1 互联网给企业管理带来的挑战
1.1 互联网 一把双刃剑
经过十几年的高速发展,互联网应用已经渗透到社会生活的每一个角落,成为人们学习、工作、生活不可或缺的工具,成为企业高效运营、提高竞争力的基础平台。互联网的开放性、交互性、延伸性为人们快速获取知识、即时沟通以及跨地域交流提供了极大的便利;与此同时,互联网的便利性与虚拟性也成为各种不和谐行为滋生的温床,网络恶搞、诽谤中伤、侵犯隐私、色情泛滥等问题,就像打开了潘多拉盒子,越来越对国家安定、社会和谐、企业效率、青少年成长等提出了严峻的挑战。
在企业组织里,您是否对以下行为似曾相识,却苦无良策?
早晨上班,员工长时间沉溺于新闻浏览而不能尽快地投入工作;
您疑惑地看到员工专注地敲击键盘,希望他在努力工作,而不是沉迷于聊天;
您殚精竭虑制作的企业战略计划,竟然很快静静地摆在竞争对手的桌面;
公司已经在所有电脑安装了防病毒软件,可内网病毒依然泛滥,愈杀愈多;
您耗巨资购买的网络带宽,很快被非业务下载占满,核心业务却慢得无法忍受;
有过激的言论从您的企业网络发出,可是无法知道是何人所为,何时所为;
公司关于互联网访问的规章制度醒目地贴在墙上,却鲜有关注;
内网用户在工作PC上安装非法软件,却不能及时安装系统补丁和有效的杀毒软件;
…
传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,构成企业网络的边界防护屏障,能够有效地防护来自互联网的攻击,然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力,表现在:
安全事件频频发生
四通八达的网络,方便的不仅仅是正常业务的传输,恶意代码、病毒、蠕虫、间谍软件等等,也会搭乘“善良”的网页、Email、聊天工具、下载工具便车,悄悄侵入到网络的各个角落。防火墙无法有效过滤应用层的内容,不能阻挡这些网页的下载,而防病毒工具由于滞后效应,对于新的病毒以及恶意软件常常无能为力。由于员工不安全的互联网访问而造成的病毒传播与黑客入侵,已成为网络安全的最大黑洞。
工作效率低下
为了在日益激烈的竞争中获得优势,企业必须不断开发新产品,改善服务质量,提高工作效率,降低运营成本,但未加管理的互联网应用可能会大大降低员工的工作效率。据一项调查显示,普通企业员工每天的互联网访问活动中40%与工作无关,在线聊天、浏览新闻娱乐、网络视频、网络游戏、炒股、博客等无时无刻不在占用正常的工作时间。在高度网络化的现代办公环境里,办公室可能成为“舒适的网吧”,人力资源在无形中浪费巨大。
敏感信息泄露
电子邮件、MSN/QQ以及BBS论坛等网络应用,已经成为提高工作效率的工具,但如果不加监管,也可能成为泄密的工具。对于政府机关、上市公司以及知识敏感型企业,关键设计文档、软件源代码、市场销售计划等核心机密文档,可以通过电子邮件与在线聊天工具“轻易而快速”地传递到外部,给组织造成重大损失。
带宽资源浪费
据一项统计,在互联网活动未加管理的企业中,宝贵的带宽资源超过70%被文件、视频下载等占用,尽管带宽一扩再扩,却总是很快又拥挤不堪。这不仅造成带宽资源大量浪费,还使得企业正常业务得不到应有的带宽保证。由于缺乏有效的识别与控制手段,网络管理员往往不能及时地定位并管理下载源。
导致法律风险
互联网充斥着各种良莠不齐的信息,企业员工在获取有用信息的同时,也易被不良内容侵蚀。为了加强对互联网的控制和管理,国务院、人大常委会、公安部、信息产业部皆相继出台法律法规明文规定,接入互联网的单位和企业要采用相应的技术手段对互联网的使用进行控制和管理。对于互联网资源的非法访问,比如访问色情、赌博、犯罪网站、发表反动言论、泄露重大机密等,都会触犯相关法律,给企业带来法律风险。
1.2 对员工上网行为进行规范管理势在必行
员工的不当网络行为引发的问题无法通过传统的网络安全防护手段实现,必须通过专业的上网行为管理产品解决。何为上网行为管理?简而言之,就是对员工主体的基于内容的网络访问行为进行管理,包含如下几个要素:
第一、上网的人是谁(Who:哪个部门哪个员工);
第二、上网的时间(When:工作日/周末,上班时间/午间休息/夜间,上午/下午);
第三、访问了哪些网络资源(Where:浏览网页、下载文件、发送邮件、聊天、游戏等);
第四、具体内容是什么(What:网页的内容、邮件的内容、聊天的内容);
第五、占用的带宽和流量是多大(How much)。
上网行为管理产品基于用户、时间、应用、带宽等元素对员工的上网行为进行全面而灵活的策略设置,把网络风险管理从“被动式响应管理”提升为“主动式预警管理”,从“防范管理”提升为“控制管理”,把网络的“通信安全”提升为“应用安全”。为了实现真正安全的网络环境,企业需要“内外兼修”,除了阻挡外部攻击外,还应该转换视角,大力加强对内的管理,对员工的上网行为进行规范管理。
1.3 ICG 帮您用好双刃剑
对于网络的滥用,封堵还是放任?这是摆在企业管理者面前的一道难题。武断封堵,无疑是因噎废食。上网行为管理产品,提供灵活地策略管理,根据企业的个性需求量身定制,帮助企业“上好网,用好网”,实现企业安全、文明、健康、高效的网络环境。康互联网控制网关(NetentSec Internet Control Gateway,简称NS ICG)是面向企业用户的软硬件一体化的控制管理网关。它提供强大的网页过滤功能,屏蔽员工对非法网站的访问;提供基于时间、用户、应用的精细管理控制策略,控制员工在上班时间玩网络游戏、炒股、观看在线视频,以及无节制地网络聊天,从而保障工作效率;提供对通过电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计,避免企业机密信息泄露;此外,ICG还提供应用层的带宽管理功能,有效阻止、限制P2P等严重消耗带宽的应用,确保企业的核心业务带宽得以保障。
2 产品形态
2.1 硬件平台
ICG采用软硬一体的网络设备产品形态,与具有极高的稳定性与运行效率,可方便部署于网络机房机架中,并且拥有3个系列15个型号,覆盖SOHO级、企业级、核心级、电信级等多个级别,全面满足不同用户规模的客户需求。
2.2 软件系统
ICG软件系统采用自主研发的高性能操作系统,并针对ICG的各项功能进行了大量优化,从而在高负荷任务中依然保持着极强的可用性、稳定性与运行效率。
3 产品核心功能
3.1 网页访问审计与过滤
Web是互联网上内容最丰富、访问量最大的应用,然而网页内容良莠不齐,充斥许多反动、暴力、色情以及其它不健康的信息;此外,大量网络应用,如P2P,IM,网络电视、游戏等等,也借助HTTP协议或者80端口,一方面躲避防火墙的封堵,一方面携带病毒、恶意软件,为内网用户带来安全风险,挤占网络带宽。ICG通过预分类过滤技术、URL自动分类引擎以及灵活的策略设置,对违反国家法律、危害企业安全的内容进行过滤,避免用户有意无意访问包含非法内容的网页,净化网络,减少病毒进入局域网的几率,降低企业法律风险,创造文明健康的上网环境。
3.2 应用控制
随着技术的迅猛发展,各种互联网应用层出不穷,如即时通讯(IM)、网络游戏、在线炒股以及在线音乐视频等等。未加管理的使用,不可避免地影响员工的工作效率。在一项调查中,超过80%的员工在上班时间做过与工作无关的工作,其中,有60%的被调查员工承认其主要是在玩网络游戏、用QQ / MSN等即时通讯软件聊天,以及炒股等等。这些不当网络活动大大降低了员工的工作效率,造成了企业人力资源的严重浪费。
3.3 带宽管理
网络应用层出不穷,对带宽资源的占用也越来越高,特别是以P2P为代表的下载软件,如果不加限制,会严重消耗企业的带宽资源,从而影响正常的业务数据的传输。ICG支持应用层的带宽分配与流量管理,可以针对用户或部门、按照时间段,对每一种应用协议进行带宽限制。
ICG像一台网络协议分析仪,能够识别并统计网络上有哪些类型的数据在传输,哪些应用在运行,哪些协议在使用,哪些服务器的流量占用了主要的带宽资源,哪个用户的上网行为显著消耗了带宽等。根据这些量化的统计数据,通过预先设定若干个虚拟的带宽通道,将带宽通道与具体的用户或网络应用绑定,从而对其流量进行限制、整形,达到带宽管理的目的。
3.4 内容审计和过滤
通过互联网传递信息已经成为企业的关键应用,然而信息的机密性、健康性、政治性等问题也随之而来。通过ICG,您可以制定精细化的信息收发监控策略,有效控制信息的传播范围,控制敏感信息的泄露,避免可能引起的法律风险。
3.5 终端控制与准入
终端设备是网络安全的主体,不良软件的使用、防护系统缺失都可能带来终端安全隐患,进而影响内网安全。ICG设备能够通过统一下发的客户端软件,结合统一的策略配置,检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息,制定准入规则。
3.6 实时监控
ICG支持管理员实时地监控设备运行健康状况与当前网络活动,可在第一时间内对网络异常进行定位分析。
丰富全面的监控信息
系统资源健康状况,如CPU、内存、硬盘等使用信息;
当前在线用户列表,包括全部合法用户以及活跃用户;
当前网络实时流量以及最近24小时网络流量变化情况;
本日应用流量排名、用户流量排名、网站点击量排名;
预定义带宽通道资源使用情况;
3.7 共享接入监控
共享接入是指使用NAT等IP映射技术将一个网络出口共享到多个主机。例如使用无线路由器将一条宽带网络共享给多个PC、智能手机或平板电脑连入Internet。
ICG共享接入模块能够对接入网络的设备做观察、控制,能够检测到一个用户或IP所共享的终端数量,并可以对数量做策略控制,以达到掌控用户终端数量的目的。
3.8 报警管理中心
ICG报警管理中心可对系统异常、网络异常、用户互联网违规行为,以及外发内容不合规行为进行统一报警管理,并对不同级别的报警事件以声音、指示灯、邮件等不同的方式进行报警,便于管理员第一时间知悉事件并采取措施,降低互联网管理的风险和隐患。
3.9 查询统计与报表分析
对用户网络行为进行记录与分析,是上网行为管理产品必备的重要功能。对日志的存留与分析,既是对国家法律法规的遵从,也是真正管理好企业员工上网、有效利用网络资源的需要。针对用户上网行为以及相关内容查询统计,能够对用户的网络活动进行较长时间的回溯与反查,帮助管理员全面了解网络的使用情况,为改进网络管理提供详实准确的依据。
3.10 日志管理
ICG完整地记录内网用户网络访问的日志,包括上网时间、网络流量、Web访问记录、接收与发送的邮件、IM聊天的内容、论坛发帖内容、网络游戏记录、P2P下载记录,以及访问在线视频、在线炒股活动等等。为进一步的查询统计与报表分析提供了完整的基础信息。
3.11 集中管理
对于分布式部署多台上网行为管理设备的集团用户,集中管理平台可以帮助管理员随时了解各分支机构的设备运行状态,统一制定、下发上网行为管理的策略,并定期收集各分支机构用户上网行为日志。从而节省企业网络运营和维护成本,便于网络管理者统揽全局,提高对用户互联网行为管控的效率与力度。
3.12 用户管理
用户是上网行为管理产品最核心的要素,任何一条策略都是针对一个用户或者部门设置的,因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。ICG提供了丰富的用户认证方式以及符合企业实际的用户管理能力,很好地满足企业对于用户的管理要求。
3.13 分级分权管理
ICG支持根据不同的管理权限和管理级别,创建不同级权的设备管理员和日志审计员账号。能够多维度的划分管理权限,包括:
策略配置权和日志审查权的划分,实现上网行为控制和上网行为审计的独立运作。
所管辖的用户对象的划分,实现分部门、分人员的管理,不同部门和人员之间策略配置互不干涉。
功能模块的划分,实现策略管理、用户管理、系统管理的分权操作。
日志查询模块划分,可限定日志审计员是否允许查看邮件、聊天、发帖等具体内容丰富的,多维度的权限划分,充分满足企业或组织用户对账号权限管理的要求。
3.14 特权USB-Key
在企业、政府机关、学校等组织中,某些网络用户因为工作或其他原因需要有具有特殊上网权限,例如他们的上网行为不应当被审计,或者不应当被控制,甚至应当允许无需认证就能上网,那么就需要用到USB-Key。
ICG USB-Key模块在实现特权用户管理的同时,以硬件方式避免了因为病毒、木马导致的密码泄露、账号盗取等问题,并且具有极高的易用性,特权用户只需在PC上插入ICG USB-Key即可实现上述功能。
ICG的UKEY主要支持7种特权:免认证、免审计、免控制、免认证+免审计、免认证+免控制、免审计+免控制、免认证+免审计+免控制。
3.15 设备自身安全
为了最充分地管理控制用户上网行为,ICG部署在企业的网关位置,因此,设备自身的安全稳定将直接影响网络运行。ICG从软、硬件两方面针对性地增强了系统的稳定可靠,确保网络运行畅通。
3.16 虚拟专用网络(IPSec VPN)
虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。ICG支持与ASG、NGFW或其他厂商的某些型号VPN以标准IPSec进行互通。
ICG支持完整的标准IPSec协议定义的VPN功能,并可对VPN隧道的连接方式进行详细灵活的配置,如用户可配置IKE认证方式,是否需要NAT穿透等。