行静态的，动态的负载均衡，实现南北互通  设备应提供故障时的物理回退，并可提供多重的冗余保障机制

 设备应可对接入的客户端进行软件及系统检查，不合规的客户端禁止通过设备

2.4 安全保障：

 设备应提供对非法网站专业的控制的能力，并可及时体现非法网站的访问

 设备应可以通过2层地址，3层地址，本地用户名，或与其他系统联动获取的用户名

进行身份识别

2.5 管理制度监督及落实：

 设备应可以对人员的网页访问，应用使用情况进行实时的记录  设备应可以对人员通过网页，邮件，IM等外发手段的内容进行记录  设备可对以上行为中的不合规行为进行阻断，规避法律风险

 设备应可以针对网页，应用，外发，下载等信息进行清晰的行为明细或统计报表呈

现，便于自查审核的快速高效的完成。

2.6 日志保存时间

 

设备应提供90天以上的日志审计记录，方便管理者进行查阅管理。 设备可提供日志导出转存，以方便管理备份记录。

三、上网行为管理系统试用测试

上月深信服上网行为管理系统代理商前来测试，配备SG-3600服务器一台。使用网桥模式部署直连代理服务器，于9月20日部署成功：

 存在的问题和解决办法 测试项目 测试过程遇到哪些问题？ 网桥模式部署在网络出口无法检测到通过代理服务器上网的终端。 无法检测通过代理服务器连接外部邮件服务器发送或接收的邮件 尝试使用上网加速功能，系统无法生效。 问题描述解决方法 改部署直连代理服务器，联系厂家远程修改后台配置文件后，成功识通过代理服务器上网的终端，但无法检测部分直连出口的客户端。 联系供应商后建议添加代理服务器作为特殊审计客户端，但无法分析邮件从哪个客户端发出。 联系供应商远程测试后，依然无法解决。 结果 成功[√] 失败[ ] 硬件部署 邮件审计 成功[] 失败[√] 成功[] 失败[√] 功能测试

 设备功能和需求对比 深信服目前能提供 客户需求 不足 基本实现要求，但加密需插件辅助。只能抓取流经设备的部分明文数据进行审计，客户端的一些桌面行为无法管控。 包括了各种应用类型、网站类型、文件类型的访问日志，QQ聊天内容日志，BBS发帖内容日志，URL访问日志、P2P全面的网络行为审计 下载日志、Email/Webmail日志、上网时间统计等信息。全面记录审计各种内网用户网络行为日志。 深信服AC拥有海量的URL规则库能基于时间段、用户组、不同应用的网络访互联网内容识别和控制 问控制，订制过滤规则。 URL库升级属于付费服务。 外置数据中心实现了海量存储，而且提供了图形化的日志查询、统计、审计、详细的统计功能和自定义无法批量查询用户具体上网行报表中心等功能，并提供内容检索工报表 为，不能定制查询范围。 具，方便检阅审计日志。 网桥模式直连在代理服务器部署简单，不影响网络架支持透明网桥、网关模式、旁路模式。 上，无法检测部分直连终端。 构 旁路模式只支持审计功能。 管理网络流量和互联网访问行为情况，支持内、外网安全管理 支持策略定制。 深信服产品线庞大，细分有上网行为管理、堡垒主机、桌面管理、防火墙等对完善的安全防御体系 应的不同版本提供。

深信服在国内网络安全方向属于较为成熟的厂家，系统OS细分明确，订制策略规则灵活，能外置数据中心方便管理人员查阅、统计报表。但硬件、性能可靠性不高，环境适应性低，各种功能分配给不同的产品线，完善整个安全体系需投入较大的资金。

防火墙策略功能过于简单。 需要购置高端或其他类型产品，成本高。

四、其他产品类型功能对比

知名的上网行为管理厂家：

深信服、飞鱼星、网康、IP-GUARD（威盾）、Netoruy NSG（莱克斯）、网域、青莲

 功能对比 产品厂家 网康 威盾 网域 NetSys AC上网行为管理 透明网桥模式、网关模式、旁路监听模式 终端插件辅助支持 终端插件辅助支持 终端插件辅助支持 不支持 付费支持 支持 支持证书审计 支持 终端插件辅助支持 深信服 深信服上网行为管理系统 青莲 青AOS网行管理统 莲上为系莱克斯 Netoray NSG网络行为管理系统 飞鱼星行为管理系统 飞鱼星 产品名称 网康互联网控制网关 IP-guard企业信息监管系统 部署方式 透明网桥模式、网关模服务器部式、旁路署软体 监听模式 不支持 终端插件辅助支持 终端插件辅助支持 终端插件辅助支持 域管理支持 无 支持 支持 支持 终端插件辅助支持 透明网桥模式、旁路侦网关模听模式 式、旁路模式 NAT模透明网式、透明桥模式、网桥、旁旁路侦路侦听听模式 模式、网关模式 不支持 不支持 桌面行为审计 不支持 不支持 资产管理 不支持 不支持 不支持 不支持 不支持 远程维护 不支持 不支持 不支持 不支持 不支持 远程推送 病毒包、URL库升级 网页浏览（HTTP）审计 不支持 付费支持 支持 不支持 付费支持 支持 支持证书审计 支持 终端插件辅助支持 不支持 付费支持 支持 不支持 支持 不支持内容记录 不支持 付费支持 支持 不支持 支持 不支持内容记录 不支持 定时升级 支持 不支持 支持 不支持内容记录 加密网页浏览支持证（HTTPS）审计 书审计 网络聊天审计(IM) 支持 加密网络聊天不支持内容审计（QQ、内容记MSNSHELL） 录

收发邮件审计（标题、正文、支持 附件） P2P、BT协议审计和封堵 搜索关键词审计 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 不支持 不支持 不支持 支持 NTLM认证、BASIC认证、AD认证、WEB认证、LDAP认证、RADIUS认证 支持 只记录连接 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 LDAP认证、AD认证、RADIUS认证、POP3验证、Proxy认证、WEB认证 支持 只记录连接 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 不支持 支持 支持 支持 不支持 不支持 不支持 支持 支持 支持 不支持 支持 支持 支持 支持 不支持 支持 文件传输（FTP 支持 协议）审计 带宽流量管理（QoS） 时间控制策略 分析和统计功能 路由功能 防火墙功能 预防DOS攻击 VPN功能 支持 支持 支持 支持 不支持 不支持 不支持 NTLM认证、BASIC认证、AD认证、WEB认证、LDAP认证、RADIUS认证 支持 只记录连接 支持 支持 支持 支持 认证方式 AD认证、本地认证 无 LDAP认证、RADIUS认证、本地认证 无 外联控制 VPN、VNC等远程应用软件审计 扩展性（网络级联） 多线路支持 时间管理控制 文件下载类型控制

支持 只记录连接 支持 支持 支持 支持 支持 只记录连接 不支持 支持 支持 不支持 支持 只记录连接 不支持 支持 支持 不支持 支持 只记录连接 不支持 不支持 支持 不支持

从功能上看，较为出色的厂家有网康、网域、深信服、IP-GUARD（威盾）。各厂家中只有IP-GUARD（威盾）是软件产品，其他均为软硬一体式。其原理对比如下：

 原理对比 参数列表 产品形态 系统架构 网域、网康科技、深信服 软硬件一体产品 防火墙型态的软硬一体上网行为管理系统。内嵌OS，病毒库包，URL规则库对终端用户上网访问行为进行策略规范。并内置数据中心，用于报表统计和审计查询。 (1) 产品可通过透明桥接、网关、旁路三种方式接入网络。 (2) 产品在透明网桥接入模式下，支持双链路、双网桥部署。 (3) 产品在网关模式下，支持DNAT内网IP/端口映射，便于外部用户访问内网主机。 (4) 产品在旁路模式下，仅支持审计模式，无法订制策略。 IP-guard 软件产品 模块化架构的防泄密及内网安全管理系统。功能模块化，支持客户端插件推送，属于内控堡垒主机，收集数据并在服务器中进行统计查询，与内部域名服务器协同工作。 局域网内任意信息端口均可。 IP-guard基于TCP/IP协议的网络架构，可以灵活地从本地网络扩展到远程网络和异地网络，实现对复杂型网络集中管理。 部署方式 系统冗余容错 支持硬盘发生故障时，设备可以切换window操作系统上的软件产品，到备份系统，由备份系统执行互联网数据库为SQL，备份恢复操作简行为管控功能； 便。 硬盘发生逻辑损坏时，设备支持自修复功能； 收费方式 优缺点 硬件、软体一次性购买，部分服务收按用户数和模块收费，一次性购买费，每年规则库需购买有偿服务。 成本高，规则库软体免费升级。 支持路由带防病毒功能，报表功能优完善网络安全管理体系，维护成本秀，但系统可用性不高，硬件不成熟，低，支持桌面安全管理，文件控制，每年维护成本高。 对域管理尤为合适。但一次性投入成本高。不支持防病毒功能。

五、总结

鉴于上述各厂家功能对比和当前信息化发展需要，得出如下结论： 1）

可以尝试联系网康、网域厂家进行设备测试，按需选择厂家的产品版本，对已过期的防火墙有很好的支持作用。但每年需付费升级病毒库。硬件可靠性不高，部署环境困难。

2）

选择软体版本的IP-guard，按需采购功能模块，对域管理有很好的支持辅助，直接补充了网络中的堡垒主机、桌面管理、资产管理、审计功能，部署方式灵活。采购按用户数购买，一次性投入费用高。

附录

文档技术性用语解释：

堡垒主机

内部网络行为管理、命令控制技术、细粒度策略控制功能、准确日志查询检索功能、菜单类操作回放审计功能、帐号密码的安全管理、FTP/SFTP文件安全传输、支持标准SYSLOG日志、即时操作“现场直播”的监控功能、程序重用与控制技术、逻辑命令自动识别技术、分布式处理技术、实时监控技术、日志二次备份技术、多进程/线程与同步技术、自动报表生成技术、连续跳转登录技术、多信道登录技术、数据加密功能、审计查询检索功能、操作还原技术、审计双向备份技术等。堡垒主机目前一般有以下三种类型：无路由双宿主主机、牺牲主机和内部堡垒主机。

Ip-guard软体属于内控堡垒主机。

内控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强的安全防护能力。内控堡垒主机扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问和恶意攻击，对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。

内控堡垒主机具体有强大的输入输出审计功能，不仅能详细记录用户操作的每一条指令，而且能够通过回放的功能，将其动态的展现出来，大大丰富了内控审计的功能。内控堡垒主机自身审计日志，可以极大增强审计信息的安全性，保证审计人员有据可查。

桌面安全管理

桌面安全管理（又称终端安全管理）是为企业级用户提供全面高效的计算机设备管理手段，监控企业内IT环境的变化，保障计算机设备正常运行，大幅度降低维护成本，帮助企业用户管理好计算机设备。

桌面安全管理由三个模块组成：代理模块（Agent）、服务器模块（Server）、WEB管理与控制平台模块（WebConsole）。代理模块安装在每一台需要被管理的计算机上；服务器模块用来管理所有安装有代理模块的计算机，存储配置信息和资料，一般安装在一台具有大容量内存的服务器上；WEB管理与控制平台主要用于具体管理每台安装有代理模块的计算机、设置各类策略、查看历史记录及多样统计报表，主要提供给管理人员使用，由于采用WEB浏览器的模式，所以无需安装模块程序只需使用IE浏览器就可以使用功能。