上网行为管理解决方案讲解1 深信服上网行为管理解决方案深信服科技有限公司2014年5月5日目录一、项目概况随着信息技术的快速发展，网络应用更新换代频繁，新兴应用不断涌现。

互联网在给生活和工作带来便捷的同时也对上网行为审计带来了新的挑战。

随着互联网的普及，单位业务几乎都依托于互联网进行。

ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施，共同构成业务信息化平台。

但是在内部网络中，除了这些关键业务系统外，还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用，形成了复杂的网络应用“脉络”。

由于单位职工拥有访问互联网的全部权限，在日常工作中对职工的上网行为难以实行有效管理。

一些职工上班时间玩游戏、看网络视频、长时间进行I聊天，不仅违反了《公务员管理条例》，而且挤占有限的带宽资源，造成大量基于网络的办公应用受到影响，极大地降低了办公效率；同时无法管控的信息渠道可能导致机密信息的泄漏，导致内部局域网感染病毒而瘫痪。

如果工作人员通过QQ、MSN、论坛、微博等方式对外发布了包含、色情、赌博、反动等不良信息单位或个人还将承担法律责任。

在复杂的互联网环境下，如何管理好单位内部职工的日常上网行为呢？深信服上网行为管理系统（以下简称AC）将彻底解决这些问题。

二、深信服上网行为管理产品介绍深信服上网行为管理产品可以阻止人员访问无关的网络，杜绝带宽资源滥用，加快上网速率，提升工作效率；记录上网轨迹，管控外发信息，规避泄密和法规风险；防止PC中毒，防止组织机密外泄，保障内部数据安全；智能数据分析提供可视化报表和详细报告，为网络管理和优化提供决策依据。

可以帮助用户管理员工使用互联网行为的管理，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。

深信服是上网行为管理产品品类的创始者，在2005年最早开创了上网行为管理的市场；深信服上网行为管理获得了多项产品专利技术和媒体奖项，已服务于1万多多家客户，受到了市场的一致认可；自2009年以来在其市场占有率一直排在第一的位置。

三、具体功能介绍（一）对内网具有安全防控功能深信服上网行为管理在提高用户的上网安全方面提供了大量的技术保证。

既能保障AC网关自身的稳定可靠，又能提升组织内网的可用性和安全性。

一是，可以过滤恶意网页，防范恶意攻击。

AC内置了庞大的恶意网址库，并且实时更新。

它通过检测恶意脚本的写注册表、写文件、系统调用等危险行为，以此过滤恶意脚本。

独有专利根据插件签名合法性、有效期、插件名称等校验来自网站的插件并过滤，避免无安全防护的终端染毒、被劫持，提升内网安全。

二是，可以监测出异常流量并对其进行阻断。

检测常规端口(如网页、FTP、Email 等)中的异常协议流量，识别并阻断木马、间谍软件、远程控制等危险行为；识别并阻断来自内网的端口扫描行为，滥发垃圾邮件行为。

三是，可以严格控制外发信息。

支持基于文件特征和扩展名识别文件类型，识别篡改、删除、压缩、加密外发文件行为，全面保护信息安全。

（二）对限制网络行为，做到精准识别管控识别是管理的基础，深信服AC 全面的应用识别系统能帮助管理者透彻了解网络应用现状和用户行为，保障管理效果。

一是，具有最大的应用识别规则库。

深信服AC 具有国内最大的应用识别规则库，能够识别850 种以上互联网应用，强大的应用规则研发团队保证应用识别规则库处于最新状态；二是，可以进行深度SSL 内容识别。

SSL (Secure Socket Layer)协议，被广泛地用于Web 浏览器与服务器之间的身份认证和加密数据传输，可确保数据在网络传输过程中不会被截取及窃听。

深信服AC 通过关键字过滤、邮件过滤，真正实现内容识别，防止恶意用户使用SSL 加密应用绕过管理，全面防范web 风险；三是，具备网址智能识别，自动分类、自动保存的功能。

深信服AC 采用内置预分类URL 地址库，数据量高达两千多万条；智能识别技术可自动提取未知网页URL 特征、内容特征、代码特征等信息后自动识别和分类，实现未知网页的管控；特有的云系统在设置URL 上报后，可自动反馈不在库内的URL 至厂家，进一步丰富静态URL库；四是，对迅雷、电驴等P2P下载软件可进行智能控制。

通过弱特征识别、动态端口识别、流量特征规则三项技术，深信服AC 能识别并管控未知的、新版本的P2P 和加密的P2P 类应用（下载、电影），让带宽杀手无处遁形。

（三）对上网行为进行精细智能管理AC不仅可基于用户身份和互联网资源实现差异化的上网权限灵活管理，还可基于访问行为（如看帖发帖、收发邮件、上传下载等）进行权限管控。

一是，对上网流量控制精细，提升上网速度。

通过灵活多样的流量管理策略，精细、公平地保障核心应用带宽，优化利用率，提升网络稳定性；在管控流量的同时，深信服AC利用特有的“内存缓存加速”技术，当内网用户访问相同互联网资源时，可直接从上网行为管理设备中提取传输，减少冗余数据反复传输浪费带宽的频率，能削减30%以上互联网流量，大幅提升上网速度。

二是，可以自动提醒用户功能。

用户指定的应用时长、速度超限后，系统会自动提醒违规行为，敦促用户自觉规范，减少员工抵触情绪减少管理带来的摩擦；。

上网行为管理解决方案讲解1第2页三是，可以做到风险智能预估。

深信服AC可以根据管理者指定的风险行为特征及相应风险系数，自动分析日志并与管理者指定风险特征比对，发现潜在的风险并预警，最后为管理者呈现直观的风险智能报表。

四是，管理权限划分细分。

完善的免审计Key和日志审查Key技术，能帮助组织避免过度审计情况的发生。

既可以做到对员工上网行为进行管理，同时也保护了组织信息机密和个人隐私安全。

四、设计思路通过针对单位信息网络业务需求分析，结合上网行为审计系统建设原则，总结出本次方案的设计思路：1、在网络出口处部署上网行为审计系统，对单位网络的进出数据流量进行记录审计。

（在内网部署上网行为审计系统，旁挂于核心交换机，在核心交换机上通过端口镜像将上网流量复制到上网行为审计系统，从而实现网络行为审计。

）2、根据单位组织架构和人员分布，建立用户组树形结构，匹配单位目前组织架构，为后续网络管理奠定基础。

3、对员工在日常办公中的上网行为，例如网站访问、邮件发送、文件下载、在线视频、网络游戏等进行识别后。

通过上网行为审计系统的审计功能，对员工上网行为进行记录，并形成日志报表，为单位决策提供依据。

五、方案介绍（一）解决方案通过在网络出口处部署上网行为审计系统（以下简称AC），对内网用户的上网行为进行记录审计。

（在内网部署上网行为审计系统，旁挂于核心交换机，在核心交换机上通过端口镜像将上网流量复制到上网行为审计系统，从而实现行为审计。

）1、身份认证。

为了有效区分用户和用户组，在上网行为日志中便于统计，因此，在网络访问过程中，必须具备身份认证机制，避免身份冒充、误审错审等现象出现。

身份认证可通过本地认证、外部认证和短信认证三种方式实现。

本地认证——包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key 等。

通过本地认证功能，能够准确识别上网用户，从而对该用户进行流量管理，而对于未通过认证的用户则限制其网络访问权限。

外部认证——AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。

当用户在认证服务器上进行认证后，AC能够获取用户认证信息，用户不用在AC上进行第二次身份认证，形成单点登录，避免重复认证所带来的麻烦。

通过身份认证功能，AC能够准确识别上网用户，从而对该用户进行流量管理，而对于未通过认证的用户则限制其网络访问权限。

短信认证——随着移动互联网的普及，无线网络区域大范围覆盖。

无线网络不仅安装便捷、使用灵活，还具有经济节约、易于扩展等优点，可以轻松避免有线网络的各种不足。

为了让移动用户能够简单快速的接入无线网络，AC提供短信认证功能，用户使用智能终端接入无线网络，未认证用户被重定向到认证页面，用户通过短信的方式获得密码，从而进行身份认证。

2、应用识别网络应用极其丰富，尤其随着大量社交型网络应用的出现，用户将个人网络行为带入办公场所，由此引发各种管理问题。

因此，全面的应用识别帮助管理员掌控网络应用现状和用户行为，从而进行有效的上网行为审计，输出报表直观明了。

一类是应用识别规则库。

AC内置庞大应用识别规则库，分为26个大类，包含1100多种应用、2500多种规则，可实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive、微博、社区论坛、网盘、在线视频、网络游戏、在线炒股等网络应用行为进行管理和识别。

对于未知应用，AC支持自定义功能，用户可通过协议、IP、端口等元素定义内网系统应用，从而进行识别。

针对目前P2P应用泛滥的趋势，AC的P2P智能识别技术基于P2P行为进行识别，不仅能够支持对现有的BT、迅雷、电骡等P2P软件，还能够对不常用的、未来可能出现的P2P软件进行有效识别。

并且对P2P 行为严重吞噬带宽资源的问题，提供P2P应用封堵措施。

针对类似P2P难以管控的应用，AC内置应用智能识别库，自动判断新出现应用特征，从而归类管理。

另一类是加密应用识别。

SSL (Secure Socket Layer)协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。

正因为如此，一方面，越来越多的网页使用SSL 加密，如Google 搜索、Gmail、QQ邮箱、bbs甚至赌博网站，而因为采用了加密技术，普通的管理产品无法对其内容进行识别管理，别有用心的用户可以利用这一缺陷绕过管理，通过SSL 加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息，导致管理漏洞。

AC可以对SSL 网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等，防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户，此功能亦应用于过滤SSL加密的色情、反动站点，证券炒股站点等。

此外，AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”（专利号ZL200*********7.1）具有对SSL加密内容的完全管控能力，支持识别、管控、审计经由SSL加密的内容，如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为，审计SSL加密行为如邮件发送行为，为单位打造坚固无漏洞的管理。

3、行为审计在日常工作中，单位职工会涉及政府部门一些涉密信息，这些信息一旦公开，将会给单位或政府带来巨大的隐患。

当这类事情出现的时候，为了在最短的时间内找到网络违法的当事人，避免由单位承担相应法律责任。