上网行为管理解决方案

第一章         概述

    随着互联网技术和应用快速发展，人们对互联网的认识和使用已越来越深入，据中国互联网中心CNNIC统计，截止2009年6月31日，我国网民总人数达到3.98亿人，中国已成为全球网民规模最大的国家。 
    由于各种网络应用日趋普及，上网的环境和方式也更加多样。网吧、单位、政府、企业、酒店等各种上网场所的互联网应用已成为社会文化生活的一个部分。也正因如此，网络安全事件不断出现，电脑病毒网络化趋势愈来愈明显，垃圾邮件日益猖獗，黑客攻击成指数增长，利用互联网传播有害信息手段日益翻新……网络带给人们自由开放的同时，也带来不可忽视的安全风险。

在短短几年时间内，网络信息安全已经成为当今社会关注的重要问题之一：党的十六届四中全会，把信息安全和政治安全、经济安全、文化安全并列为国家安全的四大范畴之一，信息安全的重要性被提升到一个空前的战略高度。正是因为安全威胁的无处不在，才使得安全这个字眼被越来越多的提及。由于网络规模的不断扩张以及各种应用类型的不断融合，我们的信息社会正处于一个极大繁荣而又不受控制的“喧嚣”阶段，即使在一个小型的企业网当中，也难于对每个可能发生安全问题的地方进行监控，而在浩瀚的互联网世界，更是有无以计数的危险。

    因此，现在不管是单位还是个人用户在使用信息产品和服务的时候，都开始对安全问题表现出了不同程度的担忧，安全性及安全功能已经成为关心重点。近些年，安全已逐渐成为信息网络的必要组成部分。 

 

 

第二章         背景分析

 

 

  如何净化互联网内容，管理好员工上网行为，提升银行效率是摆在领导面前一个非常现实的问题：  

2.1 互联网是一柄双刃剑

    几年以来，银行上网是如火如荼，然而互联网繁杂的内容，也给银行正常的工作、学习带来相当大的“冲击”。网络的开放特性不仅给上网银行带来了诸如黑客攻击，病毒泛滥的外部干扰，内部员工对网络资源滥用带来的内忧同样令人触目惊心。网上游戏，网上聊天，网上炒股等网络行为严重地分散了员工的精力，同时，浏览某些内容违法的网站还可能带来法律上的麻烦。

2.2 来自权威机构的数据

    据IDC在美国的统计，企业中员工30%至40%的上网活动与工作无关，而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。  

2.3 BBS的危害性

    BBS是Bulletin Board System的缩写，即电子公告板。它是以文字为主的界面，为广大网友提供了一个彼此交流的空间。同时可以执行下载数据或程序、上传数据、阅读新闻、与其它用户交换消息等功能，由于目前BBS已经成为多数网民信息发布和交流的平台，一旦有不良信息的发布，造成的危害将是巨大的。

2.4您所关注的问题

    如何保证职工的上网行为是合理的、有效的？

    如何了解职工滥用银行的网络资源？

    如何控制职工利用P2P下载电影占用银行的网络带宽？

    哪位职工通过邮件或互联网泄漏银行的机要信息？

    。。。。。。

 

2.5 网络资源的不合理占用

    大量与工作无关的信息被浏览，P2P下载工具的频繁使用，是造成网络资源不能合理利用的根源。它不仅使正常互联网应用受到影响，甚至为网络病毒的入侵提供了途径。

2.6银行内部往往都缺乏比较有效的管理机制，来对内部安全进行有效的管理

    不完善的内部安全管理机制——银行内部有一定的管理机制，但是这些管理机制本身存在着一些问题和不足，也导致了内部安全管理没有得到“制度性”的保障；

    内部安全管理机制不能被有效执行——银行内部缺乏有效的管理制度执行机制，使得管理制度不被执行，为数不少的管理制度仍然还只是停留在纸面上。

 

4.2方案部署
4.2.1中心部署情况说明

    北京瑞达时代上网行为管理在工作时，采用旁路侦听的方式；安装部署时，不需要破坏原有的网络结构。因此在网络结构中，也不会造成任何数据流量上的瓶颈。在设计规划整个网络结构时，只需在核心交换机上预留出端口。在整个网络实施完工后，在交换机上设置好镜像端口并连接上上网行为管理即可。

下面是上网行为管理在项目中接入方式的示意图

 

     将上网行为管理按照图正确接入后，就可以利用中心机房局域网内任何一台电脑对上网行为管理进行管理。这台部署了上网行为管理的硬件设备可以对部管理中心所在地的网络进行监控，也可做为部级审计中心与下级各省审计中心进行数据交互。
4.2.2分级部署情况说明
    对于项目中部级管理中心与各省级管理中心节点的网络行为的数据交互，上网行为管理支持以审计中心+数据中心+终端的多级分布式部署方式进行灵活的管理。分布式系统部署由审计中心，各省，市级数据中心，区（县）级数据终端组成。审计中心是新一代上网行为管理系统，它为用户提供一个以北京瑞达时代上网行为管理为探针的网络审计控制平台，实现对上网行为管理的统一管理，实时的，有针对性的实现对网络的全面监控，真正实现以网管网。

 

    审计中心可以制定安全策略并向下推行到各级终端处，各个终端接收策略后按照中心策略监控数据，并将审计结果传回中心端。各个终端也可在与中心端策略不冲突的范围内自行设置审计规则。此种部署方式提供了灵活的审计方式，各个终端设备可以跟据自已的情况设置相应的审计策略。特别适用于跨地区多节点的大型机构。以下是本项目中部，市、县级中心分布式安装的结构示意图：

 

 

 

    审计中心部署于中心机房。网管员以B/S方式对审计中心进行管理。审计中心拥有一个外部IP，对外提供服务端口，采用被动连接方式，由各下级单位节点的上网行为管理主动连接分布式中心进行数据交互。分布式审计中心端可以集中设置中心策略，统一分发给各终端；分布式审计中心可以下发、修改、删除的各个终端的中心策略。

    终端部署于各自网络核心交换机处，同样以旁路接入的方式监听该级机构出口处的网络流量，进行数据侦听。单位网管以B/S方式对其上网行为管理进行管理，分支机构对上网行为管理终端的管理权限可由中心定制，如不允许访问、只允许访问某些许可的功能、全部开放等方式。

    各终端的上网行为管理根据中心策略对各自节点网络内的上网机器进行管理和监控，一方面进行上网审计，同时把上网行为以审计日志的形式记录下来；另一方面根据中心策略，将相关数据上传中心，上传的数据包括报警数据，上网行为数据和还原数据。这样就实现了中心端对分支单位的上网行为管理单独或集中管理，可以看到各个分支单位的实时上网情况和详细的记录。并能根据专门的报警策略接受到所有节点的敏感账号和信息的报警。

 

    审计中心和终端可以进行信息同步。信息同步包括：中心策略同步、组信息同步、机器信息同步和时间信息同步。

 

 

 

 

 

 

。。。（略）

 

 

 

 

 

rss订阅

会员中心

合作论坛

邮件订阅

Email:

电话热线

售前咨询免费热线  400-650-8258 售后服务免费热线  400-650-8258