孟宪国
承德广播电视台 067000
摘要: 当前,大数据、云计算、物联网、移动互联网等信息通信新技术的加速演进,给人们的生产生活带来极大便利的同时,网络安全威胁和风险也日益突出,网络病毒、网络监听、网络攻击、网络犯罪等危害互联网安全的行为时有发生。单位办公网络涉及到单位的正常运转和核心事务,安全问题尤为重要,本文重点介绍了承德广播电视台计算机办公网络安全管理系统的设计思路和主要性能。
关键词:计算机网络 安全 管理系统
1.概述
随着计算机网络的迅速发展,网络的开放性、互联性、共享程度不断提高,网络安全管理问题日益突出,网络安全变得更为复杂。单位的办公网络是各单位办公系统的重要组成部分,涉及到单位的正常运转和与核心事务,安全问题尤为重要。近年来,网信办、公安网安支队等部门对各单位的网络全管理加大了监管力度,提出了明确要求,推进了网络安全规范化建设。按照公安系统的统一要求,承德广播电视台对全台办公网络实施了统一管理,并投资建设了网络安全管理系统,进一步提高了计算机办公网络安全防护能力。
2.网络安全管理系统的设计思路
2.1系统架构
网络安全管理系统包括上网行为管理和网络安全督查两大部分。实现了病毒防护、恶意攻击破坏预警监控以及网络终端和用户接入认证、权限控制、合规审计、带宽控制策略和安全威胁过滤、木马恶意流量检测、DMZ服务器保护、NAT、路由等安全防护功能。
系统采用上网行为审计管理设备一台,安全防护一台。审计管理设备位于互联网出口,针对网络终端和用户提供接入认证、权限控制、合规审计、带宽控制策略。安全防护设备位于互联网出口,针对用户的上网终端提供安全威胁过滤、木马恶意流量检测、DMZ服务器保护、NAT、路由等安全防护功能。系统拓扑见图1
2.2设计目标
通过计算机网络安全管理系统实现对办公网络的规范化、安全化管理,实现以下目标:
对WEB访问、上传下载、邮件收发等进行内容分析和管理;对QQ,MSN等聊天工具进行内容审计和记录;
对外发信息进行审查,有效防止泄露事件和病毒给企业网络带来破坏;
对各种形式的信息外发活动,进行有效地事件监控和报警,以防止保密信息泄漏;
通过对上网行为进行监控和审计,查、封、堵、断各种网络不法行为;
过滤不良网站,营造健康网络环境;有效监督利用网络进行的犯罪行为;
根据内容的分类进行访问控制,杜绝色情、反政府、邪教等非法、不健康内容的接触和传播,避免因为非法言论、活动而导致的法律诉讼;
对一些对论坛、博客发表的提交信息及涉及版权资源的下载等记录在案,帮助单位和执法部门举证,规避法律风险;
对上网的时间段进行分别管理,设定出合理的上下班网络使用时间,通过各种管理策略的应用,规范员工网络行为,提高员工工作效率。报表数据细化到个人上网行为的实时数据,为单位考核提供一定的依据。
3.系统的主要性能
3.1用户认证
为了区分不同角色身份的用户,避免身份冒充、权限滥用等出现,上网行为审计管理提供了安全便捷的认证方式。
AC支持本地认证功能,包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为审计管理,而对于未通过认证的用户则限制其网络访问权限。
AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后,AC能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。
通过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为审计管理,而对于未通过认证的用户则限制其网络访问权限。
3.2权限控制
上网行为审计管理系统具有千万级URL库和国内最大的应用识别规则库,包含1100多种应用、2400多种规则,可识别目前网络中各种主流应用,如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。
AC还能够识别SSL加密应用,如加密邮箱、加密网页等。通过全面的应用识别,管理员能够根据不同应用制定不同的管理策略,限制与工作无关的行为,提高工作效率。
上网行为审计管理系统可以精准的识别出当前网络中员工私自架设的无线AP,代理应用,从而防止带宽资源的滥用,防止黑客通过非法AP接入网络入侵。
管理员可通过AC对应用或具体细分动作进行标签化,例如,迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时,可通过标签来选择相应的应用或细分动作,不用逐个选择,从而避免错选漏选,提高管理效率。
3.3合理有效的流量控制
上网行为审计管理系统通过多级父子通道技术,能够完全匹配单位组织人员架构和网络应用结构。在经过用户和应用的通道化后,管理员能够给不同通道分配不同带宽。同时,带宽的分配并不是一成不变的。上网行为审计管理系统具有动态流控功能,在总体带宽利用率偏低时自动调整策略,有效提升带宽利用率,避免资源浪费。
在P2P应用流量控制方面,通过P2P智能流控技术,能够有效的抑制P2P流量,使得核心业务应用有足够的带宽资源。
3.4全面精准的行为审计
上网行为审计管理系统不仅记录内网用户访问了哪些网站,使用了哪些应用,还能对用户的上网行为内容进行深入审计,如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时,还支持SSL加密网页和应用的内容审计,避免错审漏审,帮助企业深入的了解员工上网行为。
3.4.1实时监控
AC支持实时监控功能,可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况,简单快捷。
3.4.2网页访问
内网用户访问的URL地址、网页标题、时间等内容,AC能够完全监控与记录。同时,通过网页快照功能,直观展现网页内容,便于管理人员快速查看。
3.4.3邮件收发
对于Webmail或邮件客户端收发邮件,AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等,附件内容可提供下载做进一步审核。
3.3.4IM聊天及微博论坛
对于QQ、MSN、Gtalk等聊天应用,无论是Web版或是桌面版,AC均能详细记录其聊天内容。对于微博、社交论坛发帖不仅能够根据关键字进行过滤,发布的内容也能全面记录,准确还原发帖内容,提高可读性。
3.4.5数据中心及报表
通过AC独立数据中心实现日志海量存储,而且提供了图形化的日志查询、统计、审计、报表中心等功能。见图2.
图2 统计图表
通过统计报表功能,将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果,并且支持导出PDF等文档、Email投递等功能。AC的风险智能报表能够深入挖掘日志,根据管理员指定的上网行为特征及阈值,自动挖掘日志,自动帮助组织提前发现风险,包括:离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。
4、应用情况
计算机网络安全管理系统采用“硬件模式”实现上网行为管理与审计。从技术手段上、从可操作性上都易于实现、易于部署,有效的为全台提供了上网行为管理解决手段,有效地防范因不良的上网行为带来的各种威胁,把风险降到最低水平。通过系统的应用,全台办公网络状况得到本质的改善,安全风险防范能力得到了大力提升,为确保计算机办公网络安全稳定运行提供了有力保障。