淸信安上網(wǎng)行為管理

解決方案

清大信安（北京）科技有限公司

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)的安全性越來越引起廣泛的關(guān)注。網(wǎng)絡(luò)作為一柄雙刃劍既能促進(jìn)信息交流，加強(qiáng)員工合作，成倍的增加工作效率；也能讓您的公司降低工作效率，泄漏公司機(jī)密，甚至擔(dān)當(dāng)法律風(fēng)險(xiǎn)。根據(jù)IDC統(tǒng)計(jì)，54％的員工在工作時(shí)瀏覽過工作無關(guān)的網(wǎng)站甚至包含黃色網(wǎng)站，70％的安全損失是由企業(yè)內(nèi)部員工的不規(guī)范上網(wǎng)造成的。Internet如今已經(jīng)成為一把雙刃劍，用好他你能降低成本，實(shí)現(xiàn)辦公自動化，流程無紙化；相反，使你管理變的舉步為艱，安全性漏洞百出。

1. 面臨問題分析

我們推出的就是能讓你迅速提升工作效率，降低生產(chǎn)成本的產(chǎn)品和方案。這里將詳細(xì)告訴你上網(wǎng)行為管理是如何讓你的企業(yè)運(yùn)行得更有效率。

2. 上網(wǎng)行為管理解決方案

2.1 “上網(wǎng)行為管理系統(tǒng)”有什么樣的功能：

“ 上網(wǎng)行為管理系統(tǒng)”是一款安全產(chǎn)品，用于管理用戶的上網(wǎng)行為：是否允許上網(wǎng)、分時(shí)段上網(wǎng)、過濾不良信息、限制敏感信息；全中文用戶訪問日志管理，用戶向互聯(lián)網(wǎng)發(fā)布信息的日志管理；聊天、游戲等分時(shí)段管理。

Ø 用戶上網(wǎng)行為的審計(jì)功能：系統(tǒng)提供對所有用戶上網(wǎng)行為的審計(jì)功能。可記錄用戶網(wǎng)頁瀏覽、FTP傳輸、連網(wǎng)游戲等的上網(wǎng)行為記錄。

Ø 記錄用戶向互聯(lián)網(wǎng)發(fā)布的信息：系統(tǒng)可以將用戶向互聯(lián)網(wǎng)任意網(wǎng)站發(fā)布的各類信息（如貼子）記錄下來，這樣可以避免由于員工向互聯(lián)網(wǎng)隨意發(fā)布不良信息，給單位帶來不必要的麻煩。

Ø 上網(wǎng)流量的統(tǒng)計(jì)分析功能：對所有用戶分24小時(shí)的流量統(tǒng)計(jì)分析功能，并可對某一個(gè)用戶當(dāng)前流量及上網(wǎng)行為等進(jìn)行實(shí)時(shí)監(jiān)視。該功能還可以作為基于應(yīng)用的網(wǎng)絡(luò)管理工具。通過該功能可以查看用戶在用的端口號、網(wǎng)絡(luò)協(xié)議、在線的用戶行為等。是一個(gè)基于應(yīng)用層的網(wǎng)管工具。

2.2 “上網(wǎng)行為管理系統(tǒng)”的管理目標(biāo)

“突破”目前系統(tǒng)管理者對用戶互聯(lián)網(wǎng)使用情況一無所知的現(xiàn)狀。讓管理者對所轄用戶的上網(wǎng)行為一目了然，揭開用戶上網(wǎng)行為的帷幕。并為管理者提供一個(gè)基于互聯(lián)網(wǎng)應(yīng)用層的網(wǎng)絡(luò)管理工具。

2.3 “上網(wǎng)行為管理系統(tǒng)”適用的用戶群

“ 系統(tǒng)”適用戶于政府單位、大中小企業(yè)、大中院校、生活小區(qū)等需要對用戶上網(wǎng)行為進(jìn)行管理的單位或部門。軟件本身的功能及應(yīng)用，已超出了純網(wǎng)絡(luò)管理軟件的范籌，甚至是管理者分析用戶行為、統(tǒng)計(jì)工作效率等的管理工具。

Ø 可以管理多少用戶

“系統(tǒng)”可同時(shí)對上千用戶實(shí)施進(jìn)行管理。

Ø 是否會影響用戶網(wǎng)絡(luò)速度

“ 系統(tǒng)” 采取網(wǎng)絡(luò)監(jiān)聽與控制技術(shù)，與用戶網(wǎng)絡(luò)相當(dāng)于處在一個(gè)“并聯(lián)”狀態(tài)，決不會因?yàn)榘惭b了本系統(tǒng)而影響用戶的正常瀏覽。

Ø 誰需要“上網(wǎng)行為管理系統(tǒng)”

“上網(wǎng)行為管理系統(tǒng)”可以方便地安裝在“老板”的桌面上，對員工的上網(wǎng)行為一目了然，并且全中文的用戶瀏覽日志，可以幫助“老板”全面分析員工的日常行為。是一套可用性極強(qiáng)的員工上網(wǎng)管理軟件。

2.4 “上網(wǎng)行為管理系統(tǒng)”和防火墻的互補(bǔ)

防火墻主要是防止外來的攻擊。但是網(wǎng)絡(luò)安全決不只是外來攻擊這一個(gè)方面，用戶瀏覽信息的安全、上網(wǎng)行為的安全也是一個(gè)重要方面，即所謂內(nèi)容安全。這些內(nèi)容包括用戶是否是合法上網(wǎng)？用戶瀏覽的信息是否都是“綠色”的，用戶上網(wǎng)是否都是為了工作、學(xué)習(xí)所需？用戶應(yīng)用互聯(lián)網(wǎng)是否是在真正提高工作效率？是否在工作時(shí)間長時(shí)間聊天、游戲？用戶是否向互聯(lián)網(wǎng)發(fā)布了不良信息等等！“上網(wǎng)行為管理系統(tǒng)”就是針對這些問題研制的專項(xiàng)產(chǎn)品。

2.5 “上網(wǎng)行為管理系統(tǒng)”與其它內(nèi)容過濾產(chǎn)品的比較:

“上網(wǎng)行為管理系統(tǒng)”更注重用戶的上網(wǎng)行為管理，“凈網(wǎng) / 過濾”功能只是其中的一個(gè)單項(xiàng)。系統(tǒng)采取了人性化設(shè)計(jì)，幾乎每一項(xiàng)功能都可以靈活設(shè)定，達(dá)到管理與使用完美的統(tǒng)一。

在內(nèi)容過濾方面，系統(tǒng)采用了居國際領(lǐng)先水平的內(nèi)容實(shí)時(shí)判別技術(shù)，完全摒棄傳統(tǒng)的單純采用 “網(wǎng)址庫” 過濾技術(shù)。因此避免用戶象應(yīng)用殺毒軟件一樣，每天上網(wǎng)更新最新的 “不良網(wǎng)址庫” 。同時(shí)由于采用內(nèi)容實(shí)時(shí)研判技術(shù)，在內(nèi)容控制方面更具獨(dú)有的優(yōu)勢，除將 “ 反動、邪教、色情 ” 等內(nèi)容列入不良信息外，還將“ 成人話題、成人用品、同性戀、交友、游戲、聊天、證券 ” 等內(nèi)容列入 “ 敏感 ” 信息，供用戶有選擇地進(jìn)行控制。這些手段使得用戶可以瀏覽任何綜合性網(wǎng)頁，但其中某些敏感性內(nèi)容則受到控制，真實(shí)反應(yīng)用戶需求。

3. 方案所關(guān)注的問題

3.1 使用了“上網(wǎng)行為管理系統(tǒng)”是否會將所有用戶的“敏感信息”都封殺？

不會。系統(tǒng)在設(shè)計(jì)時(shí)已充分考慮到了用戶的多種應(yīng)用需求，特為用戶設(shè)計(jì)了分用戶組設(shè)定安全策略的工作模式。不同用戶組可以分別對10類信息有選擇地控制，在日志記錄方面，還提供了是否記日志的選項(xiàng)。

3.2 “上網(wǎng)行為管理系統(tǒng)”操作使用是否方便？

系統(tǒng)使用非常方便、直觀，系統(tǒng)所有功能都以一鍵式操作完成，用戶幾乎不用進(jìn)行產(chǎn)品培訓(xùn)，便能自如應(yīng)用系統(tǒng)。甚至可以將該系統(tǒng)安裝到領(lǐng)導(dǎo)（老板）的辦公桌上。

3.3. 系統(tǒng)日志是否是域名（URL）的羅列？

不是。由于系統(tǒng)是采取網(wǎng)頁內(nèi)容智能判別技術(shù)，所以有能力將用戶瀏覽網(wǎng)頁的中文標(biāo)題摘錄下來作為日志進(jìn)行管理。用戶訪問的信息一目了然。這是采用網(wǎng)址庫過濾技術(shù)所無法達(dá)到的。通過全中文日志，管理者更可以對用戶的行為、喜好等進(jìn)行分析。該產(chǎn)品甚至可以作為特定人群“行為分析”的工具。

3.4. “上網(wǎng)行為管理系統(tǒng)”是否要求安裝客戶端，可以適應(yīng)多少用戶？

不需要安裝客戶端。系統(tǒng)可以滿足數(shù)百至上千用戶。

4. 產(chǎn)品優(yōu)勢

4.1 自主知識產(chǎn)權(quán)的操作系統(tǒng)

TsingSec Operating System（TSecOS）是清信安科技自主知識產(chǎn)權(quán)的操作系統(tǒng)。它是清大信安高速數(shù)據(jù)通訊平臺（USAP）的核心部分，借鑒了成熟的Linux 2.6內(nèi)核，采用模塊化設(shè)計(jì)和并行數(shù)據(jù)處理理念。具有高效性、高安全性、高健壯性、擴(kuò)展性、可移植性、模塊化、標(biāo)準(zhǔn)化等特征。

TSecOS能夠支持多種硬件平臺，如NP、ASIC、多核等，其核心的專家會診系統(tǒng)（ECS）把傳統(tǒng)的串行數(shù)據(jù)處理方式優(yōu)化為并行處理模式，通過系統(tǒng)策略配置各個(gè)功能模塊，可以實(shí)現(xiàn)全方位的需求滿足和安全控制，保障了系統(tǒng)安全快速的運(yùn)行。

4.2 USAP高性能的數(shù)據(jù)通訊平臺

高速數(shù)據(jù)通信平臺USAP：基于自主知識產(chǎn)權(quán)TSecOS的模塊化通用安全應(yīng)用平臺。可以根據(jù)用戶的實(shí)際需求制定相應(yīng)策略來配置系統(tǒng)，達(dá)到對用戶實(shí)際需求的無縫契合。模塊化設(shè)計(jì)，使系統(tǒng)具有很高的靈活性，具備海量處理數(shù)據(jù)的功能，可提供電信級萬兆互聯(lián)網(wǎng)管理解決方案。

4.3 專家會診系統(tǒng)（Expert Consultation System）

USAP采用了專家會診系統(tǒng)，對多個(gè)安全處理單元一次并行處理，可以使得數(shù)據(jù)包分析處理時(shí)間大幅度縮減。

假如n個(gè)安全功能中最耗時(shí)的一項(xiàng)功能共計(jì)耗時(shí)Tm，則USAP處理一個(gè)包的時(shí)間理論上為T=Tm，其中 Tm=Max {T1, t2, Tm,… Tn}。

由此看出USAP的數(shù)據(jù)包處理速度有大幅度提高，而且具有安全功能越多，優(yōu)越性越好的特性，這項(xiàng)技術(shù)的應(yīng)用成為清大信安的安全網(wǎng)關(guān)產(chǎn)品的一大性能突破。

4.4 零拷貝技術(shù)（ZERO-COPY 技術(shù)）

傳統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)處理，需要經(jīng)過網(wǎng)絡(luò)設(shè)備到操作系統(tǒng)內(nèi)存空間，系統(tǒng)內(nèi)存空間到用戶應(yīng)用程序空間這兩次拷貝，同時(shí)還需要經(jīng)歷用戶向系統(tǒng)發(fā)出的系統(tǒng)調(diào)用。

而零拷貝技術(shù)則首先利用DMA技術(shù)將網(wǎng)絡(luò)數(shù)據(jù)報(bào)直接傳遞到系統(tǒng)內(nèi)核預(yù)先分配的地址空間中，避免CPU的參與；同時(shí)，將系統(tǒng)內(nèi)核中存儲數(shù)據(jù)報(bào)的內(nèi)存區(qū)域映射到檢測程序的應(yīng)用程序空間，檢測程序直接對這塊內(nèi)存進(jìn)行訪問，從而減少了系統(tǒng)內(nèi)核向用戶空間的內(nèi)存拷貝，同時(shí)減少了系統(tǒng)調(diào)用的開銷，實(shí)現(xiàn)了真正的“零拷貝”。

從而，改善了數(shù)據(jù)分析過程，減少數(shù)據(jù)復(fù)制過程，降低CPU負(fù)載，提高系統(tǒng)效率。并且避免了數(shù)據(jù)拷貝過程中因資源占用而導(dǎo)致的數(shù)據(jù)丟包現(xiàn)象。

清大信安上網(wǎng)行為管理系統(tǒng)結(jié)合了TSecOS與專家會診系統(tǒng)（ECS）、ZERO-COPY等多種先進(jìn)技術(shù)，大大提高了數(shù)據(jù)的處理能力，并在一定程度上增強(qiáng)了系統(tǒng)的穩(wěn)定性。

4.5 高可靠性

作為多用途的網(wǎng)絡(luò)行為管理系統(tǒng)如果以路由或橋接模式接入到網(wǎng)絡(luò)中時(shí)，難免會存在造成網(wǎng)絡(luò)單點(diǎn)故障的風(fēng)險(xiǎn)，鑒于此，清大信安網(wǎng)絡(luò)行為管理系統(tǒng)提供如下解決方案以降低風(fēng)險(xiǎn)：

l 硬件采用By-Pass設(shè)計(jì)，避免產(chǎn)生網(wǎng)絡(luò)中斷

l 系統(tǒng)方面采用高可靠性的HA設(shè)計(jì)，網(wǎng)絡(luò)行為管理系統(tǒng)具有雙機(jī)熱備功能

4.6 DPI與DFI相結(jié)合數(shù)據(jù)分析技術(shù)

普通的報(bào)文識別技術(shù)

DPI：即“Deep Packet Inspection”，稱為“深度數(shù)據(jù)包檢測”。

DPI不僅分析IP包頭的五元組（源地址、目的地址、源端口、目的端口以及協(xié)議類型），而且還增加了應(yīng)用層分析，識別各種應(yīng)用及其內(nèi)容，如下圖所示：

DPI技術(shù)

DFI：即“Deep/Dynamic Flow Inspection”深度/動態(tài)數(shù)據(jù)流檢測技術(shù).

DFI技術(shù)采用的是一種基于流量行為的應(yīng)用識別技術(shù)，通過分析會話連接流的包長、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來與流量模型對比，從而實(shí)現(xiàn)鑒別應(yīng)用類型。

鑒于DPI在應(yīng)用區(qū)分、識別精度、功能擴(kuò)展等方面優(yōu)勢明顯，而DFI在對新應(yīng)用和加密協(xié)議的識別方面有一定的優(yōu)勢。清大信安采用了以DPI分析技術(shù)為主，傳統(tǒng)普通報(bào)文分析和DFI技術(shù)來處理分析加密應(yīng)用協(xié)議為輔的方式綜合分析數(shù)據(jù)包，綜合分析應(yīng)用層特征值和應(yīng)用協(xié)議行為；UDP/TCP 端口、端口范圍和端口列表；IP 地址、地址范圍、子網(wǎng)或主機(jī)列表；MAC地址；VLAN標(biāo)簽、MPLS 標(biāo)簽、IP PRECEDENCE、MPLS EXP；傳輸方向等。以此來達(dá)到精確分析應(yīng)用和協(xié)議的目的。

4.7 層進(jìn)式設(shè)計(jì)

接入管理：

當(dāng)客戶需要接入網(wǎng)絡(luò)時(shí)，對客戶進(jìn)行識別，確定用戶的合法身份。網(wǎng)絡(luò)的使用是基于賬號和密碼的認(rèn)證方式，用戶只需在web 頁面中輸入用戶名和密碼，用戶的認(rèn)證信息就會通過加密的方式發(fā)送到網(wǎng)關(guān)，在與數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行匹配之后，網(wǎng)關(guān)將根據(jù)系統(tǒng)已經(jīng)設(shè)置完成的用戶權(quán)限返回對應(yīng)的用戶或用戶組，用戶將根據(jù)得到的授權(quán)使用網(wǎng)絡(luò)資源。

權(quán)限管理：

跟據(jù)不同的用戶和用戶組，設(shè)定用戶的上網(wǎng)權(quán)限，包括用戶上網(wǎng)使用的計(jì)算機(jī)，用戶接入網(wǎng)絡(luò)的IP 地址，用戶的上網(wǎng)時(shí)間段，用戶禁止瀏覽的網(wǎng)站，用戶上網(wǎng)的每天或每月能夠上網(wǎng)的總計(jì)時(shí)長等等。

應(yīng)用管理：

在權(quán)限管理基礎(chǔ)之上，進(jìn)一步精細(xì)的針對網(wǎng)絡(luò)應(yīng)用進(jìn)行管理，例如：針對P2P下載以及下載速度的權(quán)限管理、針對Email收發(fā)的權(quán)限管理以及針對聊天工具的使用權(quán)限的管理等。從而實(shí)現(xiàn)對用戶流量的管理。

內(nèi)容管理：

對用戶網(wǎng)絡(luò)應(yīng)用的內(nèi)容進(jìn)行識別并管理。比如對BBS、BLOG、論壇、社區(qū)等網(wǎng)絡(luò)發(fā)帖的內(nèi)容進(jìn)行記錄；并可針對關(guān)鍵字報(bào)警以及阻斷發(fā)帖；對使用MSN、ICQ、飛信等網(wǎng)絡(luò)聊天軟件進(jìn)行聊天的內(nèi)容進(jìn)行關(guān)鍵字過濾以及報(bào)警，防止非法信息傳播，同時(shí)還對這些聊天內(nèi)容進(jìn)行加密保存，必要時(shí)可提供給安全部門作為司法證據(jù)。

4.8 分角色管理

清信安上網(wǎng)行為管理系統(tǒng)還具有多角色管理劃分的特性，靈活地按用戶角色或者分組對用戶上網(wǎng)行為進(jìn)行有效控制，不但支持分級多用戶管理和集中式管理，還應(yīng)支持多權(quán)限管理。

不同的管理賬號具備不同的管理權(quán)限，比如普通的瀏覽權(quán)限和全局的配置權(quán)限等。另外，它還具備很強(qiáng)的權(quán)限體系，敏感數(shù)據(jù)必須只有特別授權(quán)的用戶才能使用，以防止系統(tǒng)本身造成信息的泄密。

4.9 即插即用

清信安上網(wǎng)行為管理系統(tǒng)是真正的即插即用設(shè)備，能夠?qū)崿F(xiàn)用戶端即插即用，不論用戶采用的是自動分配IP地址的方式,還是已經(jīng)設(shè)定好了網(wǎng)絡(luò)適配器的網(wǎng)絡(luò)IP地址等參數(shù)，都無需修改這些參數(shù)（如IP、Mask、Gateway、DNS 和DHCP等任何參數(shù)）插上網(wǎng)線即可上網(wǎng)。極大的簡化了網(wǎng)絡(luò)的管理，提高了網(wǎng)絡(luò)的可靠性。

4.10 準(zhǔn)確完善的URL分類庫

系統(tǒng)中集成了默認(rèn)的URL分類庫，這些分類庫是根據(jù)中國的當(dāng)前情況而進(jìn)行了合理的采集及分類，符合我國用戶的網(wǎng)絡(luò)使用環(huán)境的需求。目前URL分類庫已進(jìn)行準(zhǔn)確分類的域名達(dá)到500余萬條，是由清大信安公司組織專門的團(tuán)隊(duì)進(jìn)行人工分類的，并參照國內(nèi)專業(yè)機(jī)構(gòu)所提供的專業(yè)數(shù)據(jù)，分類結(jié)果較為準(zhǔn)確，所涵蓋的URL地址類型也較為全面，基本覆蓋了在國內(nèi)用戶中有一定訪問量的URL地址。

4.11 定期更新URL庫及應(yīng)用庫

為保證URL分類庫的準(zhǔn)確性及實(shí)時(shí)性，系統(tǒng)會定期更新URL分類庫；由于系統(tǒng)是基于應(yīng)用對數(shù)據(jù)進(jìn)行分析的，因此在當(dāng)前諸如MSN、QQ等即時(shí)聊天軟件，錢龍、大智慧等股票軟件以及P2P下載軟件等等的應(yīng)用特征碼不斷更新的情況下，也會定期更新系統(tǒng)的應(yīng)用協(xié)議庫，以保證對所有網(wǎng)絡(luò)應(yīng)用的準(zhǔn)確識別。

5. 產(chǎn)品部署

清大信安網(wǎng)絡(luò)行為管理系統(tǒng)可以采用多種方式靈活部署，通過分析處理流入和流出的數(shù)據(jù)包，有效地實(shí)現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的監(jiān)控。

5.1 路由或網(wǎng)橋部署模式

路由模式和網(wǎng)橋模式都屬于串聯(lián)式的部署模式，都是通過將上網(wǎng)行為管理系統(tǒng)直接串接在用戶網(wǎng)絡(luò)鏈路中實(shí)現(xiàn)的。

網(wǎng)橋模式：可以實(shí)現(xiàn)對內(nèi)網(wǎng)數(shù)據(jù)監(jiān)控、控制和管理功能，主要適用于不希望更改網(wǎng)絡(luò)結(jié)構(gòu)、路由配置、IP 配置的用戶使用。

路由模式：可以實(shí)現(xiàn)對所有數(shù)據(jù)的審計(jì)、控制和攔截功能，適用于對網(wǎng)絡(luò)拓?fù)涞母牟幻舾械挠脩羰褂谩?/p>

5.2 旁路部署模式

旁路部署模式，是采用與交換機(jī)的鏡像端口相連，通過抓包的方式，實(shí)現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的審計(jì)。它的優(yōu)點(diǎn)是可靠性高，安全性好，不增加網(wǎng)絡(luò)延遲，設(shè)備故障時(shí)不影響整個(gè)網(wǎng)絡(luò)運(yùn)行。

5.3 集中管理的部署模式

集中管理部署模式主要適合大中型企業(yè)、政府、教育城域網(wǎng)等有分支機(jī)構(gòu)的單位。它的特點(diǎn)是在中心和各分支機(jī)構(gòu)都部署清信安網(wǎng)絡(luò)行為管理系統(tǒng)；中心集中管理平臺可以向所有的清信安上網(wǎng)行為管理系統(tǒng)統(tǒng)一下發(fā)策略，并監(jiān)控所有清信安上網(wǎng)行為管理設(shè)備狀態(tài)；定時(shí)上傳分支機(jī)構(gòu)的日志記錄。

企業(yè)上網(wǎng)行為解決方案