3.9 防泄密和法律风险
内网员工无意或有意将组织机密信息泄露到互联网甚至竞争对手,或向论坛BBS发布不负责的言论、网络造谣等,将给组织带来泄密和法律风险。AC不仅能过滤、记录员工通过Mail(包括Webmail)、BBS、Blog、QQ空间等工具发布的网络言论,还能实时报警。即使通过Telnet访问部分BBS网站,所有输入的Telnet命令和内容,AC都能详细记录。
对于使用HTTP、FTP等方式传送文件所引发的风险(如将研发部的核心代码发送出去),AC首先可以禁止用户使用HTTP、FTP上传下载指定类型的文件,对于上传的文件AC也可以全面记录文件内容,做到有据可查。而外发Email潜在的泄密风险通过AC的邮件延迟审计(Postponed Sending after Audit , PSA)技术,根据管理员预设条件,将潜在的泄密邮件先拦截,经人工审核后再发送,保障组织信息资产安全。但存心的泄密者通常会更改文件后缀名、删除后缀名、压缩、加密等,再通过Email外发、或通过HTTP、FTP上传,AC对以上行为同样可以识别并报警,彻底避免因外发文件而产生的泄密风险。
3.10 日志审计和报表中心
内网用户的所有上网行为AC都能够记录以满足组织机构互联网行为审计要求。AC可针对不同用户(组)进行差异化的行为记录和审计,包括网页访问行为、网络发帖、Email、文件传输、QQ游戏行为、大智慧炒股行为、QQLive在线影音行为等,并且包含该行为的流量信息等。但CEO等高层领导的网络行为可能涉及组织的重要机密(如CEO与供应商的邮件),不应该被记录。AC“免审计Key”从技术上彻底免除行为记录,只要将“免审计Key”插入计算机USB接口并输入对应PIN码,该用户的任何网络行为都免除记录,消除高层领导的忧虑。
大型组织60天将产生数百G行为日志通过AC独立数据中心实现海量存储,并通过丰富报表工具方便日志的操作,报表工具主要包括:
■ 内置超过60多种报表模板,并支持用户自定义报表。 ■ 对比报表:汇总对比、指定用户组的对比、指定用户的对比、指定IP的对比等; ■ 统计模板:上网流量统计、上网行为统计、病毒信息统计、上网时间统计等;
■ 趋势:流量趋势、行为趋势、IM趋势、邮件趋势、炒股趋势等; ■ 查询工具:流量查询、行为查询、时间查询、病毒日志查询、安全日志查询、操作日志查询等; ■ 内容检索:网页搜索、邮件搜索、IM搜索、关键字搜索、Webmail/BBS搜索等
如何防止非授权人员访问数据中心并窥探或恶意传播他人上网行为日志,甚至导致员工对IT管理者的误解和埋怨?AC的“数据中心认证Key”技术,保证只有插入该key的管理员才能审计他人行为日志,否则将只能查看统计报表、趋势图线等,确保日志不被滥用。
3.11 内网可靠可用性增强
网络世界中安全事件数量急剧攀升,内网中断、不稳定将直接影响用户的上网行为,所以需要AC保证网关自身安全,并强化内网可靠性、可用性。 防火墙
AC内置基于状态检测技术的企业级防火墙,对进出组织的数据包提供过滤和控制。NAT(Network Address Translation)功能,代理内网员工上网和实现静态端口映射。 网关杀毒
AC的网关杀毒功能集成知名厂商的杀毒引擎(杀毒引擎每天自动升级),从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,亦可查杀压缩包(zip,rar,gzip等)中的病毒。 网络准入规则(Network Admission Rules,NAR)
借助网络准入规则专利技术,AC将按照管理员要求检查每位员工杀毒软件安装、运行、更新情况、操作系统版本、补丁情况等,不满足预设安全级别的终端将不允许访问互联网,从而提升整个内网的可靠性和可用性。 防DOS攻击
DOS攻击从外网而来侵害组织的服务器,而爆发于内网的DOS攻击(蠕虫病毒的暴发或僵尸网络的攻击等)不仅消耗带宽、甚至瘫痪网关。AC同时防御来自内网和外网的双向DOS攻击,检测到内网DOS攻击点,可以强迫其下线以保障网络可用性。 防ARP欺骗
ARP欺骗通过发送虚假ARP数据包,导致内网用户无法访问网络,破坏性大且排查困难。AC内置防ARP欺骗功能,帮助管理员有效抵
御ARP欺骗的威胁。
3.12 管理和配置的易用性
深信服科技AC网关采用图形化管理配置界面,管理员无需安装客户端软件,通过IE以HTTPS方式即可进入设备控制台界面;AC内置的策略故障排除功能,有助于管理员在配置失误时,图形化排查失误点;当用户违反指定规则、DOS攻击、ARP欺骗、泄密等时,支持自动报警,第一时间修复问题。
4 领先的技术优势
深信服成立至今已申请三十多项发明专利,对研发的重视和高投入有效的保证了产品的强大功能和竞争力。通过本章节介绍,您将了解到能切实解决您问题的业界标杆特色技术。
4.1 单点登录技术
SANGFOR AC的单点技术(Single Sign On, SSO)将避免用户重复输入帐号密码的繁琐操作。AC支持LDAP、POP3、PROXY单点登录。尤其AC无需用户安装任何客户端软件即实现LDAP单点登录,对用户完全透明。内网用户采用域账号登陆Windows系统后,即可自动通过AC认证,而且支持不使用域帐号登录Windows系统即禁止其访问互联网。
AC的POP3、PROXY单点登录功能启用后,内网员工只需收发一下Email、或触发PROXY服务器的认证后,也将自动通过AC认证,极大的方便了用户的使用。
4.2 反钓鱼网站功能
网络“钓鱼者”通过伪造与网上银行、网上购物等网上交易页面极其相似的界面,使用户在毫不知情的情况下泄露自己的账户信息,导致银行资金被“网络姜太公”轻易盗取。网银、网上购物等金融机构普遍采用第三方权威机构颁发的数字证书以实现SSL加密网页,但钓鱼网站可以伪造虚假证书,不具备专业知识的用户无法识别。 SANGFOR AC可对SSL网站提供的数字证书进行深度验证,包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等。由于钓鱼网站采用非可信颁发机构的数字证书,可以蒙骗用户,但却不能逃过AC的识别和过滤。改功能也可以被用于过滤一些使用SSL及证书技术加密的色情、反动站点,证券炒股站点等。
4.3 P2P智能识别
P2P(peer-to-peer)应用的兴起直接导致P2P软件及其版本的爆炸性增长,如何对P2P行为进行全面有效的管控成为业界的难题之一。基于IP、端口、种子等封堵方式费时费力且达不到理想效果。AC的深度内容检测技术对常用P2P软件进行识别;AC的P2P智能识别技术实现对加密P2P、不常见和未来将出现的P2P的彻底识别,为管理员提供了全面、高效的P2P行为管控手段。
能够全面识别P2P行为是进一步管控的基础。对P2P的管控包括封堵和流控两方面,既可全面禁止指定用户使用P2P软件,也可允许其使用但对P2P行为占用的带宽资源进行限制和管理,从而既优化带宽资源的使用,又为员工提供了人性化的管理方式。
4.4 代理服务器识别
很多组织的内网员工通过Microsoft ISA、Sygate、CCproxy等代理服务器上网,但由于防火墙、内容控制等设备对内网用户的管理是基于目的地址和端口的,这将无法识别通过代理服务器的员工流量和行为。
对于通过Proxy Server代理上网的情况,AC可以很好地适应并发挥其作用。AC的深度内容检测技术识别用户数据中包含代理信息后,通过代理识别模块可以识别从用户端发送到达代理服务器之间的应用数据,进而对用户的网络行为进行管控和记录。
4.5 网页智能分析系统IWAS
网页访问是用户最常发生的上网行为之一,而Google声称互联网独立网页超过一万亿,如何识别、分类、管理数量巨大的网页呢?博客是的典型产物,例如同样是新浪博客有的内容丰富正派,但有的博客违反道德、反动等,如何识别、区分、过滤?无需安装炒股软件,通过百度、新浪等网站也看在线实时查看股市行情,如何管理? SANGFOR AC融合中科院人工智能技术推出的网页智能分析系统IWAS能够根据网址、正文内容、关键字、代码特征等对网页进行智能分类,并且具备自我学习和自我修正能力。管理者可以自定义个性化URL分类如“中国足球”类,并在AC中输入数个“中国足球”相关URL地址后,AC将自动分析学习“中国足球”相关网页特征,并在内网用户访问“中国足球”相关的各种网页时实时过滤并自动再学习,帮助组织从容应对泛滥的网页访问行为。
4.6 最全面的应用识别
无法识别,何谈管控?内网用户的上网行为纷繁复杂,且伴随着应用“加密化”和“种类爆发”的趋势,是否具备全面的应用识别能力,是考量上网行为管理方案的重要标准之一。
SANGFOR AC多种应用识别技术,全面识别各种应用、进而管控和审计。主要包括:
a) URL识别:千万级静态URL库、搜索引擎输入关键字过滤、基于正文关键字过滤明文网页、SSL证书验证技术过滤加密网页、网页智能分析系统IWAS从容应对互联网上数以万亿的网页。 b) 文件类型识别:识别并过滤HTTP、FTP方式上传下载的文件,即使恶意用户删除文件扩展名、篡改扩展名、压缩、加密后再上传,AC同样能识别和报警。
c) 深度内容检测:IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等,基于数据包特征精准识别,且支持管理员自行定义新规则,以及深信服科技及时更新和快速响应。
d) 智能识别:种类泛滥的P2P行为,静态“应用识别规则”已经捉襟见肘,通过P2P智能识别,识别不常见、未来可能出现的P2P行为,进而封堵、流控和审计。
通过强大的应用识别技术,无论网页访问行为、文件传输行为、邮件行为、应用行为等AC都能帮助组织实现对上网行为的封堵、流控、审计等管理。
4.7 免审计Key功能
总裁、高层领导网络访问行为,财务部收发的邮件等关乎组织机密信息,怎样避免记录此类用户的网络行为?业界多数方案是通过将敏感用户划分到指定用户组,通过设备配置界面的勾选,避免对这些用户网络行为的审计。但如果“非善意”人员私下重新配置设备对敏感用户又进行行为记录,怎么办?
AC正是考虑到用户可能面临的以上风险和威胁,推出了“免审计Key”功能。
在AC上为总裁等重要人员创建帐户时使用DKEY认证,并勾选“启用DKEY防监控”选项,为总裁生成“免审计Key”。总裁使用“免审计Key”认证后,AC从底层免除对总裁的所有记录。如果“非善意”人员私下取消AC配置界面上“启用DKEY防监控”选项,总裁再插入
上网行为管理产品介绍
