互联网出口检查系统.pdf
《互联网出口检查系统.pdf》由会员分享,可在线阅读,更多相关《互联网出口检查系统.pdf(19页珍藏版)》请在三一文库上搜索。
1、1 互联网出口检查概述 1.1 背景 Internet 互联网被称为“ 信息高速公路” ,是一个对外宣传、获取外部信息和对外交流的重要 途径。 特别是近几年随着信息化建设的成熟,政府、企业都相继推出了网上业务系统,互联 网已成为重要的业务处理渠道。 互联网应用已经渗透到社会生活的每一个角落,成为人们学习、 工作、生活不可或缺的工具, 和政府、企业运营的基础平台。互联网为社会带来了巨大变革,但也产生了副作用。局域网 内的成员能够在工作时间使用IM 聊天、网上购物、 在线欣赏音乐和电影,通过BT 等 P2P 工具下载互联网资源、收发个人邮件等,除了员工或成员无心工作带来的直接损失,这些不 良的上网
2、行为还严重挤占了网络带宽,使得有限的带宽资源被滥用,业务无法得到高效运行。 同时还让单位或企业面临泄密风险。 针对用户互联网访问行为的管控,美国于2002 年颁布实施萨班斯-奥克斯利法案对内 控和行为日志记录率先提出了要求;而中国于2006 年 3 月 1 日实施互联网安全保护 技术措施规定-简称公安部82 号令,也对互联网访问行为及访问日志等提出了具体而严 格的要求, 例如 82号令规定网络服务提供者或使用者保留登录和退出时间、账号、 互联网地 址或域名等上网行为信息。 网络出口工作在网络的边缘,是内部网络与Internet 之间的桥梁。作为桥梁,出口的重要性 是不言而喻的。 出口如果断了,
3、内部网络将成为信息孤岛;出口如果慢了,将造成用户体验 下降,甚至影响整个办公业务。 1.2 安全风险 网络出口的安全风险基本上可以分为三大类。 第一类是攻击类安全。 Internet网络中的恶意入侵者可能因为政治、商业目的或随机目的对企业网络发起恶意扫 描和渗透式入侵, 通过渗透或绕过防火墙,进入企业网络, 获取、 篡改甚至破坏敏感的数据, 乃至破坏企业的正常业务和生产运行。Internet网络上大量肆虐的网络蠕虫病毒具备渗透 防火墙的传播能力,他们可以穿透防火墙进入企业网络;一旦遭受了病毒和蠕虫的侵袭,不 仅会造成网络和系统处理性能的下降,同时也会对核心敏感数据造成严重的威胁,甚至造成 网络
4、拥塞,导致业务和生产的中断。 10 年前出现 DDoS 攻击是一种简单的、 效果显著的攻击。 由于近些年僵尸网络的发展,DDoS 攻击重新成为恶意入侵者的新宠,直接威胁单位和企业网络的可用性。一些新的病毒以IM 、 P2P软件为传播通道,对企业网络的安全带来严重威胁。防范网页被篡改、防范网站被挂马 等都是必要的网络安全措施。 第二类是日志审计安全。 重大政治事件、安全事件频发的大背景下,全国都在开展安全大检查,公安部82 号令所要 求的日志如何满足?如何避免公安网监日志检查带来的麻烦? 企业和单位网络中,由于安全技能和安全意识存在差异,员工可能通过访问挂马网站、下载 包含病毒的恶意程序,从而无
5、意识的通过互联网络将Internet上 危险的、恶意的木马程序 和恶意代码下载到内部网络执行,甚至将Internet上的蠕虫、网络病毒传播进入内部网络, 这将对企业网络的安全带来严重威胁。员工因为各种 IM 即时通讯软件、 网络在线游戏、 P2P 下载软件、 在线视频、浏览工作无关网站导致企业网络资源滥用、网络性能下降,严重影响 正常工作, 形成新的威胁。 随着我国互联网相关法规以及版权保护的重视,企业员工非法下 载盗版影视、图书等资料,或外发反动言论等行为,将给企业带来合规性问题,使企业陷入 法律纠纷。 完整的审计不仅是应对安全检查的必要内容,同时能够极大的降低由员工违规行为带来的安 全风险
6、,避免以上问题的发生。 第三类是实名制安全。 不光接入网络要认证,访问Internet也要做准出认证,可以简单理解为网关认证。并在准 出认证基础上,针对不同用户身份进行相应策略部署。 1.3 目标 针对以上问题, WINFUN 万方盈科技有限公司推出新一代WINFUN 互联网出口检查系统,该系统 可以进行网络数据包检查,识别应用层信息,并根据应用的特征码等信息来判断应用类别, 同时也可以依照经验数据,采用数理统计方法分析数据流并以此来判断那些难以识别的网络 应用。这些特性和技术使得IT 管理人员可以很容易地控制如即时通信信息传输、P2P 多线程 下载、 Skype语音通信等网络的应用。只需通过
7、 Web 页面的简单设置,即可完成对这些网络应 用的管理, 并可根据实际需要来设置对这些网络应用的审计或记录,以避免因不当网络应用 所引起的法律风险。结合我国网络特点及用户需求,WINFUN 互联网出口检查系统明确了以下 三个目标: 防御来自外部的威胁,阻止蠕虫、 网络病毒、 间谍软件和黑客攻击对内部网络造成的安全损 失,提高内部网络的整体抗攻击能力; 防御来自内部的威胁,阻止蠕虫、 网络病毒爆发对内部网络的破坏,保障内部网络的正常运 行,同时有效防范企业机密信息外泄等安全事故的发生; 有效控制网络资源滥用,阻止员工因为各种IM即时通讯软件、P2P下载、网络在线游戏、在 线视频而影响正常工作,
8、通过净化流量,为网络加速。 2WINFUN 互 联 网 出口检查方案 2.1 系统简介 WINFUN 互联网出口检查系统是一套构建于高性能硬件平台之上的互联网出口检查解决方案。 该系统可通过旁路侦听的方式对内部网络连接到互联网(Internet)的数据流进行采集、分 析和识别, 实时监视用户使用互联网的状态,记录各种上网行为,发现互联网滥用情形,过 滤不良信息,并对用户上网过程中发送和接收的相关内容进行控制、存储、查询和分析。 WINFUN 互联网出口检查系统能够检测和阻止QQ 、MSN 等即时通讯软件,电驴、BT等 P2P 下载工 具,以及在线游戏、视频等各种无关的网络应用,净化流量,为网络
9、加速。WINFUN 互联网出 口检查系统能够为用户提供完整的网络审计信息,全面防止内部泄密;并能阻止外部病毒及 攻击行为,防止arp 攻击及 dos攻击造成的网络瘫痪,提升网络整体抗攻击能力。 2.2 网络部署 WINFUN 互联网出口检查系统有三种工作模式,分别是内置防火墙模式、网桥模式、 旁路侦听 模式三种模式 , 保证了该系统可以应用于不同网络的网络监控,可以基于 MAC 地址跨网段、 跨 VLAN 、跨平台、 跨路由、跨交换机对互联网信息进行全面控制管理,彻底解决了同类软件不 能对 ICMP 协议和 UDP 协议进行监控的难题。 其按旁路模式部署的网络拓扑图如下: 2.3 体系架构 W
10、INFUN互联网出口检查系统,B/S架构,通过 WEB控制台实现配置管理、系统管理以及日志 管理。 WINFUN互联网出口检查系统采用模块化设计,其体系架构如图所示,包含WEB控制 台、安全中心及网络探测器三个部分,WEB控制台用于实现便捷的可视化管理,网络探测器 负责网络数据包检测、报文捕获等, 并将捕获的信息数据及时传送至安全中心,安全中心对 信息数据进行审计,并下发策略,对捕获的信息作出相应的反馈,从而实现配置管理、系统 监控、日志审计等重要功能。数据采用SSL 加密方式传输,不会造成二次泄密,保证了系统 及信息的安全。 WINFUN互联网出口检查系统内置防火墙模式、网桥模式、 旁路侦听
11、模式三种工作模式,保证 了产品可以适合任何网络结构进行网络监控,还可以基于 MAC 地址跨网段、 跨VLAN 、跨平台、 跨路由、 跨交换机对互联网信息进行全面控制管理,彻底解决了同类软件不能对ICMP 协议和 UDP 协议进行监控的难题。 2.4 上网行为检测与审计 WINFUN 互联网出口检查系统能够对各种应用层协议进行解析,对用户使用互联网过程中的各 种网络服务和应用进行分析,实现用户上网的行为审计和用户访问的内容审计,能够对用户 上网行为进行控制,根据不同的策略封堵各种网络应用,还能够针对用户的上网行为进行实 时监控和流量分析。 审计详细的用户上网信息,审计内容包括机器名、源IP、目的
12、 IP、源端口、 目标端口、 源MAC 地址、用户名(域认证或者系统本地认证)、时间或时间段、网络行为的协议类别、网络行 为的审计状态及其他网络行为关键信息。 WINFUN 互联网出口检查系统能够检测虚拟账户、网站、论坛、博客、邮箱等登陆情况,并对 外发及下载信息进行审计。提供网络行为数据报表和图表。在对数据统计时,本系统可从多 方面进行了统计,给网络管理者提供方便的网络管理平台,帮助用户在网络管理、预防信息 泄密、了解员工需求、规范员工行为等方面取得更高成效。从其支持的协议上看,WINFUN 互联网出口检查系统审计的内容包括HTTP 、FTP、TELNET 、邮件、网络聊天、网络游戏、音 视
13、频、文件传输、P2P 、股市软件等,具体如下: 1) HTTP: 支持 web、post 的审计,支持自定义关键字,能够根据关键字搜索和审计特定内容 及对特定内容的访问。 2) FTP: 审计 FTP协议的登录、注销和一般操作等行为,及FTP操作的文件、目录以及文件 名称等。 3) TELNET:支持远程 TELNET 操作审计与回放,审计TELNET 用户、 TELNET 客户端 IP地址、命 令执行时间段、TELNET 命令等。 4) P2P: 基于 P2P 行为特征的智能识别技术,能够审计所有P2P 的行为记录, 可分类审计如 BT 、电驴、 PPLIVE、PPSTREAM等主流 P2P
14、 应用软件。 5) 邮件:支持基于SMTP 、POP3 、 IMAP4 等主流电子邮件协议的审计。 6) 网络聊天:能够审计即时通讯工具及网络聊天室,如QQ 、MSN 、ICQ、YAHOO MESSENGER、 淘宝旺旺、 UC 、QQ 聊天室私聊、 WEBMSN、163聊天室、 263聊天室等。可审计聊天内容,可根 据自定义关键字实现内容过滤。 7) 网络游戏:支持识别主流网络游戏协议,支持联众、浩方、QQ 游戏、大话西游、CS 游戏 等游戏平台、网络游戏和网页游戏的审计。 8) 音视频:支持网络音频和视频的检测及审计。 9) 股票应用: 支持主流股票交易和查询平台的检测和审计,如大智慧系列
15、 (国泰君安大智 慧、江南证券大智慧) 、联合证券、银河证券(同花顺2006,双子星)、分析家、钱龙炒股软 件、大参考等。 2.5 审计控制策略 系统采用任务模式下发审计策略,通过添加、删除、 修改审计控制策略,向全部计算机或计 算机工作组或单个计算机实施审计策略。 WINFUN 互联网出口检查系统制定了极细致的审计控制策略。主要包括时间段控制策略、IP 控制策略、端口控制策略、网页浏览过滤策略、邮件控制策略、网络聊天控制策略、文件传 输控制策略、远程登录控制、BT下载控制以及报警设置等。针对不同对象,可分别制定不同 策略,使网络使用具备极大的易用性。 2.6 内容分析引擎 WINFUN 互联
16、网出口检查系统采用WINFUN 独特的内容分析引擎和高效的索引算法。WINFUN 互联 网出口检查系统能够对各类协议的具体内容进行实时分析处理,能对论坛发言、 网络信息发 布,以及 QQ 、MSN 、YAHOO 等即时通讯软件的聊天内容进行实时过滤和监控,并依据策略报警 或阻挡。 WINFUN 内容分析引擎的特点是处理速度非常快,相比同类产品有极大地提高,因此能够实时 监控, 实时防范。 传统的互联网出口检查系统只能对数据进行审计,在事后追查敏感信息或 涉密信息的泄露,WINFUN 互联网出口检查系统通过快速的内容分析,实现了事前预防,即在 分析出敏感信息或涉密信息时就能够对目标计算机下发防御
17、策略,避免了信息在互联网上的 扩散。 高速及高效凸显出WINFUN 互联网出口检查系统极高的应用价值和竞争力,WINFUN 互联网出口 检查系统能够适应日益巨增的大流量或规模庞大的用户环境。 2.7 内容过滤 凭借出色的内容分析引擎,WINFUN互联网出口检查系统实现了网页、邮件、即时通讯和其 他网络信息内容的过滤。通过设定关键字,可过滤含有不良信息的网页、邮件等,还可以借 助设定特定敏感信息关键字,阻止敏感信息、秘密信息的传播和传递。 2.8 网络行为智能识别 传统互联网出口检查产品单纯的依赖URL 地址库、网络应用程序库来对网络行为进行判断, 面对当今日新月异的网络,每天都产生新的成千上万
18、的网络应用,如果单纯依赖URL 地址库 和行为特征库,显然无法适应网络的千变万化。 WINFUN 互联网出口检查系统能够根据行为特征、数据流特征、 关联特征等, 融合了逻辑学和 统计学技术,能够对网络行为进行准确判断,使系统能够适应爆发式增长的新型网络应用, 从而降低对传统URL 地址库及行为特征库的依赖,实现了网络行为的智能化识别。智能化网 络行为识别技术, 结合 WINFUN 互联网出口检查系统提供的庞大的近千种网络应用特征,使该 系统能对网络应用进行快速准确的判断。 对网络应用的误判,可能会对正常的网络使用造成不良影响甚至严重后果,WINFUN 互联网出 口检查系统的双重识别技术能降低这
19、种风险,为用户带来良好的使用体验。WINFUN 互联网出 口检查系统不会造成网络延时,从而保障了网络的通畅运行。 2.9 网络应用过滤 WINFUN 互联网出口检查系统根据应用协议类型判断应用类型,可以屏蔽各种通工具等程序, 如BT、emule 、QQ、MSN等。它能根据检测数据包的特征,按组禁止用户使用P2P工具。可 以完全封死 BT下载和 emule ,对用户正常下载有没有任何影响。通过配置上网内容过滤服 务器和上网过滤黑白名单表,该系统可以实时进行网页内容扫描并通过自定义策略屏蔽页 面,还可屏蔽网页中的各种弹出窗口及广告窗口,禁止用户通过http 下载指定的文件。 WINFUN 互联网出
20、口检查系统可以实时控制和限制游戏和流媒体程序,帮助用户减少带宽占 用,并解决工作时间因游戏、电影等网络娱乐而导致的“工作效率低下”问题。 网络应用过滤的目的是为了保障关键核心业务的正常运转,越来越多的业务已经离不开网络 的支持,视频会议、网上定单、在线交流、网上交易系统等等,无一不需网络高效、稳定运 行做保障。 而上述行为不仅严重挤占了关键业务正常运转的带宽,还为带来巨大的网络安全 隐患,网络应用过滤能够解决这些问题,让网络管理者“高枕无忧”。 2.10 客户端 WINFUN 互联网出口检查系统的客户端登录控制包括web,pppoe, 客户端程序 , 域用户等方式, 系统支持自动 mac绑定、
21、自动用户识别、 默认用户等 , 可以避免用户繁琐的输入用户密码以管 理几乎所有的终端在线状态,使安全策略更有效地同整体安全防御体系结为一体。 2.11 数据防泄密 据IDC调查报告显示, 全球有近 80% 的企业存在着信息安全与风险问题。在报告所调查的公司 中,进行网络常规安全检查的公司不到一半。报告显示: 信息安全问题大都来自于企业内部, 大多数信息泄密源于信息安全管理不善。在很多企事业单位的网络中,业务系统的WINFUN 操作没有明确授权人员,这导致非授权人员访问并修改内网服务器的重要数据;很多员工信 息安全意识薄弱,将内网数据在公网上传播,导致严重后果。 WINFUN 互联网出口检查系统
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 互联网 出口 检查 系统
链接地址:https://www.31doc.com/p-5630766.html