论文部分内容阅读
有效解决了内部网络行为可能引发的信息安全问题
如往年一样,春节前后,多数企业内部管理都处在“放松”状态,遭受病毒和黑客攻击可能性越来越高,如果企业内部网络的安全措施不够严密,核心信息外泄将在所难免,尤其是对于大型企业而言,信息外泄的损失难以估量。
位于北京中关村核心区域的中钢集团公司(简称中钢集团),是世界500强排名第372位的特大型企业,2009年全年销售额为1552亿元,旗下二级单位86家,其中境内63家,境外23家,拥有员工数十万人。考虑到内部网络行为可能引发的一系列信息安全问题,中钢集团开始对内部上网行为进行有效管理。
严控内外风险
中钢集团信息管理部网络管理处经理乔吉洲表示:部署上网行为管理的内部需求来源于两方面:首先,对员工上网行为进行监控和审计;其次,对网络带宽进行有效管理。
对员工上网行为的监控中,需要对具体内容匹配关键词,要求提交词汇进行全记录,由后台的审计人员通过提炼、基于关键词再搜索进行分解。在上网日志的审计中,需要为后续的审查做全记录。
对带宽进行管理主要是为了解决网络拥塞问题,最常见的是P2P类应用占用了大量带宽资源,造成网络带宽使用的有效性严重下降,并导致Web浏览、邮件收发、数据库访问等关键应用的服务质量无法得到有效保障,增加带宽并不能缓解拥塞状况,反而助长了P2P应用的泛滥。中钢集团过去的网络带宽在30M,但正因缺乏有效的监控手段,带宽远远满足不了需求,而与此相对的是网络带宽费用的急剧增长,无休无止。
同时,部署上网行为管理也有来自外部的需求。国家已经公布了《企业内部控制基本法规》,从2009年7月1日起在上市公司范围内施行,作为大型国企的中钢集团,需要提供上网日志备查,这要求企业内部的审计功能日趋完善。在对用户上网行为管理的内部审计上,中钢集团需要上网行为管理产品弥补这一空白地带,进行内部员工对外部网站的访问审计、外发邮件包括使用外部邮箱的审计,以及对敏感问题的论坛发帖审计。
实施后收益显著
中钢集团现有的网络带宽出口为60Mbps,内网用户在1200~1600人之间,日常使用台式机约为1200台,移动笔记本约为300台。每天链接高达30万次、网站的点击率达80万次,要求上网行为管理设备必须有足够的能力去把这些数据全部完整的记录和存储,对设备的数据抓包处理能力提出了很高要求。
乔吉洲表示:鉴于中钢集团用户数较多,带宽较大,在实施上网监控与带宽管理时首先要保证不影响原网络效率或影响较小;其次,记录的日志完整没有丢失,做到对用户的访问记录的完整及时记录;第三,能够识别多种网络应用协议,对协议进行有效的带宽管理,同时对新出现的网络应用协议进行持续跟踪与完善;第四,提供完善的报表工具,用户可根据多种条件自定义报表。
同时,上网行为管理设备的强大数据支持—应用协议库和URL库的更新至关重要。负责人表示期望每周更新,否则难以应对层出不穷的病毒、钓鱼网站和其他安全问题。
选定并部署了网康科技的上网行为管理后,中钢集团实现对内部用户访问互联网的内容的监控与审计,防止敏感信息外泄,规避法律风险,降低安全威胁;同时,优化配置带宽使用,屏蔽与工作无关网站,提升了工作效率,企业获得的益处逐渐显现。
上网行为“透明化”
中钢集团的信息管理处有5个处,共29人。负责基础运维的是网络处,另有负责系统管理和数据库的系统管理处、负责应用系统建设的建设处、负责系统维护的维护管理处和专门负责信息化标准建设的信息标准处。对IT支撑部门而言,有较充足的人员配置和明确责任分工。上网行为管理的部署运行隶属于网络处负责。
依据经验,在上网行为管理部署运行初期,由于数据初始化,会增加一部分管理工作量,一旦步入正轨,就相对方便。
乔吉洲介绍说,“我们要求记录中以这样的方式表现‘某一个用户在某一个时点打开了某一个URL’,在固定每用户IP与实名对应的前提下,提交审计时可以精准地按人、时间、事件快速定位,这样一来,每个人要对这个IP发生的所有事情承担所有责任。”同时,他也强调“动态管理”,在上班时间禁止的无关应用,如上开心网偷菜,在下班时间会解禁。
中钢集团总部大楼的办公区内电脑未经安全审计不得接入网络,这一部分与大楼的无线网络部分划归了上网行为管理覆盖的范畴。在上网行为管理之外,还部署了身份认证系统和计费系统,上网行为管理与后两个系统一道共同控制着外来笔记本接入网络。
乔吉洲举例:“外来笔记本接入网络后,未经上网行为管理的安全认证,不能打开内部网页;开启内部网页后,无计费系统认证不能连接互联网;提交身份信息进行安全认证、登记计费系统启用临时账号的二次认证后可以连接互联网,所有流量才会在上网行为管理中得到监控,这些信息会被保留下来,与最初申请接入的身份信息核对,明确具体IP的使用责任人。”
如今,中钢集团网络处IT人员做每日巡检时,除了监控之外,就是流量巡检,对工作时间内进行P2P下载的员工可以直接从统计实时报表中查询定位。于是,在实际工作中,他们没有严格控制流量,而是直接联络对方通知停止下载。“这样做的意义远甚于单纯地控制流量,如果我只知道IP而不知道用户实名,那么对问题的责任追索会耗掉更大成本。”
在流量巡检中,必须通过基于应用层的分析工具,去把协议识别出来,然后做有效的控制,这得益于上网行为管理的深度包检测(DPI)技术,它提供了带宽管理所需要的识别功能。这就解决了传统的安全设备如防火墙通过封锁端口来规避无关应用或有害应用的同时,会屏蔽其他有效应用的问题。
管控策略实施后,中钢集团IT人员可以查看用户上网行为趋势,如应用、网站、流量、访问等,在这些数据和趋势基础上,才能做针对性的策略调整。“部署上网行为管理后,每天早晨我上班后的第一件事,就是看一下昨天的日志报表,看看大家昨天一天都干嘛了。”乔吉洲笑言。
如往年一样,春节前后,多数企业内部管理都处在“放松”状态,遭受病毒和黑客攻击可能性越来越高,如果企业内部网络的安全措施不够严密,核心信息外泄将在所难免,尤其是对于大型企业而言,信息外泄的损失难以估量。
位于北京中关村核心区域的中钢集团公司(简称中钢集团),是世界500强排名第372位的特大型企业,2009年全年销售额为1552亿元,旗下二级单位86家,其中境内63家,境外23家,拥有员工数十万人。考虑到内部网络行为可能引发的一系列信息安全问题,中钢集团开始对内部上网行为进行有效管理。
严控内外风险
中钢集团信息管理部网络管理处经理乔吉洲表示:部署上网行为管理的内部需求来源于两方面:首先,对员工上网行为进行监控和审计;其次,对网络带宽进行有效管理。
对员工上网行为的监控中,需要对具体内容匹配关键词,要求提交词汇进行全记录,由后台的审计人员通过提炼、基于关键词再搜索进行分解。在上网日志的审计中,需要为后续的审查做全记录。
对带宽进行管理主要是为了解决网络拥塞问题,最常见的是P2P类应用占用了大量带宽资源,造成网络带宽使用的有效性严重下降,并导致Web浏览、邮件收发、数据库访问等关键应用的服务质量无法得到有效保障,增加带宽并不能缓解拥塞状况,反而助长了P2P应用的泛滥。中钢集团过去的网络带宽在30M,但正因缺乏有效的监控手段,带宽远远满足不了需求,而与此相对的是网络带宽费用的急剧增长,无休无止。
同时,部署上网行为管理也有来自外部的需求。国家已经公布了《企业内部控制基本法规》,从2009年7月1日起在上市公司范围内施行,作为大型国企的中钢集团,需要提供上网日志备查,这要求企业内部的审计功能日趋完善。在对用户上网行为管理的内部审计上,中钢集团需要上网行为管理产品弥补这一空白地带,进行内部员工对外部网站的访问审计、外发邮件包括使用外部邮箱的审计,以及对敏感问题的论坛发帖审计。
实施后收益显著
中钢集团现有的网络带宽出口为60Mbps,内网用户在1200~1600人之间,日常使用台式机约为1200台,移动笔记本约为300台。每天链接高达30万次、网站的点击率达80万次,要求上网行为管理设备必须有足够的能力去把这些数据全部完整的记录和存储,对设备的数据抓包处理能力提出了很高要求。
乔吉洲表示:鉴于中钢集团用户数较多,带宽较大,在实施上网监控与带宽管理时首先要保证不影响原网络效率或影响较小;其次,记录的日志完整没有丢失,做到对用户的访问记录的完整及时记录;第三,能够识别多种网络应用协议,对协议进行有效的带宽管理,同时对新出现的网络应用协议进行持续跟踪与完善;第四,提供完善的报表工具,用户可根据多种条件自定义报表。
同时,上网行为管理设备的强大数据支持—应用协议库和URL库的更新至关重要。负责人表示期望每周更新,否则难以应对层出不穷的病毒、钓鱼网站和其他安全问题。
选定并部署了网康科技的上网行为管理后,中钢集团实现对内部用户访问互联网的内容的监控与审计,防止敏感信息外泄,规避法律风险,降低安全威胁;同时,优化配置带宽使用,屏蔽与工作无关网站,提升了工作效率,企业获得的益处逐渐显现。
上网行为“透明化”
中钢集团的信息管理处有5个处,共29人。负责基础运维的是网络处,另有负责系统管理和数据库的系统管理处、负责应用系统建设的建设处、负责系统维护的维护管理处和专门负责信息化标准建设的信息标准处。对IT支撑部门而言,有较充足的人员配置和明确责任分工。上网行为管理的部署运行隶属于网络处负责。
依据经验,在上网行为管理部署运行初期,由于数据初始化,会增加一部分管理工作量,一旦步入正轨,就相对方便。
乔吉洲介绍说,“我们要求记录中以这样的方式表现‘某一个用户在某一个时点打开了某一个URL’,在固定每用户IP与实名对应的前提下,提交审计时可以精准地按人、时间、事件快速定位,这样一来,每个人要对这个IP发生的所有事情承担所有责任。”同时,他也强调“动态管理”,在上班时间禁止的无关应用,如上开心网偷菜,在下班时间会解禁。
中钢集团总部大楼的办公区内电脑未经安全审计不得接入网络,这一部分与大楼的无线网络部分划归了上网行为管理覆盖的范畴。在上网行为管理之外,还部署了身份认证系统和计费系统,上网行为管理与后两个系统一道共同控制着外来笔记本接入网络。
乔吉洲举例:“外来笔记本接入网络后,未经上网行为管理的安全认证,不能打开内部网页;开启内部网页后,无计费系统认证不能连接互联网;提交身份信息进行安全认证、登记计费系统启用临时账号的二次认证后可以连接互联网,所有流量才会在上网行为管理中得到监控,这些信息会被保留下来,与最初申请接入的身份信息核对,明确具体IP的使用责任人。”
如今,中钢集团网络处IT人员做每日巡检时,除了监控之外,就是流量巡检,对工作时间内进行P2P下载的员工可以直接从统计实时报表中查询定位。于是,在实际工作中,他们没有严格控制流量,而是直接联络对方通知停止下载。“这样做的意义远甚于单纯地控制流量,如果我只知道IP而不知道用户实名,那么对问题的责任追索会耗掉更大成本。”
在流量巡检中,必须通过基于应用层的分析工具,去把协议识别出来,然后做有效的控制,这得益于上网行为管理的深度包检测(DPI)技术,它提供了带宽管理所需要的识别功能。这就解决了传统的安全设备如防火墙通过封锁端口来规避无关应用或有害应用的同时,会屏蔽其他有效应用的问题。
管控策略实施后,中钢集团IT人员可以查看用户上网行为趋势,如应用、网站、流量、访问等,在这些数据和趋势基础上,才能做针对性的策略调整。“部署上网行为管理后,每天早晨我上班后的第一件事,就是看一下昨天的日志报表,看看大家昨天一天都干嘛了。”乔吉洲笑言。