企业版NCV4.0.1技术白皮书
2010年1月18日
版权声明
深圳市中科新业信息科技发展有限公司版权所有,保留一切权力。
未经深圳市中科新业信息科技发展有限公司书面同意不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本文档中的所有信息除特别声明信息外归深圳市中科新业信息科技发展有限公司所有,并受中国知识产权法和国际公约的保护。
信息更新
本文档及其相关计算机软件程序(以下文中称为“文档”)仅用于为最终访问者提供信息,并且随时可由深圳市中科新业信息科技发展有限公司(以下简称“中科新业”)更改或撤回。本手册将定期更新,如欲获得最新相关信息,请访问中科新业网站:https://www.360docs.net/doc/1e1781128.html,。
信息反馈
如有任何宝贵意见,请反馈:
E-mail:netguard@https://www.360docs.net/doc/1e1781128.html,
地址:深圳市南山区高新区科技中二路软件园6栋3层
电话:0755-********
传真:0755-********
免责条款
根据适用法律的许可范围,中科新业按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下,中科新业都不会对最终访问者或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使中科新业明确得知这些损失或损坏,这些损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。
本文档中所有引用产品的使用及本文档均受最终访问者可适用的特许协议约束。
目录
1.企业用户的互联网应用 (4)
1.1互联网应用及发展趋势 (4)
1.2互联网应用的管理风险 (5)
2.网络哨兵有效实现上网行为管理 (6)
2.1系统概述 (6)
2.2系统组成 (7)
2.3部署网络哨兵 (8)
2.4网络行为管理组织架构规划 (11)
2.5实名管理 (13)
2.6流量分析 (14)
2.7带宽资源分配 (16)
2.8效率分析(上网行为分析) (17)
2.9效率提升(上网行为管理) (19)
2.10上网行为报警 (20)
2.11上网行为趋势分析 (21)
2.12合规性分析(法律法规) (21)
2.13资源利用评估 (22)
3 订货信息 (23)
4 关于中科新业 (23)
5 中科新业产品线 (24)
1.企业用户的互联网应用
1.1互联网应用及发展趋势
据最新的CNNIC统计报告,中国网民人数达到3.84亿人,宽带接入企业10205.5万户,同时显示在职人员上班上网时长比例非常大,排名靠前的上网行为分别为:网络音乐、新闻、搜索、即时通信、网络游戏、网络视频、博客、电子邮件、社交网站、网络文学、论坛/BBS、网上购物、网上银行、网络炒股、网上求职。
从以上网络应用来看,随着互联网普及率的提高和网民对于网络应用的深入,越来越多的互联网应用融入到网民的现实生活中:
网络新闻表达和传递信息的渠道和形式更加丰富,传播方式更具互动性、自主性、多样性,促使通过网络获取信息的人越来越多;
网络信息量的与日俱增,海量信息丰富了人们的信息来源的同时,也给人们获取信息造成了困扰,而专业搜索、垂直搜索等搜索引擎,凭借日趋精准化、人性化的信息检索服务提升了网民的使用率和认同度,助推了搜索引擎的快速发展;
越来越多的名人,明星,专家、机构正在将博客做为扩大传播影响力的平台,同时社交网站中的日志功能也吸引越来越来多的普通网民写博客;
各类社交网站因需而起,在竞争中快速发展,病毒式营销、口碑相传的推广
方式推动了中国社交网站用户规模的迅速增长。通过内容黏着、互动应用和人际关系在网络上的维护与拓展,社交网站逐步成为广大网民休闲娱乐,获取资讯,传播信息的重要渠道;
网页游戏在2009年得到了良好的发展,SNS游戏(社交类游戏)在2009年迅速崛起,其依靠人际关系基础和操作简便的特性为网民进入网络游戏领域建立了良好的登陆平台;
网络视频作为越来越被认可的媒体表现形式,市场价值、广告价值和受众规模仍将持续提升;
金融危机客观上促进了网络购物的发展,网络作为便捷的营销平台,成为企业摆脱困境的捷径。同时随着网购观念的普及,网络购物已经渐成网民消费生活的习惯;
即时交流、收发邮件、论坛/BBS作为传统的互联网行为,获得更多网民的互动参与认可度。
56.6%的网民遭遇过木马病毒的攻击,31.5%的网民遭遇过帐号密码被盗的问题,65.9%的网民认为“网络交易不安全”。
1.2互联网应用的管理风险
以上数据说明:针对企业接入的互联网,大量的使用互联网对企业带来便利的同时,也有很大的其它影响,从而形成具大的应用管理风险和成本风险: 工作时间发送即时信息、在线股票信息等滥用互联网活动而产生的效率成
本过高;
收听在线音乐、观看在线视频剪辑,P2P下载等消耗大量带宽的活动;
未加管理的互联网应用泄露公司敏感和机密信息;
访问含有不良信息(色情、赌博、社会等问题)的网站;
少数人利用互联网发布和传播不利于企业、社会稳定言论。这些威胁和挑战事件多数是来自于内部合法用户的“合法”操作;
针对这些潜在的风险,公安部于2006年3月1日实施《互联网安全保护技术措施规定》---82号令,也对互联网的管理提出了明确的要求;
美国在2002年颁布实施《萨班斯-奥克斯利法案》率先对网络行为管理和审计提出了严格的要求;
与此同时越来越多的企业从规范自身管理角度认识到互联网的应用必须加以管理和引导;
2.网络哨兵有效实现上网行为管理
2.1系统概述
中科新业网络安全审计系统V4.0.1-企业版(以下简称“企业版V4.0”)是深圳市中科新业信息科技发展有限公司自行研制开发的全新一代高性能网络安全审
计(上网行为管理分析)系统。企业版V4.0.1通过多种部署方式,对内部网络连接到互联网(以下称“互联网”)的大流量的数据进行采集、分析和识别。实时监视互联网的运行状态,记录多种上网行为,发现对互联网滥用,过滤不良信息,并对上网的相关行为进行控制、存储、分析、排名和查询。帮助用户应对来自互联网应用风险的挑战。
2.2系统组成
从逻辑上来看,企业版V4.0.1系统主要由以下5个部分组成:
网络哨兵探测引擎;
网络哨兵数据中心;
网络哨兵控制管理中心;
网络哨兵上网行为评估报表;
网络哨兵数据精灵(又名网络哨兵日志查看器);
网络哨兵探测引擎、网络哨兵数据中心、网络哨兵控制管理中心在物理上部署在同一台专用服务器上,网络哨兵上网行为评估报表系统可以部署在同一台专用服务器上,也可以部署在第2台专用服务器上。
网络哨兵探测引擎全面监听内部网络连接到互联网出口的数据流,根据配置的策略,实时监视所有数据包进行分析记录,并将审计结果保存在数据中心的相应数据库里;同时网络哨兵探测引擎接收并执行网络哨兵控制管理中心的各种命令和策略。
网络哨兵数据中心主要用于各种数据保存,并提供各种数据查询。
网络哨兵控制管理中心主要用于提供审计、管理等策略设置接口,如配置是否审计收发邮件、是否记录聊天行为、定义内外网黑白名单等策略。配置网络哨兵探测引擎信息,如设置网络哨兵探测引擎IP地址,最大审计机器数等信息;程序升级等接口;网络哨兵控制管理中心采用B/S架构,通过提供浏览器服务端,使管理人员很方便的通过网页浏览器对网络哨兵控制管理中心进行操作管理。
网络哨兵上网行为报表评估系统主要是对已有的审计数据进行深度挖掘,协助用户进行分析,更直观的从宏观上了解整个网络的运行、使用状态。
网络哨兵数据精灵基于Windows系统,可选择安装在PC机上,为用户提供数据查询界面,用于用户对备份数据的查询等操作。
2.3部署网络哨兵
根据实际网络应用和不同的网络环境,网络哨兵支持3种部署模式:2.3.1旁路模式
旁路模式适用于较大型网络环境、以及不希望改造网络和停掉网络的用户。
示意图1 企业版4.0.1旁路部署示意图2.3.2网桥模式(透明)
网桥模式适用于已经部署防火墙等路由设施的用户。
示意图2 企业版4.0.1桥接(透明)模式部署示意图2.3.3网关模式(透明)
网关模式适用于没有或者需要用其更换路由设施的用户。
示意图3 企业版4.0.1网关(路由)模式部署示意图
2.4网络行为管理组织架构规划
规划良好的组织架构可以让网络行为管理一目了然,网络哨兵定义2大类用
户:网络哨兵的管理员,网络哨兵所管理的对象(机器或帐号);
2.4.1 网络哨兵管理员
企业版V4.0.1具有强大的用户和角色管理功能。可以根据需求为不同的用户分配不同的角色,不同的角色可以分配不同的权限,同时可以定义角色能够管理的审计对象(组)的范围;
按照管理的组划分可以设置公司(全局)管理员、部门(组)管理员,公司管理员可以管理整个公司的审计对象、查看整个公司的审计信息,部门管理员只能管理本部门的审计对象、查看本部门的审计信息、定制本部门的管理策略;
按照查看的审计信息分类可以设置一般操作员,外发数据查看,报表分析员等不同权限的管理员;
按照控制的强度,可以使用用户名+密码,或者用户名+ USBKEY+密码实行用户权限控制:可以通过配置网络哨兵来使用USB-KEY来控制管理网络哨兵的权限。
2.4.2 网络哨兵所管理的对象(机器或帐号)
为了便于管理,客户可以把网络哨兵所管理的对象按照自己的管理架构和习惯进行分组管理,方便管理员、人力资源对内部网络和人员进行管理: 网络哨兵支持按照机器MAC地址管理,通过自动识别有上网行为机器的MAC,通过MAC地址分析、管理上网行为;
IP地址分组管理,通过自动识别有上网行为机器的IP地址,通过IP 地址分析、管理上网行为;
IP段自动分组管理,在大型组织中,可以设置按照IP分段,自动把机器按照所属的IP段分配到不同的组进行管理;
域组织自动同步管理,对于已经设置域管理的用户,可以设置不用在每个管理机器上安装客户端,实现域帐户与网络哨兵域帐户同步管理, 代理组自动同步管理,对于已经设代理服务器管理的用户,可以设置不用在每个管理机器上安装客户端,实现代理帐户与网络哨兵域帐户同步
管理;
按照行政架构设置组管理,用户可以按照同样的行政架构组在网络哨兵设置管理组;
按照策略设置组管理,用户可以根据管理的不同策略设置组,比如QQ 控制组,下载控制组等同一策略设置管理组;
2.5实名管理
实名认证是企业内最有效的管理方式,也是众多高级应用的管理基础,网络哨兵推荐企业管理者使用实名方式进行上网行为管理:
MAC对应上网行为实名使用者;
固定IP对应上网行为实名使用者;
本地认证用户名密码认证对应到上网行为实名使用者;
AD域用户自动同步对应上网行为使用者;
代理帐户自动同步对应上网行为使用者;
借助网络哨兵的实名规划,可以很方便把企业所有上网行为找到实际使用人,上网行为管理得以真正实现。
2.6流量分析
各种正常、异常的网络行为都会产生不同的网络流量,通过网络哨兵对上网行为的进行自助流量分析(按照单IP、MAC、管理组、协议等查询),以及经验模式分析(流量排名、协议流量统计等),从不同的角度发现内部网络使用方式,上网行为对带宽的滥用,病毒、木马等潜在的异常行为,实现上网行为管理。
使用实时流量观察工具可以帮助管理员及时发现网络异常以及进行异常跟踪:
流入流出流量包统计可以从全局观察网络累计流量状况:
流量排名工具更能直观的反映参与排名的机器(帐号)流量状况:
2.7带宽资源分配
根据流量分析,可以找出网络内不合理的流量应用和服务(协议)、网络内本身应该禁止的流量应用和服务(协议)、网络内应该保证的流量应用和服务(协议)。更重要的是管理不合理的带宽使用人。
网络哨兵的带宽分配管理涵盖多种方式,可以应对各种应用需求:
管理员可以根据优先级管理:服务优先级、子网优先级和MAC优先级进行带宽管理;
根据服务(协议)控制带宽:可以通过设置多种策略来帮助用户实现服务(协议)控制带宽;
根据连接数管理:当发现过多的网络连接时,通过查看连接数排名,断掉多余
的连接。
2.8效率分析(上网行为分析)
客户内部会因为各种网络行为影响内部工作效率,通过专业的上网行为分析报表或者应用记录查询可以找出影响到每个人工作效率的上网行为(包含次数、时
长、时间),从而采取对应的策略来灵活管理不符合企业内部规定的上网行为。
2.9效率提升(上网行为管理)
通过进行效率分析之后,网络哨兵为客户管理员提供多种上网行为管理手段,通过设置合理的管理策略,帮助用户提高效率。
时间管理:按照时间段管理常见的上网行为(如QQ、MSN、YAHOO)以及上网行为类别(如http、邮件收发、聊天室、网络游戏等),时间段最小管理
粒度为30分钟,时间周期可按周设置。灵活的时间段设置可满足客户人
性化管理的需求。
URL过滤:网络哨兵内置分类过滤库;支持过滤库查询;支持自定义过滤库增、删、改、导入、导出功能;支持过滤库类型自定义;
URL关键字过滤:
网络哨兵还支持其他多种类别的上网行为和协议管理,如文件传输、远程登陆、在线音视频、在线股票、BBS、聊天室等等。同时可以设置内外网黑白名单管理,加入不进行管理的内网中信任机器。
2.10上网行为报警
上网行为关键字报警;
管理员可设置网页(URL)、邮件、聊天等类别的上网行为关键字,如果用户上网行为触发关键字报警条件,则可以向设定的报警接收人进行报警:报警方式可以选择邮件或手机短信。
上网行为帐号报警;
管理员可设置邮件、聊天等类别的帐号,如果用户上网行为触发报警帐号条
件,则可以向设定的报警接收人进行报警:报警方式可以选择邮件或手机短信。