Internet的蓬勃发展,为各行各业提供了丰富信息资源。在享受互联网带给我们便利的同时,我们也应该清楚地意识到,经由互联网的访问而导致的安全威胁也日趋严重,已经成为安全防范的新重点。传统的防护手段面对新的安全威胁挑战显得力不从心,网络安全的发展,尤其是互联网内容安全,正在走向全方位,多角度的道路。如果能从管理的角度,提高对互联网访问的管理控制力度,杜绝可能带来的负面影响和安全隐患,防患于未然,将极大地提高内部网络的安全。
一、互联网访问控制的关键
互联网访问的管理和控制,归根到底是对访问者的管理和控制。一个好的互联网访问控制产品,要能做到基于用户的、细化、量化的访问策略定制。互联网访问主要包括Web访问和基于Internet的一些应用程序的使用。Web访问是指通过 URL地址访问Web内容,相应的控制手段主要有内容实时过滤、预分类列表方式等。
内容实时过滤是指在访问Web内容时,对内容进行实时扫描,根据已知的敏感关键字 /词、图片和页面构成特点,分析是否含有禁止访问的内容。这种方式不需要数据库的维护,但对分析算法的要求很高,否则会造成误判。实时的内容扫描分析,造成了网络延迟和较高的系统资源开销。而且,内容已经下载到本地,带宽已经浪费。
预分类列表是目前流行的内容过滤技术,实现基本原理是维护一个URL列表数据库。通过对互联网上各种各样的信息进行分类,精确地匹配URL和与之对应的页面内容。通过对各种分类列表数据的更新维护,保持分类的有效性。
评价URL分类数据库的原则:
* 数据库的生成
* URL数据来源于互联网,产品要具备高效、准确、智能、自动的整理分类技术
* 人工校验以核对分类的准确度
* 数据库规模
* 数据本地化
* 分类全面覆盖互联网内容
* URL数据项基本涵盖该区域所能访问到的全部网址
* 数据库更新
* 更新速度
* 更新频度和更新量
这样,从入口(Entry)级,实现内容过滤,节约了带宽,极大地降低了访问延迟,误判率也低。此外,基于预分类列表,可以灵活定制访问策略。
除了Web内容,一些基于Internet的应用程序,包括常用的即时通讯工具、 P2P文件共享下载、在线游戏、流媒体播放和股票系统等,也需要加以控制。越来越多的问题滋生于此,通过聊天、文件下载、网络游戏或其他程序的应用,导致的安全风险、生产力下降、带宽滥用、法律风险等问题层出不穷。
有了合理的定位和管理措施,清晰直观的监控记录和灵活多样的数据统计报表,也是互联网访问控制类产品的一项重要功能。支持对访问事钾。这部跑车算不算是部好车呢?当然算。但在台北街头这种客观环境之下,它还算不算是部好车?当然不算。
我从前有一只瑞士制的名表,是属于那种很贵,很多仿制品那型。因为要动,它才会上炼,不动它,隔一阵就停了。我后来不胜其烦,换了一个日本制的石英表,价钱祗有那只瑞士表的几十分之一,不但不用上炼,并且有两个时间,能让我不用花脑筋就可以同时知道台湾和美国加州的时间。早上六点它会把我闹醒,打球、洗澡也懒得把它脱掉,并且是夜明的。你说这两个表那个比较好?我可以很坦白地告诉你,因为后者比较有用,后者比较好。因此,在项目管理上,关于「好」的定义,是「有用」而非能用」。
「好」的第二个条件,要看它是不是能达到原先要达到的目的。如果说目的是代步,汽车比脚踏车好;如果说目的是运动,脚踏车却 比汽车好。在日常生活中,有人叫你去买苹果,结果你买了橘子回来。苹果和橘子虽然不是一样,但也许还勉强可以混过去。在项目管理上,如果要的是苹果,交货的时候却变成了橘子,这就不能算是一个成功的项目。为了避免这种错误,项目经理必须在项目设计时把项目结果的规格先弄清楚。口说无凭,要的东西都要写下来。交货的时候,如果我交给你的是规格上写明的东西,那我镜氖荼ū硐允?
* 是否支持基于不同数据项的统计排名
* 是否支持报告订阅
* 高速缓存和带宽管理
* 是否支持带宽的量化管理控制,比如文件大小,上传下载限额等
* 是否支持可选择的内容高速缓存
* 系统维护和管理
* 是否支持多种管理操作界面,常见的为Web方式
* 是否支持自定义的政策提示页面
* 是否支持设备运行状态监控
* 是否支持系统状态或异常情况通知设置
* 是否支持策略备份与恢复
* 是否支持本地数据库备份与恢复
* 是否支持多种方式的数据库更新
* 是否支持多种方式的系统升级
* 是否支持系统日志管理
三、产品形式
伴随着互联网的快速发展,与之对应的访问控制类产品逐渐受到人们的重视。从某种程度上讲,国外的产品从技术到理念,要优于国内的同类产品。而作为内容安全类产品,对本地化的要求非常之高。许多厂商都推出了各自的互联网访问控制类产品,形式主要有软件方式、防火墙集成模块和软硬件一体独立设备。
防火墙集成模块或软件方式控制的局限性
* 防火墙系统工作在网络边界,用以阻挡外界对内网的攻击。由于部署上的方便,目前很多防火墙系统内部集成了一定的互联网访问控制功能。但是防火墙主要工作还是在三/四层,其优势主要在基于封包的传输、访问控制,NAT地址转换等方面。而具体到应用层面,制定基于用户的、细粒度的访问策略,数据库更新维护,访问记录并生成详细的统计数据等工作,功能设计侧重点的不同以及额外的系统资源开销,导致防火墙集成方式的互联网访问控制无法满足用户对内容分析、过滤、管理和控制的需求。
* 而软件方式的互联网访问控制,由于受到宿主机系统资源配置情况、兼容性问题的影响,使得产品性能不能得到充分的发挥和稳定的运行。另一方面,采用软件方式的产品,在部署、管理和维护等方面,都存在着一些难以克服的不便因素。
软硬件一体设备的优势
* 专门定制的硬件配置和专用的操作系统,确保了系统高效、稳定地运行
* 无系统、配置等兼容性问题
* 易于安装、部署、管理和维护
四、部署方式
产品的部署方式,主要有串接和旁路两种,串接又分为透明网桥和网关模式。不同的部署方式,对互联网访问的控制效果也不一样。
以透明网桥模式部署产品,能完全控制网络进出数据,设备配置简单,基本上可以做到即插即用。而网关模式,能实现NAT、路由、防火墙等基本网关功能,完全控制网络进出数据,易于远程维护,但安装可能会影响到原有网络,且设备配置会复杂一些。所以,比较适合网络结构简单的小型单位。
旁路方式的设备部署,设备配置较简单,对原有网络中的数据传输影响最小。但不能实现UDP控制、带宽管理和部分网关具备的功能,且在大负载的情况下,控制效果不理想,会出现“漏网之鱼”。
五、有效的解决方案
理想的互联网访问控制解决方案应该是尽可能小的影响现有网络结构,采用软硬件一体的设备、实现基于用户的,全面的互联网访问控制管理。产品采用预分类列表技术,维护并不断更新一个较大规模的URL数据库,实现Web内容访问控制。并且支持对常用的联网应用程序的使用管理和控制,能够实时监控、记录访问事件,支持灵活多样的数据统计报表。通过配合防火墙、防病毒等安防设备使用,弥补现有产品功能上的不足,巩固内网的安全。 |
发表于 2009-6-4 17:49
|