编者按:在一个已经部署了相对完整安全解决方案的网络里,比如专门的高端防火墙、防病毒软件甚至专门的IPS设备、防垃圾邮件设备等,为什么还会发生这样那样的安全事件?我们的网络究竟在哪里出现了安全短板?本文所介绍的东风日产选择深信服AC上网行为管理设备的案例,为我们做了很好的分享。
需求分析:来自互联网资源滥用的威胁
东风日产汽车有限公司是东风汽车公司与日产汽车公司战略合作携手组建的公司,是目前中国汽车行业迄今为止规模最大、合作层次最深、领域最广的合资项目。作为一个拥有上万名员工、信息化程度高的制造型企业,东风日产一直非常重视信息化的建设,在局域网里部署了比较完整的安全解决方案,如专门的高端防火墙、防病毒软件甚至还部署有专门的IPS设备、防垃圾邮件设备等。
随着近几年Internet接入的普及和带宽的增加,互联网也暴露出双刃剑的特性:一方面员工的上网条件得到改善,东风日产组织运营效率也得到了大大提升,但另一方面虽然部署了很多的安全设备,却仍然发现网络给企业带来很多的安全威胁,互联网资源被滥用的问题也日益严峻。如员工在上班时间的上网聊天、购物、游戏等行为也严重影响了工作效率;部分缺乏保密意识的员工则通过BBS论坛、外发邮件等导致组织内部机密信息泄漏;日益流行的BT、电驴等下载软件非常容易导致关键业务应用系统带宽无法保证,有几次甚至因为无法访问服务器导致MIS生产系统停顿;虽然部署了正版杀毒软件,但时不时还是会发生一两起局域网中毒事件,经追踪发现很多病毒事件都是因为一些员工访问一些非法网页/非法BBS论坛,或通过FTP下载文件及即时通讯软件传播文件而引发。
设备选型:深信服AC落户东风汽车
如何在最大利用互联网优势的同时,避免以上由于互联网资源被滥用所引发的安全威胁及其他各类问题,东风日产IS信息中心就此进行了深入讨论,最后得出的解决办法是:通过技术设备和规章制度的结合来指导、规范员工正确使用单位的网络资源,从而对局域网的上网行为进行有效管理。
经过对不同厂商产品的研究,结合自身作为大型制造业集团的需求,东风日产IS信息中心提出了对上网行为管理的选型标准:
(1)控制功能:可合理分配不同部门、员工的上网权限,比如什么时间可以上网、什么时间不能上网,能够访问那些互联网内容,那些互联网资源是严格禁止使用的;对代理软件的封堵,防止不能上外网的员工通过代理软件上外网;阻止访问高风险、非法和不健康的互联网内容,避免法律纠纷等,以增强单位的互联网访问管理与控制力度,实现对不同权限的员工对访问网络资源的合理分配;
(2)监控与审计功能:可以将所有跟上网相关的行为记录下来,如对研发、财务等关键部门的上网行为、聊天内容、邮件内容进行记录,以便事后审计,并在内部起到威慑的效果;
(3)报表分析功能:具备丰富的数据中心,可以方便直观的统计分析员工的上网情况,据此掌握单位内部互联网的使用情况;为避免内网用户数量巨大直接查询网关容易造成网关宕机的现象,要求设备支持独立的数据中心;
(4)流量控制与带宽管理:支持对不同员工进行分组,通过一段时间数据统计,限定每个组的上网流量;对BT/电驴等P2P下载软件进行封堵,避免其对网络带宽资源的消耗;
(5)满足国家政策和法律规定:东风日产作为大型国有控股公司,所部署的设备需要能满足国家相关的法律法规(如公安部针对此的82号文件规定)。
在选型初期,根据大型集团信息化稳定性、安全性等角度出发,东风日产SI信息中心“网控项目小组”选择了多家国内产品和国外产品进行了多方面的测试,结果却不甚满意。由于上网行为管理在国内还是一个很新的课题,能提供该类产品的国内厂商大部分是一些小公司,无法提供良好的服务,产品质量和功能也有比较大的不足;而国外厂商则因为研发部门基本不在国内,对中国上网行为管理的国情一知半解(如根本不能对讯雷BT进行封堵),无法满足东风汽车一些个性化的管理需要。
一个偶然的机会,负责此次设备选型的东风IS信息中心的宋工从网上看到了一篇关于深信服AC上网行为管理设备介绍的文章。在初步的沟通和小组讨论后,宋工和他的小组成员把主要精力放在了深信服SINFOR AC上。
经过几个月的测试,无论从性能上,还是功能上,深信服SINFOR AC专用上网行为管理设备给宋工和他的小组成员留下了深刻的印象。当时送测的产品是M5800-AC,该产品是基于硬件Linux架构的上网行为管理平台,在测试过程中,表现出了令人折服的稳定性、可靠性和安全性,并且具备丰富直观易用的数据中心报表报告功能,能够为整个局域网的上网统计分析提供可靠的依据。
东风日产IS信息中心的宋工这样评价当时的评测状况:“深信服的M5800-AC支持上万用户的大规模容量,并具备网关、旁路、透明多种部署模式,在管理、控制、报表功能都走在所有初选设备的前列,非常贴近我们东风这种大规模集团的需求,是一款超出我们想象的产品。尤其值得一提的是,深信服销售工程师所提供的服务水平和响应速度,让我们非常信服和满意,对我们提的一些很小的改进意见,深信服往往第二天就能予以答复,对合理的意见还会在一周左右提供测试版本”。
最终,东风日产选择了深信服自主研发的M5800-AC上网行为管理解决方案,作为公司上网管理的解决方案。
应用效果:利用AC搭建一个可以管理的互联网
在深信服科技的帮助下,东风日产通过部署AC上网行为管理设备逐步制定和实施了一套适合自己企业的互联网使用政策。
深信服AC网关采用了严格的身份认证和不同的访问权限策略,并可根据不同的时间段做灵活的时间管理,具有URL过滤、关键字过滤、上传下载限制、深度内容检测、邮件过滤功能和独特的邮件延迟审计功能等众多功能,从而让东风汽车把与工作无关的上网行为降到最低,去除员工的分心,让他们专注于工作,提高工作效率,并在技术措施上配合制度管理解决了内部机密可能通过Internet泄漏的问题。
AC网关的流量控制功能,可以实现对东风汽车内部上网用户按照用户组或按用户来做流量限制,使得东风汽车的网络带宽得到最充分有效地利用。
针对病毒的来源和传播途径,深信服AC上网行为管理设备可以很好的配合东风日产原有的杀毒软件实现“治标治本”的效果。AC网关里面的URL过虑功能,可以对常见的非常网址/非法BBS论坛直接实现过虑,AC网关提供的对下载及P2P软件的封堵和管理功能也可以有效减少因为文件下载而引发的病毒传播,尤其值得一提的是AC里面的SSL控制功能,可控制用户通过SSL协议访问的URL,并可对SSL协议的证书做有效性检查,允许或拒绝用户访问持有指定X.509证书的网站,以防止用户通过SSL协议泄密和访问色情、反动和钓鱼网站,从而起到“防网络钓鱼”的效果,避免客户陷入“网络钓鱼”陷阱。
此外,深信服AC网关丰富的数据报表中心还能支持以图表的方式对局域网内人员的上网行为进行分析,如:每天上网情况的分析、访问最频繁的网站分析、上网最多的人员分析等,并提供时间、服务、网站访问、使用网络流量等多种分类排行榜,为网络管理员和决策者提供了最直观的数据统计。