上网行为管理AC
让上网可视可控
为什么上网需要可视可控?
“看不见管不住”的风险让网络管理更加困难
互联网已经成为重要的生产资料,越来越多组织的业务在向互联网迁移,然而互联网却是一把“双刃剑”,管理得好可以让办公效率大增,促进业务的发展;而缺乏管理的互联网将带来诸多问题,不仅降低工作效率,还给组织带来各种业务风险。
非法、难定义的上网行为,给客户带来各种问题
- 办公效率低下
员工在上班时间玩游戏、聊天、看视频、浏览新闻、在线购物等;
- 核心业务无法保障
员工大量进行P2P下载、在线视频等带宽占用大的应用,容易挤占正常业务系统带宽(如OA系统、邮件系统等),影响核心业务的正常进行;
- 企业信息存在安全风险
各种外发途径(如HTTP上传、网盘上传、论坛发帖和上传、邮件外发附件、IM外发、微博上传等)容易泄露企业核心信息,造成无法估量的损失;非法Wi-Fi热点暴露内网
- 无线共享工具如360
随身Wi-Fi、小度Wi-Fi、小米Wi-Fi、猎豹免费Wi-Fi软件等,价格低廉且易用,此类共享网络的行为容易导致内网暴露,成为不法分子入侵内网的跳板,窃取核心资料或攻击内网,造成极大的安全隐患;
- 无线网络缺乏有效管理
在有线和无线混合使用的网络里,有线和无线网络无法统一管控,移动APP应用无法有效识别和控制,无线用户权限无法精细划分,管理难度大。
实现上网可视可控的本质
造成上述网络管理问题的各类上网行为,从逻辑上可以分为用户、终端、应用、内容、流量5个要素,而从业务管理的角度可以合并为“用户和终端”、“应用和内容”、“流量”三个元素。因此,要解决上述问题,即要实现上网的可视可控,就是要实现“用户和终端”、“应用和内容”以及“流量”的可视与可控。
实现上网可视可控存在诸多挑战
互联网上各种应用快速更新跌代,新应用、新场景也层出不穷,网络中不断进行着识别、管控、隐藏、再识别、再管控、再隐藏……这样的对抗循环。当前,要实现网络的可视、可控,存在着诸多的挑战:
用户和终端方面
挑战一:非法用户和终端通过非法方式接入内网
一些非法用户和终端采用非法的方式接入内网(如:360随身Wi-Fi、家用无线路由器等),这些无线共享工具将组织内网暴露在无线中,容易被不法分子入侵,一旦被侵入内网,不法分子可窃取内部核心资料,甚至破坏内部网络,造成网络瘫痪。
应用和内容方面
挑战二:层出不穷的应用让网络难管理、难运维
大量新应用和老应用的新版本,给应用识别与管控以及后续的运维带来巨大的挑战,让网络难管控,难运维。
挑战三:同一个应用的“好功能”和“坏功能”,管和不管两难
另外,即使是同一个应用也可能具有两面性,他们有“好”的功能,也可能有“坏”的功能,“好”功能具有实用性,而“坏”功能具有风险性,因此,此类应用的管控成了一个两难的问题。
挑战四:先进的加密和隐藏技术让非法内容轻松绕过监管
据Gartner分析,超过50%的国外网站已经采用SSL加密方式,而国内HTTPS网站数量也在快速增长,而且越是非法网站,越会采用加密的方式隐藏其内容。因此,趋近50%的网站内容将不可控。
不仅如此,Gmail、163 Mail、QQ Mail等主流邮箱已经默认采用SSL加密方式传输,而传统审计设备无法识别或审计加密邮件内容,这些主流加密邮箱将会成为泄密的重灾区。而流行的自由门、无界等代理软件,能够轻松绕过组织的监管,让网络管理和网络安全形同虚设。
因此,先进的加密、隐藏技术让非法内容绕过监管,成为实现应用和内容可视可控的重要挑战。
流量方面
挑战五:识不全、管不住的无关流量影响网络可用性
由于P2P流量没有明显的协议特征,再加上其带宽侵蚀性的特性,造成P2P流量的全流量识别困难。大量客户反馈已经有传统流控设备,业务却依然卡顿,也是这个原因。通过测试传统的流控设备,我们发现P2P应用的流量识别率只有40%左右。因此,60%的P2P流量无法识别,而这60%看不见、管不住的P2P流量将直接抢占业务带宽,影响核心业务正常的运行,这将成为实现流量可视、可控的巨大挑战。
如何实现上网可视可控?
深信服一直为实现上网可视可控而不断创新
不管在过去的互联网时代、现在的移动互联网时代,还是即将到来的云和大数据时代,深信服一直致力于实现上网的可视可控,并不断为之创新:
如何实现“用户和终端”的可视与可控?
为客户提供更简便的身份识别和更安全的接入方式之后,基于不同的用户、终端及接入方式划分权限策略,实现“用户和终端”的可视与可控。
技术一:结合业务场景和现有系统,认证更灵活
上网行为管理的身份识别系统必须考虑客户不同的业务场景,除了普通办公的账号密码认证之外,还有面向公共区域顾客的无线上网,需要兼顾简单、安全和增值的需求;另一方面,我们需要能够无缝对接客户环境中现有的用户管理系统,比如能够结合AD域、Radius、城市热点等,尽量降低客户网络的复杂度,降低客户实施和运维的难度。
技术二:非法接入管控技术,让非法接入无处藏身
无线共享网络的行为,是内网安全的巨大隐患,上网行为管理产品需要能够准确的识别无线共享行为,秒级发现,立刻封堵,并迅速告警。
如何实现“应用和内容”的可视与可控?
深信服通过四个步骤来实现“应用和内容”的可视可控:首先全面精准识别应用,然后基于业务视角管控应用,其次更细粒度的管控应用,最后对于特殊应用内容进行定向精准识别与管控。
技术三:完善的应用识别技术,覆盖99%以上的常用网站和应用
凭借十五年应用层技术积累,深信服力争将每个应用的识别做到极致。截止目前已经积累了几千万条分类URL,以及6700多条规则,3000多种应用,1000多种常用移动应用APP。而且,深信服保持每半个月更新一次的快速迭代,不仅新增常用应用,还及时淘汰老旧应用,避免识别库的臃肿。
技术四:业务角度管控应用,一切以业务价值为中心
从业务角度对应用进行标签化分类,更好的对应用进行管理和分析,让业务高效、稳定。
同时,由于应用数量众多,容易错配漏配,标签化能让应用管理更准确、简单,更易运维。
技术五:精细管控应用的细分功能,兼顾安全和实用性
针对具有多面性的应用,比如网盘,其上传功能有泄密风险,而其下载具有实用性,因此,应该精细管控网盘的不同动作,如:封堵网盘上传,放通网盘下载。通过精细化的管控,兼顾安全和实用性。
技术六:精准的SSL内容识别与代理识别技术,防止非法内容绕过监管
深信服通过专利技术,精准识别SSL加密的网页和邮箱等,并能够对加密内容进行有效过滤,同时,依托多年应用层技术积累,深信服的代理识别技术能够识别包括自由门、无界在内的40多种代理软件,通过对这些非法内容的识别,能够有效的防止非法内容绕过组织监管,保护上网内容安全,真正做到应用和内容的可视与可控。
如何实现“流量”的可视与可控?
深信服流量控制的目标是更全更准的管控与更人性化的管理。管控方面,主要是对P2P应用的全流量管控,以及基于用户、终端等多维度应用流量统计;管理方面,主要是从单级策略到多级策略,从静态策略到动态策略,从一刀切的封堵,到疏堵结合的方式,多种创新技术结合,既能保障业务正常高效的运行,还能兼顾用户体验。
技术七:精确控制P2P上下行流量,实现业务带宽有效扩展
- 传统流控设备治标不治本
传统流控基于缓存丢包的技术,但由于P2P应用的带宽侵蚀性,导致即使流控设备保障了内部LAN网口的带宽空余,但实际上,流控设备的WAN口依然被大量的P2P下行报文占满,最终实际业务带宽无法得到有效扩展。
- P2P智能流控技术,真正扩展业务带宽
深信服P2P智能流控技术,通过抑制P2P上行流量,达到降低P2P下行流量的目的,使流控设备的LAN口和WAN口的P2P流量一致,真正让业务带宽得到有效扩展,使得整体带宽利用率提高30%以上。
技术八:动态流控,空闲时突破限制,带宽利用率提高15%
组织往往既希望在网络应用高峰期保障核心用户、核心业务带宽,限制无关应用占用资源,又希望在带宽空闲时实现资源的充分利用。为此,深信服AC支持用户间带宽的“自由竞争”与“动态分配”,除了基于父子通道进行流量控制之外,还可以根据整体带宽的利用率进行动态调整,上浮“限制通道”的最大带宽值,避免带宽浪费,提高带宽利用率15%以上。
技术九:疏堵结合,兼顾业务保障和用户体验
当用户的配额超限的时候,传统流控设备会直接封堵用户所有流量,这种一刀切的封堵,不仅影响了业务开展,同时还影响了该员工的用户体验。深信服流控黑名单技术,针对超额的用户,将该用户非业务应用的流量(P2P流量等)引入惩罚通道,降低此类应用的流量。而该用户的正常业务流量仍然在业务保障通道中,不受影响。这种疏堵结合的流控方式,兼顾业务和用户体验,有助于减少内部投诉,缓和部门间矛盾。
让数据更有价值
为什么要让数据更有价值?
大数据时代,数据将成为变革的驱动力
海量上网行为日志蕴含无限价值等待去挖掘
如何让数据更有价值?
过去,提供完善的合规价值
过去深信服基于各类上网原始数据,通过多种创新的技术,如多维度统计、下钻查询、百度式搜索中心等,为用户提供行为查询与数据统计两大类报表,以此来满足事后追溯和策略优化等合规价值,得到了众多客户的称赞。
现在,提供专业的行为感知系统
数据价值的挖掘,必然依赖于海量的原始数据,然而,并不是拥有海量数据就可以挖掘价值,必须要有先进的技术支撑,才能够完成大数据的价值挖掘。深信服采用基于MapReduce框架的可扩展大数据集模型,以及自主开发的非关系型数据库,承载海量的上网原始数据,形成基于Hadoop的行为感知系统。
