上网行为管理技术——功能实现

来源：51CTO.com 作者：Arade 出处：巧巧读书 2007-12-30 进入讨论组

防止机密泄露

通过深信服科技2006年3季度的调查，在工作时间的互联网机密泄露事件中，9％的事件通过BBS、个人博客泄露，14％通过ftp等文件传输方式泄露，22％通过客户端邮件和Web邮件泄露，还有31％是通过IM聊天工具发送给好友。

只要你允许员工上网，就有可能打开机密泄露的大门。对薪水的不满、同管理人员的摩擦或者是个人情绪的不稳定，都可能导致员工在互联网上泄露涉及知识产权、内部政策、产品报价的重要信息。

在“管理即时通讯工具”章节中，我们已经提到了如何管理聊天工具的消息内容。而在文件传输、邮件和HTTP页面的访问过程中，AC也采取了丰富的内容检测措施以防内网机密泄露。

FTP泄密事件经常发生，一个研发（Research & Development）部门的人员可能通过FTP将公司新产品的源代码发送给合作伙伴甚至是竞争对手。在FTP的防护措施上， AC可以通过关键字和文件类型的设定来限制FTP的传输内容，对于内网通过FTP上传到公网的内容，AC将进行记录和保存，以便更好的对违规、违法员工进行网络行为追踪，进而更好的保护组织资产。

在邮件的发送中，AC可以启用邮件延迟审计（Postponed Sending after Audit , PSA）,通过PSA技术，内网的邮件将收到更为细致和全面的审查，以避免机密信息的不慎或有意泄露。具体内容您可以参考下一章的“邮件延迟审计技术”介绍。

BBS的访问主要分为Web登录和Telnet登录，对于Web方式的访问，AC同样可以通过对关键字的审计来限制内网用户的发帖行为，例如包含反动、邪教、色情的关键字将无法通过内网发到BBS论坛中；而对于Telnet方式的登录，AC亦可以记录命令的详细内容，以供后期的审查使用。

更多的安全机制

网络世界中每天都会出现不断变化的安全挑战，安全威胁的数量不断攀升，而对付他们的资源却十分有限。AC提供了一种简单的、整合型的一体化扩展方案。作为内容安全的有效补充，融入了更多网络层安全策略的AC提供了从TCP 3－7层的全面防护。

VPN/防火墙

AC集成的防火墙模块提供了虚拟测试功能，使误操作的几率降到最低，避免人为因素导致防火墙策略错误。而基于IPSec协议的VPN结合了深信服科技在VPN领域的多项领先技术，能够提供对网对网的连接和点对网的远程接入，通过高效率、低成本的方式实现组织和分支机构的网络互联以及内部员工的移动办公。

反垃圾邮件

AC同样在反垃圾邮件方面作了积极的努力，通过关键字过滤技术、智能应答技术、黑白名单和指纹识别等技术，AC可以有效地组织来自外网的垃圾邮件。

为了减少误判率，AC通过对关键字设定阀值来完成判断过程。通过扫描结果和阀值比较，AC将邮件分为三类：垃圾邮件（Spam）、正常邮件（Normal Mail）、可疑邮件（Doubtful Mail）。对于Spam，AC将直接删除。

对于可疑邮件，AC将进一步采用智能应答技术来减少误判率，通过发送请求回答

邮件来确认邮件发送者的身份。为了防止自动应答程序条件反射似的回复确认邮件，AC还要求邮件发送者输入确认邮件中显示的随机特征码（数字和字母的祝贺），以避免自动回复程序企图伪装成正常用户来逃避AC的审判。

AC的反垃圾邮件功能还借鉴了生物识别中的指纹概念。垃圾邮件多带有一些明显特征，例如含有很多广告的链接、大量极具诱惑又振奋人心的字眼，它们就是垃圾邮件的“指纹”。有些垃圾邮件程序还通过html等技术将一些含有垃圾邮件明显特征的内容、关键字做转换，以试图欺骗反垃圾邮件程序。AC对邮件中的每一个字符赋予一个数值，这个数字的确定是按照特定垃圾邮件的用词规律特点进行分类的，再利用统计方法给这封邮件计算出一个综合数值，根据是否与其他多次受到的邮件相似性来判断是否是垃圾邮件，因为多次受到的邮件往往是垃圾邮件。

入侵防御系统

IPS，即入侵防御系统(Intrusion Prevention System, IPS)，是抵制外部网络威胁最有效的安全防范技术。AC可为用户选配智能入侵防御系统，对所有流经网关的数据流进行实时检测，为企业提供了网络级的安全保护。由于采用了特征匹配、协议分析和异常行为检测等多项技术，智能入侵防御系统能够对所有可疑数据包实时阻拦，提高了对攻击行为判断的准确率，有效保证了企业的网络安全。

智能入侵防御系统对所有攻击特征库中的规则自动进行分类，分为高、中、低三个优先级别。管理员可以根据其自身网络的安全情况，对相应的优先级别规则启用IPS功能进行相应防御，同时还可规定发现入侵以后采取防御行为的时间间隔。一旦检测到可疑数据匹配到相应规则，则AC硬件网关的IPS系统就启动相应的防御措施。

防DOS攻击系统

DOS攻击(拒绝服务攻击)，通常是以消耗服务器端资源、迫使服务停止响应为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的。通常DOS攻击往往会导致服务器超负载运作，性能降低，影响正常用户的登陆，甚至造成服务器瘫痪。而DDOS (Distributed Denial of Service，分布式拒绝服务) 是指攻击者从多个计算机系统上向一个目标系统同时发起攻击。因而比起DOS攻击，危险性更大。

通常DDOS攻击是由黑客手动寻找可入侵的计算机入侵并植入攻击程序，再下指令攻击目标。AC不仅可以防御来自外网的DOS攻击，而且对于内网用户发起的DOS攻击，AC也可以进行防御。通过AC的日志系统，管理员可以根据内网DOS攻击日志，查找出内网中了木马或者病毒的用户，从而及时有效地阻断由内网发起的DOS攻击。避免了DOS攻击造成的组织网络带宽耗尽，或者因发起DOS攻击可能产生的不必要法律纠纷。

网关杀毒

如果您的内网缺乏有效的网关级杀毒引擎，你可以考虑在AC中加装杀毒模块。

AC可加载来自欧洲著名杀毒厂商的高效杀毒引擎，杀毒速度可达到200Mb/s，大大超过大多数杀毒厂商的网络杀毒速度，也大大超过普通企业的Internet带宽。强大的杀毒功能支持HTTP、SMTP、POP3、FTP、NETBIOS等多种协议的数据流，不仅可以查杀普通病毒邮件，还可以检查出各种压缩包（zip,rar,gzip等）隐藏的病毒，从而查找在合法内容中是否存在安全隐患。此外， AC的杀毒功能还可以针对网站和文件类型进行灵活的设置。比如可以对于一些公认的安全网站，不启用杀毒功能。或者有选择地对某些以exe、dll、dat等为扩展名的容易感染病毒的文件启用杀毒。

AC网关的杀毒引擎可指定时间每天自动升级，实现病毒库的实时更新，使AC更加灵活、安全地保护组织的信息资源。