背景:2009年1月,深信服科技调查了北京、上海、广州、深圳、杭州、南京等地的数百家网络规模在500~12000人之间,带宽从100M到1G之间的各类组织的网络管理状况,涵盖政府、教育科研、金融、运营商、能源、医疗、大中型企业等行业,从中抽取了100份有效调查结果,其中仅有26家单位部署了上网行为管理硬件产品。2010年1月,深信服科技对这些组织进行了回访,其中已有78家单位部署上网行为管理硬件产品。我们将在下文整理对比、并以图表展现以上变化,同时分析解读深层原因。以下为报告节选:
详情请见《中国上网行为管理蓝皮书》
上网行为管理产品基础功能身份认证基于身份认证技术,上网行为管理可以为组织提供多种身份认证方式,如:web认证,与常见的第三方服务器结合认证(AD、LDAP、Radius、Rroxy、POP3等),IP/MAC绑定认证等,更高级的还有key认证、硬件认证等。部分厂商提供单点登录、用户自注册等,方便IT管理员使用。此外,为了符合公安部关于“互联网公共服务场所”的管理要求,有的产品提供了虚拟账号和真实账号的对应,如游戏账号、IM账号、BBS账号等。
身份认证功能帮助IT管理员建立网络用户管理体系,实现管理与用户的一一对应。
权限控制提供基于时间、应用、用户(基本元素)的上网权限控制。权限控制功能帮助组织建立与组织文化、业务职能、用户职权相匹配的上网权限管理体系,防止越权访问,防范法律和泄密风险。
流量管理提供基于时间、应用、用户组/用户、上下行带宽(基本元素)的流量控制,帮助用户限制与业务无关应用的带宽占用情况,保障核心用户、核心业务的带宽需求。识别率与流控粒度是评判产品优劣的重要标准。
应用行为记录提供上网行为记录、数据挖掘、日志定位功能,一方面帮助组织提供满足主管部门要求的上网行为记录,避免安全事故发生后无据可查的情况,另一方面帮助组织进行业务分析,了解网络利用情况,应用行为记录功能也常常被作为信息安全防护、防泄密方案的重要组成部分。
安全防护主流的专业上网行为管理产品都是硬件产品,作为管理产品其具有对网络威胁的识别和防御技术,一方面对网络威胁的防御(如防止DOS攻击、防ARP欺骗)能保护产品本身的稳定安全,进而保障网络可靠性;另一方面识别并拦截网络中的异常流量,可以避免威胁扩散而给组织造成不良影响。
上网行为管理产品高级功能终端安全检测与修复上文我们提到上网行为管理的“核心技术”之一“终端安全识别”包括进程、注册表、操作系统与补丁、杀毒软件与病毒库升级、多网卡状态、应用程序检测等等。但仅仅发现问题并不能满足IT管理员的需求。为此,部分上网行为管理厂商提供了扩展功能,支持和第三方的安全服务器结合,一旦发现存在安全隐患的终端,自动向终端发起提醒或主动运行相关程序,修复安全短板。
