随着互联网技术的发展,组织的业务模式和员工的工作模式、行为习惯都在不断发生改变:
■ 网上业务:组织建设了更多的网上业务平台,通过互联网来开展业务;
■ 沟通桥梁:内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流,提升工作效率,获取资讯和知识,维系人脉关系;
■ 移动互联网:移动互联网的消费化趋势也逐渐影响到组织内部的IT系统,员工更喜欢通过WLAN、移动终端类开展工作;
■ 网络接入:接入设备的种类越来越多,对于政府、企业的内部网络,工作人员办公时接入设备多种多样,包括摄像头、扫码枪、打印机等IOT设备;
■ 业务侧访问不可视:传统互联网出口很多都部署了大量的安全设备,但是对于服务器的异常访问和下载并没有审计和分析;
■ 新的法规要求:2017年6月1日,网络安全法正式推出,其中对组织明确提出上网行为审计的要求,并且要求至少留存上网日志6个月。
因此,在员工的日常工作中,用户需要针对互联网出口平台的如下全网行为管理、上网安全和防护需求进行改造,提供一个更安全、更高效的上网环境。
深信服全网行为管理一款集上网行为管理、网络准入、设备准入以及业务访问行为分析于一体的安全产品。核心优势:多种认证方式、全面的审计能力、支持多种应用的封堵、精准的流量控制;准确识别iot设备、统一管理硬件资产;强管控违规用户,精细分析行为画像;部署实施简单,维护成本低。全网行为管理基于端点无感知、少故障节点、不影响原有网络为原则的产品设计理念,致力于给客户带来更好的使用体验。
全网行为管理系统,强调以人为中心业务访问控制,入网只是关键的一步,保障业务行为安全和上网行为安全才是最终的目的。
大量新应用和老应用的新版本,给应用识别与管控以及后续的运维带来巨大的挑战,让网络难管控,难运维。另外,即使是同一个应用也可能具有两面性,他们有“好”的功能,也可能有“坏”的功能,“好”功能具有实用性,而“坏”功能具有风险性,因此,此类应用的管控成了一个两难的问题。
网络的普及改变了传统的办公方式,而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购等,而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。这严重影响工作效率,从而导致企业竞争力的下降。
所以,组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。
企业内网用户在日常办公中拥有访问互联网的权限,可通过QQ、MSN、论坛或微博等方式外发信息,如果包含了色情、赌博、反动等不良内容,都属于网络违规违法行为,企业或个人将承担法律责任。
所以,组织需要根据82令的相关要求,建立全面、完善的上网行为的合规审查机制,并建立严格的审查权限管理机制。
伴随着网盘、社交媒体、流量加密等应用/技术的广泛使用,企业重要数据泄密的方式越来越多样,风险越来越高。在有意无意间,一个员工就可以轻易的把企业内部的敏感信息、高价值信息资产,外发的互联网上,给组织的公众形象、业务开展带来严重的风险。
所以,组织需要对员工制定严格、细粒度的互联网数据传输控制策略、合规审查策略,防止重要数据的泄密行为发生。
由于P2P流量没有明显的协议特征,再加上其带宽侵蚀性的特性,造成P2P流量的全流量识别困难。而且传统缓存丢包的方式,无法真正抑制P2P流量,因此就不能很好的保障带宽。大量客户反馈已经有传统流控设备,业务却依然卡顿,也是这个原因。
互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用,用户在使用这些应用的过程中必然会占用大量的带宽,而关键的业务应用、关键人员角色则得不到足够的资源。而且近年来P2P协议应用更广泛,比如常见的在线流媒体等,P2P流量往往识别不全,难以管控,给带宽管理带来很大挑战。
此外,传统的带宽管理策略都是静态的,当带宽空闲时,依然会限制用户的流量,带宽价值被大大浪费。
所以,IT部门需要能看清网络流量,针对各种应用类型、用户角色、带宽占用情况等,提供更加灵活、细致、动态的带宽管理策略,提升用户上网体验。
用户终端接入内网风险大,可以通过全网行为管理实现准入认证、合规检查、资产管理等功能,通过全网行为管理可以实现主动硬件资产扫描(含哑终端),并通过终端指纹识别终端有效信息,包括:设备类型、生产厂家、MAC/IP地址、上线时间等。支持全场景的准入认证,包括802.1x认证、MAB认证等二层接入认证,也可以实现对接本地域、第三方认证平台的单点登录,支持入网终端的安全合规性检查,阻断非法终端接入内网,从根本上保障内网安全。实现内网访问权限控制,基于用户/用户组配置访问策略,实现访问权限最小化,实现非法外联强管控,预警并阻断全场景非法外联行为,同时支持多种外设强管控,杜绝非法外联行为的发生。实现内网业务审计,记录内网行为日志,支持报表和审计,实现内网行为可视化分析。
结合上述的用户需求以及IT系统的现状,深信服可以为#XX客户#提供一套完整、可视的互联网出口安全解决方案,帮助用户实现上网的可视可控,感知上网以及内网的行为风险。即能轻松满足安全合规管理的要求,又能提升内网的安全接入,还提升了用户上网的操作体验。
在传统的网络架构中,很多的企业对接入内网的终端,特别是哑终端、IoT设备等物联网设备的终端安全、准入、认证、管控、行为检测与审计等情况不清楚,人工盘点、管理资产具有一定难度,缺乏足够的管控能力,而且随着越来越多的BYOD及IoT设备接入,终端的合规性、身份的合法性、资产自动盘点、可视化展示都对内网管理提出了一定的要求。
支持终端检测与加固:有操作系统的终端,安装Agent,通过插件实现;有操作系统的终端且有监测平台的,可以与平台对接;没有操作系统的终端, 用端口扫描方式,探测是否有不合理的开放的端口,开放的端口里是否有漏洞,弱口令等;
支持哑终端准入认证:传统准入认证技术;支持终端白名单入网;流量白名单(根据协议)入网;
支持物联网设备行为检测与审计:流量与行为审计,支持留存6个月,满足《网络安全法》相关规定,终端访问物联网平台的流量与行为实时可视;
支持设备全生命周期管理:实时显示所有终端接入情况,新接入的终端有哪些,哪些终端在线,哪些终端离线;
通过设备指纹识别技术对全网接入设备进行主动扫描和被动监听,发现内网接入终端,并对所有接入设备的各种固有信息进行采集和统一的展示,接入设备包括PC、手机、网络设备、服务器、IoT设备、PDA设备等,展示信息包括设备的终端类型、操作系统、设备厂商及用途、终端网路信息及安全状态等。
AC提供了多种内网准入认证方式,有效管理内网终端认证,同时为审计策略、有效防御身份冒充、权限扩散与滥用等提供管理基础。
AC支持丰富的身份认证方式:
■二层认证:802.1x 认证、MAB认证等
■本地认证:Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定;
■第三方认证: LDAP、RADIUS、POP3、数据库等;
■短信认证:通过接收短信获取验证码,快速认证;
■微信认证:通过微信点一点,关注微信公众号进行快速认证;
■访客二维码认证:接待人员扫描访客手机上的二维码,备注信息后,访客即可通过认证;
■双因素认证:USB-Key认证;
■单点登录:AD域、POP3、PROXY、WEB和第三方系统等;
■强制认证:强制指定IP段的用户必须使用单点登录。
网络世界中安全事件数量急剧攀升,终端因为没有安装杀入软件,或是系统补丁不及时更新,导致带病终端入网,存在极大的网络安全隐患,严重时导致整个网络的瘫痪。所以必须要强化内网可靠性、可用性。深信服AC借助规则专利技术(专利号ZL200510037455.1),将按照管理员要求对每位员工进行合规性检查,包括防病毒软件安装、运行、操作系统版本、补丁情况、注册表键值、终端程序运行情况、终端目录盘下文件情况等,不满足预设安全级别的终端将严格控制其访问权限,必要时不允许接入网络,实现横向和纵向的通信阻断,从而提升整个内网的可靠性和可用性,有效的保障内网环境的安全,避免终端给内网带来威胁。
AC对入网终端进行合规性检查支持隔离修复功能,内置的终端合规性检查策略包括:常规检测:支持windows补丁检测,并且提供链接,提醒用户及时修复;检测注册表不安全项,支持自动添加该项注册表,或是提醒用户修复;及时发现可疑文件检测,对用户进行告警,同时上报给管理员;检测是否安装指定软件,支持域推方式,静默地强制安装;发现正在运行哪些应用,展示在终端详细信息里面;检测指定软件没有运行,强行拉起相关软件。
对于非法终端,AC可以实现不同维度的隔离。包括:边界隔离、业务隔离以及终端隔离:
边界隔离是指,AC支持在接入交换机或是无线控制器上拒绝非法终端上线;同时支持配置交换机,将不合规终端划分到隔离域;
业务隔离是指,AC支持配置规则,针对不合规终端,限制甚至禁止访问的业务系统资源,或是数据中心;
终端隔离是指,AC支持终端agent结合windows的wfp,针对小组、部门,或是楼层、楼栋的终端进行隔离。
随着企业信息化的发展,内部业务系统越来越多,业务系统上数据越来越多,越来越重要,如果不对业务系统进行有效管理,容易造成数据泄露和各种数据资产安全问题。因此为了对企业业务进行统一有效管理,除了管理审计SaaS业务以外,对内部业务也进行管理审计。长期来看,内部员工对业务系统的访问数据是内部威胁分析中非常重要的一环,对内部系统的访问和上网的行为结合起来进行综合分析,才有非常完善的用户数据,才能进行全面的UEBA分析,识别内部威胁。
业务系统解决4个方面的问题:
1.业务系统梳理困难的问题。企业内部有很多系统,由于历史的原因,很难对业务系统进行梳理,难以对资产进行有效管理,导致存在很多安全隐患
2.业务系统访问的留存和追溯。企业的重要数据大都在各业务系统上,因此对业务系统的访问要进行日志留存,以便后续发生事件可以进行追溯。
3.账号安全管理。业务系统使用的问题很多是由于账号的不当使用引起的,特别是在重要的业务系统里,由于账号的不合理使用导致了很多安全隐患。因此需要对关键业务系统的账号使用情况进行可视化。
4.业务系统状态监控。业务系统越来越多,管理越来越麻烦,各个业务系统的运行稳定性对IT来说非常重要。
1.展示业务系统概览、特别关注业务系统、业务分析、用户账号分析、服务器分析等重要信息可视化。
2.业务分析:梳理内网所有的业务系统,针对某个业务系统的访问次数,访问用户数,使用账号,等行为进行分析。业务系统的内网访问流量和外网访问流量统计
3.用户分析:通过用户分析,可以看到用户使用的业务系统情况,访问业务系统的次数、流量和账号数。
4.账号分析:账号统计和可视化,可以观察账号的使用安全并进行管理
5.全面业务系统访问行为日志记录
针对网络管理问题的各类上网行为,从逻辑上可以分为用户、终端、应用、内容、流量5个要素,而从业务管理的角度可以合并为“用户”、“行为”、“流量”三个元素,其中“用户”包含用户身份和用户终端,“行为”包含网络应用和网络内容。
深信服全网行为管理AC一直坚持上网的可视与可控,可以实现“用户”的可视可控、“行为”的可视可控以及“流量”的可视与可控。深信服AC通过深入识别技术,全面识别网络中的用户、行为和流量,并通过分析和可视化的展现,帮助管理者看清网络状况;并且,可以对“用户”、“行为”、“流量”进行精准灵活的管控,让用户上网高效,管理更省心。
为了针对不用角色身份的用户,避免身份冒充、权限滥用等出现,提供即安全又便捷的认证方式,深信服全网行为管理可以提供如下多种身份认证。
深信服AC支持本地认证功能,包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能,能够准确识别全网用户,从而对该用户进行全网行为管理,而对于未通过认证的用户则限制其网络访问权限。
AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后,AC能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,AC能够准确识别全网用户,从而对该用户进行全网行为管理,而对于未通过认证的用户则限制其网络访问权限。
为了省去复杂的临时账号申请机制,让外来访客便捷的接入网络,但又满足合规要求。深信服全网行为管理AC提供了短信认证、微信认证、二维码认证等多种方式,当来宾接入网络后,系统会自动推送出专门针对来宾访客认证界面。
深信服AC支持识别各种网络应用的虚拟账号,包括微信、QQ、百度贴吧、人人网、网易邮箱、熊猫TV、美团、京东、链家网等100多种常见应用的账号情况,据此可以确认用户的网络身份,也方便后续进行针对性的管控。
深信服AC通过四个方面来实现“行为”的可视可控:首先全面精准识别应用,然后基于业务视角管控应用,其次对应用进行灵活细致的权限控制,最后对于特殊应用内容进行定向精准识别与管控。
深信服全网行为管理系统具有千万级URL库和国内最大的应用识别规则库,包含2800多种应用、6000多种规则,以及1000多种移动应用,可识别目前网络中各种主流应用和APP软件,如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。
而且,深信服全网行为管理保持每半个月更新一次的快速迭代,不仅新增常用应用,还及时淘汰老旧应用,避免识别库的臃肿。
针对具有多面性的应用,比如网盘,其上传功能有泄密风险,而其下载具有实用性,因此,应该精细管控网盘的不同动作,如:封堵网盘上传,放通网盘下载。通过精细化的管控,兼顾安全和实用性。
越来越多的网页使用SSL加密,如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站,而因为采用了加密技术,普通的管理产品无法对其内容进行识别管理,别有用心的用户可以利用这一缺陷绕过管理,通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息,导致管理漏洞。
深信服AC能精准识别SSL加密的网页和邮箱等,如百度、360、Foxmail邮箱等,并能够基于关键字对加密内容进行有效过滤。
深信服全网行为管理系统通过技术创新,可以精准的识别出,当前网络中员工私自架设的无线AP,私接的Wi-Fi,以及代理上网应用,从而防止带宽资源的滥用,防止黑客通过非法AP接入企业网络入侵。
深信服全网行为管理系统不仅记录内网用户访问了哪些网站,使用了哪些应用,还能对用户的上网行为内容进行深入审计,如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时,还支持SSL加密网页和应用的内容审计,避免错审漏审,帮助企业深入的了解员工上网行为。
AC实时监控和完善的应用审计功能,支持对网页内容、邮件收发、IM聊天、微博论坛等应用的全面审计,帮助网络管理员了解内网用户的上网行为,同时也作为追查依据。
网页审计:内网用户访问的URL地址、网页标题、时间等内容,AC能够完全监控与记录。
同时,通过网页快照功能,直观展现网页内容,便于管理人员快速查看。
邮件收发:对于Webmail或邮件客户端收发邮件,AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等,附件内容可提供下载做进一步审核。
IM聊天:对于QQ、MSN、Gtalk等聊天应用,无论是Web版或是桌面版,AC均能详细记录其聊天内容。
微博论坛:对于微博、社交论坛发帖不仅能够根据关键字进行过滤,发布的内容也能全面记录,准确还原发帖内容,提高可读性。
同时,对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3,AC可以基于关键字过滤和内容审计记录。针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能。
机构的总裁、高层领导网络访问行为,财务部收发的邮件,关乎机构机密信息,对其记录审计反而成为泄密风险。因此AC支持免审计Key功能。在AC上为总裁、财务部相关人员生成免审计Key。当使用该免审计Key认证后,AC从底层免除对该人员的一切记录。一旦免审计功能被恶意取消后,当再插入该免审计Key后会自动弹出警告,且禁止该人员访问网络,彻底保障信息安全。
企业内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中心中,这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用,领导的Email、MSN聊天内容等被肆意传播、私自张贴到互联网上必将给组织造成不良影响、甚至经济损失。
因此AC提供日志审查Key技术。数据中心管理员只有插入该Key后才能以审计、查询权限接入数据中心,从而对行为日志进行详细查询。对于没有该Key的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看,无权限对行为日志进行审计、查询,从而保障行为日志记录不被滥用。
深信服全网行为管理系统通过多级父子通道技术,能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后,管理员能够给不同通道分配不同带宽。同时,带宽的分配并不是一成不变的。深信服全网行为管理系统具有动态流控功能,在总体带宽利用率偏低时自动调整策略,有效提升带宽利用率,避免资源浪费。
在P2P应用流量控制方面,通过深信服P2P智能流控技术,能够有效的抑制P2P流量,使得核心业务应用有足够的带宽资源。
深信服AC为管理员提供了网络流量可视化方案,管理员可以实时查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况(包括DOS攻击、ARP欺骗等)等信息,直观了解当前网络运行状况。
通过部署深信服AC,可对网络出口链路总带宽进行细分,采用“基于队列的流控技术”,即建立通道,将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用,在通道中可以限制或保障其带宽,控制灵活。深信服AC支持多级父子通道,即在父通道中嵌套子通道,最大可支持8级父子通道。通过多级父子通道技术,能够完全匹配公司的组织架构,针对不同级别的通道进行带宽调整,为用户提供细致的流量管理手段,使得带宽分配更灵活、更合理。
目前,通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借P2P智能识别技术,不仅识别和管控常用P2P、加密P2P,还能对不常见和未来将出现的P2P应用加以控制。
目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性,传统流控手段是通过缓存和丢包手段来实现流量控制的目的,但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制,即使被丢包依然不会主动降低速率,仍抢占大量的带宽资源。同时对于下行的接收流量来说,被丢弃的数据包已经占用了线路带宽,关键业务的带宽依然得不到提升,流控达不到预期的效果。
针对这些问题, AC通过智能流控功能,能有效解决P2P应用的问题。虽然基于UDP协议的P2P应用对丢包不敏感,但是下行流量与上行流量有显著的相关性,只要控制住上行流量,下行流量就能得到控制。当开启AC的智能流控功能时,系统会根据下行流量的设定值对上行流量进行自动调整,从而达到控制和减少下行流量的效果,从源头处有效限制P2P流量。
当带宽有限时,企业希望通过限制P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略,根据应用的重要性分配相应的带宽。无论网络情况如何变动,分配的带宽都是固定的,不能自动调整,这样的流控策略往往造成带宽资源的浪费。比如某些业务应用带宽资源不足,而其他应用的带宽资源却处于空闲状态,得不到有效利用。
针对此类问题, AC提供了动态流控功能。用户可通过配置线路空闲阀值,以及定义线路的空闲和繁忙状态,实现针对性制定流控策略。当线路空闲时可以放宽通道带宽限制,应用流量可突破原来设定的最大带宽限制;当线路繁忙时可以下压通道带宽,使带宽恢复到被限制状态,执行原有的流控策略。通过灵活的带宽管理,最大满足业务对带宽的需求,实现带宽的最大价值。
外来人员随意接入公司内网,有可能带来业务侧数据的泄密以及当前热门的一些勒索病毒等危害,严重影响公司的利益。
有些企业可能有员工通过下载或者看视频严重影响了其他办公核心业务的带宽,导致大部分员工办公效率降低,以及员工对业务系统的重要数据下载泄密等问题,对公司造成经济损失。
目前有一些相关数据安全的法律法规来要求一些行业做准入,业务审计,以及上网审计的场景,包括金融的152号令,等保三级的准入等等。
全网行为管理通过准入的功能对入网人员进行身份校验,终端检查,合规之后才允许接入网络,接入的用户必须是符合安全要求的,从终端和用户两个角度来保障入网的安全,降低入网的隐患。
全网行为管理可以优化上网带宽,保障业务系统的带宽,降低与工作无关应用的带宽,从网络侧提高员工的工作效率,通过灵活的带宽管理,最大满足业务对带宽的需求,实现带宽的最大价值。
员工上网行为的可视可控,禁止访问与工作无关的网页(例如贴吧、微博、不良网页等),支持6000多种应用的封堵使公司降低安全风险,包括防代理和代理应用封堵,让员工合理利用工作时间,高效的完成工作目标。
采取实名审计策略,全面准入识别常用应用和网站,支持千万级URL分类库识别,规则库每2周更新一次,已连续12年,老旧应用及时淘汰,保障审计效果,包括https的无插件解密,完全满足网络安全法的审计要求,
全网行为管理与内部威胁平台配合,以人为维度来分析行为,包括内网和外网的操作记录,全面分析员工对业务数据的滥用以及对内部数据的泄密,让泄密人员无处可逃。
华南腾飞专业集成通信网络及网络安全建设,拥有十几年以上施工及实施经验,为广大客户解决了通信网络及网络安全各种难题,得到了广大客户的广泛认可。我司免费为直接客户及工程集成商提供全套解决方案及报价,欢迎全国广大客户来人来电咨询业务!
客服 0755-83253856 13510444731
二对一售前售后服务
7x24小时技术保障
立即咨询
电话咨询