《上网行为管理解决方案.doc》由会员分享,可在线阅读,更多相关《上网行为管理解决方案.doc(51页珍藏版)》请在三一文库上搜索。
1、 上网行为管理系统解决方案上网行为管理系统解决方案北京海融天宇科技有限公司2010年8月目 录1、互联网行为管理理念41.1互联网管理的发展41.2互联网管理的几个方向41.3互联网管理的内容61.4互联网管理解决什么问题71.5网康科技上网行为管理(NS-ICG)理念 洞悉,管控,驾驭72、学校互联网管理方案设计82.1学校网络目前面临的问题82.2学校网络整体目标和任务82.3学校网络系统设计要求82.4 学校网络需求分析103、学校网络系统总体设计方案143.1建设目标143.2设计目标143.3方案框架思路及拓扑153.4对应各功能配置方法及意义173.5实施非明文文件传输隐患规避24
2、3.6查询模式建议和监控293.7 统计分析模式建议393.8 设备系统的安全性433.9可靠性原则保障和易用性454培训与服务474.1网康科技服务理念474.2网康流程化服务管理优势474.3产品验收服务484.4 培训服务514.5升级服务534.6 互联网管理IT增值分析服务544.7售后支持服务55附1、典型客户列表58附2、可识别协议列表63附3、URL分类631、互联网行为管理理念互联网作为一个拥有完全社会特征的虚拟环境,其管理与学校、政府、金融、企业等机构(部门)网络的管理密不可分,然而互联网的管理复杂度远超过政府、金融、企业、学校等机构(部门)网络的管理。互联网管理包括:风险
3、管理、合规管理、行为管理和链路管理。1.1互联网管理的发展从互联网使用的历程来看,首先是接入,让互联网可用;其次是高效率,出口链路的流量管理;然后是访问控制,让大家安全合理的使用互联网;最后上升到员工行为分析和管理。归纳起来,一是关注上网速度,二是关注上网内容(泛指各种互联网应用及其信息),三是入网用户(学生,教职员工,宿舍,家属)行为分析和管理。实际上,访问速度、上网内容、行为分析密不可分,都是互联网管理的重要组成部分。 完整的互联网访问管理遵循“记录分析决策实施策略再记录、分析”这样一个螺旋式上升的,逐步完善的过程。 1.2互联网管理的几个方向l 集中管理对于同一个(组)机构有各自不同的局
4、域网,自己的网络自己管理的环境,对其实现网络的集中审计和控管,统一制定策略,统一采集日志信息,统一查看系统状态信息等,保证各分支信息安全和网络的稳定、统一。l 链路管理链路管理是互联网管理的基础,主要是如何保障互联网出口链路的畅通、高速。链路管理包括带宽分配、流量整形、异常流量的防护等。l 风险管理过去我们往往把信息安全局限于通信保密,局限于对信息加密功能要求,其实网络信息安全牵涉到方方面面的问题,是一个极其复杂的系统工程。从简化的角度来看,要实施一个完整的网络与信息安全体系,至少应包括三类措施,并且三者缺一不可。一是社会的法律政策,政府、企业、银行、学校等单位的规章制度以及安全教育等外部软环
5、境。在该方面政府有关部门的主要领导应当扮演重要的角色。二是技术方面的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等。只有技术措施并不能保证百分之百的安全。三是审计和管理措施,该方面措施同时包含了技术与社会措施。其主要措施有:实时监控学校网络安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等,以防患于未然。 l 合规管理国家互联网安全保护技术措施规定、信息安全等级保护、企业信息系统风险管理等安全指导,均对学校、政府、企业、银行互联网访问的控制、审计提出要求。公安部33号令以及2006年3月1日颁布实施的公安部82号令,都对互联网使用单位内部用户的上网行为提出了
6、行为审计和记录的要求,尤其82号令要求互联网访问行为日志“至少留存60天”。l 行为管理社会化是互联网的基本特点。也是互联网管理区别于局域网管理的最大不同之处。随着互联网Web2.0等交互式技术的广泛应用,互联网社会化程度日趋明显,互联网与用户之间的相互影响也越来越大。可以说,很多的政府部门管理风险是由于对员工的片面管理造成的,往往通过人员的其他行为可以更有效的分析引导。用户的上网行为实际上反映了上网用户的社会行为,互联网管理不仅仅是网络实体的管理,可以提升到学校管理的高度。社会化特征使互联网更具有管理价值目前市场有不少产品也宣称能够对应用进行管理,对流量进行控制。这样的产品很多是从传统的安全
7、产品通过增加新功能、或者置换概念而来,如UTM、内网安全管理、应用安全网关等等。它们可能在某个层面,从某个角度解决用户的特定问题,但并不全面,不能称为上网行为管理产品。而网康科技专注于互联网的研究,是专业的互联网管理服务提供商。1.3互联网管理的内容q 管理用户 哪些用户可以使用互联网? 怎样标识定位用户? 哪些用户正在访问互联网?q 管理行为 哪些类型的网站是学校明令禁止访问的? 对影响工作效率的网络应用进行阻断还是流控? 是否需要针对工作时间或者上课时间和下班时间或者下课时间设置不同的策略?q 管理内容 教职员工的邮件有没有泄露学校的敏感信息? 教职员工的言论有没有触犯国家的有关法规? 教
8、职员工和学生使用互联网在多大程度上做与工作无关的事情? 对宿舍的管理应该如何做?q 管理带宽 学校的带宽真的不够用吗? 宝贵的带宽资源有多少用于教学业务的传输? 对于P2P下载大量消耗带宽有无良策?1.4互联网管理解决什么问题挑战:q 安全威胁不断q 浏览不良网页q 工作效率低下q 网速越来越慢q 机密信息外泄q 违反国家法律管理:q 杜绝安全隐患q 屏蔽不良网站q 保障工作效率q 合理利用带宽q 防止机密外泄q 遵从国家法律1.5网康科技上网行为管理(NS-ICG)理念 洞悉,管控,驾驭q 洞悉 了解网络中发生了什么q 管控 制定策略,管理控制q 驾驭 检查结果,持续优化2、学校互联网管理方
9、案设计2.1学校网络目前面临的问题学校入网用户互联网的接入权限没有一套整体的管理制度;入网用户在工作时间P2P下载占用较大的带宽资源;随意接入一些不良网站,造成网络中大量木马、病毒的传播,引发安全风险;论坛发帖带来潜在的法律风险非常大。2.2学校网络整体目标和任务部署一套完善的上网行为管理体系,严格控制内部入网用户使用互联网的权限,对内部入网用户访问互联网的行为和内容进行监控与审计,控制入网用户的互联网访问行为,如邮件、网页访问、即时通讯等,禁止内部用户在互联网上发布敏感信息,实现网络访问记录、上网时间控制、不良站点访问禁止等功能;对于教学需要的重要应用、重要领导的带宽进行保证,重要业务服务器
10、的带宽保证,保证关键时期关键业务的流量保证,比如报考时段,提升整个网络的安全级别。2.3学校网络系统设计要求为了满足总体目标,设计本系统时应当,也必须考虑如下要素2.3.1系统设计必须考虑的功能因素为实现有效的规避互联网行为风险,必须考虑如下功能要素(1)非关键业务的风险消除对于所有可能造成行为隐患的,同时也与工作无关的应用一律控制使用。特殊对象如有需求,在合理范围内可酌情开通,对于领导有特殊业务需求酌情放宽,以上功能应配合防火墙,行为审计设备,代理服务器等共同使用。(2)关键业务的风险降低对于存在隐患,但同时必须使用的应用,应有办法有效规避其存在的隐患点,确保安全的最大化。(3)人员工作效率
11、保障对于影响工作效率的互联网行为,应可按照学校的成文规定结合各部门实际特点,人员特点,时间特点进行有效的控制/放行,以提升员工的工作效率。(4)带宽可用性保障互联网行为不能影响互联网的有效带宽,应保障互联网的使用效果,使用效率,使用质量。保证员工正常互联网使用的保障带宽。(5)历史日志的追溯查询为确保信息安全的可审计,可追溯。所有正常被策略放行的行为,被策略控制的行为均应能够被追溯,被审计,从而确认信息安全的有效性。(6)未知隐患点的分析与挖掘为确保互联网行为安全等级能够不断在自我统计,自我分析中自我完善,应可以及时的统计,分析出当前策略下的各种行为模型,对比基线,结合实际发现新的可能隐患点,
12、从而继续优化,提升信息安全保护等级。 2.3.2系统设计必须考虑的技术因素作为应用层网络安全系统,也必须考虑一下系统的各项要素。(1) 先进性 行为审计系统应具备目前业界通用,流行的各种技术规范,同时具备同行业内较为明显的技术优势,并且这些技术优势可给学校带来有效的行为审计效果。(2)安全性行为审计系统由于是增值安全设备,因此应具备较高的自身可靠性考虑,以及原有网络链路的可靠性考虑。充分满足学校员工和学生的各种上网连续性和实时的要求,提升信息系统的客户满意度。(3)可扩展性由于学校校园网架构需要不断扩展,因此要考虑到产品在未来2-3年的可扩展性和未来网络的规划。(4)可定制性由于学校安全体系在
13、不断改进完善中,自身的网络,信息传递,行为要求均具备较典型的个性化思路,因此系统应充分考虑到未来的可定制化需求,能够提供快速,有效的定制化改进,提供用户客户个性化定制的要求。2.4 学校网络需求分析 2.4.1现有网络结构模型 学校现有入网用户大概13000人,出口带宽为2条千兆internet接入链路,高峰上网总流量最高达1.7G。2.4.2行为用户构成本系统涉及的行为用户主要分为三类,学校教职员工办公,学生和教师宿舍上网,IT及审计系统的管理人员。下面将对每类人员的行为模式进行分析,并提供业务分析后的建议。2.4.3教职员工办公用户针对这部分用户,主要考虑安全性和高效率因素,对上网行为进行
14、审计记录,对用户上网行为进行控制,根据学校制度要求,进行相应的控制。2.4.4特殊互联网行为用户学校系统某些用户的特殊性,领导的重要性,所以针对领导一般存在如下网络行为用户。领导由于领导的网络应用通常存在大量的行政,人力,规划等前瞻性信息,因此这些记录不应该被记录,不能被核心管理部门留存。因此应该对相应领导进行少监控,甚至不监控。避免IT系统涉及单位的管理层面的信息。涉密人员同领导一样,有一部分涉密人员的日志也是不可以被审计的。2.4.6通用行为内容构成综合考虑当前互联网的使用,业界普遍认为互联网行为主要为以下方面:1、 网页的浏览,网页方式的文件上传,下载。2、 邮件文本的收发,及邮件附件的
15、收发3、 IM即时通讯的文字,语音,视频,文件传输。4、 网页的外发文章及附件5、 传统的FTP,TELNET方式的文本交互,文件上传及下载6、 P2P方式的非明文方式的文件上传及下载7、 个人类,休闲类的应用访问,例如游戏,股票,视频8、 隐患类的服务例如共享,蠕虫攻击等内网流量2.4.7通用行为隐患构成综合考虑通用行为内容构成,可预见学校互联网中可能存在的隐患如下:1、 反政府,反社会,反道德,反法律的网站的主动或被动浏览带来的法律风险2、 病毒类,木马类站点的主动或被动的浏览带来的安全隐患3、 学校自身特点决定的不能访问的网站的访问。4、 通过定点目的性较强的HTTP,FTP,TELNE
16、T,邮件,IM方式的文字,文件的主动外发隐患5、 通过定点目的性不强,但加密性很强的P2P类应用的主动文件外发6、 反政府,反社会,反道德,反法律的网页发文的产生7、 个人类,休闲类的站点,应用的访问,使用,造成的工作效率下降8、 大流量业务带来的带宽冲击,影响核心互联网业务的使用,例如P2P下载,P2P视频,内部DOS攻击等9、 隐患类远程共享,造成的涉密信息被动抓取隐患。因此在互联网行为管理方面的工作应该围绕上述应用进行有重点,有时间,有个性的策略化控制,力求在有效控制风险的同时不过分加大用户的使用复杂度。2.4.8修复隐患点各功能模块概述 为应对上述隐患,现针对上网行为管理系统的各个功能
17、模块效果给出概要的分析说明:1、 通过用户认证体系确保被审计主体的准确性,真实性2、 利用真实的组织架构对下述的各项策略进行基于主体个性,特权的策略选择,提高互联网行为管理的灵活度和有效性3、 利用WEB行为过滤系统规避网页访问的相关隐患4、 利用应用过系统严格控制无关文件传输的使用5、 利用IM控制系统,控制IM相应的隐患文字,文件外发,并留存相应IM信息备查6、 利用网页发文控制系统,控制有隐患的文字,文件外发,并留存相关信息备查7、 利用传统文件传输控制系统,控制telnet,FTP的文字,文件隐患外发,并留存相关信息备查8、 利用防护体系,防止内部DOS,蠕虫的攻击,避免网络拥塞,并记
18、录隐患来源,备查9、 利用流量控制系统,保障核心业务的带宽,并控制非主流业务的带宽上限,避免拥塞3、学校网络系统总体设计方案 3.1建设目标 根据学校网络整体建设规划的要求,此方案在学校网络出口处部署2台互联网控制网关,实现对全网用户的行为进行审计和管理。通过本次建设,应可达到对互联网行为有效的风险规避,减少法律风险,提升工作效率,保障核心应用使用质量,降低p2p滥用导致的网络延时,尽最大可能的避免核心信息的外发,并可全面监控,审计,管理互联网行为。由于互联网行为管理是较为新兴的技术,每个机构的策略并不具备普遍性,需要顾问式的引导,因此在策略配置层面需要提供专业的互联网行为管理顾问思路,协助学
19、校建立起完善的互联网行为访问规范,并将规范全面落实到行为审计设备中,用技术推动互联网行为安全的进程。3.2设计目标 本次系统的设计目标1、 实现行为审计工作的流程化、制度化、集中化任何行为审计的操作中实现标准的工作化流程,在已有机构里包括权限分发,策略模板制定,策略下发,策略回收。在新建机构时包含设备模型化,操作规范化。对于多出口的网络部署多台设备的情况下,可以实现集中管理,集中审计,策略的集中下发等。2、 实现审计方法的简易化作为增值类网络产品,要求不能对现有网络造成过大的耦合,可快速部署,快速配置,快速查询。3、 安全、可靠,有效的行为审计系统作为在链路中串入的设备,必须实现自身安全,自身
20、可靠,原有链路可靠,以及审计后果的有效性;或者旁路接到网络中实现信息内容的审计功能4、 行为审计的长期可持续利用设备标准的,频繁的,持续的更新服务,使得审计工作可持续性的发展,保证长期有效的安全。可以外置专业的日志服务器,使得审计信息长期大量保存3.3方案框架思路及拓扑 3.3.1 具体部署产品 硬件系统:两台NS-ICG、一台集中控管(可选)软件系统:离线日志平台(NSDC)(可选) 拓扑说明:以学校实际拓扑环境为准3.3.2具体部署说明在学校网络出口处2条链路上各部署一台NS-ICG(NS25000)。物理部署模式建议为透明串接,以保证完全的审计管控效果。具体工作模式依据原有上网方式、具体
21、应用可以灵活配置,例如带宽较小,web访问量较大、安全基本较高的单位,可以采用web代理模式,将内部办公与web访问逻辑上分离,获得更安全可靠的互联网访问方式,并且可以通过可配置的web缓存加速互联网访问。NS-ICG支持网关、透明桥接、代理模式的灵活切换,可以适应不同环境,或者将来网络变更后的投资不受损。或者根据用户的需求可以旁路接入到网络中,提供审计功能。3.3.3 建议功能策略n 为保证网络的安全性和规避法律风险,依据公安部和电信要求,对所有用户的web和应用行为进行审计,并确保保留2个月的访问记录。n 由于内部用户访问互联网的不可预测性,防止有个别用户访问病毒,色情类,违法网站类别造成
22、的引入病毒风险和法律风险,对这些类别的网站进行封堵。n 对于教师使用互联网设置时间段,在工作时间不允许使用炒股,网游等影响工作效率的应用。n 对所有用户论坛发帖行为进行审计,并设置关键字阻断,如法轮功,手枪等敏感信息进行阻断记录并告警,防止有入网用户在互联网上做一些违法国家法律的事情,并具备追溯机制。n 学生宿舍和教职员工宿舍控制上相应放松一些,但对与p2p流量进行上限控制,防止p2p流量过度抢占带宽而影响正常教学业务。n 对每个用户设置上传包速率,新建连接速率限制,防止由于内部中毒造成的流量突发导致出口阻塞,并设置报警。3.3.4建立人工版的制度模型 由于上网行为审计绝不是简单的功能罗列。其
23、策略必须灵活,并且有针对性的使用对应功能才可以达到有效的行为审计效果,同时还不会造成额外网络压力,以及繁琐的用户使用感受。因此必须先详细的对学校自身的互联网管理制度进行梳理,确保将每个个性化特点落实,理顺,从而输出人工版的学校上网行为规范。根据网康科技有限公司长期的客户经验,一套上网行为管理系统的有效上线是必须建立在员工全面了解网络行为规范基础上的,否则可能会引起较强烈的员工抵触,极大影响IT系统的客户满意度。因此该规范是后期设备策略配置的重要基石。学校上网行为规范可在系统上线后通过统计,分析工具不断的发现其问题,并加以优化。3.3.5人工模型引导下的设备功能流转图3.4对应各功能配置方法及意
24、义3.4.1建立审计的基石-客户认证NS-ICG通过有效的用户身份识别,使得策略的分发能够根据不同的部门级别的需求进行灵活的管理。NS-ICG提供全面的认证机制,除了传统的认证方式外,还提供私有认证,使得用户的识别种类更加丰富。功能启动步骤:【用户管理】-【认证管理】 如果管理员已经将用户信息汇总到Excel、TXT等文件中,那么也可以通过NS-ICG的导入导出功能更加快捷的创建用户和分组信息。 对于使用账户作为上网账户的组织,NS-ICG能够支持用户的单点登录功能,在用户通过认证(如用户登录了Windows域)。3.4.2建立审计的灵活时间点 NS-ICG可以根据相关的查询条件,查询特定用户
25、的所有网络活动状况功能启动步骤:【查询统计】-【查询】-【用户查询】 NS-ICG提供基于时间的丰富管理策略,能针对不同部门或不同人员的身份赋予不同时间的不同权限,即能够控制在特定时间段内的上网权限,也可以限制员工一天内总的上网时间,实现人性化管理。3.4.3实施HTTP浏览隐患规避 实现全网范围互联网访问控制策略的首要步骤是监控Web的使用情况。一旦网络和安全管理员对全行互联网使用情况有了全面的了解,下一步就是建立并强制执行全行互联网访问策略。功能启动步骤:【策略管理】-【页面浏览控制】 NS-ICG在为用户识别网页浏览的潜在威胁的同时,并通过对隐患网站的屏蔽与文件类型下载的限制,有效的保证
26、用户上网的安全。功能启动步骤:【策略管理】-【页面浏览控制】-【文件类型对象】 3.4.4实施Email隐患风险规避 NS-ICG支持对邮件内容进行监控,可以监控到局域网内任何一台计算机,通过SMTP协议发送的邮件和通过POP3协议收取的邮件,也可以监测到用户通过Yahoo、Sohu、163、126、Hotmail、Tom、Sina、Gmail、QQmail、excite、google、infoseek、livedoor等Webmail提供商,以Webmail形式发送的邮件;可以根据情况设置是否对邮件进行监控,以及对哪些邮件进行监控, 根据管理员预设条件,将潜在的泄密邮件先拦截,保障组织信息资
27、产安全。功能启动步骤:【策略管理】-【策略设置】-【邮件控制】 3.4.5实施IM隐患风险规避 NS-ICG内置的禁止IM传文件、进行语音视频通话、IM游戏等规则,轻松达到只允许员工使用IM文本聊天而不允许其他IM行为的目的。允许使用IM工具的员工,其聊天内容也不一定与工作有关,尤其可能将组织机密泄露。NS-ICG能够记录所有IM聊天内容,包括MSN、雅虎通等采用加密方式进行传输的IM工具。功能启动步骤:【策略管理】-【应用控制】3.4.6实施网页发文隐患风险规避 NS-ICG的网页发文功能可以针对如下上网行为进行外发信息监控、过滤并报警。如果POST审计中出现关键字匹配,报警邮件会自动发送到
28、用户预先填写好的邮箱中, 有效控制信息的传播范围,控制敏感信息的泄露,避免可能引起的法律风险。功能启动步骤:【策略管理】-【POST审计】3.4.7实施传统数据传输隐患风险规避对于使用HTTP、FTP、Telnet等方式传送文件所引发的风险,NS-ICG首先可以禁止用户使用HTTP、FTP,Telnet上传文件,对于上传的文件NS-ICG不仅可以根据文件类型进行过滤,且可以全面记录文件内容,做到有据可查。3.4.8 TELNET 部分BBS网站提供Telnet方式登陆,此时用户通过Telnet输入的任何命令和内容,NS-ICG都能详细记录并进行管控。功能启动步骤:【策略管理】-【即时通讯审计】
29、3.4.9 FTP 对于使用FTP等方式传送文件所引发的风险,无论是非标准端口的FTP行为还是标准FTP行为,NS-ICG都能识别、控制和审计。NS-ICG首先可以禁止用户使用FTP上传文件,对于上传的文件NS-ICG不仅可以根据文件类型进行过滤,且可以全面记录文件内容,做到有据可查。功能步骤:【策略管理】-【即时通讯审计】3.5实施非明文文件传输隐患规避3.5.1限制P2P 有效的P2P封堵方法包括应用协议分析和P2P行为智能检测技术,NS-ICG同时对这两种技术提供了支持。常规和加密的P2P软件,NS-ICG深度内容检测技术,通过分析数据包的服务类型、协议、端口及数据特征字段等内容功能启动
30、步骤:【策略管理】-【策略设置】- 【应用控制】- 【P2P streaming】 功能启动步骤:【策略管理】-【策略设置】- 【应用控制】- 【P2P】 NS-ICG可以针对不同部门、不同时间段、限制不同P2P应用占用的带宽,且可管控部门内每个员工P2P行为对带宽的占用情况.功能启动步骤:【策略管理】-【带宽通道对象】 当您了解了带宽的使用情况,并对带宽进行优化和分配后,我们即将对用户(组)的上网行为做进一步的管理和控制。3.5.2实施工作效率效率降低规避 通过NS-ICG定制人性化的互联网访问权限,可以有效的根据时间、部门和应用进行合理控制,从而有效保障工作效率。功能启动步骤:【策略管理】
31、-【策略设置】- 【应用控制】3.5.3网游,股票,视频 NS-ICG已经对多种常见应用的识别和管控规则,并能定期从网康公司网站上自动更新最新的应用识别库。这相对于绝大多数其他厂商仅提供给管理者根据IP和端口封堵应用的方式更加灵活和彻底。功能启动步骤:【策略管理】-【策略设置】- 【应用控制】NS-ICG通过精确的协议识别,对互联网的应用起到有效的控制,策略细细如下:对于局域网内出现的NS-ICG未能识别和控制的新应用,管理员可以自行编制对应的识别策略。功能启动步骤:【策略管理】-【对象设置】-【用户自定义协议】3.5.6实施带宽控制及保障 为不同部门的不同应用设定带宽策略。用户可以根据需要定
32、义多个虚拟带宽通道,对于每个通道,可以指定其保障上下行速率、限制上下行速率、优先级等参数对数据流近进行整形。功能启动步骤:【策略管理】-【对象设置】- 【带宽通道】 设置10k带宽通道通过设置相应的优先级和默认通道,进行普通业务的流量控制。对于流量分配,NS-ICG通过设定若干个不同优先级的保障带宽或限制带宽的通道对象,并在策略中调用,精确到1KB进行分配给不同应用和用户,然后提供图形监控界面实时查看带宽通道对象的流量3.5.7核心业务的带宽保障 NS-ICG强大的QoS(服务质量)技术包括专用带宽保留、抖动控制和延迟、丢包率的改进以及对指定高优先级网络服务的流量保证,以此使流经NS-ICG的
33、数据进行优先级处理,保障重要应用的带宽质量和服务质量。功能启动步骤:【策略管理】-【对象设置】- 【带宽通道】-【设置最高优先级】NS-ICG对于核心业务,应予以足够的带宽预留,使其不熟其他业务流量的影响3.5.8非工作业务的带宽限制 NS-ICG可以对于非业务的带宽限制,应本着优先级最低,传输价值最低的策略。 功能启动步骤:【策略管理】-【对象设置】- 【带宽通道】-【设置最低优先级】功能描述: 设置带宽策略功能启动步骤:【策略管理】-【流量控制】- 【带宽通道】 3.6查询模式建议和监控 绝大部分的信息管理员对自己所管理网络的应用流量分布和用户的上网行为并没有清晰的认识,而NS-ICG则给
34、管理员提供了一个将企业的互联网规定落到实处的有利武器; 通过NS-ICG,审计员可以查询到所有用户的上网行为记录信息;由于通过NS-ICG的用户上网行为记录可以保存在外挂存储的日志中心上,因此具有任意时间的回查效果,管理员可以对上网人员任意时间段的上网行为进行审计,从而得到IT决策的有力依据。 NS-ICG提供的用户上网行为审计方式:u 提供用户查询u 应用流量查询u 网站访问查询u 邮件收发查询u 在线聊天查询u 论坛发帖查询u 上线历史查询通过这些查询审计结果可以帮助管理员全方位地了解用户的上网行为,以下是NS-ICG对用户上网行为审计功能的详尽展现:3.6.1 历史24小时流量监视功能查
35、询目的 查询结果显示的是最近24小时通过NS-ICG的上传流量和下载流量,便于管理员及时了解网络流量负荷时间分布趋势及异常流量发生的时间点,以便做出针对性地审计和管控策略。功能查询方法 【系统监控】-【系统状态】-【最近24小时】(时间范围)3.6.2 五分钟内应用,用户排名监视功能查询目的以图文形式显示5分钟内(可选,包括5、10、30和60分钟)流量最大的若干应用和流量最大的若干用户(可选),及其上传下载的比率,此外,还有相应的用户及应用的历史流量趋势图,递进式的查询方便管理员准确及时地定位所有应用和所有用户的流量分布情况功能查询方法 【系统监控】-【活跃用户】-【选择操作】按钮(5分钟,
36、可选)3.6.3 用户实时连接查询功能查询目的 建立和配置网络应用监控条件,条件设置完毕并执行监控后,可以得到符合该特定条件的网络应用监控结果,NS-ICG根据不同的协议及应用领域将网络应用分为13个类,分别为互联网协议、Streamingmedia、Email、Session、Games、IM、P2P、股票软件、P2PStreaming(网络电视)、隐患服务、其他应用、用户自定义和未知协议,每一个大类中又包含若干具体的子应用,默认情况下NS-ICG监控用户的所有网络应用情况,也可以自定义选择特定的应用进行监控,监控结果输出包括:连接创建时间、关联用户、协议、源IP、源端口、目的IP、目的端口
37、、发送字节数(KB)、接收字节数(KB)。监控结果可以帮助管理员实时地了解用户的网络连接状况,可以对病毒、木马的爆发做出有效地判断。功能查询方法 【系统监控】-【应用监控】-【监控设置】(用户、应用可选)3.6.4 用户实时流量查询功能查询目的 实时了解用户上网行为所产生的数据流量,以便管理员清晰地知道大流量用户的分布。功能查询方法 【系统监控】-【上线用户】-【选择操作】按钮(过滤条件可设置)3.6.5 HTTP违规查询功能查询目的 可以根据相关的条件查询指定日期内特定用户访问的网站记录,INS-ICG对HTTP违规查询的特色在于可以针对管控策略进行查询,比如制定了禁止访问高风险网站的策略(
38、禁止访问色情、病毒、违反法律、犯罪技能等),那么可以根据这条策略进行查询,从而把HTTP违规的记录全部检索出来,此外违规查询还可通过黑、白名单,网站分类、阻塞等条件进行审计查询,查询结果印证了NS-ICG对HTTP违规行为的管控效果、对管控策略的生效与否也起到一个评估的作用。功能查询方法 【查询统计】-【查询】-【网站访问】-【选择操作】按钮(过滤条件可设置)3.6.6 Email违规查询功能查询目的 可以根据相关的条件查询指定日期内特定用户收发邮件的记录。可审计的Email类型包括SMTP、POP3、IMAP及WEBMAIL,可对Email的主题关键字、信体关键字及附件关键字按照特定的时间段
39、进行审计查询,将所有违规的邮件交换记录全部列出来,作为防范和事后审计的有利证据。功能查询方法 【查询统计】-【查询】-【邮件收发】-【选择操作】按钮(过滤条件可设置)3.6.7 IM违规查询功能查询目的 建立和配置在线聊天监控条件,条件设置完毕并执行监控后,可以得到符合该特定条件的在线聊天监控结果。NS-ICG可对MSN、Yahoo通、QQ等IM即时聊天工具进行违规查询,对于一些不负责任的非法言论和敏感言论及涉密文件外泄等行为进行有效的审计。功能查询方法 【系统监控】-【在线聊天】-【监控设置】-【选择操作】按钮(过滤条件可设置)3.6.8网页发文违规查询功能查询目的 建立和配置网页论坛发帖监
40、控条件,条件设置完毕并执行监控后,可以得到符合该特定条件的网页论坛发帖监控结果,检验非法言论的管控效果,对于管控策略的精益求精提供了必备的依据,有利于管控策略的螺旋式优化。功能查询方法 【查询统计】-【查询】-【论坛发帖】-【选择操作】按钮(过滤条件可设置)3.6.9 传统文件传输隐患查询功能查询目的 通过设置过滤条件,可对传统的ftp、http,IM类文件传输及文件类型传输进行有效地查询,给管控提供法律依据,防止信息外泄。功能查询方法 【查询统计】-【查询】-【文件传输类型】-【选择操作】按钮(过滤条件可设置)3.6.10 非明文文件传输违规查询功能查询目的 通过设置过滤条件,可对密文传输的
41、ftps、https,P2P类文件传输及文件类型传输进行有效地查询,给管控提供法律依据,防止信息外泄。功能查询方法 【查询统计】-【查询】-【应用流量】-【选择操作】按钮(过滤条件可设置)3.6.11 效率降低违规查询功能查询目的可以根据相关的查询条件,查询特定用户的所有网络活动状况,包括对应用使用情况、网站访问情况、邮件、即时通讯及发文的综合审计,从而对员工工作效率进行评估,查到真正导致效率降低的原因,以便进行管理尺度的规范。功能查询方法 【查询统计】-【查询】-【用户查询】-【选择操作】按钮(过滤条件可设置)3.6.12 带宽保障及控制效果查询功能查询目的 通过对特定应用保障带宽的查询,对
42、管理策略设置的科学性和合理性进行评估,如果查询结果显示保障带宽通道全部被占满并被流量整形,说明保障带宽通道设置不合理,需要扩大上下行带宽阀值;反之则说明保障带宽当下是合理的,方便管理员对管控策略做出及时地调整。功能查询方法 【系统监控】-【系统状态】-【通道】(选择)3.6.13 核心带宽保障查询功能查询目的 通过对核心应用保障带宽的查询,对管理策略设置的科学性和合理性进行评估,如果查询结果显示保障带宽通道全部被占满并被流量整形,说明保障带宽通道设置不合理,需要扩大上下行带宽阀值;反之则说明保障带宽当下是合理的,对传统应用核心保障带宽的审计有利于管理员对管控策略做出及时地调整,从而给用户提供高
43、质量的互联网访问速度。功能查询方法 【系统监控】-【系统状态】-【通道】(选择)3.6.14 非工作业务带宽限制查询功能查询目的 通过对非工作业务占用带宽通道的查询,对管理策略设置的科学性和合理性进行评估,如果查询结果显示限制带宽通道全部被占满并被流量整形,说明对非工作业务带宽的流控起到了应有的作用;反之则说明对其管控的不合理,对整个网络状况的改善并没有起到真正的管理作用,管理员需要制定的更加严谨有效的流控策略,如下图可看到迅雷被NS-ICG很好地进行了流量限制。功能查询方法 【系统监控】-【系统状态】-【通道】(选择)3.7 统计分析模式建议NS-ICG统计类型 NS-ICG对于整个网络的访
44、问日志,除了可以实时监控和查询外,还支持递进式(Drill-down)统计功能。NS-ICG支持六种统计类型。分别以用户、网络应用、网站访问以及外发信息(包括邮件、聊天、发帖)为依据进行统计。NS-ICG统计功能 NS-ICG的统计模块是帮助管理员全面了解网络使用状况的有利工具,同时对于网络中异常流量的快速定位提供了很好的分析平台。NS-ICG的统计功能可以帮助管理员任意时间段的流量统计信息。在某些统计信息引起管理员关注的时候,管理员可以通过递进式的查找,最终得到一个和查询效果相同的详细数据信息,NS-ICG统计对于异常流量的定位分析 对于异常流量和突发流量产生的网络问题可以迅速地定位并做出响
45、应,NS-ICG统计功能使用建议 建议对以下包括应用协议、URL站点及IM等网络行为的统计分析,全面熟知NS-ICG统计功能的特点和优势。3.7.1 HTTP行为统计功能统计目的 通过数据Drill-down的方式对所有Web访问的站点分类和站点数进行统计。从而使管理员了解用户对网站类别访问的分布情况及占总请求的比例,从而对用户的工作效率做出相应地评估,同时,可对一些与业务相关的且访问量较高的站点进行带宽的保障,可见HTTP行为统计的重要性。功能统计方法 【查询统计】-【统计】-【网站访问】(选择)3.7.2 Email行为统计功能统计目的 通过数据Drill-down的方式对NS-ICG支持的邮件类型,包括SMTP、Webmail、POP3上传流量、下载流量、总流量、发件数等进行统计。可以了解邮件交换记录,避免信息泄露和垃圾邮件肆意的情况发生。功能统计方法 【查询统计】-【统计】-【邮件收发】(选择)3.7.3 IM行为统计功能统计目的 通过数据Drill-down的方式对NS-ICG支持的即时通讯工具,包括