北京網康科技有限公司

2010年7月

1、網絡現狀與問題分析

       1.1上網行為審計機制缺乏：

         1）網絡用戶訪問互聯網行為沒有有效的分析依據，不了解互聯網訪問整體的組成情況。

         2）不了解哪些用戶訪問了哪些類型的網站，哪些用戶試圖訪問或者曾經訪問了不良類型網站，哪些網站訪問次數最高，哪些用戶訪問次數最高。

         3）不了解是否有用戶使用互聯網發布不良言論和敏感信息，當發生非法外發事件時，無日志可查，無法給公安機關響應的留存記錄。

         因此，目前安縵頤和酒店對互聯網的訪問審計基本上是空白一片，無法有效評估當前互聯網訪問的健康程度，無法規避當發生意外事件時的法律風險。

       1.2安全風險：

         1）內網用戶有意或者無意訪問互聯網中的隱患類網站如病毒，色情等類型網站把病毒引入內網，帶來嚴重的安全隱患。

         2）網絡中蠕蟲類病毒無法進行有效的預警和控制，當爆發時不具備降低病毒風險的機制。

       1.3法律風險：

         1）網絡中用戶試圖訪問國家嚴格禁止的色情，違反法律法規，邪教等類型的網站帶來法律風險。

         2）由于互聯網的開放性，有內部用戶通過互聯網（如貼吧，論壇，博客等等）發布對酒店不利，甚至于嚴重危害黨和國家安全的非法言論，帶來法律風險。

         3）內部用戶在baidu，google上搜索不健康，不道德和國家法律不允許的資源。

2、解決方案

根據酒店網絡整體建設規劃的要求，此方案在酒店網絡出口處放置一臺網康互聯網控制網關，實現對酒店內部所有用戶的行為進行審計和管理。

通過本次建設，應可達到對互聯網行為有效的風險規避，減少法律風險，提升工作效率，保障核心應用使用質量，盡最大可能的避免不合規信息的外發，并可全面監控，審計，管理互聯網行為。

2.1部署方式

根據當前互聯網接入模式，我們建議在酒店網絡總出口處部署一臺網康互聯網控制網關（網康NS-ICG），物理部署模式建議為透明串接，以保證透明無縫接入、完全的審計管控效果。具體工作模式依據原有上網方式、具體應用可以靈活配置。

部署示意圖

在網絡總出口處部署一臺網康互聯網控制網關，過濾內部所有人員的上網行為。

2.2上網行為管理功能實現

         1）、人員追蹤

網康NS-ICG通過有效的用戶身份識別，使得策略的管理和行為的追蹤能夠根據不同的需求進行靈活的管理。

網康NS-ICG提供全面的認證機制，除了傳統的認證方式外，還提供私有認證，使得用戶的識別種類更加豐富。

    對于固定IP的用戶，如果管理員已經將用戶信息匯總到Excel、TXT等文件中，可以通過網康NS-ICG的導入功能更加快捷的創建用戶和分組信息。

對于動態IP的用戶（酒店客房），網康NS-ICG可以支持web認證，上網的時候輸入用戶名和密碼，有效追蹤到上網行為的發起者。在WEB認證方式下，管理員可以設定并分發統一的初始口令，并定義賬號緩存的有效時間，保障用戶身份的安全，使用戶身份的確定與具體上網設備完全無關。

         2）、網頁過濾

         Web是互聯網上內容最豐富、訪問量最大的應用，然而網頁內容良莠不齊，充斥許多反動、暴力、色情以及其它不健康的信息；網康ICG通過預分類過濾技術、URL自動分類引擎以及靈活的策略設置，對違反國家法律、危害單位安全的內容進行過濾，避免用戶有意無意訪問包含非法內容的網頁，凈化網絡，減少病毒進入局域網的幾率，降低法律風險，創造文明健康的辦公環境。

         3）、流量監控

         網絡應用層出不窮，對帶寬資源的占用也越來越高，特別是以P2P為代表的下載軟件，如果不加限制，會嚴重消耗單位的帶寬資源，從而影響正常的業務數據的傳輸。網康NS-ICG支持應用層的帶寬分配與流量管理，可以針對用戶或部門、按照時間段，對每一種應用協議進行帶寬限制。網康NS-ICG像一臺網絡協議分析儀，能夠識別并統計網絡上有哪些類型的數據在傳輸，哪些應用在運行，哪些協議在使用，哪些服務器的流量占用了主要的帶寬資源，哪個用戶的上網行為顯著消耗了帶寬等。根據這些量化的統計數據，通過預先設定若干個虛擬的帶寬通道，將帶寬通道與具體的用戶或網絡應用綁定，從而對其流量進行限制、整形，達到帶寬管理的目的，保證服務器，關鍵業務流量，降低甚至阻塞非工作相關業務流量。

         5）、內容審計和過濾

         通過互聯網傳遞信息已經成為互聯網用戶的關鍵應用，然而信息的機密性、健康性、政治性等問題也隨之而來。通過網康NS-ICG，您可以制定精細化的信息收發監控策略，有效控制信息的傳播范圍，控制敏感信息的泄露，避免可能引起的法律風險。針對酒店的實際情況進行內容的監控：

²  敏感或者非法關鍵字阻斷：如色情，法輪功，邪教等等

²  對論壇發帖內容進行監控并記錄，并設置敏感關鍵字阻斷報警，當發生非法言論行為進行預警并做到事前控制。

²  特殊用戶開啟聊天記錄審計，做到重點防護，防止意外情況發生。

²  每個節點用戶的網站訪問情況。

²  每個節點用戶的應用使用情況。

²  加密網站的訪問記錄……

6）、實時監控

         網康NS-ICG支持管理員實時地監控設備運行健康狀況與當前網絡活動，在第一時間內對網絡異常進行定位分析，及時追蹤到內網的安全事件。

         7）、查詢統計與報表分析

         對用戶網絡行為進行記錄與分析，是上網行為管理產品必備的重要功能。對日志的存留與分析，既是對國家法律法規的遵從，也是真正管理好員工上網、有效利用網絡資源的需要。針對用戶上網行為以及相關內容查詢統計，能夠對單位的網絡活動進行較長時間的回溯與反查，幫助管理人員全面了解網絡的使用情況，為改進網絡管理提供詳實準確的依據。網康ICG能夠根據提供如下的查詢統計分析工具：

²  基于用戶的綜合上網行為查詢

²  網絡流量查詢，數據粒度可選，如：按匯總數據，小時流量，細節流量

²  Web訪問記錄查詢，數據粒度可選，如：全鏈接，僅主鏈接

²  電子郵件收發記錄查詢，可查看完整的郵件正文與附件內容

²  論壇發帖內容查詢，可查看完整的發帖正文與上傳文件

         網康NS-ICG支持根據時間、用戶、應用對上網行為進行全方位的統計，內容涵蓋網絡流量、Web訪問、郵件收發、IM聊天、論壇發帖、P2P下載等各種網絡應用。并提供多達50種預置報告模版，獲得不同角度的統計報告。

         8）、異常監控

         對網絡中異常流量，異常用戶進行監控，并對異常行為進行有效的控制，當某些主機中毒，或者流量異常時，通過設備防護功能，有效控制異常流量，定位異常源頭，必要情況直接屏蔽異常主機。

3、網康NS-ICG簡介  

3.1設備系統的安全性

為避免管理員誤操作，自身系統被攻擊，而導致的設備異常繼而影響的用戶業務，設備可提供如下安全性保障機能。

1）、管理員分級，分權，角色區分

設備可分級提供多個管理員角色，每個角色具備不同的能力，同時同級別管理員各自配置的策略他人不能刪除更改。

設備可分權限設定多個管理員角色，每個角色具備對指定用戶的管理與審計權限，防止某一部門管理員可以管控與審計其它部門員工的上網行為。

設備可定義登錄權限，限制登錄計算機，有效避免帳號口令被盜導致非法用戶登錄。

2）、系統無硬盤依賴 

考慮到審計設備記錄日志量很大，因此設備中的硬盤是易損部分，即使配置日志中心數據不記錄到本地硬盤時，由于硬盤提供部分Cache，也會導致硬盤故障風險高。因此設備應提供無硬盤依賴系統，當本地硬盤損壞后，設備依舊可以使用板載的固件啟動，并保證控制審計功能正常，當有外置數據中心時還可保障數據的有效存儲。確保設備自身可可靠性。

3）、系統bypass實現 

考慮到應用層增值系統串入網絡后，不應該在任何一次異常時影響原有網絡的可用性，開啟設備的智能Bypass體系。

當設備斷電后可進入物理導通狀態。

當設備異常但仍仍加電時也可進入物理導通狀態。

當巡檢設備時可使用快速切換開關，避免巡檢帶來的風險。

3.2設備系統的易用性

1）、設備可使用串口進行配置 

作為網絡設備，網康NS-ICG提供了物理串口配置模式，便于IT人員在機房，在無法遠程訪問的情況下擁有最基本的配置，故障排查保障，提高原理的易用性。

2）、設備可使用命令行進行配置 

網康NS-ICG提供了SSH方式加密的遠程連接命令行，便于當web管理系統失效時依舊可以通過遠程方式對設備進行基本操作，避免IT人員的奔波，提升工作效率。

3）、設備可使用web界面配置 

簡明界面：網康NS-ICG提供了簡明，清晰，任務模式的web配置界面，可讓管理員快速定位問題的來源，快速實現策略的配置。

在線幫助啟用：同時網康NS-ICG提供了即時在線幫助，用戶點擊幫助后，當前操作的指導會直接出現，可極大保障使用的正確性。