​上网行为管理解决方案

一、项目概况

随着信息技术的快速发展，网络应用更新换代频繁，新兴应用不断涌现。互联网在给生活和工作带来便捷的同时也对上网行为审计带来了新的挑战。随着互联网的普及，单位业务几乎都依托于互联网进行。ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施，共同构成业务信息化平台。但是在内部网络中，除了这些关键业务系统外，还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用，形成了复杂的网络应用“脉络”。

由于单位职工拥有访问互联网的全部权限，在日常工作中对职工的上网行为难以实行有效管理。一些职工上班时间玩游戏、看网络视频、长时间进行I聊天，不仅违反了《公务员管理条例》，而且挤占有限的带宽资源，造成大量基于网络的办公应用受到影响，极大地降低了办公效率；同时无法管控的信息渠道可能导致机密信息的泄漏，导致内部局域网感染病毒而瘫痪。如果工作人员通过QQ、MSN、论坛、微博等方式对外发布了包含、色情、赌博、反动等不良信息单位或个人还将承担法律责任。

在复杂的互联网环境下，如何管理好单位内部职工的日常上网行为呢？信达网安上网行为管理系统（以下简称USG）将彻底解决这些问题。

二、信达网安上网行为管理产品介绍

信达网安上网行为管理产品可以阻止人员访问无关的网络，杜绝带宽资源滥用，加快上网速率，提升工作效率；记录上网轨迹，管控外发信息，规避泄密和法规风险；防止PC中毒，防止组织机密外泄，保障内部数据安全；智能数据分析提供可视化报表和详细报告，为网络管理和优化提供决策依据。可以帮助用户管理员工使用互联网行为的管理，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。

三、具体功能介绍

（一）对内网具有安全防控功能

信达网安上网行为管理在提高用户的上网安全方面提供了大量的技术保证。既能保障USG网关自身的稳定可靠，又能提升组织内网的可用性和安全性。一是，可以过滤恶意网页，防范恶意攻击 。USG内置了庞大的恶意网址库，并且实时更新。它通过检测恶意脚本的写注册表、写文件、系统调用等危险行为，以此过滤恶意脚本 。独有专利根据插件签名合法性、有效期、插件名称等校验来自网站的插件并过滤，避免无安全防护的终端染毒、被劫持，提升内网安全。

二是，可以监测出异常流量并对其进行阻断 。检测常规端口(如网页、FTP、Email等)中的异常协议流量，识别并阻断木马、 间谍软件、远程控制等危险行为 ；识别并阻断来自内网的端口扫描行为，滥发垃圾邮件行为。

三是，可以严格控制外发信息。支持基于文件特征和扩展名识别文件类型，识别篡改、删除、压缩、加密外发文件行为，全面保护信息安全。

（二）对限制网络行为，做到精准识别管控 

识别是管理的基础，信达网安USG 全面的应用识别系统能帮助管理者透彻了解网络应用现状和用户行为，保障管理效果。 

一是，具有最大的应用识别规则库。信达网安USG 具有国内最大的应用识别规则库，能够识别850 种以上互联网应用，强大的应用规则研发团队保证应用识别规则库处于最新状态； 

二是，可以进行深度SSL 内容识别 。SSL (Secure Socket Layer)协议，被广泛地用于Web 浏览器与服务器之间的身份认证和加密数据传输，可确保数据在网络传输过程中不会被截取及窃听。信达网安USG 通过关键字过滤、邮件过滤，真正实现内容识别，防止恶意用户使用SSL 加密应用绕过管理，全面防范web 风险； 

三是，具备网址智能识别，自动分类、自动保存的功能。信达网安USG 采用内置预分类URL 地址库，数据量高达两千多万条；智能识别技术可自动提取未知网页URL 特征、内容特征、代码特征等信息后自动识别和分类 ，实现未知网页的管控；特有的云系统在设置URL 上报后，可自动反馈不在库内的URL 至厂家，进一步丰富静态URL库； 

四是，对迅雷、电驴等P2P下载软件可进行智能控制。 通过弱特征识别、动态端口识别、流量特征规则三项技术，信达网安USG 能识别并管控未知的、新版本的P2P 和加密的P2P 类应用（下载、电影），让带宽杀手无处遁形 。

（三）对上网行为进行精细智能管理 

USG不仅可基于用户身份和互联网资源实现差异化的上网权限灵活管理，还可基于访问行为（如看帖发帖、收发邮件、上传下载等）进行权限管控。

一是，对上网流量控制精细，提升上网速度 。通过灵活多样的流量管理策略，精细、公平地保障核心应用带宽，优化利用率，提升网络稳定性；在管控流量的同时，信达网安USG利用特有的“内存缓存加速”技术，当内网用户访问相同互联网资源时，可直接从上网行为管理设备中提取传输，减少冗余数据反复传输浪费带宽的频率，能削减30%以上互联网流量，大幅提升上网速度。

二是，可以自动提醒用户功能 。用户指定的应用时长、速度超限后，系统会自动提醒违规行为，敦促用户自觉规范，减少员工抵触情绪减少管理带来的摩擦； 

三是，可以做到风险智能预估。 信达网安USG可以根据管理者指定的风险行为特征及相应风险系数，自动分析日志并与管理者指定风险特征比对 ，发现潜在的风险并预警，最后为管理者呈现直观的风险智能报表 。

四是，管理权限划分细分。 完善的免审计Key和日志审查Key技术，能帮助组织避免过度审计情况的发生。既可以做到对员工上网行为进行管理，同时也保护了组织信息机密和个人隐私安全。

四、设计思路

通过针对单位信息网络业务需求分析，结合上网行为审计系统建设原则，总结出本次方案的设计思路：

1、在网络出口处部署上网行为审计系统，对单位网络的进出数据流量进行记录审计。（在内网部署上网行为审计系统，旁挂于核心交换机，在核心交换机上通过端口镜像将上网流量复制到上网行为审计系统，从而实现网络行为审计。）

2、根据单位组织架构和人员分布，建立用户组树形结构，匹配单位目前组织架构，为后续网络管理奠定基础。

3、对员工在日常办公中的上网行为，例如网站访问、邮件发送、文件下载、在线视频、网络游戏等进行识别后。通过上网行为审计系统的审计功能，对员工上网行为进行记录，并形成日志报表，为单位决策提供依据。

五、方案介绍

（一）解决方案

通过在网络出口处部署上网行为审计系统（以下简称USG），对内网用户的上网行为进行记录审计。（在内网部署上网行为审计系统，旁挂于核心交换机，在核心交换机上通过端口镜像将上网流量复制到上网行为审计系统，从而实现行为审计。）

1、身份认证

为了有效区分用户和用户组，在上网行为日志中便于统计，因此，在网络访问过程中，必须具备身份认证机制，避免身份冒充、误审错审等现象出现。身份认证可通过本地认证、外部认证和短信认证三种方式实现。本地认证——包括Web认证、用户名/密码认证、IP/MUSG/IP-MUSG绑定、USB-Key等。通过本地认证功能，能够准确识别上网用户，从而对该用户进行流量管理，而对于未通过认证的用户则限制其网络访问权限。外部认证——USG支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后，USG能够获取用户认证信息，用户不用在USG上进行第二次身份认证，形成单点登录，避免重复认证所带来的麻烦。通过身份认证功能，USG能够准确识别上网用户，从而对该用户进行流量管理，而对于未通过认证的用户则限制其网络访问权限。短信认证——随着移动互联网的普及，无线网络区域大范围覆盖。无线网络不仅安装便捷、使用灵活，还具有经济节约、易于扩展等优点，可以轻松避免有线网络的各种不足。为了让移动用户能够简单快速的接入无线网络，USG提供短信认证功能，用户使用智能终端接入无线网络，未认证用户被重定向到认证页面，用户通过短信的方式获得密码，从而进行身份认证。

2、应用识别

网络应用极其丰富，尤其随着大量社交型网络应用的出现，用户将个人网络行为带入办公场所，由此引发各种管理问题。因此，全面的应用识别帮助管理员掌控网络应用现状和用户行为，从而进行有效的上网行为审计，输出报表直观明了。

一类是应用识别规则库。USG内置庞大应用识别规则库，分为26个大类，包含1100多种应用、2500多种规则，可实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive、微博、社区论坛、网盘、在线视频、网络游戏、在线炒股等网络应用行为进行管理和识别。对于未知应用，USG支持自定义功能，用户可通过协议、IP、端口等元素定义内网系统应用，从而进行识别。针对目前P2P应用泛滥的趋势， USG的P2P智能识别技术基于P2P行为进行识别，不仅能够支持对现有的BT、迅雷、电骡等P2P软件，还能够对不常用的、未来可能出现的P2P软件进行有效识别。并且对P2P行为严重吞噬带宽资源的问题，提供P2P应用封堵措施。针对类似P2P难以管控的应用，USG内置应用智能识别库，自动判断新出现应用特征，从而归类管理。

另一类是加密应用识别。SSL (Secure Socket Layer)协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此，一方面，越来越多的网页使用SSL加密，如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站，而因为采用了加密技术，普通的管理产品无法对其内容进行识别管理，别有用心的用户可以利用这一缺陷绕过管理，通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息，导致管理漏洞。

3、行为审计

在日常工作中，单位职工会涉及政府部门一些涉密信息，这些信息一旦公开，将会给单位或政府带来巨大的隐患。当这类事情出现的时候，为了在最短的时间内找到网络违法的当事人，避免由单位承担相应法律责任。因此，通过USG的应用审计功能，详细记录员工的日常上网行为。

一是通过实时监控。USG支持实时监控功能，可对USG设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况，简单快捷。运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。此外USG还支持实时连接监控，显示用户的所有会话连接状况。

二是通过应用审计。USG内置庞大应用识别规则库，分为26个大类，包含1600多种应用、2500多种规则，可识别目前网络中各种主流常见应用，如微博、社区论坛、网盘、在线视频等。同时，具备千万级的URL库，能够识别出主流网站。通过对URL和应用的识别，USG能够记录下用户的日常上网行为。

三是通过内容审计。USG实时监控和完善的访问审计功能可有效防止信息通过Internet泄漏。对邮件类型应用采用邮件延迟审计技术保证先审计后发送。对于通过Webmail发送邮件，USG全面记录邮件正文和附件等；对于QQ、MSN、Gtalk等聊天内容提供全面记录功能；对于微博、社交论坛发帖不仅根据关键字进行过滤，成功发布的内容也能全面记录；内网用户访问的URL地址、网页标题、甚至整个网页内容，USG也能完全监控和记录等。同时，对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3和网页，USG可以基于关键字过滤和内容审计记录。

4、数据中心及报表

USG独立数据中心可以实现日志海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。通过统计报表功能，将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果，并且支持导出PDF等文档、Email投递等功能，方便IT部门将统计结果向高层汇报。USG的风险智能报表能够深入挖掘日志，根据管理员指定的上网行为特征及阈值，自动挖掘日志，自动帮助组织提前发现风险，包括：离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。对于BBS发帖， USG还支持进行热帖排名，只准看贴不准发帖的灵活管控方式。通过USG数据中心的内容检索工具，可以实现类似Google一样的内容搜索，从海量日志中查询需要的日志记录，并且支持高级搜索，支持订阅和自动Email投递功能，极大的方便了管理者的使用。

五、方案优势

信达网安上网行为管理技术基于对网络应用的识别，通过识别出应用的类型、特征，从而对上网行为进行管理。USG具有千万级的URL库和国内最大的应用识别规则库，包含1100多种应用、2500多种规则，可识别目前网络中各种主流应用，如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。通过应用识别，管理员能够有的放矢地限制内网用户的上网行为，如限制访问哪些网站、使用什么软件，全面管理无漏洞。

同时信达网安上网行为管理系统不仅能够限制内网用户的上网行为，还可以记录内网用户访问了哪些网站，使用了哪些应用，并对用户的上网行为内容进行深入审计，如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时，还支持SSL加密网页和应用的内容审计，避免错审漏审，帮助单位深入的了解员工上网行为。

贵单位通过在网络出口部署信达网安上网行为管理系统USG，不仅可以加强对员工上网行为的管理，提高工作效率同时还能够避免泄露机密的风险。