1.1 提升工作效率
上班时间无关网页浏览、QQ聊天、在线炒股、网络游戏等降低了机构的生产效率,如何在上班时间对内网员工的网络行为进行管理和引导?
1.1.1 网页过滤策略
上班时间从事私人活动,管理者却难以阻止,如上班时间浏览新闻网站、论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法,让管理者实现指定的员工和部门在工作时间只能访问特定的网站,例如行业信息网站、公司门户网站等,而其他未经允许的网页浏览都将被拒绝。
1.1.2 IM(即时通讯)聊天软件的管理
上班时间使用QQ、MSN等私人聊天,不仅影响工作效率,还可能因IM传文件而引入病毒和向外泄密。面对Skype、Yahoo Messenger、飞信等众多IM软件,IT管理员使用现有防火墙等传统网络安全设备,通过封堵端口和服务器IP的方式,不仅费时费力且无法根治。AC通过检测应用数据包的特征字段,实现对IM聊天软件、在线影音、炒股、网络游戏、下载等诸多应用的管控。
1.1.3 各种行为的管理
网页过滤、IM聊天等管控只是内网行为管理的一部分。面对员工上班即下载未看完的电视剧,搜索最新网络新闻、图片、视频,上班时间更新博客、上传图片、下载电影、程序等问题,AC通过限制用户搜索指定关键字,过滤用户上传下载的指定文件,将员工精力更多聚焦在工作上。
1.1.4 上网时间管理
每个机构都有其工作时间安排,所以,根据不同时间段为用户分配网络访问权限,是专业上网行为管理设备必须考虑的问题之一。AC通过为不同部门、不同员工,基于时间段进行权限分配,也可以限制员工一天内总的上网时间,实现人性化管理。
1.2 保障内网安全
多数机构已经在公网接口处部署了防火墙、IDS等设备,但内网依然病毒频发、攻击不断,是何原因?堡垒最容易从内部突破,内网员工主动“邀请”病毒、木马等进入内网!
1.2.1 拦截不良网页
AC内置自动更新的海量URL库,包括色情、反动等分类,潜藏在此类网站中的威胁将被AC轻松过滤;AC允许用户手工添加新URL分类;再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字,实现对各类网页的全面过滤,降低内网员工访问不良网页和危险网页的可能。
假冒网上银行的钓鱼网站、加密的反动网站等,显示“加密化”已经成为趋势,而业界多数设备无法对SSL加密网页进行管控。AC通过证书验证链接黑白名单技术,过滤含有不可信任数字证书的SSL网站,实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。
1.2.2 文件传输控制
针对QQ、MSN等IM软件的病毒,通过引诱用户下载指定文件或打开指定URL链接而传播;AC的“拦截不良网页”措施将避免用户访问含病毒URL地址;AC还可限制使用QQ、MSN等传递文件。
通过HTTP、FTP从互联网下载的文件,往往打开或运行后导致用户电脑感染病毒、木马,甚至瘫痪。该风险“感染点”还会伺机爆发,感染更多用户,瘫痪整个网络。而此类行为和流量经过AC时,AC首先限制用户通过HTTP、FTP上传下载指定类型的文件,对于允许传输的文件,AC的网关杀毒功能将查杀该文件中潜藏的病毒、木马。
1.2.3 修复内网安全
根据木桶理论,机构内网的安全级别取决于安全等级最低的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等,但并非所有用户都能遵从,进而形成内网安全短板。一旦该“短板用户”访问安全风险网站、下载含病毒文件、执行非法程序等,极易导致自己感染病毒,还将感染整个内网员工群。借助网络准入规则技术(Network Admission Rules,NAR)(专利号:200510037455.1),AC将检测接入终端的操作系统及补丁、杀毒/防火墙软件等安全状况,不安装、不运行指定安全软件,就不允许接入Internet,从而修复内网安全短板。
1.2.4 防DOS、防ARP欺骗
即使部署众多安全措施,安全威胁仍无孔不入。来自外网的DOS攻击AC能防御;而来自内网的DOS攻击,不仅吞噬带宽,还将影响出口网关的稳定。传统防火墙等无法防御内网的DOS攻击,而AC通过检测流量和异常网络行为等技术,彻底防御来自外网和内网的DOS攻击。
ARP(Address Resolution Protocol)协议原本用于“从IP地址寻找MAC地址”,但病毒等引起的ARP欺骗导致子网内所有用户无法访问Internet,定位故障点又颇为麻烦。有别于部分厂商依赖第三方软件的方案,AC通过内置防ARP欺骗功能组件,保障用户网络的可用性和可靠性。
1.3 避免法律风险
身边的网络违法事件也层出不穷:网络间谍、网络泄密、网络造谣和非法言论等。如果员工利用机构网络发生,则法律问题和风险将难以避免;如果没有证据,无法找到直接责任人,IT部门则将成为该违法事件的直接责任人。
1.3.1 外发信息控制
员工们更多选择使聊天软件、Email、BBS、论坛、个人博客等将办公室和学校内信息发布出去。而AC能够封堵聊天软件,过滤和审计Email邮件收发,过滤访问论坛、网站的行为,而网络发帖AC一样可以进行过滤和审计,让员工们认识到自己需要为其网络行为负责。
通过AC提供的完整身份认证体系:可以启用Web方式的用户名/密码认证,IP和MAC地址绑定,对接入用户进行强身份认证,未经授权的接入用户将无法访问任何网络资源。
1.3.2 保护版权资料
AC的访问控制系统通过对HTTP、FTP、IM软件、邮件收发的内容检测和控制,可以阻止员工搅入版权问题;同样,当员工已经出现违法违规问题时,你可以在AC的数据中心中找到其违规记录,进而使机构摆脱不必要的纠纷。
1.3.3 法律遵从和举证
员工个人偏好导致的非正当网络行为,例如访问色情、反动网站等,AC能有效过滤和拦截;AC亦可过滤张贴的非法网络言论,即使逃脱过滤进入BBS的煽动性言论、网上聊天中的侵犯性语言等,也可在AC数据中心中找到相关记录作为法律举证的重要依据。
AC通过独立数据中心实现行为日志海量存储,结合图形化的报表、查询、统计工具,和内容检索工具,让机构的管理者可以轻松掌控您的网络和内部员工的网络访问行为。