"上网行为管理"这一网络安全领域里的新贵,经历了5年多的市场锤炼,目前已经发展成为一个相对成熟的产业。上网行为管理是针对网络中最不稳定的因素– 人以及人与网络发生的一系列内容交互行为–来进行安全防范和应对的。然而人是个性的,并且会不断变化,其与网络的交互方式和交互内容也会不断变幻,这也决定了上网行为管理产品自身的价值定位要与时俱进、因需而变。
目前,人们的网络行为正潜移默化地发生着日新月异的变化;相应的,上网行为管理所要应对的行为内容和应用环境也必须不断调整。从用户应用的角度看,上网行为管理产品未来的发展方向是什么?上网行为管理产品应该何去何从呢?
资深网络安全与互联网管理专家,网康科技产品总监宋强先生在互联网控制管理领域有着深刻的理解和经验,致力于互联网应用与上网行为管理的分析与研究,他认为上网行为管理产品将朝着以下四个方向发展:
第一 产品功能的完善
就功能而言,目前上网行为管理产品已经从先前单一的"网页过滤"功能发展到目前"应用控制"、"带宽管理"、"内容审计"等诸多功能,从多个维度全面满足用户对互联网的控制管理需求。为了实现这些功能,上网行为管理产品背后有3个大的数据库作为支撑,这就是"网页过滤数据库"、"应用协议数据库"和"用户上网行为日志库"。由于互联网内容的瞬息万变,上网行为管理产品特别要注重网页过滤数据库以及应用协议数据库的内容丰富和持续更新。
宋强认为,网页过滤数据库以及应用协议数据库的丰富和更新主要体现在三个方面:首先,是对国内中文网页、主流网络应用的全面覆盖。其次,是对国内中文网址的变更以及对各类主流应用不同版本的快速跟进。最后,是对各种网页的精确分类,对各种应用协议的精确识别,特别是对加密协议的有效识别。"上网行为管理厂商需要长期坚持不懈地完善网页过滤数据库和应用协议数据库,持续不断优化产品,给客户带来更大的价值。"
图一 上网行为管理产品功能架构
第二 产品性能的提升
上网行为管理设备承载着用户所有的互联网访问信息,它的性能将直接影响到用户网络的性能。而且,随着用户规模的扩大,用户群体对上网行为管理设备的性能提出了更高的要求,这意味着上网行为管理产品的性能必然要"精益求精"、"与时俱进"。
宋强认为,上网行为管理设备性能方面的提升主要体现在"大流量"、"高并发"这两方面,具体包括"吞吐量"、"并发连接数"、"新建连接数"等指标。吞吐量越大,上网行为管理设备的数据转发能力越强,用户所感受的网速越快;并发连接数越大,单位时间内保持的连接数越高,设备可管理的用户数量越多;新建连接数越大,单位时间内新增连接数越多,设备对网络突发流量的处理能力越强。因此说,"大流量和高并发是检验上网行为管理硬件性能的试金石。"
第三 提高网络的适应性
宋强认为,上网行为管理产品网络适应性的提升可以从三个层面来理解:首先,是对网络现状的灵活适应,对拓扑结构的适应。一般说来,用户在IT技术设施(路由器、交换机、防火墙等)规划得相对完善之后,才会选购上网行为管理设备。在这种情况下,新系统的部署不能伤害整网的架构,也不能影响到其他设备的性能。所以,灵活接入是我们构建互联网体系很重要的一部分。
无论是出口的路由,单链路、双链路串行接入,无论是否使用了代理服务器,网康上网行为管理产品都可以实现 "无痛接入"。网康设备可以"悄悄"进入到网络系统中,不影响网络固有的架构和"筋骨",能够全面满足用户对上网行为管理产品的网络适应性,特别是拓扑的灵活性等需求。
图二 网康上网行为管理产品的多种接入模式
其次,对用户的识别要兼容现有的管理方式。上网行为管理设备是管理互联网行为主体的,也就是管理"人"的,因此首先要识别用户。在企业网内或是局域网内,用户个体以IP方式体现,具体的IP对应着具体的员工。但是,系统管理员如何将种对应方式录入到上网行为管理设备中呢?
对 于大多数企业而言,在部署上网行为管理设备之前,企业已经建立起了各种各样的身份识别系统(比如计费系统、安全管理系统等),新进入的上网行为管理系统在 识别方面只需与原有系统做好兼容即可,这样既能提高效率,也便于实现人性化的操作与管理。例如,某企业使用windows AD域登陆入网,部署上网行为管理设备时,便可援引AD域中的员工账号,获得用户资质的对应项。
但是,原有的管理方式也会对上网行为管理设备提出新的挑战和要求。由于用户管理方式的复杂多样,新进入的上网行为管理产品想要适应原来的环境,也必须经过持续不断的努力和探索。
目 前,网康上网行为管理产品可以满足各种复杂网络环境,支持按照IP、MAC识别用户的方法,也支持基于网关本地用户名/密码方式的Web认证方式。此外, 还支持通过第三方认证服务器(如Radius服务器,Windows AD域服务器,LDAP服务器等)对用户进行认证。
图三 网康上网行为管理产品建立实名制主体识别
最后,上网行为管理设备必须关注新设备与老设备的互动,能够对先前部署的设备进行"统一管理"。路由器、交换机、防火墙、防病毒、反垃圾等设备都是串接入网 的。在这种情况下,假如系统中又部署了上网行为管理设备,我们能否在一个界面上看到所有设备的运行信息?能否有一个统一的信息管理平台?"作为一 个晚进入的设备,上网行为管理产品必须要接受统一信息管理及信息查询互动。"宋强认为,上网行为管理产品应该把基本信息传给系统中的其他网络设备,同时跟 这些设备互动、兼容。比如说,防病毒硬件反馈某个IP中了蠕虫,那么上网行为管理设备就应该有一个对应的反应,如提示管理员加载一个策略,说明这个IP存 在异常,不允许它在系统中发包。这就是上网行为管理产品与其他软硬件的互动。
目前,安全界有个叫Socks的理念(整体安全管理方案),它的思路是实现统一的安全管理,把防火墙、IDS、防病毒等设备以及一些日志统一监控并管理起来。如果上网行为管理用户日志也可以纳入其中,进行统一分析的话,就实现了日志信息的全面管理和统一管理。
由此带来的好处是显而易见的。可以想象,假如某一用户想看路由器、交换机、防火墙这三种网络设备的运行情况,他只需登陆上网行为管理平台即可查询到所有数据,而不需要重复进入这三种设备的界面。这不仅有利于提升效率,更有助于网管人员对网络进行统一管理。
" 孤岛性的设备是没有前途的。"宋强认为,当上网行为管理产品发展到一定阶段时,一定会考虑体系性地管理整个网络设备。"网络适应性就体现在三方面,第一是 设备能不能放进去,拓扑是否灵活;第二是用户的管理,能不能跟现有的管理方式融合和交互;第三就是信息日志跟别的设备、网管系统能不能融合,这都是以后要 发展的趋势。上网行为管理厂商需要长期不懈,坚持不懈的朝着这些方向努力。"
第四 深入挖掘日志 进行深度分析
宋强认 为,上网行为管理产品不仅仅是保障员工高效上网,保障企业网络安全的,更重要的是,它要得到管理层的认可,并且用实际的数据来体现它的价值,比如对公司的 成本控制,对公司的效益的分析需要具体的数字支撑,对员工工作效率的提升可以量化成某种指标。在此基础上,上网行为管理产品最终可以体现为"报表"。IT 管理员每周、每个月、每季度可以通过这样一个报表来展现信息,说明员工每天上网时长,上哪类网站,使用哪种下载工具,下载哪类资料,同时说明企业所租用的 带宽有多少是有效的,多少是被浪费的,让管理层一目了然地了解信息网络的使用状况。
"上网行为管理日志库中记录着海量的数据,其中有很 多有规律的资讯、有很多有价值的信息,如果挖掘出来为企业发展服务的话,一定能产生更多的效益。"比如说,一个大企业一天可能产生几G的数据,一个月就有 上百G,如果能将其中企业网络的运营效率,人员的工作状态进行全面分析的话,将是一种很有意义的尝试。这正体现了"商业智能"(BI,Business Intelligence)的概念,将企业中现有的数据转化为知识,帮助企业做出明智的业务经营决策。因此说,深入挖掘信息,从信息中提炼价值,绝对是上 网行为管理产品未来发展的方向之一。