一、需求概述
1.1. 需求分析
互联网的蓬勃发展,为企业提供了丰富的信息资源和畅通的网络工作平台。受益于互联网的同时,越来越多的企业已经认识到:不受控制的互联网使用行为对企业造成安全威胁,而且对企业生产力和竞争力构成极大的挑战,已经成为企业安全防范的新重点。
据IDC的数据统计显示,员工30%-40%的上网活动与工作无关,调查发现,在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体的行为正日益增加。互联网资源的滥用,给企业、政府、事业单位等各行业各组织带来了巨大的损失。使得组织单位面临着以下新的风险和威胁:
Ø 网络管理部门没有相关设备获取具体的网络流量和上网行为,无法为IT决策提供有效数据;
Ø 无法对不同的业务、用户做差异化的SLA保障,体现IT管理的分层分级;
Ø 越来越多的网络应用使用著名端口,如HTTP,使传统的三、四层访问控制设备的功能已捉衿见肘;
Ø 核心业务系统如:视频会议、OA、邮件、ERP等带宽无法保障,导致工作效率降低;
Ø 外发不当言论、访问非法网站, 给组织带来法律风险;
Ø 没有相关的设备保存上网日志记录,无法满足公安部82号令规定 。
部署一套完善的上网行为安全审计系统,对内部员工访问互联网的行为和内容进行监控与审计,如邮件、网页访问、即时通讯等,如关键业务带宽保障、无关应用的控制、外发信息的管控和审计、邮件管控和审计、IM管控和审计、上网时间控制、不良站点访问控制等功能。
为达到有效的规避互联网行为风险,实现总体的目标和任务,必须考虑如下功能及技术要素:
u 人员工作效率保障
对于影响工作效率的互联网行为,应可按照单位的成文规定结合公司特点,部门特点,人员特点,时间特点进行有效的控制/放行。以提升员工的有效工作绩效输出。
u 带宽可用性保障
互联网行为不能影响互联网的有效带宽,应保障互联网的使用效果,使用效率,使用质量。
u 历史日志的追溯查询
为确保信息安全的可审计,可追溯。所有正常被策略放行的行为,被策略控制的行为均应能够被追溯,被审计,从而确认信息安全的有效性。
u 未知隐患点的分析与挖掘
为确保互联网行为安全等级能够不断在自我统计,自我分析中自我完善,应可以及时的统计,分析出当前策略下的各种行为模型,对比基线,结合实际发现新的可能隐患点,从而继续优化,提升信息安全保护等级。
u 产品设计的先进性
行为审计系统应具备目前业界通用,流行的各种技术规范,同时具备同行业内较为明显的技术优势,并且这些技术优势可带给XX有效的行为审计效果。
u 产品自身的安全性
行为审计系统由于是增值安全设备,因此应具备较高的自身可靠性考虑,以及原有网络的链路的可靠性考虑。充分满足XX的BCP(业务连续性计划),提升信息系统的客户满意度。
u 系统可扩展性
考虑到组织机构的人员未来的增长趋势,因此在此系统设计时应考虑到分支机构增加的扩展性考虑,以及具体分支机构互联网行为模型扩大时的性能可扩展性。
u 系统可升级性
由于互联网行为协议更新频率极高,因此必须考虑到设备具备的可持续,频繁升级的能力,以确保产品的长期有效。
二、网康科技解决方案
2.1 网康ICG网络部署拓扑
在通常的企业网络环境中,网康科技建议将ICG作为透明网桥部署在防火墙与核心交换机之间,既不影响到现有的网络设备和拓扑,也无需对现有设备做任何调整或变更,降低了系统实施运维的工作量,简单部署拓扑示意图:
2.2 具体解决方案
2.2.1身份识别、认证
用户是上网行为管理产品最核心的要素,任何一条策略都是针对一个用户或者部门设置的,因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。网康ICG提供了丰富的用户认证方式以及符合企业实际的用户管理能力,很好地满足企业对于用户的管理要求。
u 按照企业组织结构建立用户组
当用户数目较多、组织结构比较复杂时,按照实际的组织结构管理用户是最有效的方式,易于管理员查询、定位和设置策略。网康ICG支持树型结构管理用户,能够完全按照企业的实际情况建立用户组,如下图所示:
u 识别认证机制
网康ICG提供多种用户认证和识别方式,为用户管理提供了灵活而完善的方案,包括基本的IP/MAC绑定、三层网络环境下的IP/MAC绑定、网关Web认证、AD域透明认证、LDAP认证、RADIUS认证、POP3认证、ESMTP认证、SOCKS认证、PPPoE认证账号识别、第三方用户识别。此外,对于使用微软ISA系统的环境,ICG还支持NTLM认证和BASIC认证,实现与ISA的联动。
u 混合认证
网康ICG支持多种认证方式的混合,可方便为不同的网段开启不同的认证方式,实现不同用户群的差异化管理;同一网段用户也可同时开启多种认证方式,方便用户在不同的应用环境下都可以认证入网。
u IP/MAC绑定
网康ICG支持二层网络环境和三层网络环境下的IP/MAC绑定。可自动阻塞那些非法占用他人IP地址的用户。
u 权限组管理
网康ICG支持权限组的定义和管理。可在各级用户组织中建立“权限组”,可将任意用户添加入“权限组”中,一个用户可以同时隶属于多个权限组。这一功能提高了用户策略管理的灵活性,在不改变原用户的组织结构的情况下,可实现对一些分散在各组中的用户进行统一策略管理。
网康ICG可将AD域服务器中用户权限组信息导入到用户组织列表中,并自动创建相对应的权限组,可定义各权限组的互联网行为管控策略。
u 从多个LDAP服务器同时导入用户数据
对于那些拥有多AD子域服务器的网络环境,ICG可同时同步所有AD子域服务器中的用户信息数据,实现全网用户的统一管理。
u 用户的快速搜索选择
在用户数量庞大,用户组织结构复杂的网络环境中,管理员在制定策略或查询日志时,按组织关系逐层筛选用户这一操作会耗费大量的时间和精力。
网康ICG可以避免上述问题,在所有用户对象选择对话框中,支持用户搜索定位功能。只要在搜索框中输入要选择的用户组或用户名称,即可直接将该用户或用户组添加到用户对象中。
u 用户强制下线
网康ICG支持WEB认证、LDAP认证、RADIUS认证、邮件账号认证、IP识别用户的强制下线。管理者也可以将活跃用户列表中的IP加入“屏蔽IP列表”中。
u 认证账号有效期限制
对于一些需求临时入网的用户,管理员可通过该功能限制这些用户可以入网的时间范围,超出限定范围后,该用户无法再入网。一方面提高准入用户的安全性,另一方面可实现入网限时的功能。
u 认证账号唯一性控制
网康ICG支持认证账号唯一性控制。这一功能可以方便控制同一认证账号是否允许在多台计算机上同时登陆。从而适应不同用户的认证需求。
u 账号黑名单
对于行为异常的认证账号,网康ICG支持将其加入到认证账号黑名单。未经管理员将其从黑名单中清除,该账号将无法通过认证。
u 免监控用户
对于在特殊情况下不需要审计监控的用户,网康ICG提供免监控功能。
u 登录重定向
网康ICG提供登录重定向增值功能。用户认证通过后,第一次上网请求将触发此功能,网页访问请求被重定向到预设的URL。对于集团企业、政府机关和学校,便于上网用户方便地获悉最新的公告或者相关信息。
网康ICG通过预分类过滤技术、URL自动分类引擎,根据中国的文化背景、伦理道德、法律法规、应用领域、上网习惯等,进行全面采集、多级分类,并生成URL分类数据库。网康自主研发的URL搜索引擎,7x24小时进行区域性(主要是中国大陆)URL抓取,并对抓取的网页进行相关性的链接分析。通过智能多级分类系统、人工校验审核等多级过滤技术对获取到的URL进行有效性校验和内容分类匹配,导入数据库。目前网康ICG的URL数据库包括51个类别,超过1400万条的URL,基本覆盖中国大陆区域的网站,是全球******的中文URL数据库。对违反国家法律、危害企业安全的内容进行过滤,避免用户有意无意访问包含非法内容的网页,净化网络,减少病毒进入局域网的几率,降低企业法律风险,创造文明健康的上网环境。网康URL预分类库,如下图
u 网页策略设置
网康ICG支持灵活的策略设置,可以针对多种条件设置策略
Ø 用户、部门及其组合
Ø 时间段,如上班时间、下班时间、周末等
Ø URL类别
Ø URL 关键字
Ø 下载文件类型
Ø Web访问次数以及流量
过滤方式包括:
Ø 允许 / 阻塞
Ø 允许并记录 / 阻塞并记录
策略设置方法如下图所示:
u 自定义URL类别
如果ICG 内置URL类别不能完全满足用户的实际需求,用户可以根据企业的需要自定义新的类别,以实现更精确的控制管理。
图2-3 自定义URL分类
u URL黑白名单
通过URL黑白名单,可以设置Web访问中的特例:对于一些网站可能需要跳过已定义好的策略,而无条件地允许或阻塞,比如Windows自动更新服务,病毒库自动更新服务。被直接允许访问的网站列表称为URL白名单;相反地,被直接阻塞访问的网站列表称为URL黑名单。黑名单、白名单和策略的优先级从高到低为黑名单 -> 白名单 -> 策略。
u Web访问违禁提示
用户访问Web失败后,通常在浏览器中显示“无法显示页面”的提示信息。如果是由于被预设策略所阻塞,网康ICG提供更友好的方式提示用户无法访问的原因,如下图所示,提示内容可以自定义。
2.2.3网络应用管控
传统安全产品通过IP或者端口封堵各种协议,只能局限于标准的协议,如HTTP,SMTP,且主要是在网络层以及传输层进行,对应用层的内容无能为力,而且,如果IP与端口经过动态协商建立,比如QQ,P2P下载等,则完全不能胜任。网康ICG对应用的识别是通过应用特征与行为特征实现的。所谓应用特征,是指在成序列的数据包的应用层信息中,存在有规律的字节特征,它可以唯一地标识某种应用协议,就如同一个人无论穿什么颜色的衣服,其指纹特征不会改变,而且是唯一的,类似地,ICG可以通过特征值准确地识别网络应用;而行为特征,是指连续多个包或者多个并发的网络连接表现出来的某种行为模式具有一定规律性,通过这些行为模式可以识别特征值不明显的应用类型。
u 应用时长限额
网康ICG可限定每个用户在一天之内累计上网时间额度,管理员可单独控制用户的某项互联网应用每日上网时长限额,也可同时控制用户的多项互联网应用每日上网时长限额。超出限制时间额度后,用户在当日内无法再使用该应用。
如:可限定用户每日仅允许QQ聊天累计时长1小时;也可限定用户每日仅允许炒股30分钟,即无论用户用哪种炒股软件,累计达到30分钟后,当天内无法再使用任何炒股软件炒股。
u 应用策略设置
网康ICG能够根据多种条件及其组合对网络应用进行灵活的管理,包括:
Ø 用户、部门及其组合
Ø 时间段,如上班时间、下班时间、周末等
Ø 提供自定义协议,对特定的应用进行控制
Ø 对网络应用进行封堵、允许
网康ICG的一大优势是能够对各种网络应用进行精细粒度的管理控制,比如可以通过阻塞每一种具体的网络电视、流媒体来减少带宽资源浪费,保障员工工作的效率等。此外,对于一些多协议多用途的应用(如IM),ICG可以精确识别子协议,将更多细节纳入策略框架中。例如:允许通过QQ聊天与文件传输进行产品技术支持,且保障QQ远程协助的带宽,但禁止玩QQ游戏,禁止欣赏音乐视频等等,如下图所示:
2.2.4带宽保障及流量管理
网康ICG强大的访问控制和QOS功能可以使得企业合理利用Internet资源,为不同的用户分配不同的带宽和上网权限,使得Internet资源得到有效利用,并大大提高员工的工作效率。网康ICG可以详细记录和分析所有流量的内容,按用户、部门、应用、协议和时间对Internet流量进行统计分析,以优化员工对Internet的资源使用。使得企业有限的带宽能得到最充分的利用,提高企业的网络利用率。
u 针对用户/应用设置带宽
ICG可对用户、应用以及它们的组合设置带宽。首先根据需要定义多个带宽通道,对于每个通道,可以指定其保障上下行速率、突发上下行速率、优先级等参数对数据流近进行整形,见下图。
上传/下载速率:数据流的保障吞吐量,低于此临界值的数据流保障通过。
******上传/下载速率:超过此临界值的数据流被抑制并丢弃。峰值带宽一般设置为大于正常上传/下载的数值,意义在于:如果当前连接超过基本保障带宽,且总体网络带宽有闲置未用部分,当前连接可以在峰值带宽之下暂时“借用”其它通道空闲的资源,以提高总带宽利用率。
u 基于时间段流量控制
网康ICG支持自定义时间对象,实现针对时间段进行带宽分配。时间对象可以选择一周内的一天或多天,一天内可以灵活设置多个时间段。如下图所示:
2.2.5 内容审计和过滤
通过互联网传递信息已经成为企业的关键应用,然而信息的机密性、健康性、政治性等问题也随之而来。通过网康ICG,您可以制定精细化的信息收发监控策略,有效控制信息的传播范围,控制敏感信息的泄露,避免可能引起的法律风险。
网康ICG不但可以审计通过任意端口的POP3和SMTP协议收发邮件内容,同时还可以审计通过WEB-MAIL发送邮件的内容,实现对用户邮件收发内容的全面审计。
同时,网康ICG可基于邮件特征对SMTP邮件外发内容进行审计和过滤。从根本上杜绝包含敏感信息邮件的外发行为,保证企业信息的安全。
n 邮件审计内容
Ø 邮件收发时间
Ø 用户名称
Ø 发送邮箱地址
Ø 接收邮箱地址
Ø 收发类型
Ø 邮件主题
Ø 邮件正文
Ø 邮件附件名称及内容
n 过滤条件
Ø 发信人地址
Ø 收信人地址
Ø 邮件主题关键字
Ø 邮件正文关键字
Ø 邮件附件名称及类型
n WEB-MAIL站点
雅虎邮箱、搜狐邮箱、网易163、网易126、Msn Hotmail、Tom邮箱、新浪邮箱、
G-Mail、QQ-Mail、Excite、Goo、Infoseek、Livedoor。
u IM审计和过滤
网康ICG对IM行为及内容审计功能包括:
n MSN审计和过滤
审计收发动作、发送账号、接收账号、聊天内容、视频行为、文件传输内容;
基于MSN账号、文件名称、文件传输方向、文件类型、和文件大小阻塞聊天行为和文件传输行为。
n Yahoo! Messenger审计
审计收发动作、发送账号、接收账号、聊天内容
n QQ审计
审计收发动作、发送账号(昵称)、接收账号(昵称)、聊天内容、语音聊天行为、群组聊天内容
网康ICG支持HTTP文件传输内容的审计和过滤功能。可以基于文件名称、类型和大小审计HTTP文件上传下载内容,并可阻塞包含指定特征的文件传输行为。
网康ICG可审计HTTPS加密网页的访问情况,并可基于网站分类、证书合法性阻塞存在安全隐患HTTPS加密网页的访问,有效屏蔽用户对钓鱼网站的访问,保障企业网络安全和用户信息安全。
网康ICG支持FTP审计和过滤功能,可以审计任意端口的FTP文件传输行为;可基于所传输文件在FTP服务器中的路径、文件名称阻塞文件传输行为;并可还原指定名称、大小或类型的文件内容。
网康ICG支持TELNET审计功能,可审计内网用户的TELENT行为,记录TELNET目标设备的IP、端口信息;记录执行的指令内容和结果。
网康ICG能够针对各类BBS论坛、新闻评论、搜索引擎贴吧的发帖内容进行监控审计,包括发帖正文、发帖附件,对于违背预设关键字的发帖进行实时阻断,并邮件报警。对于发帖日志,还可以通过时间、用户、关键字进行全面查询,准确定位发帖行为与内容。
网康ICG支持“搜索引擎关键字审计与过滤”功能。可以记录用户通过搜索引擎类网站搜索的关键字内容,并可以基于搜索类别、关键字内容过滤用户的非法搜索行为。
网康ICG可以灵活设置在哪些时段审计哪些人的外发信息,从而有针对性的监控外发信息,为策略制定提供高度的灵活性。
2.2.6日志报表功能
对日志的存留与分析,既是对国家法律法规的遵从,也是真正管理好企业员工上网、有效利用网络资源的需要。
Ø 基于用户的综合上网行为查询
Ø 网络流量查询,数据粒度可选,如:按汇总数据,小时流量,细节流量
Ø Web访问记录查询,数据粒度可选,如:全链接,仅主链接;控制粒度可选,如允许、阻塞
Ø 应用行为阻塞日志信息查询,便于对违规互联网行为进行取证
Ø 应用连接明细查询,便于追踪定位网络安全事件故障源
Ø 用户上网时长查询,可基于时间段、用户、应用协议等多种条件进行查询分析
Ø 电子邮件收发记录查询,可查看完整的邮件正文与附件内容
Ø IM聊天内容查询,查看MSN与Yahoo! Messenger的完整聊天记录,同时,可方便追踪某两个IM用户之间所有聊天过程信息
Ø 论坛发帖内容查询,可查看完整的发帖正文与上传文件
Ø P2P、网游、炒股、视频等网络应用行为查询
Ø 查询用户或用户组当前所适用的策略,便于排除或定位网络故障源
Ø 用户认证上线历史查询,建立时间、用户、IP间的对应关系
u 灵活的查询条件设置
Ø 根据日期范围,以及每天的特定时间段查询
Ø 根据用户或者用户组查询
Ø 根据网络应用查询流量
Ø 根据URL类别、URL关键字、预设的过滤策略查询Web访问记录
Ø 根据发件人、收件人、主题、附件名、邮件大小、email类型查询发送与接收邮件
Ø 根据发送帐号、接收帐号、IM类型查询在线聊天记录
Ø 设置URL关键字与正文关键字查询论坛发帖记录
n 查询结果保存
Ø 直接导出为Excel表格,方便二次处理
u 预置报告模版
网康ICG提供用户/部门上网综合报告、流量分析报告、用户排名报告、应用排名报告、网络应用时间走势报告5大类30多种报告模版,以表格、饼图、柱图、线图等多种形式展现,方便管理员进行全面的分析。
n 用户上网综合报告
n 流量分析报告
n 用户排名报告
n 应用排名报告
n 时间走势报告
u 直观的报告展现与结果保存
网康ICG提供了直观的报告展示方式,所有分析报告都可以以表格、饼图、柱图或线图等方式展示,都可以导出为Excel或Pdf格式的文件。此外,为了方便信息的沟通,每种报告都可以通过电子邮件发送,并支持定期订阅功能。
u 分级系统报警日志
故障自检和报警机制是保障设备自身安全性和网络稳定性的必要条件。只有及时发现问题、方便准确的定位问题根源,才能有效的解决问题并避免更大的网络安全故障发生。网康ICG不但具备完善的设备自检机制,还对设备报警日志进行分级管理,便于网络管理者快速准确获取重要报警信息。
网康ICG支持独立的日志中心,它可以将用户上网日志存储在外置存储设备中。并拥有与ICG一致的所有查询、统计、报告功能。其优点在于:
1) 日志中心保证了日志存储的安全性与完整性。由于日志服务器的存储系统可以按需扩展,容量仅受限于硬盘大小与数量,因此可以实现用户日志的长时间保存,为日志分析与法律遵从提供完整的数据。
2) 日志中心提供强大的日志查询与分析能力,可以对用户上网的历史日志离线查询。由于数据查询可以离线进行,不仅提高了日志查询统计的效率,还降低了ICG的计算压力,使得ICG能够“专职”进行协议识别与过滤控制。
3) 日志中心支持用户日志的全文检索。可以通过关键字检索指定日期范围、指定应用类型的用户日志。帮助管理员快捷获取与某用户、某敏感内容信息相关的所有日志记录。
对于分布式部署多台上网行为管理设备的集团用户,集中管理平台可以帮助管理员随时了解各分支机构的设备运行状态,统一制定、下发上网行为管理的策略,并定期收集各分支机构用户上网行为日志。从而节省企业网络运营和维护成本,便于网络管理者统揽全局,提高对用户互联网行为管控的效率与力度。
u 设备管理
对所管控的ICG设备进行分组管理,实时监控各ICG设备的状态信息,如在线用户数、上传流量、下载流量、并发连接数等等。
u 策略制定与下发
集中管理平台能够设置统一管理策略,如网页过滤策略、应用控制策略、内容审计策略等到那个,下发至所管理设备。
u 设备日志查询
可以查看每一台所管设备的任意用户的上网日志信息,了解全网策略的管理效果。
u 报告分析
集中管理平台可基于时间条件对单个、多个或一组ICG设备端的用户互联网行为做统计分析,统计报告结果以饼图、柱形图、走势图、表格等形式展现给管理者。
2.2.7系统操作人员的分权分职功能
网康ICG内置的权限管理模块用于配置系统操作人员的权限,系统内置了三种不同权限的系统操作人员,即超级管理员、管理员和审计员。
超级管理员:即ns25000用户,拥有最高权限,无法删除,可以使用全部功能。建议由IT主管和安全审计主管分段持有密码。
管理员:由超级管理员建立账号和分配权限。管理员如果被超级管理员分配了下级审计员,则可以修改其下级审计员创建的策略。建议由IT管理员持有此类帐户,但不建议超级管理员赋予管理员权限配置的权限。
审计员:由超级管理员建立账号和分配权限。建议由安全审计人员持有此类帐户。
通过对系统操作人员的分权分职,即贯彻实践了最小授权原则、相关性原则,并可以******限度的保障系统的安全性。
三、网康科技ICG主要特点
3.1 ******的中文网页分类库
网康科技一直致力于互联网技术和内容的研究,专门成立“互联网技术与内容研究室”,拥有中高级职称的20多人团队在不断的跟踪、提取、研究、分析、总结互联网技术的发展趋势和内容分布情况,追踪最新的技术成果,并转换成实际应用之中,来确保数据的有效性和及时性。从而使得网康科技可以一直保持领先的网页分类技术,并一直持续到今天,都拥有全球******的中文网页分类库,截止到目前,已经拥有了47个分类,1400万的规模,且仍然在不断更新。
根据网康科技的中文网页分类库,用户可以很直观、有效、全面、精确的管理自己的网络,使得管理员的策略确实有效,不会出现做了策略,却发现终端用户依然可以访问部分违规网站的情况,确保效果。
3.2 最精细的应用识别技术
网康科技一直致力于互联网技术和内容的研究,专门成立“互联网技术与内容研究室”,拥有中高级职称的20多人团队在不断的跟踪、提取、研究、分析、总结互联网技术的发展趋势和内容分布情况,追踪最新的技术成果,并转换成实际应用之中,来确保数据的有效性和及时性。从而使得网康科技可以一直保持领先的精细化应用识别技术,并一直持续到今天,都拥有最精细的应用识别技术。
根据网康科技的应用协议库,用户可以很直观、有效、全面、精确的管理自己的网络,使得管理员的策略确实有效。由于具有精细化的应用协议库,使得管理员的策略管理和控制非常简单,只需要简单的使用鼠标勾选相关的应用协议,就可以实现精准的管理和控制。
3.3 启发式递进(Drill down)查询
多数管理者对自己的网络并非了如指掌,他们希望利用行为管理设备了解互联网资源的访问情况,发现异常的情况,并且希望这种过程是轻松、水到渠成的。
网康产品提供递进式深入查询、统计、报表一体化功能界面,管理者可以从所想了解的用户、web访问、应用协议、以及外发信息入手开始浏览,逐渐点击查询结果,了解更细的内容。所有的查询结果都可以导出到execl文档处理,也可以选择模板生成报告。
网康科技一直重视网络的可用性和系统健壮性。一直在思考和避免因设备原因造成的对客户任何的网络不便或网络中断。因此,网康科技提供以下几种技术来确保系统的可靠性和网络的可用性。
3.4. 双电源双系统确保系统健壮性
网康科技高端设备具备双电源,来确保设备物理工作的稳定性和可靠性,在对系统可靠性要求非常高的单位,可选购相应机型来满足高可靠性的要求和需要。
同时,设备提供双系统来确保设备系统工作的可靠性。即设备自身带有两套系统,可确保设备中一套系统因其他原因不工作的情况下,另一套系统可有效的运行起来,从而保证系统的可用性。
3.5. 软硬件旁路功能避免出现单点故障
网康ICG提供硬件bypass与软件bypass双重保护,确保发生异常时网络依然畅通。
硬件bypass:由于意外原因发生设备掉电时,网康ICG将自动启动硬件bypass功能,设备在物理上成为一条连通的网线,不会对已有的网络连接产生任何影响。此外,网康独有的一键bypass功能,在设备有电的情况下,可以“主动”将设备切换为bypass状态,卸载网络流量。
软件bypass:当网络负载超过设定的安全阀值时,系统自动启动软件bypass功能,选择性停止对各种网络数据的分析处理,以设备******带宽“放行”数据包。当网络负载恢复到安全阀值以下时,系统自动恢复各种处理功能。
3.6. 专用的安全的软、硬件系统
网康ICG采用专用的操作系统NSOS,它在成熟的操作系统基础上,针对上网行为管理的特点,进行了大幅度的裁减,关闭非相关端口与服务,确保不受网络病毒的危害;重新编写TCP/IP协议栈,优化网络驱动,减少系统内核与用户空间的数据交换,大大提高了网络数据的处理能力。
硬件方面,网康ICG充分考虑用户机房网络环境,在设备的通风、电磁、降噪、信息显示以及手工管控等方面进行了大量的革新,确保设备的高效运行与安全操作。
3.7. 支持系统热备,实现无硬盘依赖
网康ICG独有的系统无硬盘依赖构架,将NSOS系统直接烧入设备固件中,实现与硬盘的系统热备。硬盘仅作为日志的存储介质,即使硬盘出现逻辑损坏,ICG的互联网行为管控能力不会受到任何影响。同时,网康ICG设备还具备硬盘修复功能,当硬盘发生故障时,系统固件系统能够重建硬盘工作分区,避免硬盘引发的单点故障。
此外,如果配置日志中心,用户上网日志将实时存储在外设设备,从而网康ICG可实现无盘工作。这从根本上杜绝了硬盘故障对设备稳定性和功能可靠性的影响。
四、典型客户
4.1 相关案例介绍
国家开发银行
国家开发银行直属国务院领导,在关系国家经济发展命脉的基础设施、基础产业和支柱产业重大项目及配套工程建设中,发挥长期融资领域主力银行作。目前国开行在全国设有32家分行和4家代表处,约1万上网用户,所有分行和代表处均统一从北京出口访问互联网。而互联网带来的安全问题、保密问题、管理问题,成为横埂在开行管理层面前的一道必须跨越的鸿沟。
面对国开银行互联网应用问题,北京网康科技认为必须做到“三分技术,七分管理”才能有效解决这些问题,也就是通过有效的技术手段实现管理手段,从而达到安全效果。因此,北京网康科技有限公司为国开银行提供了一套面向国国开银行系统的互联网控制管理解决方案――网康互联网访问管理网关(包括一台NS25000和一台NS5500),帮助开行制定相关策略,细致进行全面的上网行为管理。对包括对网站访问、邮件发送、BBS发贴、网络聊天、BT下载、FTP上传、在线音乐、在线电影、在线游戏等等一切互联网活动进行控制和管理,并能够实现基于用户和各种网络协议的带宽控制管理。部署网康互联网控制网关后:
银行办公网越来越稳定,网络速度较以前有明显改变
阻止了对色情、反动、病毒等高风险网站的访问,减少恶意软件的侵扰,IT设备维修率下降
严格控制QQ、MSN、网络游戏的使用,员工的工作效率有较大提高,工作质量越来越好
限制了BT、eMule等P2P下载应用的带宽,银行主要业务畅通无阻
加强了对Email、BBS等外发信息的管理,减少了银行信息外泄的可能
通过灵活详细的互联网活动统计报表,掌握了各分行的互联网使用情况和趋势
中国国际航空公司
项目概况:
Ø 国航是中国唯一载国旗飞行的航空公司,具有国内航空公司第一的品牌价值(世界品牌实验室2006年评测为188.96亿元),在航空客运、货运及相关服务诸方面,均处于国内领先地位。众所周知,国航承担着中国国家领导人出国访问的专机任务,也承担许多外国元首和政府首脑在国内的专包机任务,这是国航独有的国家载旗航的尊贵地位。国航总部设在北京,辖有西南、浙江、重庆、内蒙古、天津、贵州、西藏分公司和上海基地、华南基地,以及工程技术分公司、公务机分公司,控股北京飞机维修工程有限公司(Ameco)、中国国际货运航空有限公司、北京航空食品公司。国航还参股深圳航空、国泰航空等企业,是山东航空集团有限公司的******股东,控股澳门航空有限公司。
Ø Internet总出口为50M,整个国航系统网的上网人数在5000-10000左右,平时活跃的用户在5000人左右,互联网的使用率较高。
Ø 由于目前的网络中对于员工上网行为的准出没有任何控制,因此应用复杂,而且非常不规范,非法应用占用大量的互联网带宽,同时,员工上班时间玩游戏、炒股、P2P下载及在线观看网络电视的情况普遍存在。
网络结构:
客户需求:
Ø 首先,要求取代现有的SUN的代理服务器;
Ø 其次,要求对用户身份进行认证;
Ø 此外,限制非法应用,包括网络电视、P2P下载、股票软件及网络游戏等;
Ø 同时要保障依托Internet的航空业务应用的带宽,提高国航的服务质量;
Ø 要求能够迅速定位内部用户由于病毒、木马造成的异常突发流量导致网络中断的情况;
Ø 监控审计每个员工的所有上网行为,作为互联网管理规定的可靠依据;
Ø 要求具有互联网上网行为定期报告的功能;
网康解决方案:
Ø 通过网康对国际航空公司网络的前期审计评估,我司ICG产品在通过了性能评估的前提下,针对用户的需求做了如下的管控策略:
1. 用ICG取代原有的SUN Proxy Server,且运行稳定;
2. 通过和用户的LDAP服务器结合、实现对员工身份的有效管理;
3. 限制P2P及网络电视的应用,降低这些应用对用户互联网出口的无节制占用;
4. 保障HTTP及正常业务(通过自定义协议的方式)的带宽;
5. 禁止员工访问病毒、色情等高风险网站;
6. 禁止员工在上班时间炒股、网上购物、玩游戏,包括网络游戏及IM类游戏等活动;
7. 启用ICG的防护功能,针对员工中木马或病毒后产生的异常流量进行自动屏蔽;
8. 利用ICG的报告订阅功能,自动生成用户关注的web、mail、应用等几十种报告,给用户的互联网管理提供精确的依据;
ICG实际管控效果:
部署网康互联网控制网关后,经过一段时间的使用,国际航空公司的网络使用状况得到了极大地改善,主要体现在以下几方面:
Ø ICG取代SUN Proxy Server后,性能优于SUN Server 70%
Ø 通过ICG与用户LDAP服务器的无缝结合,实现用户上网身份的智能识别
Ø 通过对BT、电驴及PPLive等P2P和P2PStreaming应用的管控,网络总体流量下降60%,产生了更多的富余带宽
Ø 通过屏蔽非法应用,提升了传统协议的占有量,使用户的正常访问网络获得更好的宽带体验,关键业务不再受到影响,******化体现带宽价值
Ø 通过网康URL预分类技术(未分类自动上传更新,每天更新300万),有效地过滤与工作无关的网址
Ø 高风险和不良信息网站被禁止访问,大大降低了病毒、蠕虫的感染机率
Ø 异常流量、异常IP被监控,随时报警功能让网络安全事故得以及时解除
Ø ICG丰富的报告功能,为用户的互联网管理遵循PPDR的原则制定螺旋上升的健康策略提供可靠的IT依据。
Ø 通过ICG的良好使用,将国际航空公司的互联网管理条例落到实处,为企业的员工打造一个健康的互联网使用平台。
中国人民大学
中国人民大学是一所以人文社会科学为主的综合性研究型全国重点大学,直属于教育部,由教育部与北京市共建。学校的前身是诞生于抗日战争烽火中的陕北公学,以及后来的华北联合大学和华北大学。1950年10月3日,以华北大学为基础合并组建的中国人民大学举行隆重的开学典礼,成为新中国创办的第一所新型正规大学。从1950年至今,国家历次确立重点大学,中国人民大学均位居其中。目前学校是国家“985工程”和“211工程”重点建设的大学之一。
建校50多年来,中国人民大学已经为社会各界培养了大批人才,在社会经济发展的各个领域里发挥着重要的作用。作为“211工程”重点建设大学之一,中国人民大学已经把培养高素质、高层次、复合型人才作为学校的首要任务。目前,随着网络的不断发展,信息化在学校的广泛应用让领导看到了网络给学校在教育和科研上所带来的便利,但同时,网络环境的日益复杂和多变也让他们看到了信息安全的重要性,建造绿色校园网络环境刻不容缓。
作为中国领先的互联网控制网关设备提供与服务商,北京网康科技为中国人民大学提供互联网控制网关,全面控制与管理学校和老师对互联网的使用,帮助学校全面控制与管理互联网,实现互联网在上网行为管理、内容安全管理、带宽分配管理、网络应用管理、外发信息管理等多项功能,满足于中国人民大学对互联网管理的需求。
网康互联网控制网关,通过事先制定好互联网访问策略,有效解决管理、安全、效率、资源、法律等诸多因使用互联网而带来的问题,保护了中国人民大学关键网络应用的畅通,控制和管理好校内人员对互联网的使用,使得学校的网络环境趋于健康、稳定,员工工作效率得到了提高,学生和老师的学习与工作质量得到了保证。
4.2 部分用户名单
以下是部分成功的客户名单。
中石油昆仑润滑油公司
|
中国煤炭集团总公司
|
中石化长城润滑油公司
|
中石化国际石油勘探开发有限公司
|
中石油集团工程设计有限责任公司
|
河南省电力有限公司
|
中石油辽河油田工程公司
|
中石油华东销售公司
|
华北电网有限公司(总公司)
|
华中电网有限公司
|
中国共青团中央
|
农业部
|
国家知识产权局
|
环保部
|
国家测绘局
|
北京市发展和改革委员会
|
中国人民对外友好协会
|
民政部
|
中国标准化协会
|
黑龙江省政府
|
中国人民大学
|
西南政法大学
|
北京大学附中
|
海军工程大学
|
北京工业大学
|
北京师范大学附属实验中学
|
北京科技大学
|
北京宣武区教委
|
李宁体育用品有限公司
|
上海东方希望集团
|
金山软件股份有限公司
|
用友软件股份有限公司
|
中国人寿保险股份有限公司
|
中国银河证券股份有限公司
|
国家开发银行总行
|
上投摩根基金管理有限公司
|
中国人保寿险有限公司
|
中国农业银行吉林省分行
|
嘉禾人寿保险有限公司
|
中国农业银行重庆市分行
|
金融街控股有限公司
|
中国银行内蒙古分行
|
中国教育电视台
|
河北省新闻出版集团
|
中国船级社(集团采购)
|
全兴(中国)有限公司
|
中国国际航空股份有限公司
|
中国安全科学研究院
|
中国国际贸易中心
|
苏宁电器
|
4.3 用户使用报告
以下是部分客户使用网康设备后,出具的用户使用报告摘要。