2007年12月23日,前沿網(wǎng)絡(luò)設(shè)備供應(yīng)商深信服科技有限公司宣布,其AC上網(wǎng)行為管理產(chǎn)品在中國(guó)石油天然氣股份有限公司浙江銷(xiāo)售分公司得到了應(yīng)用,用于實(shí)現(xiàn)該公司局域網(wǎng)的Internet訪(fǎng)問(wèn)管理。
網(wǎng)絡(luò)訪(fǎng)問(wèn)面臨難題
作為中國(guó)石油天然氣集團(tuán)的全資子公司,中石油浙江銷(xiāo)售分公司承擔(dān)著中國(guó)石油在浙江地區(qū)的成品油批發(fā)和零售業(yè)務(wù),同時(shí)負(fù)責(zé)浙江地區(qū)的銷(xiāo)售網(wǎng)絡(luò)開(kāi)發(fā)建設(shè)和管理工作。
中石油浙江銷(xiāo)售分公司的網(wǎng)絡(luò)和安全系統(tǒng)的建設(shè)已較為完善,在網(wǎng)絡(luò)出口處部屬有防火墻等安全設(shè)備,初步保障了內(nèi)網(wǎng)的安全。然而,網(wǎng)絡(luò)的安全不僅僅是“自外到內(nèi)”的安全,還包括“從內(nèi)到外”的訪(fǎng)問(wèn)安全,也就是互聯(lián)網(wǎng)訪(fǎng)問(wèn)安全。Internet上信息豐富,為企業(yè)員工的工作提供了便利,但網(wǎng)絡(luò)上更多的是與工作無(wú)關(guān)的內(nèi)容,還參雜了許多不良甚至是非法的信息。如果缺乏合理的控制,很容易造成企業(yè)生產(chǎn)力的流失、并引發(fā)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
同時(shí),QQ、MSN等聊天軟件方便了人們的溝通,也分散了很多人在上班時(shí)的注意力;流行的P2P下載軟件提供了海量的互聯(lián)網(wǎng)資源,卻被很多人用來(lái)在上班時(shí)間下載電影、音樂(lè)、軟件等,不僅占用了企業(yè)有限的帶寬,也可能觸及版權(quán)風(fēng)險(xiǎn)。
行為管理勢(shì)在必行
為避免出現(xiàn)上述問(wèn)題,中石油浙江銷(xiāo)售分公司也作了很多工作,比如在防火墻上做端口限制策略、添加URL過(guò)濾規(guī)則,但這些工作的效果都不明顯,甚至對(duì)正常的上網(wǎng)產(chǎn)生了影響。公司也考慮出臺(tái)相應(yīng)的管理規(guī)定,防止員工在上班時(shí)間聊天、下載等,但這些措施要么實(shí)施復(fù)雜,要么缺乏人性化,容易變成不受歡迎的“一刀切”工程。在經(jīng)過(guò)了多次考證后,浙江中石油開(kāi)始將目光集中在上網(wǎng)行為管理領(lǐng)域。
上網(wǎng)行為管理產(chǎn)品通過(guò)結(jié)合過(guò)濾、審計(jì)、流量控制、端點(diǎn)安全、統(tǒng)計(jì)等多種功能,對(duì)用戶(hù)所有的上網(wǎng)行為進(jìn)行管理,是近年網(wǎng)絡(luò)安全領(lǐng)域發(fā)展迅速的一塊市場(chǎng)。目前,很多廠商都推出了上網(wǎng)行為管理產(chǎn)品和解決方案。然而由于部分廠商缺乏在網(wǎng)絡(luò)和安全領(lǐng)域的經(jīng)驗(yàn),只是通過(guò)在URL過(guò)濾器、防火墻等設(shè)備上添加常見(jiàn)應(yīng)用的封堵、流量管理功能,便作為上網(wǎng)行為管理產(chǎn)品在市場(chǎng)上銷(xiāo)售。這類(lèi)產(chǎn)品對(duì)于較復(fù)雜的應(yīng)用和網(wǎng)址,例如加密的IM工具、P2P軟件,以及通過(guò)SSL加密的網(wǎng)站等,均無(wú)法實(shí)現(xiàn)有效的過(guò)濾和封堵,給用戶(hù)的實(shí)際應(yīng)用帶來(lái)了困難。同樣,由于很多廠家缺乏對(duì)高端用戶(hù)需求的了解,推出的產(chǎn)品在性能、日志、部署方式等方面不夠完備,也很難滿(mǎn)足類(lèi)似浙江中石油這類(lèi)大型用戶(hù)的需要。
選擇高端產(chǎn)品
在經(jīng)過(guò)了詳盡的比較測(cè)試后,浙江中石油選購(gòu)了深信服AC構(gòu)建其上網(wǎng)行為管理系統(tǒng)。 深信服AC設(shè)備已廣泛應(yīng)用在電力、石化、金融、電信、制造等大型網(wǎng)絡(luò),通過(guò)部署深信服AC產(chǎn)品,中石油浙江銷(xiāo)售分公司的互聯(lián)網(wǎng)管理帶來(lái)了顯著的改善:
一、通過(guò)深度內(nèi)容檢測(cè)技術(shù)封堵加密網(wǎng)站和P2P軟件
通過(guò)AC內(nèi)置的數(shù)十種分類(lèi)的百萬(wàn)級(jí)URL庫(kù),中石油浙江銷(xiāo)售分公司可以將不健康和包含潛在威脅的網(wǎng)站攔截在外。更重要的是,通過(guò)對(duì)SSL證書(shū)的驗(yàn)證, AC有效地防止了釣魚(yú)網(wǎng)站的欺詐并可以屏蔽采用SSL方式加密的反動(dòng)、色情、邪教等不良網(wǎng)站,這是其他產(chǎn)品無(wú)法實(shí)現(xiàn)的。
對(duì)于困擾浙江中石油已久的P2P下載問(wèn)題, AC能夠徹底封鎖,并且可以針對(duì)特定用戶(hù)進(jìn)行流量控制。AC還通過(guò)專(zhuān)用帶寬、抖動(dòng)控制和延遲、丟包率的改進(jìn)以及對(duì)指定高優(yōu)先級(jí)網(wǎng)絡(luò)服務(wù)的流量保證,確保了重要服務(wù)的帶寬質(zhì)量。
二、審計(jì)即時(shí)通訊軟件(QQ、MSN等)
對(duì)于QQ、MSN等聊天軟件, AC可以提供從禁止、監(jiān)管、再到安全性審查等幾個(gè)角度來(lái)進(jìn)行管理,一方面可以限制用戶(hù)能否使用IM以及使用IM軟件的時(shí)間,另一方面可以有選擇性的對(duì)用戶(hù)聊天內(nèi)容的監(jiān)督和記錄,防止內(nèi)部重要機(jī)密信息通過(guò)IM軟件泄露出去。目前,很多聊天工具通過(guò)加密的方式避免被封堵和監(jiān)控,深信服AC仍然可以對(duì)目前所有主流的聊天工具進(jìn)行全方位管理,以供用戶(hù)選擇。
三、詳細(xì)的日志中心
由于AC的數(shù)據(jù)中心提供了基于用戶(hù)的最完整的互聯(lián)網(wǎng)訪(fǎng)問(wèn)記錄,管理員可以方便直觀的統(tǒng)計(jì)員工上網(wǎng)情況,并定期上報(bào)結(jié)果。
不同于其它上網(wǎng)行為管理產(chǎn)品, AC的日志中心具有良好的移植性,對(duì)于那些日志量較大的用戶(hù),可以將AC的日志中心平滑的轉(zhuǎn)移到內(nèi)網(wǎng)中的任何一臺(tái)服務(wù)器上,并通過(guò)Web訪(fǎng)問(wèn)方式隨時(shí)查詢(xún)和導(dǎo)出數(shù)據(jù)。這種可移植的日志中心有兩大優(yōu)勢(shì):1.獨(dú)立部署的日志中心將不受設(shè)備的硬盤(pán)容量限制,更方便用戶(hù)的日志記錄和擴(kuò)展。對(duì)于一些需要記錄大量互聯(lián)網(wǎng)訪(fǎng)問(wèn)信息的用戶(hù),此功能特別實(shí)用;2.由于AC可將日志和設(shè)備分離,大大減輕了上網(wǎng)行為管理設(shè)備的工作量,避免大量的數(shù)據(jù)存取操作成為影響網(wǎng)關(guān)性能的瓶頸。
