2007年12月23日,前沿网络设备供应商深信服科技有限公司宣布,其AC上网行为管理产品在中国石油天然气股份有限公司浙江销售分公司得到了应用,用于实现该公司局域网的Internet访问管理。
网络访问面临难题
作为中国石油天然气集团的全资子公司,中石油浙江销售分公司承担着中国石油在浙江地区的成品油批发和零售业务,同时负责浙江地区的销售网络开发建设和管理工作。
中石油浙江销售分公司的网络和安全系统的建设已较为完善,在网络出口处部属有防火墙等安全设备,初步保障了内网的安全。然而,网络的安全不仅仅是“自外到内”的安全,还包括“从内到外”的访问安全,也就是互联网访问安全。Internet上信息丰富,为企业员工的工作提供了便利,但网络上更多的是与工作无关的内容,还参杂了许多不良甚至是非法的信息。如果缺乏合理的控制,很容易造成企业生产力的流失、并引发网络安全风险。
同时,QQ、MSN等聊天软件方便了人们的沟通,也分散了很多人在上班时的注意力;流行的P2P下载软件提供了海量的互联网资源,却被很多人用来在上班时间下载电影、音乐、软件等,不仅占用了企业有限的带宽,也可能触及版权风险。
行为管理势在必行
为避免出现上述问题,中石油浙江销售分公司也作了很多工作,比如在防火墙上做端口限制策略、添加URL过滤规则,但这些工作的效果都不明显,甚至对正常的上网产生了影响。公司也考虑出台相应的管理规定,防止员工在上班时间聊天、下载等,但这些措施要么实施复杂,要么缺乏人性化,容易变成不受欢迎的“一刀切”工程。在经过了多次考证后,浙江中石油开始将目光集中在上网行为管理领域。
上网行为管理产品通过结合过滤、审计、流量控制、端点安全、统计等多种功能,对用户所有的上网行为进行管理,是近年网络安全领域发展迅速的一块市场。目前,很多厂商都推出了上网行为管理产品和解决方案。然而由于部分厂商缺乏在网络和安全领域的经验,只是通过在URL过滤器、防火墙等设备上添加常见应用的封堵、流量管理功能,便作为上网行为管理产品在市场上销售。这类产品对于较复杂的应用和网址,例如加密的IM工具、P2P软件,以及通过SSL加密的网站等,均无法实现有效的过滤和封堵,给用户的实际应用带来了困难。同样,由于很多厂家缺乏对高端用户需求的了解,推出的产品在性能、日志、部署方式等方面不够完备,也很难满足类似浙江中石油这类大型用户的需要。
选择高端产品
在经过了详尽的比较测试后,浙江中石油选购了深信服AC构建其上网行为管理系统。 深信服AC设备已广泛应用在电力、石化、金融、电信、制造等大型网络,通过部署深信服AC产品,中石油浙江销售分公司的互联网管理带来了显著的改善:
一、通过深度内容检测技术封堵加密网站和P2P软件
通过AC内置的数十种分类的百万级URL库,中石油浙江销售分公司可以将不健康和包含潜在威胁的网站拦截在外。更重要的是,通过对SSL证书的验证, AC有效地防止了钓鱼网站的欺诈并可以屏蔽采用SSL方式加密的反动、色情、邪教等不良网站,这是其他产品无法实现的。
对于困扰浙江中石油已久的P2P下载问题, AC能够彻底封锁,并且可以针对特定用户进行流量控制。AC还通过专用带宽、抖动控制和延迟、丢包率的改进以及对指定高优先级网络服务的流量保证,确保了重要服务的带宽质量。
二、审计即时通讯软件(QQ、MSN等)
对于QQ、MSN等聊天软件, AC可以提供从禁止、监管、再到安全性审查等几个角度来进行管理,一方面可以限制用户能否使用IM以及使用IM软件的时间,另一方面可以有选择性的对用户聊天内容的监督和记录,防止内部重要机密信息通过IM软件泄露出去。目前,很多聊天工具通过加密的方式避免被封堵和监控,深信服AC仍然可以对目前所有主流的聊天工具进行全方位管理,以供用户选择。
三、详细的日志中心
由于AC的数据中心提供了基于用户的最完整的互联网访问记录,管理员可以方便直观的统计员工上网情况,并定期上报结果。
不同于其它上网行为管理产品, AC的日志中心具有良好的移植性,对于那些日志量较大的用户,可以将AC的日志中心平滑的转移到内网中的任何一台服务器上,并通过Web访问方式随时查询和导出数据。这种可移植的日志中心有两大优势:1.独立部署的日志中心将不受设备的硬盘容量限制,更方便用户的日志记录和扩展。对于一些需要记录大量互联网访问信息的用户,此功能特别实用;2.由于AC可将日志和设备分离,大大减轻了上网行为管理设备的工作量,避免大量的数据存取操作成为影响网关性能的瓶颈。
