随着互联网的发展,越来越多的办公场所为员工提供了上网设备。据调查统计,2005年全美国共有超过6800 万员工在工作时使用互联网。然而,随着互联网的吸引力和互动性与日俱增,员工正花费越来越多的办公时间上网处理私人事务。一项新的调查统计表明,由于员工在工作时间滥用互联网,导致美国企业的损失每年高达1780亿美元。
那么中国的情况如何呢?据公布的最新统计显示,中国员工每周上班花在网上处理私人事务的时间高达5.6小时,平均每天超过1小时。有60%的中国员工在工作时间上网浏览个人信件,有83%中层管理人员由于在办公时间内浏览与工作无关的网站,使得企业有更多机会遭受到仿冒诈骗、间谍软件和其它网上攻击的威胁。在中国,约有多于其它地区8%的员工在上班时间上网进入聊天室,约有多于拉美 16%的员工上网下载音乐,而在上班时间玩游戏的员工这个比例会比其他地区多12%。值得注意的是,中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。互联网滥用,给中国企业带来了巨大的损失。
如何有效地解决这些问题,以便提高员工的工作效率,降低企业的安全风险,减少企业的损失,成为中国企业迫在眉睫的紧要任务。深信服科技推出的SINFOR AC从以下几个方面来解决上述问题。
一、 丰富的认证功能
SINFOR AC提供了丰富的认证功能,对拥有众多内网用户的企业而言,对内网用户实行严格的安全认证管理以避免安全隐患是及其重要的。SINFOR AC基于Web的用户认证功能,使得管理员对上网用户的管理变得十分灵活方便。用户启用了Web认证功能以后,除了对客户端的本地身份(如:用户名密码认证,LDAP,RADIUS等认证)进行常规性认证以外,还将启用Web认证。当客户端在浏览器中输入任意网址时,SINFOR AC会要求用户输入用户名和密码进行认证。只有当用户输入了正确的帐号,该用户才能够访问Internet。SINFOR AC灵活的MAC地址绑定,使得管理员除了对用户进行帐号认证以外,还可以对用户的帐号启用MAC地址绑定。这样将用户帐号、IP以及网卡的MAC地址三者有效结合,更加完善地对内网用户进行管理。
二、 深度的内容检测、强大的P2P拦截功能
在上班时间做与工作无关的调查统计中,有60%的被调查员工承认其主要是在玩游戏、和使用QQ、MSN等P2P即时通讯软件。这些不仅影响了企业员工的正常工作,还造成了企业人力资源的严重浪费,间接造成了企业的巨大损失。SINFOR AC采用了在线网关监控技术实现对包括QQ,MSN,SKYPE,BT等任何P2P软件的流量阻隔,及时封堵了IM实时通讯软件。目前的P2P软件,如 QQ、MSN等IM即时通讯软件以及BT、电驴等下载软件,在用TCP或者UDP数据包的传送过程中,其报文段都会有一段特征码,该特征码是用来标识其数据包类型。SINFOR AC的深度内容检测技术,可以检测出数据包的报文中相对应的特征码,并根据预置策略进行及时封堵。SINFOR AC内置了多种深度内容检测技术所依赖的特征码规则,并且可以自动更新,管理员也可以从网站上更新下载。依靠这种技术,SINFOR AC可以封堵目前所有的P2P软件。避免了最终用户在IM或者P2P软件上浪费时间,提高了员工的工作效率和企业的生产效率。
三、 严格的访问控制策略
SINFOR AC提供了基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略。管理员可以对企业的内网用户分组管理,并且对于每个组的策略,可以基于时间、服务、网址策略、内容策略等多种策略进行严格的访问控制管理。
四、 危险网站阻隔
为了防止员工在上班时间访问与工作无关的网站,避免员工浏览不适当的网站产生相应的违法行为或者遭受间谍软件/网络钓鱼程序攻击导致企业的机密数据被窃取,企业的名誉受损。SINFOR AC可以对各种危险网站进行阻隔。由于互联网上各种危险网站层出不穷,用户根本无法手动更新相应的网站,SINFOR AC通过在线自动更新的不良网站列表,减少了企业的维护成本,降低了企业信息安全、法律责任等相关风险。
五、 代理识别功能
SINFOR AC能识别采用Http,Https,Socks等代理服务器绕过防火墙检查的行为,从而进行阻断。有效地阻止了某些最终用户企图通过代理服务器访问一些危险网站(许多反动网站、色情网站都是通过此技术来逃避相关部门的管理)的目的,避免了企业遭受相应的法律责任的风险。
六、 敏感数据拦截
由于采用了深度检测技术,对于HTTP,FTP,SMTP,IMAP等应用协议数据包中含有的敏感数据,SINFOR AC能够进行有效的拦截,以防泄密或由于员工泄密引起的重大损失。
七、流量分析
SINFOR AC能按用户、用户组、协议和时间对Internet流量进行统计分析,以优化员工对Internet的资源使用情况。使得企业有限的带宽能得到最充分的利用,提高企业的网络利用率。
八、 强大的QOS、丰富的日志报表功能
SINFOR AC强大的访问控制和QOS功能可以使得企业合理利用Internet资源。为不同的用户分配不同的带宽和上网权限,使得Internet资源得到有效利用,并大大提高员工的工作效率。丰富的报表功能还可以分析出企业的Internet的详细使用情况,为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。
附:技术特性说明
1,邮件的延迟审计(专利技术)
SINFOR AC安全网关独有的邮件延迟审计功能保证了企业的重要信息不外泄。目前电子邮件已经成为人们最重要的沟通方式。电子邮件快捷、方便的特点已经成为企业与外部沟通的最有效的方式之一。企业内部大量的信息都通过电子邮件方式发送到外部,因而电子邮件也成为泄漏企业重要信息的重要途径之一。
SINFOR AC安全网关独创的邮件延迟审计功能,可以对经由AC安全网关的所有邮件进行延迟审计。对于内网用户向外发送邮件,AC安全网关会对其进行延迟缓存,只有等待管理员审计后才能发出,确保了企业信息资产不外泄,保证了企业内网信息的安全,且邮件延迟审计对发件人完全透明。
2,独有的网络访问准入规则(专利技术)
企业的安全隐患,往往是由于内网用户客户端缺乏安全防范造成的。为了从根本上杜绝企业内部网络安全隐患,减少内网用户遭受间谍软件、病毒的风险。深信服科技创新性地采用了网络访问准入规则这一技术。
网络访问准入规则,是管理员在SINFOR AC安全网关的准入规则中预先定制好内网计算机的安全策略。所谓安全策略,是指特定的安全标准。如:用户计算机的操作系统是否安装有管理员指定的系统补丁,以及用户的计算机是否安装有相应的杀毒程序或者防火墙,或者是用户的计算机是否启动相应的杀毒程序、防火墙程序等等,这一系列的安全标准都可以定制成相应的安全策略。
当用户计算机访问网络请求的数据包通过SINFOR AC安全网关时,若启用了WEB认证,当用户通过WEB认证后,此时用户的计算机会自动从AC安全网关下载相应的安全策略扫描程序,根据指定的安全策略启动扫描程序,并检查用户的计算机是否具备了相应的安全策略。只有符合相应的安全策略的计算机才允许访问外部网络,不具备相应安全条件的用户计算机,不允许上网。这样从根本上提高了企业用户计算机的安全性,减少了企业用户遭受蠕虫、病毒、木马以及间谍软件的风险。
3,高度集成,部署灵活
SINFOR AC安全网关很重要的一个特点就是作为整合式的UTM设备,将访问控制/监控、网关杀毒、防垃圾邮件、防火墙、VPN和IPS等多种功能都集成在一个网关。用户可以使用较低的成本同时拥有多种网络安全模块,大大降低了企业在网络安全方面的总体拥有成本。另外,用户也可以选择仅仅使用AC设备的某个或某几个功能模块,比如将AC作为杀毒网关或防火墙等单一功能的网络设备使用,可与原有网络安全产品融合,部署灵活的同时也保护了投资。
4,模块化设计,性能强大
AC安全网关从以下三个方面来保证其性能的强大:
(1)按服务分别处理模块
大多数企业的数据流并不是都要经过AC安全网关的所有模块,比如不是Http、ftp或pop3等协议的数据就不会经过杀毒模块和垃圾邮件处理模块,因而通过针对不同服务的数据流处理模式减少了CPU负担,从而保证数据包处理的高效性。
(2)分优先级处理不同业务模块
AC安全网关分不同的优先级别处理不同的业务模块。比如防火墙模块会优先处理,而杀毒就在CPU空闲时处理,这样能有效利用CPU资源,即保证了重要业务数据的及时传送,又保证了所有功能模块都能合理调度。
(3)使用高性能CPU和协处理器负荷分担处理
对于VPN使用协处理器加密,对于高性能应用环境使用多CPU分担处理不同的业务模块,有效保障了整体的处理性能。