Websense上网行为管理方案

Websense上网行为管理方案21、概述1.1、安全现状互联网给我们带来了很多方便和好处：通过浏览和搜索容易访问到需要的信息；通过即时通讯工具可以方便地即时交流；通过视频软件可以实现网络会议。但是，访问这些内容也意味着在个人或公司的电脑保护系统中打开了一些“洞”，从而，垃圾邮件、病毒、间谍软件、广告软件等引起的内容安全问题日益成为人们的忧患，严格的数据保密和安全法规也使一些公司和企业的IT安全人员头疼。有调查报告显示，超过60%的企业互联网访问了与业务无关的、不恰当的、甚至危险的站点，这给全球的企业经营者带来了非常头疼的问题：一方面，企业从互联网得到的好处远远小于损失；另一方面，企业员工无限制地使用网络，这种“网络旷工”现象给企业带来损失。内容安全的需求在不断发展,传统的安全技术防病毒、防火墙等已不能满足现阶段混合式攻击的需求，混合网页应用（Mashups）代理回避（Proxyavoidance）、恶意代码（Maliciouscode）、网页应用（Webapplications）、傀儡网络（Botnets）网络诈骗（Phishing）、间谍软件（Spyware）。使企业的安全面临新的挑战。同样，过分或不适当的网络资源访问也严重威胁着企业安全和生产力。另外，随着网络化的快速发展,使员工的工作场所对企业安全、产能、守法及IT资源的利用构成新的威胁――这种威胁往往不是来自外部，而是源于员工自身。最近公布的互联网安全调查报告指出，新的蠕虫和病毒正越来越多地利用即时消息（IM）客户端和对等（P2P）网络,2005年末夏发生的150种恶性蠕虫和病毒中，有90种以上利用了P2P和IM应用程序—比2004年全年增加了400%。随意访问网站使用户暴露在间谍软件和恶意传播代码的攻击之下，怀有不满情绪的员工可以轻松获得易用的黑客软件。流媒体与大量此类非标准但充满诱惑的应用程序及其他应用程序一样，随着基于互联网的应用软件在普及程度上不断提高，给生产效率造成影响，耗用了企业带宽。企业一样面临了这样的问3题，所有的企业都积极的希望能解决这类问题。我们意识到，对于互联网的使用，应从规章制度、行为控制、审计监管等方面进行管理，以达到安全使用互联网的目的。希望能够有一套完整的管理机制和信息系统，能够以事实为依据，完整的提供给企业决策者和管理者一套实际有效的管理和核查系统，能够让网络信息的流动变得“看得见”，提供企业风险分析数据，帮助企业进行信息决策，在发生安全事件的同时也能够提供取证的信息。1.2、Websense公司简介Websense公司（NASDAQ:WBSN）成立于1994年，2000年3月NASDAQ上市，是网页过滤和网页安全解决方案的全球领导者。公司总部位于美国圣地亚哥，在全球20多个国家设有分公司和办事处，全球员工1250余人。Websense公司情况Websense为全球50000家企业，近4200万员工提供web安全保护WebsenseWeb安全解决方案深受财富500强及FTSE100等企业的青睐并广为采用Websense创建了行业最大的全球销售渠道，通过98个国家约1200个分销商提供产品Web过滤产品2005年营业收入达到14,860万美元（比2004年增长33%），居行业领先地位。现金和投资达到32,040万美元（截止1/31/06）Websense是公认的市场领导者IDC、FrostSullivan以及其它第三方的研究机构认定Websense是Web过滤市场的市场领导者。Anti-PhishingWorkGroup的PhishingDataRepositoryProject（仿冒网站数据库项目）的领导者。连续三年（2004、2005、2006）被《福布斯杂志》评为“25家顶尖科技公司”之一。连续两年（2004、2005）入围《财富》杂志的“100家发展最快的企业42、Websense产品介绍根据企业对上网行为管理方面的特殊需求，我们推荐使用Websense上网行为管理系统。Websense在管理员工上网行为管理这个领域中，一直处于技术领先和市场领先的地位，并且在中国已经拥有了大量成功案例，是一个经历过全球范围大量客户实际检验的产品。Websense所包含的主要功能：Websense可以提供网关、网络、员工桌面的全面的web安全解决方案（包括网站过滤、恶意代码的防范、通讯软件的管控等）设置灵活的互联网使用策略。可以选择Allow（允许）、Block（禁止）、Continue（继续）、Quota（限额）、BlockByBandwidth（按带宽禁止）和BlockbyFileType（按文件类型禁止）等选项来管理Web访问；根据每日时段过滤网站。荣获专利技术的强大的专家数据库，拥有3700万条，分成90多类，50多种语言，使同类产品无法比拟。除了可以根据预设的网站分类进行策略设置，还可以针对即时通讯、P2P文件传输等近100多种通讯协议进行管理。特有的安全实验室，提供专门的网页安全分类,和恶意网络流量协议代码,帮助客户防护网页安全威胁,降低日益严重的零日漏洞利用攻击风险，并在全球范围内为数据库的准确性和提供即时安全信息提供强有力的保障允许企业根据通过LightweightDirectoryAccessProtocol(LDAP)系统中定义的用户/组设置策略。比如：微软WindowsActiveDirectory或其他LDAP使用Websense分析和报告工具分析和跟踪整个企业的互联网使用情况。记录用户活动日志时保证用户的隐私性和匿名性，从而确保始终遵守隐私政策、公司规章及其它法律。使企业能实时设置流量优先级并加以管理，从而优化网络带宽。允许企业跨部门、组或区域分配管理任务，提高了各个区域内的透明度，减轻了IT负担。可适应各种规模的企业，支持目前流行的所有应用的代理服务器产品。针对不同的网络状况，Websense特提供以下两种主要的部署选项可供企业选择。5集成式部署，部署在与网络网关平台紧密集成的独立服务器上，提供“通过(pass-through)”过滤，最大化稳定性、伸缩性和性能。独立式部署，利用网络代理程序在任何网络环境中提供“pass-by”过滤功能。此外，Websense还提供强大的报表功能，并通过80多种预定义模版，10种语言的强大的报表功能，帮助企业管理人员全面了解员工的因特网使用情况，可帮助企业分析当前面临风险、潜在的安全威胁、员工的上网习惯等等深度报表信息，有助于企业决策层调整企业安全策略，也可以让企业安全管理人员追踪和审计可疑上网行为等等。3、Websenes部署建议3.1、部署综述Websenes员工上网解决方案可以提供各种基本员工访问互联网的管理功能和报表功能，帮助企业有效提高员工效率、减少法律责任和优化IT资源的使用。Websense解决方案可结合其他网关设备工作，也可以单独部署。Websense解决方案可结合防火墙、代理服务器、硬件缓存设备、高端路由器等40多种网关设备。这种部署方式通常利用防火墙、代理服务器将用户的网页请求通过特定的协议重定向到过滤系统上，在经过过滤系统过滤后，返回判断结果给网关设备，完成过滤过程。单独部署方式可以跟网络基础架构产品无缝集成，具有实名认证、部署灵活和操作方便等特点。3.2、独立式部署建议针对客户没有网关设备可以和Websense产品进行结合的情况（Websense需要独立部署），Websense推出了NetworkAgent组件，利用网络监听原理实现的网络层次的解决方案。工作原理：61.客户端使用对等共享等非80端口网络应用（或者访问网页）。2.NetworkAgent侦听到相应流量（独立部署模式下，同时会分析网页形式流量）3.分析得到数据会传送给Websense过滤系统及后台专家数据库（网页数据库、协议数据库）进行分析4.如果发现是异常流量，将通过NetworkAgent完成TCP阻断5.专家系统判断结果将被记录到统一的日志系统中部署NetworkAgentWebsenseNetworkAgent安装的位置必须使其能够监控访问互联网的所有网络流量。它只能监控和管理能够监测到的网络流量。NetworkAgent可以使用交换机、集线器与网络连接，或者与集成伙伴的产品安装于同一台机器上。下图表示NetworkAgent与网络连接的多种方式。在某些配置中，可能需要多个NetworkAgent。集线器配置7与集线器连接时，NetworkAgent可以插入到集线器的任何端口中，因为集线器采用广播方式的工作原理，这样，NetworkAgent就可以监控和管理通过该集线器的所有网络流量。交换机配置通过采用交换机与网络连接，将NetworkAgent连接到交换机的某端口中，将该端口设置为映射、监控或监听网络出口端口（通常是防火墙内端口）的所有流量。并非所有交换机都支持监听或者端口监控。请与交换机供应商或服务提供商联系，查看该交换机是否支持此配置。网关配置NetworkAgent也可以安装在网关上，用于管理和监控所有互联网流量。这种配置仅支持Windows操作系统，建议中小型配置采用，因为网关和NetworkAgent软件之间的资源争夺可能影响性能。根据与企业IT管理人员的沟通，我们建议目前按照单独部署的方式进行部署测试。83.3、集成式部署建议一般来说，网关设备作为企业内部访问互联网的必经之路，主要功能是提供防火墙、代理、缓存等功能来提高上网性能。网关设备的上网管理功能都是非常简单的，设置和报告系统也是比较复杂。WebsenseEnterprise可以与多种安全网关和网络产品集成，包括防火墙、代理服务器、缓存、交换机、路由器和其它装置，例如与CiscoPIX,JuniperNetscreen,Checkpoint,BlueCoatProxy、CiscoContentEngine、NetworkApplianceNetCache和MicrosoftISAServer等网络基础架构产品无缝集成，具有实名认证、部署灵活和操作方便等特点。因为网关是企业内部所有访问互联网流量的必经之路，因此Websense通过和网关设备进行配合，可以补充网关设备所无法提供的内容安全的检查，通过Websense系统后台提供的专家数据库，实现严格的网页内容过滤功能。工作原理：1.客户端发出浏览网页请求2.防火墙或者其它网关设备收到请求，并把请求转交给Websense系统查询相关网页内容安全要求3.Websense在自己独有的网页专家数据库中查询并得到结果4.专家数据库将结果返回给Websense过滤系统5.Websense根据相应策略决定是否允许该访问，并把结果返回给防火墙或其它网关系统96.Websense通过专家数据库查询得到的结果被统一记录在集中报表系统中4、Websense优势特点Websense作为网页过滤和网页安全解决方案的全球领导者，跟其他产品相比主要有以下优势特点：报告功能安全分类，病毒阻挡分级管理与控制实名制AD集成URL分类全安全警告服务统计某个部门或者用户的Internet访问流量/计费信息4.1、报告功能Websense提供了功能完善的多种报表工具，完全弥补企业以前缺乏上网记录和审核机制上的不足。WebsenseEnterprise提供最先进的功能，用于识别企业在效率、安全、法律责任方面的风险级别，以及员工使用因特网所造成的网络带宽损失。通过实时监视和强大的追溯功能为整个企业提供即时深入的分析、例外跟踪和趋势分析。以预设置的间隔或特定的频率运行预定义和自定义的报告。通过电子邮件将报告自动分发给选定的人员。将报告导出为各种格式。WebsenseReal-TimeAnalyzer™当前在线的网络活动分析，包含所有活动、带宽使用情况，以及网络使用政10策的执行情況。WebsenseExplorer™基于web方式的互动式报表引擎，为IT与各部门主管分析员工的网络使用状況以及详细情况提供了方便的工具。WebsenseReport