網路安全
1、
訪問控制需求:防範非法用戶非法訪問、防範合法用戶
非授權訪問和防範假冒合法用戶非法訪問。
2、
入侵檢測系統需求:綜合
安全網關可以對所有的訪問進行嚴格控制,但不能完全防止有些新攻擊或那些繞過綜合安全網關的攻擊。所以必須配備
入侵檢測系統,對透過綜合安全網關的攻擊進行檢測並做相應反應。
3、
安全審計系統需求:對網際網路進行全面控制管理,規範區域網路人員上網行為,提高人力資源效率,強化網路安全,保護重要機密。
4、防病毒系統需求:針對防病毒危害性極大並且傳播極為迅速,必須配備從單機到伺服器的整套防病毒軟體,實現全網的病毒安全防護。
5、其他需求:防止重要信息的
電磁輻射或線路干擾等泄漏;加密需求;對重要的設備和系統進行備份等安全保護。
網路管理需求
因此針對這些問題就需要提供高速、穩定、高安全性和管理性的網路設備和服務,既要提供完備的網路安全和
管理控制的處理功能,滿足靈活多樣的
網路拓撲,又不能成為網路瓶頸,影響網路的正常通信頻寬和業務。但不幸地是,很多現有網路安全設備因為需要處理繁重的安全檢查和加解密等工作,必將降低處理速度,犧牲
網路頻寬,同時由於很多惡意攻擊都是針對安全設備本身的,這對現有網路設備的性能和可靠性都是一個挑戰。
總的來說,好的網路管理需要解決以下的需求問題:
2、 如何快速部署新的網路服務。
3、 如何控制區域網路用戶的行為。
4、如何了解網路故障影響的用戶。
主要功能
網頁訪問過濾
網際網路上的網頁資源非常豐富,如果員工長時間訪問如色情、賭博、病毒等具有高度安全風險的網頁,以及購物、招聘、財經等與工作無關的網頁,將極大的降低生產效率。
通過上網行為管理產品,用戶可以根據行業特徵、業務需要和企業文化來制定個性化的網頁訪問策略,過濾非工作相關的網頁。
網路套用控制
聊天、看電影、玩遊戲、炒股票等等,網際網路上的套用可謂五花八門,如果員工長期沉迷於這些套用,也將成為企業生產效率的巨大殺手,並可能造成
網速緩慢、信息外泄的可能。
通過上網行為管理產品,用戶可以制定有效的網路套用控制策略,封堵與業務無關的網路套用,引導員工在合適的時間做合適的事。
頻寬流量管理
P2P下載、
線上遊戲、線上看電影電視等都在搶占著有限的頻寬資源。面對日益緊張的頻寬資源,除了增加預算擴充頻寬以外,企業還可以選擇合理化分配和管理頻寬。
通過上網行為管理產品,用戶可以制定精細的頻寬管理策略,對不同崗位的員工、不同網路套用劃分頻寬通道,並設定優先權,合理利用有限的頻寬資源,節省投入成本。
信息內容審計
發郵件、泡BBS、寫Blog、聊IM已經司空見慣,然而信息的機密性、健康性、政治性等問題也隨之而來。
通過上網行為管理產品,用戶可以制定全面的信息收發監控策略,有效控制關鍵信息的傳播範圍,以及避免可能引起的
法律風險。
上網行為分析
隨著網際網路上的活動愈演愈烈,實時掌握員工網際網路使用狀況可以避免很多隱藏的風險。
通過上網行為管理產品,用戶可以實時了解、統計、分析網際網路使用狀況,並根據分析結果對管理策略做調整和最佳化。
通過上述功能可以有效的幫助企業有選擇的禁止、監控BT,炒股,聊天,MSN,管理QQ,監控郵件,頻寬流量等,減少病毒,對員工上網進行正確引導。
套用背景
一個100人的企事業單位,每人每天花2小時做私事,按時薪10元計算,一天給企業帶來的無形損失就達到2000元,一個月的損失至少達到40000元以上;而
間接損失比如通過郵件、聊天泄露商業秘密,通過非法下載影響公司的正常網路套用,帶來的損失根本無法估量;
計算機和網際網路在為企業帶來生產力的同時,也給企業的管理帶來了更大的挑戰。尤其對於一些大中型企業,隨著網際網路的日漸發達,遇到的問題也日漸突出。如果企業不加以重視,網際網路不但不能成為企業的生產力,還會成為企業的埋葬者。
1 、用戶眾多,無法統一管理
網路中用戶數量眾多,不同部門對網路的套用需求不一,從而很難對這些用戶進行一刀切的方式進行管理,必須要能夠根據套用特點來準確引導網路套用,這就大大增加了網路管理的難度。
2 、管理困難, 難以有效度量網路狀況
管理者不能直觀的看到內部發生的網路行為,不能實時有效的進行統一管理,審計、分析、統計都變得相當困難,沒有清晰的上網行為管理數據提交領導部門以供決策參考。
3 、內部機密信息泄密
用戶內部重要資料和秘密資料被有意或無意的通過網路 Web、 Email、 QQ和 MSN等途徑向外散發,或被別有用心的人截獲而加以利用,給企業的信息 安全 帶來極大的隱患;同時不當信息的無意透露可能會給公司帶來極大的外部壓力。
網上言論得不到規範,工作時間訪問色情網站、惡意發帖、發表反動言論等都會來法律風險。
根據中國社會科學院社會發展研究中心 2005 年中國 5城市網際網路使用狀況及影響調查報告的結果顯示,被訪網民使用最多的網路資源是娛樂、新聞( 65.9%),而真正用於學習和工作的比例還不到40%。
使用P2P下載的行為日益增加,嚴重消耗
網路頻寬,正常業務的通訊得不到保障,只能通過增加辦公成本來增加頻寬,但是網速和頻寬沒有得到根本的改善,仍然存在一個人占用頻寬,其它人無法使用網路的情況。
企業管理者不能與員工面對面,你無法知道網路的另一端那個人是什麼想法、什麼狀態。在網路面前,企業管理呈現失控的狀態。
套用效果
●提升工作效率
上班時間從事私人活動,是辦公室皆知的秘密。管理者卻難以阻止員工在上班時間瀏覽無關網站、QQ聊天、線上炒股等工作無關的網路行為,員工工作效率的下降將直接影響組織的競爭力。而通過可以把與工作無關的上網行為降低到最低,去除員工的分心,讓他們專注於工作中。
●提升頻寬利用率
對嚴重吞噬
頻寬的P2P行為,不僅能徹底封堵,還能對其占用的頻寬進行流量管控。基於用戶(組)、時間段、套用類型的頻寬管理和頻寬通道劃分,結合智慧型
QoS,既保證了業務套用對頻寬的需求,又避免了對頻寬的濫用,提升頻寬使用效率。
色情、反動網站的瀏覽和未知檔案的下載安裝,導致病毒、木馬等被員工主動“邀請”進入區域網路,將過濾該行為,並提供
網關防毒功能從源頭消除威脅;源自區域網路的
DOS攻擊、
ARP欺騙等也將被徹底防禦;而組織區域網路使用低版本作業系統、不及時打補丁、不安裝指定的防毒/
防火牆軟體、安裝使用違規軟體的終端用戶,亦能偵測發現,從而修復區域網路安全短板。
員工使用Email郵件可能將組織的信息機密傳送到公網、甚至競爭對手,特有的“郵件延遲審計”專利技術,將徹底防範該泄密行為;員工的網路發帖、
webmail行為,同樣可以過濾和記錄;而對QQ、MSN等聊天內容的記錄和審計,將警示通過IM聊天工具泄密的行為。
員工利用組織的Internet連線,訪問反動、邪教等不良網站,發表非法言論,收集和發布色情圖片等非法
網路活動,將導致組織違反法律法規、承受法律訴訟等。上網行為管理設備可以管控和過濾員工的此類行為,並詳細記錄和審計員工的各種網路行為日誌,做到有據可查,使組織避免法律風險。
提供的
數據中心,海量存儲區域網路用戶的各種網路行為日誌,圖形化的查詢、審計、統計、自動報表、內容檢索等功能,方便組織管理者了解和掌控您的網路。
實施步驟
洞悉->管控->駕馭
step1:企業要做好上網行為管理,必須先洞悉企業內使用網際網路的過程中存在哪些問題?因為不同企業面臨的問題不同,需要先了解到底有哪些問題?
step2:然後分析問題的根源,再制定有針對性的策略管控問題;上網行為管理策略必須是有針對性的、個性化的,這樣才能符合不同企業本身的管理制度、企業文化等的要求和需求;
step3:最後通過審計報表了解問題解決的程度和效果,再根據報表做管理策略最佳化,進而達到駕馭網際網路、實現上網行為管理的價值。
產品對比引硬體與軟體之分
從
產品形態來看,一般的上網行為管理分為硬體和軟體2種,但是國內以軟體、硬體為主流,國外以軟體為主流;
硬體的優勢:部署簡單、升級方便、故障率低
硬體的劣勢:成本較高,運輸不方便,維護複雜,維修需要專業認識,技術支持不到位
軟體的優勢:成本適當,維護簡單、安裝容易、升級快速,可以在公司隨便找個機器部署.
軟體的劣勢:對於國企和政府來說,沒有一個東西不放心,所以國內政府偏硬體,企業偏軟體。
以上對比,並不是絕對的說法。隨著科技的發展和更新軟硬體結合模式越來越多。包括加入準入模式、VPN的上網行為管理,基於客戶端的
區域網路管理模式和文檔管理模式,為的是內外兼修,從各種方向去彌補單一產品的不足。企業應該根據自身的套用需求,去選擇自己需要而合理的方案。如果只是追求單一產品本身的套用,在信息化建設的綜合成本上一定會超出很多預算,無謂地增加了更多的信息化成本。
適用範圍
市面上能夠提供全面或部分上網行為管理功能的產品,已經有幾十種。產品適用範圍,通常分為3類。
1、適契約時上網PC數量低於50台。
這類產品一般以軟體和低端
寬頻路由器集成QQ、MSN、BT等的過濾設備為主。此類
監控設備產品通常成本低廉、穩定性較差,適合對上網行為管理有需求,但預算有限的用戶。低端寬頻路由器集成針對部分常見套用或軟體的過濾功能,同樣以價格低廉勝出。在提供基本組網套用的同時,兼顧最基礎的上網行為管理需求,較容易被價格敏感的用戶接受。
2、適契約時上網PC數量在50~200台之間。
這類產品一般也以純
軟體架構為主,但是需要部署在性能相對較高的伺服器上或者PC機上。通過綜合使用
DPI深度數據包檢測和DFI深度流量檢測的方式,分析網路套用特徵碼,配合智慧型頻寬管理、自動行為管控等綜合策略,全面管理聊天、線上視頻、股票、遊戲、P2P下載、暴力及色情等非法網站等的過濾,並配合WAN口流量統計、LAN側用戶流量統計、並發session統計等功能,提供綜合的管理手段。通常價格較軟體產品或低端路由器略高,但功能更全面,性能更穩定,性價比較能夠為此等規模的企業用戶所接受。如國內較為知名的
聚生網管系統等。
3、適合200台以上的PC同時上網的管理。
這類產品通常是採用硬體與軟體結合的方式。即同樣的軟體版本,安裝在不同檔次的
工業計算機上,經過反覆的測試後,根據所安裝的工業計算機的處理性能不同,可以涵蓋到200~500,500~1000,甚至更大範圍的並發套用。由於有性能更為強大的工業計算機作為處理平台,這類產品能夠提供的功能更加豐富,部分產品甚至可以快取上網瀏覽或傳送的內容,檢索出可能涉及泄露公司機密、觸犯法律或不適合上班時間處理的內容,進而採取相應的策略加以限制。對於規模較大的公司,
IT管理對技術的依賴更加側重,需要管理的內容和管理的手段更加廣泛,以適應大批量管理的需要。此類產品由於其複雜的功能需要高性能的工業計算機才能夠支撐,因此起步價格通常因硬體成本的因素,只有規模和需求達到一定程度的中大型企業可以接受。也有部分此類廠家推出了適合中小規模用戶的產品,功能上沒有太大的差異,只是選擇更為低廉的
工業計算機進行處理,從而降低了整體成本和適用範圍,以滿足中小規模用戶的需求。價格也相應的降到萬元以下。
政府、公安、軍隊、能源、電信、學校、企業、金融、
IT產業等各行各業
根據軟體硬體產品、產品工業等級、產品硬體核心模組、
產品管理規模、產品適用範圍的區分,產品定價的幅度也有極大的變化。
如低端產品線:價格從數百元至數千元不等。即便是軟體產品。也有高達十萬元的價位。而高端產品線,從主流廠商報價來看,從幾萬到幾十萬的價格不等。若是在高校、骨幹線路的套用方案中,為了滿足需求,採用雙核、四核、G級的硬體模組的設備其價位更高。
旁路與串接之分
從部署的方式來看,主要分為旁路與串接之分,這主要看用戶對上網行為的管理程度來決定。
旁路:不容易造成單點故障,但是控制和管理的效果不理想;
串接:控制和管理的效果好,但是容易造成單點故障;
目前國內主流的廠商提供的產品都不是太穩定,單點故障率較高,建議用戶在條件允許的情況下採用旁路的方式部署,同時這種方式對於以備份(郵件,聊天,網頁審計)為主的監控也是更好的選擇。
國外與國內之分
一直以來,很多用戶都認為國外的產品和技術要優於國內廠商,但是上網行為管理產品並不如此。
上網行為管理產品是用來管理網際網路訪問內容和網際網路使用者的,這與企業的文化、管理制度、人文環境、法律法規都非常相關,例如:
國外與中國在成人內容上的分級不同,導致對成人內容的過濾結果不同;
國外與中國的流行網路套用不同,有很多是只有中國用戶使用的網路套用,而國外的產品往往不能支持對這些套用的控制和管理;
建議國內用戶儘量選擇使用國內廠商推出的上網行為管理產品,畢竟中國的廠商更了解中國用戶的網際網路環境和網際網路使用習慣。
系統的選擇
目前國內上網行為監控系統品牌眾多,
產品功能各有千秋。作為企事業單位的網管人員如何選擇最能滿足企業需要的
上網行為管理軟體,可以從以下幾個方面考慮:
1、 企業自身的網路管理需要。
網管人員首選要搞清楚自己單位內部網路管理的核心需求,在尋找
網管軟體時,必須以首先能夠滿足企業的核心需求為標準來選擇網管軟體。不要從一開始就貪大求全尋求功能全面的網管軟體,否則常常導致核心需求無法很好地滿足。
2、 企業自身網管人員的技能。對於沒有專門網管人員而由其他行政人員擔任網管的單位,我們建議不要採購較為複雜、需要專業技能的網管產品,否則常常由於操作複雜、技術要求高而導致無人會用、無法發揮產品功能的情況,造成投資的浪費,也無法實現網路管理的最終目的。
3、 企業自身的預算。如果單位預算較多,可以選擇更能從長遠滿足單位上網管理需要的產品,做到投資一步到位,建立起較為完善的上網管理系統,從而可以實現持續、穩健的網路管理;而對於預算有限的單位,在選擇上網行為管理系統的時候一定要本著實用、
總體擁有成本最低的方案去選擇,例如國內比較適合中小企業網路管理需要的
聚生網管系統,在功能實用性、易部署性、易用性以及永久使用、免費升級的服務政策,可以很好地滿足當前國內中小型企業的網路管理需要,實現最具性價比的網路管理。
市場分析
權威市場研究機構IDC發布《中國IT安全市場2009年下半年度分析》,做為 2008–2009 年成長最快的安全硬體市場之一,安全內容管理硬體市場並未讓人失望。在該市場中,最受用戶歡迎的不是傳統的病毒防禦功能,而是 Web 過濾和Message安全。2009年下半年,安全內容管理硬體市場的
市場規模為 US$ 22.0M,同比增長 127.7%。在安全內容管理硬體市場,有超過 17 家主流安全廠商可以提供該產品,排在第一位是深信服,市場占比為 33.8%。
行業客戶及大型客戶在選擇上網行為管理產品的時候,往往會比較傾向於硬體產品,而中小企業、網咖等單位在選擇產品時,傾向於投入成本相對低廉的軟體產品。