局域网准入控制网络行为的管理不仅仅包括互联网行为的管理,也包括内网行为的管理。为此,部分上网行为管理厂商提供了局域网准入控制功能,依据对终端安全级别评估的结果,设立虚拟化的隔离区,将不同用户、不同安全级别的终端划入相应隔离区。IT管理员可依据各隔离区的安全级别设置网络服务控制策略、分配互联网访问权限和与其他隔离区的通讯权限,拒绝安全级别较低的隔离区中的终端与正常通过安全策略检测的终端进行通讯。
虚拟化的多隔离区帮助IT管理员在终端识别的基础上有效区分对待安全级别不同的终端,避免存在安全隐患、不符合安全策略的终端随意接入内网,威胁其他用户,有效地遏制了病毒、蠕虫和间谍软件等损害网络安全。
服务器访问分析与控制受“互联网应用分析与控制”的启发,许多组织将上网行为管理产品应用于业务流量分析与控制。据此,组织可以了解主页网站、电子商务网站的被访问情况,包括访问时间、次数、流量等,可以为服务器组进行带宽控制,避免访问流量过大影响其他用户的访问体验或影响服务器稳定。借助上网行为管理产品的报表,管理者可以导出自己需要的报表,据此做出更快更准确的决策。
免过度记录功能许多组织在部署应用行为记录方案时都不可避免地遭遇来自各方面的管理阻力和舆论阻力,网络管理部门必须考虑包括“如何避免对关键人员(如组织高层领导)的过度记录”、“如何解决对日志的保护和保密工作”、“如何控制对日志的查看权限”等问题。
对此,大部分厂商都提供了基于软件的和对日志的软保护,但因为控制权在产品管理员手中,仍有高层管理者对此表示顾虑。部分厂商提供了更人性化的手段,使用硬件鉴权如USB-key的方式,免除对特定人员的行为记录,使用“key+密码”的方式限制对日志的查看权限,更进一步的,可以采用“两人分别持有key和密码,并且在第三者在场监督的情况下才允许查看日志”的方式,保障日志安全。
数据防泄密由于认知程度的限制和侥幸心理的存在,在过去,数据防泄密管理方案的普及度十分有限。随着近几年各种数据泄密事件频频曝光,给个人或组织造成了声誉和财产上的损失,上网行为管理在数据防泄密方面的优势逐渐被重视起来:事前预防(过滤与控制技术、异常行为预警)、事发拦截(异常流量拦截、敏感内容过滤)、事后追踪(日志记录)。数据防泄密功能能帮助用户有效减少泄密风险。
