2009年中国上网行为管理蓝皮书.ppt

,中国上网行为管理蓝皮书,中国上网行为管理蓝皮书,深信服科技,中国上网行为管理蓝皮书,目录,关于本蓝皮书.1本书宗旨.1相关数据来源机构介绍.1一、上网行为管理综述.2环境与趋势.2产品定义.4二、企业网网络管理现状.6网络管理现状分析.6组织 IT 制度.6风险评估.8控制措施.18信息与沟通.19监督与检查.20国家政策要求.21行业背景要求.21总结.22三、上网行为管理技术.23核心价值.23核心技术.23识别技术.23流控技术.24云技术.25基础功能.25身份认证.25权限控制.26流量管理.26应用行为记录.26安全防护.26高级功能.26终端安全检测与修复.26局域网准入控制.26服务器访问分析与控制.27免过度记录功能.27数据防泄密.27四、未来的技术趋势和预测.28适应性更强.28支持 IPV6.28移动互联网.28识别率更高.28,中国上网行为管理蓝皮书,三网合一.28管理更智能.28与其他管理系统的结合.28应用更安全.29七层的安全.29性能更强.29性能为本.29附录.30样板用户分析.30厂商背景.30网络管理指导书.30产品选购指导.31免责声明.31,中国上网行为管理蓝皮书,关于本蓝皮书,本书宗旨,作为近年来中国网络安全市场增长最快的产品之一，“上网行为管理产品”受到了业界的广泛关注。但作为一种具有多种互联网管控功能的产品，上网行为管理产品需要哪些基本功能、对于不同类型的用户如何应用、如何在组织内部推行上网行为管理，业界都没有明确的标准和指导。,作为上网行为管理概念的提出者，同时也是中国上网行为管理市场的领导厂商（市场占有率超过第 2名和第 3 名的总和），深信服公司深入研究了一百个具有代表意义的网络样本，通过分析其网络应用现状和网络所处环境，以期对上述问题给予解读，旨在为客户提供网络安全管理办法与参考建议，帮助客户制定适合组织文化与网络现状的 IT 管理制度，并采用相关技术手段保障制度的有效实施。,相关数据来源机构介绍,CNNIC：中国互联网络信息中心（China Internet Network Information Center，CNNIC），负责管理维,护中国互联网地址系统，权威发布中国互联网统计信息，代表中国参与国际互联网社群。,IDC：国际数据公司（International Data Corporation），全球著名的信息技术、电信行业和消费科技市,场咨询、顾问和活动服务专业提供商。,1,中国上网行为管理蓝皮书,一、上网行为管理综述,环境与趋势,据 CNNIC第 25 次中国互联网络发展状况统计报告（报告时间：2010 年 1 月）显示：截至 2009 年 12 月 30 日，中国网民规模达到 3.84 亿人，网络普及率达 28.9%；,网民在单位上网的比例明显提升，30.2%的网民在单位上网，2009 年在单位上网的网民数量增加量,超 5000 万，互联网作为生活工具和工作工具的价值进一步提升；,图片来源：CNNIC第 25 次中国互联网络发展状况统计报告，第 29 页,随着便携式电脑以 42.4%的增长率远超台式机，网络随处接入的趋势日益明显；网民每周上网时长人均增加 2.1 小时，达到 18.7 小时；,图片来源：CNNIC第 25 次中国互联网络发展状况统计报告，第 23 页,2,中国上网行为管理蓝皮书,2009 年 网 络 应 用 使 用 率 排 名 前 三 为 网 络 音 乐（83.5%），网 络 新 闻（80.1%），搜 索 引 擎,（73.3%）；,2009 年商务交易类应用的用户规模增长最快，平均年增幅 68%，其中，网上支付用户年增幅,80.9%，在所有应用中排名第一，其次是旅游预订（77.9%）、网络炒股（67.0%）、网上银行（62.3%）、,网络购物（45.9%），中国互联网影响显现从娱乐化向消费商务型转型的趋势。,图片来源：CNNIC第 25 次中国互联网络发展状况统计报告，第 32 页,综合 CNNIC 报告与对样本用户的研究，我们注意到如下几个趋势：,企业上网条件有较大提升，在单位上网的网民数量大幅增加，网民将个人网络行为带入工作场所，,人际关系在网络上的延伸让网络表现出社会性，并对互联网的依赖性进一步加深；,互联网应用日益丰富，并呈现从娱乐化向消费商务化转型的趋势，互联网改变生活，改变消费模,式；,企业网用户对网络的要求从最基本的连通性、安全性，到追求最优的网络利用率，到利用网络开展,业务，向网络要效益在互联网影响下，产业正在向互联网转型，因此，互联网双向访问稳定与安全的重要性日益凸显；,一方面，信息量急速膨胀，信息传播途径多样化、传播速度呈几何级数增长；另一方面信息质量良,莠不齐、鱼龙混杂，信息的筛选与过滤目前缺乏统一评判标准；,3,中国上网行为管理蓝皮书,互联网安全管理的趋势：今日互联网的威胁主要集中于内容威胁方面，诸如窃取用户资料，盗取账号密码，攻击其他计算机以获取经济利益的行为。传统专注于网络层 TCP/IP3 层、4 层的管理防范手段已无法有效应对，网络安全管理的重点已然转移到以应用内容为主的 7 层防护上；,国家关于互联网管理的法律、法规、公约，行业主管部门关于行业网络监管的管理指导、管控规范,等陆续出台，国家对互联网管理力度逐步增大。,综上，企业网用户面对互联网带来的种种机遇和挑战，产生了对网络应用效率、网络管理质量、信息,安全防护、满足法规政策多方面需求，加速了上网行为管理产品市场的发展。,产品定义,从产品形态看，上网行为管理产品可分为软件、硬件两大类，由于硬件产品具有易部署、易维护、稳定性高、更安全等特点，已成为市场主流。在硬件网络产品中，存在 X86、ASIC、NP 三种架构，由于上网行为管理产品涉及大量应用层的复杂逻辑运算与处理，所以 X86 架构独具的开发灵活性、复杂运算适应性使得 X86 架构成为上网行为管理的首选，加上英特尔不断发布集成度更高、性能更强劲的处理器，俨然使得 X86 架构成为上网行为管理硬件产品的不二之选。,上网行为管理硬件网关，根据适用规模不同，又可分为企业级产品和电信级产品。部分中小厂商由于实力有限，其目标客户集中于中小企业，型号覆盖面较窄，产品性能及功能完善程度不足；部分领导厂商产品覆盖面较广，不仅有适用中小网络规模组织的小型产品，更有适应运营商级别网络规模的高端产品。带有初级上网行为管理功能的硬件网关出现在 2004 年前后，早期产品多以 UTM（统一威胁管理网关）、多功能防火墙、多功能网关等名称出现。随着客户需求的不断明晰和厂商的技术积累，上网行为管理这一细分市场逐渐独立、形成并发展起来。区别于传统的基础网络产品（防火墙、路由、交换产品等），上网行为管理产品作用于应用层，基于对应用协议/内容的识别进行管控，因此识别能力是评价上网行为管理产品优劣的重要指标。,图 1 上网行为管理产品识别层次,经过多年市场筛选，上网行为管理产品明确了身份认证、应用权限控制、流量管理、内容过滤、应用行为记录、数据分析、安全防护等基础功能，帮助客户实现内网统一身份认证，管控组织网络应用，提高员工工作效率，实现与职权匹配的访问权限分配，优化带宽管理，提升网络访问质量，保护组织信息安,4,中国上网行为管理蓝皮书,全，防范业务风险，规避违规行为带来的法律与舆论风险，提高内网安全级别等目的。,近年来，随着客户的高级需求、特别是高端客户需求的不断涌现，推动高级上网行为管理产品开始融,合终端安全检测、局域网准入控制、内网访问流量控制等功能。,图 2 上网行为管理产品功能一览,5,中国上网行为管理蓝皮书,二、企业网网络管理现状,网络管理现状分析,未来十年将是“All On Internet”的十年：即语音、视频、数据、应用等应用都会基于互联网，广电网、电信网、互联网三网合一就是这一趋势的最大明证。这个趋势将使得未来客户的所有应用都将迁移到互联网上，而基于互联网的应用会更趋向 Web 化。,与此同时，企业网用户在面临互联网环境变化带来机遇的同时，互联网质量保证和安全保证也愈加重,要。,然而，企业网用户能否驾驭、并用好互联网？对互联网风险的防御力如何？提高网络质量和安全级别,应该从哪些方面着手？,2008 年 6 月 28 日，财政部、证监会、审计署、银监会、保监会联合发布有“中国版萨班斯法案”之称的企业内部控制基本规范，目的在于加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展。2009 年 7 月 1 日，该规范率先在境外上市的企业中生效施行，到 2010年 1 月 1 日境内上市企业亦开始施行并遵从该规范。,然而，据德勤在 2008 年和 2009 年连续两年对国内上市公司的内部控制实施状况跟踪调查发现，有,56%的公司没有建立或现有内部控制机制尚不完善，72%的公司认为自身没有持续监控内部控制的有效机,制，与 2007 年相比，企业内容在持续监控方面没有得到显著改善。,上述数据说明，仅仅依靠制度无法达到预期效果，需要采用技术手段加以保障。企业内部控制基本规范虽然目前只对上市公司提出明确要求，但是，它从“内部环境、风险评估、控制措施、信息与沟通、监督检查”五方面提出的指导意见，对所有组织的管理均存在重大的指导意义。,据此，2009 年 1 月，深信服公司调查了北京、上海、广州、深圳、杭州、南京等地的数百家网络规模在 50012000 人之间，带宽从 100M 到 1G 的组织的网络管理状况，涵盖政府、教育科研、金融、运营商、能源、医疗、大中型企业等行业，从中抽取了 100 份有效调查结果，其中仅有 26 家单位部署了上网行为管理硬件产品。2010 年 1 月，我们对这些组织进行了回访，其中已有 78 家单位部署上网行为管理硬件产品。我们将在下文整理对比、并以图表展现以上变化，同时分析解读深层原因。,组织 IT 制度,一个单位的组织文化、组织架构、业务组成、管理风格、所处行业背景、已有网络环境、IT 投资规划,等，影响着单位的 IT 管理制度和主管单位对其的信息安全等级要求、信息安全保密要求，影响管控的严格,程度。,6,中国上网行为管理蓝皮书,我们着重探究与管理直接相关的 IT 制度的制定和执行情况。数据显示，被调研的 100 家组织的 IT 制度的制定和执行情况在一年中有明显改善：上网行为管理产品的实施促进了 IT 制度成型，管理制度的完善程度达到 68%，相比 2009 年的 48%有较大提升。,我们将现行 IT 制度的执行情况分为三个等级：“良好”为用户了解并自觉遵守相关规定，制度执行无障碍，所采用的技术足以支撑现行制度；“一般”为用户了解并接受相关规定，执行遭遇阻力较小，所采用的技术与现行制度稍有偏差；“较差”为用户不了解或了解但不接受、不遵循相关规定，执行阻力大，未明确配套技术保障。2010 年有 66%的 IT 管理员认为组织的现行 IT 制度执行效果“良好”，这一满意度大大高于2009 年的 27%。,解读：“三分制度、七分管理”，缺乏技术手段支撑的管理制度就像一道没有装锁的门，只能依赖人工值守或被管理者的自觉遵守。越来越多的 IT 管理员意识到，必须选择适合组织 IT 环境的技术手段，才不,会让管理制度流于形式，规范网络管理对于减少 IT 管理员的无谓工作量，优化网络环境，提升内网安全有,重要意义。,图 3：2009-2010 IT 制度制定情况对比,7,中国上网行为管理蓝皮书,图 4：2009-2010 IT 制度执行情况对比,风险评估,缺乏管理的网络会让组织面临管理困难和业务风险，管理漏洞主要集中在如下几个方面：来自组织内部的风险 对接入用户的身份认定,尽管大多数组织对于接入内网的用户都有相关的管理规定，然而，我们在 2009 年的调查中发现，许多组织并未强制执行。“强制认证”包括终端 IP/MAC 绑定、到认证服务器认证（包括且不限于到管理网关认证，使用 AD 域、LDAP、Radius、邮件服务器、Proxy、802.1x 等认证）、终端硬件资产认证等等。在2009 年的调查中，仅有 11%的组织严格要求，“要求但不强制认证”即管理制度中有相关规定，但实际操作中未采用任何措施，“无需认证”即没有要求认证，无需输入用户名密码、使用透明代理、直接通过路由器等方式自由上网。,2010 年的调查数据呈现较大改观，有 45%的组织加大对接入用户的身份管控，新增数据大部分来自,“要求但不强制认证”的组织。,解读：没有严格的认证体系就无法有效区分用户，差异化管理亦无从谈起，更无法有效防范诸如身份冒充、权限扩散与滥用等风险。在 2009 年，众多 IT 管理员未采取必要的技术手段以保证管理的基础：用户识别，为了方便，有的组织甚至未采用任何认证手段；随着越来越多的管理者在网络管理、安全防范等方面意识的增强，用户身份认定成为首要解决的问题。这一变化使得强制执行身份认证机制在 2010 年成为中高端用户的主流选择。,8,中国上网行为管理蓝皮书,在身份认证中，用户使用容易被破解的密码，或长期使用相同的密码，导致认证机制形同虚设的情况,屡见不鲜。为此，IT 管理员也在积极寻找解决之道。,图 5：2009-2010 接入用户身份认证情况对比,鉴定接入终端安全级别,2009 年的调查数据显示，即使未采用强制认证手段，但仍然有过半数组织的管理者意识到其必要性。但对于接入内网终端产品的安全状况进行“评估”与“管理”的意识却相对薄弱，采用网络准入方案的组织更是少之又少，仅有 6%。尽管在 2010 年的回访调研中这一数据上升到 21%，但在整个样本中仍属少数，值得关注的是，许多组织注意到这一亟需加强的方面，有 46%的组织计划在这方面做出改善。解读：已感染的终端在内网内肆虐并不断寻找下一个受害者，由此造成的系统中断、数据泄密、收入,损失、数据损坏，给组织业务带来巨大影响。,终端安全级别鉴定与网络准入控制方案之所以未得到广泛应用，一方面因为某些组织的高层管理者尚未意识到终端安全在安全体系建设中的重要性；一方面由于传统网络产品厂商推出的此类方案实施周期长、对已有网络的改动较大、实施成本高，非一般组织能承受。,9,中国上网行为管理蓝皮书,图 6：2009-2010 终端安全级别鉴定与准入控制情况对比,对网络应用组成的了解,2010 年，对所在组织的网络应用组成情况表示“清楚了解”的管理员比率为 71%，较 2009 年增长了 38个百分点。从 2009 年的 82%和 2010 年的 94%，我们可以看到，绝大多数 IT 管理员都一致认同了解网络应用组成情况是十分重要的。,解读：网络应用极其丰富，尤其随着大量社交型网络应用的出现，用户将个人网络行为带入办公场所，由此引发各种管理问题，而识别是管理的基础，对网络应用组成的了解是制定、调整管理策略的依据。IT 管理员对识别的重要性的认识如此一致，但是 2009 年，表示“清楚了解”的管理员只占总数的三分之一，一方面因为组织高层管理者不认为需要专业的管理产品来解决识别的问题，管理员的呼声未引起足够重视，一方面 IT 管理员在网络上可寻得一些免费管理软件，这些软件虽然能对应用流量做一些简单分析，但是存在专业度不够，识别率不高，分析层次有限，对于开启了防火墙的终端就不能分析等问题，并不能完全实现管理员希望达到的效果。,随着组织高层管理者认识到投资 IT 对组织发展的价值，逐渐支持采购专业的产品来进行管理，上网行,为管理产品因其在应用识别方面的突出表现和灵活的控制手段受到 IT 管理员的青睐。,10,中国上网行为管理蓝皮书,图 7：2009-2010IT 管理员对组织网络应用情况了解程度对比,2010 年 1 月，我们以网络流量的组成成分为统计对象，通过互联网上数千台深信服中高端上网行为管理产品在一月份工作时间（9:00-12:00,14:00-17:00）收集到的数据为依据，统计得出“企业网网络应用组成排名”、“企业网用户网络应用组成排名”（按大类划分），得到企业网网络应用的组成成分和带宽资源的占用率。与 CNNIC 不同，CNNIC 以网民的个人应用组成为统计对象，将网络应用分为网络娱乐、信息获取、交流沟通、商务交易四大类，结论是应用的使用率。,解读：从统计结果，我们看到，P2P、文件下载（含迅雷下载）、P2P 流媒体等应用平均占用了71.2%的带宽资源，网络游戏（含交友网游）、炒股等本不应该出现在办公网络的应用也出现在列表中。随着互联网的快速渗透，网络应用日趋丰富，网络技术特别是共享技术的发展（如迅雷推出的“协同下载”）让用户获得信息的途径和速度有了根本改变。加上各运营商之间的竞争，带宽越来越大，价格越来越便宜，几乎每个网络用户都有使用 P2P 工具获取各种影音、软件的经历。由于绝大多数组织的网络都是免费开放给员工使用的，不加控制就很容易因带宽滥用而出现各种问题。,据 CNNIC 调查，即时通讯工具使用群体主要是 30 岁以下人群，而现代组织中 30 岁以下人员同时是使用网络的主力军。即时通讯工具几乎可以说是相当一部分网民在网络上的第二身份，加上近两年兴起的社交网站、社交类游戏，将人际关系由现实向网络衍生。即便在上班时间，利用网络来实现日常交际也是许,多网络用户每日的必修课，即时通讯工具的个人日均在线时长为 2.9 小时。,值得关注的是，“其他”中出现了病毒木马等异常流量，尽管所占不到 0.1%，但已足以引起我们的警惕。今日互联网的威胁主要集中在对内容的威胁上，诸如窃取用户资料，盗取账号密码，攻击其他计算机以获取经济利益的行为，用户感染各种病毒木马的概率随着各种娱乐行为的增加和安全意识不足正在逐年上升。因网络间谍入侵窃密、染毒终端异常外发数据引起的信息安全事件屡见报端。对于有保密要求的组织，尤其要注意网络异常流量的存在。,11,中国上网行为管理蓝皮书,图 8：2010 企业网网络应用组成排名（按流量排名）,“文件下载”包括迅雷、多线程下载等；“传文件”包括即时通讯工具文件传输、网络硬盘等；“办公系统”包括办公 OA、ERP、CRM 等；“HTTP 应用”包括 HTTP-GET（单线程下载）、HTTP-POST、网页浏览等。“其他”中包含木马病毒流量、端口扫描、非标准端口流量、远程控制、网络共享、网上银行、其他网络协议等。不同组织对应用的管控力度存在较大差异，因此统一采用未加任何控制策略时的统计数据。,12,中国上网行为管理蓝皮书,图 9：2010 企业网网络应用组成排名（单用户日均时长）,带宽资源管理方面,如图 8，我们提供了“企业网网络应用组成排名（按流量）”，其中，P2P、文件下载（含迅雷下载）、,P2P 流媒体等应用平均占用了 71.2%的带宽资源。,调查发现，超过 60%的组织（将“细致控制”和“简单控制”的数据相加，2009 年为 67%，2010 年为83%）采用了流量控制措施，证明控制以提高带宽资源应用效率是现代组织 ITIT 管理员的共识。“细致控制”指基于时间、用户组/用户、应用至少三个因素的控制；“简单控制”指基于 IP、端口的控制。2009 年，接受调研的 100 家组织中仅有 9%使用专业的流量控制产品，其他 47%利用已有的防火墙、交换等传统产品作简单管控，44%使用了网管软件。2010 年，使用专业流控产品的组织比例上升了 52 个百分点，网管软件的使用率大幅下降。,解读：业务不断发展，组织业务开展所需带宽与已有的带宽资源之间的矛盾越来越明显，随着业务向互联网转型，生产效率与网络利用率紧密相关，对带宽资源的管理已被许多组织列入生产资料的管理范畴。现今互联网应用的极大丰富，加上绝大多数组织的网络都是免费开放给员工使用的，几乎每个用户都有使用组织网络从互联网上获取各种影音娱乐资料、软件的经历，不加控制就很容易因滥用而出现各种问题。因此，对带宽资源的管理集中在对组织核心业务、核心人员进行带宽保障，对非业务相关应用进行限,13,中国上网行为管理蓝皮书,制两方面。,在 IT 管理员选择流控产品时，专业的流控产品逐渐取代防火墙等传统产品，一方面因为专业流控产品,作用于七层，识别率与控制粒度非传统产品可以比拟，另一方面因为越来越多的 IT 管理员出于网络稳定性,考虑，希望专机专用。而专业的硬件流控产品逐渐取代网管软件，因为硬件产品具有易部署、易维护、稳定性高、更安全的特点，同时软件产品本质上依然要依赖硬件（如安装在服务器或电脑上），专业的网管软件部署复杂、周期长，维护量大、成本有时比硬件还高，而免费的网管软件专业度不足，很难满足大中型网络的管理需求。,图 10：2009-2010 出口带宽流量控制情况对比,图 11：2009-2010 流量控制手段对比,网络应用权限的管理,处于不同行业的组织对网络应用权限控制的要求程度不同，图 12 的调查数据取自接受调研的组织中允,14,中国上网行为管理蓝皮书,许访问互联网的网络，不一定适合所有行业，仅供参考。,2009 年，对用户网络应用权限采取“最低权限”管理的组织仅有 9%（“最低权限”即仅分配业务办公所需的权限），且这些组织是科研院所、军工单位、金融行业，尽管 2010 年这一数据有小幅上升，但仍然集中在上述几个行业。相比之下，采取“受控权限”管理的组织同比增加了 49 个百分点，增长幅度大、行业覆盖面广，此类组织在兼顾权限与职位匹配度的同时考虑了人性化的管理需求，采取弹性控制。将网络应用权限“完全开放”的组织减少了 56 个百分点，但仍然有 21%的组织使用，集中在教育行业以及二级运营商。解读：加强管理的组织数量大幅增加主要有两个原因：一方面许多组织管理者发现，开放网络的初衷,是为了业务开展和信息互通的需要，但是缺乏对应用权限的管控导致了一系列问题：用户在工作时间从事与业务无关的网络活动，影响工作效率，影响他人正常办公；,用户在浏览网页、通过网络收发文件时不慎访问挂马网站、下载带毒文件，将病毒、木马等引入内,网；,核心岗位的员工（如研发人员）、掌握组织核心机密的员工（如财务人员）权限过大，存在通过网,络外发泄密信息的风险；,用户访问了违法网站、或者浏览、转载了内容违法的网上信息导致法律问题；高权限用户通过代理软件等代理低权限用户上网，导致管理失效；,另一方面，除了组织管理者自身管理意识提升，国家与行业管理部门的行政要求也是一个重要因素。近几年来，国家加强了对互联网的管控力度，相关的法律法规陆续出台，对拥有互联网出口的组织提出了管理等级要求。,图 12：2009-2010 网络应用权限控制情况对比,“权限控制”包括但不限于：HTTP 控制（网页访问控制、发帖控制）、邮件收发权限控制（包括邮,15,中国上网行为管理蓝皮书,件用户端与 webmail）、上网时间/上网流量限制、应用服务权限控制（即时通讯、P2P 应用、炒股、,FTP、在线流媒体、网络游戏等）、代理工具控制、办公系统访问权限控制。,对网络行为的记录,对用户网络行为“完全记录”的组织在两次调查中均属少数，我们不做过多关注，将注意力集中在“部分记录”和“不记录”两项。“部分记录”指组织对用户网络行为有选择地进行记录，依据可以是用户所在职位要求、涉密级别要求、国家相关法规以及网络监管部门要求等。,2009 年，70%的组织没有使用网络行为记录方案，但这些组织在 2010 年大量部署相关方案，采用“部,分记录”的组织从 28%增长到 72%。,解读：对用户网络行为的记录一直是一个颇有争议的话题，采用网络行为记录方案的组织大幅增加的原因主要有两个：一方面国家为了净化互联网环境，逐步建立对互联网行业发展的市场规范，监管力度不断增强；另一方面，组织出于自身信息安全保护的需求：如防止信息资产泄密、预防舆论风险、保留安全事件的相关证据，以及管理上的要求，如考核员工的网络工作效率、分析网络应用情况、提供管理依据等，也会部署行为记录方案。,2009 年的调查中我们发现，许多组织管理者对于部署行为记录方案可能遭遇的管理阻力和舆论阻力表示担忧，主要来自“如何避免对关键人员（如组织高层领导）的过度记录”、“如何实现对日志的保护和保密”、“如何控制对日志的访问和查看权限”三方面，并希望方案提供商能给出合理的解决方法。,图 13：2009-2010 网络行为记录方案部署情况对比,“网络行为记录”包括：网页浏览、BBS/BLOG 发帖、邮件收发行为（包括邮件用户端与 webmail）、,应用服务使用情况（P2P 应用、炒股、在线流媒体、网络游戏、其他网络协议等）、文件收发行为等。,来自外部的安全威胁,16,中国上网行为管理蓝皮书,来自网络的安全威胁如：病毒传播、网页/邮件挂马、黑客入侵、垃圾广告推送、网络数据窃贼等，造,成的资料泄密，系统瘫痪状况已成为各行业信息化建设中的重要问题。,2010 年的调查数据显示，66%的 IT 管理员接到因用户访问挂马、携带恶意插件、脚本的网页、邮件引起的告警，接近 50%的 IT 管理员接到用户反馈受到内网病毒木马和垃圾信息的困扰，31%的 IT 管理员曾经发现网络攻击和入侵行为，26%的组织曾经发生内部资料外泄、单位及个人信息泄露，还有 17%的组织曾经发生过服务器遭受攻击的安全事件。,解读：据相关报告统计，每 600 个 PDF 文件中就有一个带有恶意软件、每 2000 个 JavaScript 文件中,就有一个携带恶意软件。如果乘以互联网的庞大基数，得出的数字难以想象的。,由于网络犯罪成功率高、非法获利大，对组织网络的安全威胁也是日新月异，并且更加善用伪装：利用社交网络散播，仿冒可信网站，将访问合法网站的用户“重定向”到非法网站，假冒可信软件如防病毒软件、插入非法软件，通过恶意广告、垃圾博客、恶意点对点文件传播等等。当用户发现时，用户端已经被安装恶意插件，被强迫浏览黑客指定的网站，或者被利用攻击某个站点，终端信息已被外发，损失已造成。,而传统防范措施均建立在对已知威胁的了解上，带有一定滞后性，许多威胁并不能单靠特征式、类似,防病毒技术来防御，终端用户和 IT 管理员必须在自我防护方面始终保持警惕：坚持将软件更新至最新版,本、部署全面的端点安全产品、保持警觉并采用高强度密码策略、采用网络准入技术鉴定并隔离不同安全级别的终端，定期对网络流量进行审视等。,17,中国上网行为管理蓝皮书,图 14:2010 企业网外部网络威胁组成排名,挂马网页/邮件：包括用户访问挂马、携带恶意插件、脚本的网页、邮件；,内网病毒木马：用户反馈终端通过网络（非 USB、蓝牙、红外等介质）感染病毒、木马的事件；垃圾信息：垃圾邮件、垃圾广告网页、垃圾游戏网页；,网络攻击：端口扫描、DOS 攻击等，黑客攻击（将受害者的计算机纳入僵尸网络并利用以进行恶意活,动）；,信息盗窃：因网络攻击引起的资料盗窃、个人信息泄露、账号盗用、账单篡改等；,服务器攻击：包括服务器注入式攻击、漏洞攻击、恶意广告插入、搜索引擎结果重定向、针对后端虚,拟托管公司的攻击等等。,控制措施,“网络安全管理措施”内涵丰富，由于精力和篇幅的所限，本文我们通过“网络安全管理硬件部署情况”的对比来一探行业用户群体在过去一年中网络控制措施的变化。由于所选的样本用户网络建设相对完善，个别统计数据不一定适用中小规模网络。,两次调查的数据显示，传统的网络安全硬件如防火墙增幅最小，亮点集中在上网行为管理（增长,52%，含流量控制、应用行为记录产品、安全内容控制产品）、入侵防御（增长 30%）、统一威胁管理,（增长 14%）、桌面管理（增长 19%）等。,18,中国上网行为管理蓝皮书,解读：不起眼的漏洞、随意的上网行为和过期的防护，合在一起会给 IT 管理造成极大困扰。IT 管理,员深刻了解仅仅依赖对用户进行教育并不足以提升效率、降低风险，组织应该制定明确的控制措施和安全策略，并采用能够保障这些策略执行的技术手段。同时，当今网络威胁越来越多的通过可信的媒介、可信的用户传播的，传统的基于边界的控制产品很难发现它们，IT 管理员需要获取关于流量与终端的信息，需要智能的可靠的方法来评估，并在任何异常的流量或存在安全隐患的终端引发问题前将其阻止。,采用网络控制产品尤其是网络安全产品的组织大量增加，原因有两方面：,一方面受益于组织高层管理者的管理意识增强，我们曾多次听到 IT 管理员抱怨有决策权的高层管理者不重视，而有需求的中层执行者又无决策权，这种需求与决策脱离的情况随着高层管理者逐渐意识到投资,IT 对组织发展的价值而有所改善。,另一方面，随着网络应用的日益丰富与网络威胁的目的趋利化、手段更隐蔽，IT 管理员发现，在“风,险评估”中分析的种种管理漏洞，单靠传统专注于 TCP/IP3 层、4 层的管理手段已不能有效解决，网络控制,与安全管理的重点转移到以应用内容为主的 7 层上，在这一点上，上网行为管理等产品则表现突出。随着科技的进步，未来将有更多的组织接受虚拟化这一概念，构建随时随地的协作办公，追求更高的生产效率和更低的成本。对于管理和安全的要求一直在提高，使得我们需要经常审视我们的控制措施。,图 15：2009-2010 网络安全管理硬件部署情况对比,信息与沟通,本文第 7 页中，我们引用了 CNNIC第 25 次中国互联网络发展状况统计报告中“表 11.各类网络应,用使用情况及用户增长”，信息获取类应用（搜索引擎、网络新闻）、交流沟通类应用（即使通讯、博客、论坛/BBS、电子邮件、社交网站）使用率高，而商务交易类应用（网上购物、网上支付、网银、在线炒股）增长速度较快。,信息需求直接拉动了信息获取与沟通类应用的增长，海量资源与更多途径在丰富了用户信息来源的同,19,中国上网行为管理蓝皮书,时，也给 IT 管理员带来了困扰。,解读：组织使用信息技术是为了确保合适的人使用合适的终端通过合法的线路获得适当的资源，并在,这个过程中确保安全和高效。,然而，随着网络的社交性增强，一方面，企业网用户将个人网络行为带入办公网络，业务通信和个人通信混杂交织，在信息交互与沟通之中，不知不觉地将业务运作的信息、个人的意见和行为传递出去，而IT 管理员很难依靠防火墙等传统产品来判断这些行为中是否潜在诸如泄密、言论不当等风险；另一方面，用户对可信网络、可信用户高度信任，往往不假思索地接受来自此类途径的信息并进行积极回应，正因为如此，社交网络为不法分子实施欺骗提供了大量机会。近年来因为网络入侵导致的被动泄密，因为利益诱惑导致的主动泄密，舞弊事件等，已经给许多企业组织造成经济与声誉上的重大损失。,综上，在获取信息与保持沟通的过程中，管理者需要提前筛选、过滤不良内容，预防不当外发行为与,言论，所以安全过滤、上网控制与行为记录方案获得管理者的认同和青睐。,监督与检查,2009 年，有 23%的组织坚持定期检查并输出检查报告，2010 年这一比例增加到 44%；更多的组织虽然没有将这一工作列入常规动作，但仍会不定期地进行抽查，或在特殊时期、网络异常、安全事件发生后、接到相关部门要求时进行检查。检查包括终端安全状况、网络行为监控、流量控制分析、异常流量与异常行为，检查结果往往通过对记录数据的统计、分析、对比并以报表形式输出。,解读：管理措施都需要输出检查结果以验证效果、发现问题并调整改进，这是如今大部分 IT 管理员的共识。促成这种共识的原因有三个方面：第一，用户随意的上网行为、不到位的终端防护、泛滥的安全威胁给组织的 IT 管理造成极大麻烦。也给 IT 管理员带来大量的无谓工作，仅仅依赖对用户进行教育并不足以解决问题，对终端安全状况、用户网络行为、出口带宽使用情况进行定期的监督检查，才能及时发现问题，减少安全事故和管理压力；第二，过去，大多数网管部门只顾埋头干活，没有注意到定期检查并在工作汇报中体现监管效果，导致高层管理者对网络管理方面存在的问题关注不够，认识不深，而网络管理部门在提交建议以供高层做决策时又缺乏相关的事实依据，所提建议很难得到足够重视；第三，组织高层管理者通常都十分关注员工的工作效率，而员工的网上行为即与工作效率息息相关，监督检查机制可以让人力资源了解员工的网络工作效率。,因此，组织需要监督检查机制来审核、评估控制措施的有效性，作为策略改进依据和考核依据，并为,安全事件的发生做好应急预案。,20,中国上网行为管理蓝皮书,图 16：2009-2010 网络管理监督检查情况对比,国家政策要求,为了规范互联网环境，创造一个和谐的网络氛围，国家关于互联网管理的法律、法规、规范等陆续出,台，其中典型的有：,互联网安全保护技术措施规定 互联网信息服务管理办法,计算机信息网络国际互联网安全保护管理办法 中华人民共和国计算机信息系统安全保护条例,参见：http:/,企业内部控制基本规范内控规范,行业背景要求,金融：银行业金融机构信息系统管理指引、金融机构保护用户信息法案（GLBA）支付,卡行业数据安全标准,政府：中华人民共和国计算机信息系统安全保护条例 电力：电力二次系统安全防护规定 教育：全国青少年网络文明公约,广电：互联网视听节目服务管理规定,运营商：中国移动上网行为管理系统技术规范,21,中国上网行为管理蓝皮书,总结,本章节中，我们根据调查结果分析了现代企业网可能存在的风险及其根源，在此基础上，我们阐述了现阶段组织所采用的控制措施、在信息沟通中需要关注的安全、以及定期监督检查的必要性，并给出国家与行业监管部门的相关政策要求。无论是业务转型中自身发展的需要还是大背景的驱动，对网络行为进行风险分析、行为管控、信息过滤与信息安全防护、定期检查等都是大势所趋。然而，这些任务不是任何一款产品能独立完美完成的，组织需要不断创新的思路和寻找对应方案以完善、构建全局式的管理，我们将在下一章节中给出一些技术参考。,22,中国上网行为管理蓝皮书,三、上网行为管理技术,前面，我们阐述了上网行为管理产品的需求来源、对企业网网络管理的现状进行了细致分析。本章节中，我们将介绍专业上网行为管理产品的核心技术和应具备的基础功能，以及在此基础上某些实力较强的厂商为用户提供的更多适应行业需求的高级功能。,核心价值,专业上网行为管理产品能为组织提供如下核心价值：优化上网环境，提升用户用网体验；,优化带宽管理，保障核心业务、核心人员的访问速度；管控网络应用，提高员工工作效率；,实现与职位相匹配的上网权限分配，防止越权访问；防范信息泄露，保障组织信息安全；,过滤不良信息，规避由此带来的安全、管理与法律方面的问题；修复安全短板，防止网络攻击，提升上网安全度；支撑 IT 管理制度，优化组织 IT 管理环境；,核心技术,识别技术,识别是管理的基础，识别能力是评判一款上网行为管理产品专业度的重要标准。业内优秀的上网行为,管理产品识别率普遍可以达到 85%90%甚至更高。,用户识别,用户身份识别是实施管理的依据，主流上网行为管理产品所支持的用户识别技术包括本地认证、第三方认证、多因素认证、软件免认证、硬件免认证、单点登录技术、强制认证、临时用户、用户自注册等。,终端安全识别,终端识别技术包括终端硬件识别和终端安全状况识别等。终端硬件识别主要是资产管理系统的工作，我们不做过多关注。终端安全识别包括进程、注册表、操作系统与补丁、杀毒软件与病毒库升级、多网卡状态、应用程序检测等。,应用识别,上网行为管理产品的应用识别能力是重中之重，是产品发挥管理控制功能的根基。主流的识别技术有两种：DPI，也称“深度数据包检测”，即基于数据包组成内容特征的应用识别；DFI，也称“深度流特征,23,中国上网行为管理蓝皮书,检测”，建立在应用特征的统计学规律基础上的行为识别，是具有智能特性的识别技术。,智能识别,HTTPS 非法网站识别,HTTPS 被广泛应用于通讯安全，如目前几乎 100%的金融类网站，部分门户网站均使用了 HTTPS 加密方式。大量钓鱼、挂马网站也使用 HTTPS 加密，而传统安全产品无法对 HTTPS 加密过的钓鱼、挂马网站进行识别，导致安全管理上存在严重漏洞。为解决此问题，部分上网行为管理产品提供了相应的 SSL 加密网站的甄别技术，将 HTTPS 类型非法网站排除在访问对象之外，保障网络安全。,网页智能识别,大中型上网行为管理厂商多数都有研发团队负责网页分类与 URL 库更新，以此作为网页过滤控制的依据。但是，2