北京亿百维科技有限公司

Websense技术白皮书
         如何有效规范员工上网 确保企业核心业务应用和网页安全

企业开放互联网资源所带来的问题

互连网给我们带来了很多方便和好处 :通过浏览和搜索容易访问到需要的信息 ;通过即时通讯工具可以方便地即时交流;通过视频软件可以实现网络会议。但是,访问这些内容也意味着在个人或公司的电脑保护系统中打开了一些 “洞”,从而 ,垃圾邮件 、病毒、间谍 /广告软件等引起的内容安全问题日益成为人们的忧患,严格的数据保密和安全法规也使一些公司和企业的 IT安全人员头疼 。同时我们还发现,不断提升和优化的网络资源却没有给您带来预期的效果。上网速度依旧慢,许多关键业务的联网操作无法得到应有的带宽保障。每天因为员工无意识地互联网访问而导致的机器中毒、死机现象还是时有发生。。。这到底是为什么?

我们归纳了企业开放互联网资源后所涌现的主要问题在于:

  • 企业网络资源的不合理使用,并导致工作效率下降

    • 根据 IDC 最新数据报导,企业员工平均每天有超过二分之一的上班时间用来在线聊天,浏览娱乐、色情、赌博网站,或处理个人事务;员工从互联网下载各种信息,而在那些用于下载信息的时间中,62%用于软件下载,11%的时间用于下载音乐,只有 25%用于下载与写报告和文件相关的资料。 互联网上的内容太丰富了,对企业员工有太多的诱惑,很多的员工沉溺其中,无法自拔,常常把自己的本职工作放在一边,导致企业整体工作效率没有提升反而下降。 调查数据显示以下为影响工作效率主要的互联网行为,它们与工作无关而且可能导致更多的问题(比如网络安全等):

    • 浏览色情网站
    • 浏览游戏、音乐等娱乐网站,下载大量与工作无关的音乐文件,在线听音乐,在线看视频图像等,不仅耽误工作,而且占用大量的网络带宽资源,影响其他人员使用公司的资源
    • 浏览相关财经网站,利用公司的资源在线买卖私人股票或浏览相关信息
    • 浏览“在线”购物和拍卖网站
    • 浏览赌博网站
    • 使用即时信息交流软件如MSN,QQ等
    • ……
  • 开放互联网访问给企业带来的信息泄密或网页安全问题

    • 越来越多的黑客采用网页的方式(网络诈骗、间谍软件、网页方式恶意代码等)对互联网访问用户进行攻击。企业员工非常容易受到漂亮的假冒网站的欺骗、间谍软件/网页恶意代码的攻击,造成个人信息被窃取、企业信息系统遭受破坏、商业信息被劫持等等。即时聊天工具、Peer2Peer应用也成为了黑客最新传播病毒的途径。

    另外,尽管大多数企业已经通过监控传统电子邮件方式,限制员工通过电子邮件方式泄漏企业机密信息,但是现在最新的互联网技术可以利用众多的网页存储空间、即时聊天工具、文件对等传输工具绕过电子邮件系统而直接发送信息到企业外部。

  • 公司网络资源不合理分配,带来严重的带宽问题

    • 许多上网人员不停地下载大容量的文件,比如大量的 MP3 音乐文件;或者在线听音乐、看视频电影、新闻等行为,严重占用网络带宽,造成网络堵塞,上网速度下降,影响其他员工的正常上网行为。互联网最新涌现的Peer2Peer应用(BT,Emule等)由于采用了对等共享、穿越防火墙等技术,会迅速耗用企业所有带宽,更成为了企业带宽控制的最大威胁。

  • 访问非法内容或涉及版权问题的资源,使企业有可能陷入法律纠纷

    • 在国内,法律规定了很多网站是非法的,比如有色情内容的、与反动政治相关的、与迷信和犯罪相关的等等。开放互联网资源后,企业内部网某种程度上成了一种“公共”上网场所,很多与法律相违背的行为都有可能发生在内部网中。事实上,这是很多企业要加强网络行为管理的最初的原因。 版权问题已经成为国内知识产权一直关注的问题,尽管目前国内对该问题的控制措施还有待加强,但是不少地区和企业已经开始加强这方面的管理和控制。例如,香港政府就已经明确规定禁止使用对等共享软件等会带来知识产权问题的互联网应用,否则将视为违法行为。


三层部署结构

目前主要的员工上网管理的厂商大多采用网关方式部署,配合后台网址数据库、协议数据库进行员工上网内容的过滤和管理。面临现在越来越多的最新出现的安全威胁,单一一个层次的防御是不足够的,因此技术领先的厂商提倡采用多层次部署和防御,以达到更好的管理和防御效果。Websense正是采用了3层防御的多层次结构:

  1. 在因特网网关层:可根据企业政策管理对网站的访问,并禁止下载某些文件类型。可根据您的组织的独特企业文化提供了灵活的上网政策。这个层次主要补充因特网网关无法识别网站内容的缺陷,完全实现内容级和用户级的安全设定。
  2. 在网络层:通过采用“网络代理(探头)”检验网络上每个协议数据包,分析管理非 HTTP 协议,例如流媒体、点到点文件共享和即时消息发送等。这个层次可以通过识别协议特征码的方式识别防火墙难以阻挡的对等共享应用、即时聊天附件传输等
  3. 在桌面层:针对桌面进行应用程序的管理、网络通讯端口的管理以及USB端口等硬件设备的管理,实现企业PC客户端的规范化使用,采用灵活的政策规定哪些应用程序可以启动,或者哪些应用程序可以访问网络,避免员工安装盗版软件、使用黑客工具、无意加载恶意程序等等。

如果员工使用代理回避的网站或者软件穿越我们的封锁,怎么办?

“道高一尺,魔高一丈”,尽管企业部署了网页内容过滤等产品来限制企业员工访问非法和不良的网页内容,但是仍然有那些别有用心的人采用一些代理回避的网站和工具来穿越企业的封锁。他们采用的主要形式有:

  1. 通过在浏览器当中设置国外的代理服务器 这种方式需要找到可用的国外代理服务器,操作较烦琐,需要有一定的网络知识。因此目前客户较少采用这种方法。
  2. 通过固定的代理回避门户网站 现在有专门提供代理功能的网页门户网站,(例如:http://webwarper.net/https://proxify.com/) 只需要把你希望访问的网址填写到代理地址栏中就可以了,非常简单易用。
  3. 专用的代理回避软件 有专门的客户端,通常通过https方式突破企业或者国家的内容安全的限制。国内的软件有:自由之门,Anonymizer等,国外的软件有:tor,ghostsurf等。这种方式需要安装客户端软件,但是应用最广,穿越的效果也最好。

    4. 针对这些代理回避的方法,也就要求我们建设的系统也能够有相关的措施进行应对。例如第一种和第二种代理穿越手段,我们可以收集代理服务器的地址以及代理回避门户网站进行封锁;第三种手段,我们需要结合前面的网站收集,并增加代理回避软件协议的分析和阻挡来完成。


    员工上网和网页安全方面的法律法规是什么?

    近几年来,更是有关于信息内容安全方面的法律法规不断出台。在美国州和联邦的许多新法律要求保护公司、客户和病人的信息数据。例如,美国的2002 Sarbox法令,HIPAA和 GLBA法令意味着需要内容过滤来保护公司的知识产权,保护敏感数据和减轻危险性,这既是商业行为也是法律行为。

    参考国外的相关法律法规,和信息安全相关的法律法规层次架构为:

    国内很多外企、金融行业已经根据行业的需要开始进行了信息审计的认证,在这些信息审计当中就严格要求了员工访问互联网信息的可审计、透明度、可测量等要求。员工上网管理系统无疑是实践这些信息审计要求的最有力工具。