上网行为管理产品的核心是提高用户的工作效率,避免不良网络行为给用户带来的商业和法律风险。和专门的URL过滤器等内容审计产品相比,上网行为管理产品不仅需要过滤网页,还要进行应用和流量的细致管理,包括网络软件的封堵、IM聊天工具的审计、网络流量的分配等。
在上网行为管理行业,很多厂商都急于向用户表明其URL库的强大,例如几百万、甚至几千万的URL库等。由于数据库的搜集是一项很耗时间和精力的工作,数据库的规模也往往成为了很多厂商比较实力的标准之一。
然而,通过和众多的用户交流,我们发现URL库对用户的吸引力并没有厂商想象的那么大。
首先,URL库的更新往往落后于新网站的出现。每天,Internet上都会涌现出难以计数的网站、博客和论坛,无论厂商组织多大规模的团队去进行URL的搜集,也不可能跟得上网页的增加速度。
其次,上网行为管理的一些核心功能,例如对应用的封堵和限制、对数据的审计和监控,以及对网络流量的分配和优化,这些都是URL库无法实现的功能。当用户的需求从简单的管理网页浏览延伸到需要更全面、更细致的互联网访问控制时,依靠人力堆积起来的URL库显得有些乏力。而如何对各种应用、流量以及潜在的安全威胁实现全面的识别,进而做出正确的判断,才是用户更应该重点关注的问题。
关于什么是识别,我们可以举几个简单的例子:A.网络中刚刚出现一个钓鱼网页,通过伪造电子银行的页面进行诈骗,这属于内容安全的一种。如何在第一时间防止员工访问这个危险网页,这就依赖于准确的识别功能;B.员工利用在办公室上网的机会,在反动的论坛注册并发布不良的言论,这属于外发信息识别。当公安部门发现并追究责任时,如何通过日志来查询到局域网中进行非法活动的员工,这属于对内的识别功能;C.网络流量过大,导致局域网出口封堵或异常缓慢,影响到整个企业的Internet访问,如何去判断是哪些人、哪些应用影响了网络,这当然也属于流量识别的范畴。
在识别方面,Websense、BlueCoat、深信服科技等知名厂商都进行了有效的工作。Websense的Web Security Suite软件可以主动发现和即时防范各种Web威胁,例如间谍软件、网络欺诈、病毒等新兴网络安全威胁。BlueCoat的SG系列网关通过内置策略来有效的预防间谍软件。而深信服科技的AC系列网关通过加入了网络准入规则(NAR)、深度内容检测(TCD)等技术,能够更全面的识别企业网络中发生的所有应用、数据和流量,以便管理员做出更完善的管理。
由于识别是行为管理的第一步和最重要的一步,如果识别有误,或者无法识别以上这些应用,那么网络管理者就无法进行准确有效的管理。那么,无论URL库有多大规模,对用户来说不过是一个厂商向其吹嘘的噱头罢了。