1 背景
随着计算机网络技术的迅猛发展,计算机网络在社会生活的各个领域正在迅速普及,信息的获取、共享和传播更加方便。各种组织如***、企业对于网络的依赖程度也越来越大,组织需要及时获取相关的信息以指导自身的工作、发展等,与此同时,信息安全的重要性也在不断提升。
一方面,互联网中存在着太多的风险,如钓鱼网站、网络病毒、信息窃取及各种各样的恶意代码,给组织网络带来巨大安全威胁;另一方面,海量的互联网应用、信息,也吸引着员工花费越来越多的时间享受互联网带来的乐趣,使得本来脆弱的组织网络中存在大量的无效利用,如:员工随意访问非法网站、发布非法言论、传递敏感信息、滥用网络资源(包括 P2P下载、IM 即时通讯、网络游戏、在线视频、炒股等)等,严重影响组织的生产效率,威胁着组织的信息安全,给组织造成难以弥补的损失。
如何保障组织的网络环境安全、规范员工的网络行为,保证网络系统正常运行,已经成为组织重点关注的问题。
2 为什么需要内容过滤
根据 IDC《中国用户 IT 安全现状与发展趋势》报告显示内容安全问题已经成为企业首要威胁。其中通过正常的网站访问、邮件收发、P2P下载、即时通讯、论坛、在线视频等业务给组织网络带来的安全风险、以及员工工作效率降低、敏感信息外泄等网络安全事件呈急剧上升的形势;而且随着互联网应用的深入,越来越多的网络安全事件发生在应用层和内容层。
传统防火墙作为网络安全的最基本设施,起到了不可磨灭的重要作用。但是我们应该注意到,对于新的网络安全问题,防火墙是那么的束手无策。
从防火墙的角度来看,它更多是一个访问控制设备,防火墙会把符合安全策略的流量放过,高级一点的防火墙还会检测协议的基本健壮性,只让合法的流量通过。但是,新的攻击手段不断涌现,大量的攻击都渗透到应用层或者“内容层”,他们在网络层面的表现是非常健康的,所以防火墙根本无法拦截这些威胁。
入侵防御(IPS)及防病毒设备,则将焦点聚集在有明确安全风险的网络访问上,它们可以防止组织的服务器免遭非法分子的恶意攻击,避免组织员工因为不恰当的网络访问而遭受病毒的危害;但是,他们无法阻止组织员工访问那些“安全”但是却不符合组织法规,乃至国家法规的内容,如***网站、未授权的知识产权作品传播。也无法阻止组织员工有意或者被诱惑的泄漏组织的机密信息,从而对组织造成巨大的经济损失。
2.1 网络安全危害
对于组织而言,内部员工不适当的网络资源访问不仅给企业带来了生产力和网络带宽的损失,还严重威胁着企业的网络安全架构和信息系统,甚至网络上的不适当或非法内容还极大危害着企业员工个人的身心健康甚至给企业带来法律问题,具体表现如下:
员工访问Web网页时容易被不安全的链接或者恶意下载威胁,机器上被植入各种恶意的代码程序,使所在机构成为僵尸网络或者感染病毒。
员工访问Web网页时容易被含有欺骗信息的钓鱼网站所欺骗,泄露个人银行帐号、密码等机密信息,造成重大经济损失。
员工访问、下载未经授权的论文、音频、视频、软件等知识产权保护的内容,并进行传播。这一行为,正在招致越来越严厉的处罚,而这些只能由组织来买单。
员工访问内容激进的网站、参与非法网络活动,发表敏感信息,传播非法言论,如反动、恐怖组织,网络诈骗等,这些行为也将影响组织的声誉,进而损害组织的经济利益;同时,由于这类网站通常违反法律规定,所以也会给组织带来一定的法律风险。
2.2 带宽滥用
员工访问Web网页时,往往会被娱乐性内容所吸引。相关统计数据表明,大部份企业员工会花费大量时间上网浏览与工作无关内容,不仅占用了企业的大量带宽,还降低了企业的工作效率。
中国大多数企事业单位的互联网出口带宽都不足10M,且单位流量所需花费的费用却位居世界前列。然而,很多员工的电脑一直运行着迅雷、BT、电驴等软件,进行着各种音频、视频等文件下载工作,像杂草一样迅速消耗大量的网络带宽。而正常业务则因为得不到需要的带宽保证而受到影响,造成组织的工作效率下降,甚至造成正常工作不能及时完成,给组织带来巨大的损失。
2.3 信息外泄
组织机密、核心信息的未授权传播,即泄密行为,同样会给组织带来巨大的损失。这种因为泄密给组织带来巨大经济损失的案例不胜枚举。需要注意的是,这种泄密行为不仅仅包括居心叵测的员工为了经济利益等原因的故意泄露组织的核心信息;也有可能是别有用心的外部人员,通过各种社会工程学等手段,诱使忠实可靠的员工将重要资料发送给第三方组织甚至是竞争对手。因此,必须通过更加可靠的手段阻止这种行为的发生。
3 内容过滤关键技术
内容过滤结合预分类技术和实时分析技术,对于网络访问进行控制。
顾名思义,预先分类就是事先对网站进行分类,在过滤时直接查询网站所属的分类即可,响应速度快,性能高,预分类库内容支持实时动态更新。预分类技术可以解决大部分的web访问安全问题。
同时,对于web报文、及其他网络协议(如FTP、SMTP、POP3等)进行深度解析,实时分析用户的行为以及传输的内容,根据组织的需要,对于无用的、有信息安全风险的行为进行控制,阻止对于组织有害的网络访问行为的发生。
两种技术的完美结合,极大提升了内容检测的检测效率和准确率。
² URL分类技术
URL过滤业务通过识别并屏蔽对恶意网站的访问能够在一定程度上减少木马,以及各种各样的恶意网页的传播,为用户提供一个更安全的网络环境。对于钓鱼网站,URL过滤功能更是其先天的克星。
华赛URL分类技术属于预先分类,同时采用基于网页关键字分类和URL分类两种方法,完全自主研发,具有完全的自主知识产权。支持的 URL 站点超过3000万,识别率大于85%,准确率大于90%,均处于业界的领先地位。
同时,通过支持用户自定义的URL分类,满足不同用户的各种特殊需求。
² 深度的协议分析、解码,多层次、细粒度的行为控制
通过对HTTP、FTP、SMTP、POP3、webmail的分析,区分上传、下载、收邮件、发送邮件等行为,以及发送文件的名称、类型、大小等信息,为组织提供不同层次、不同粒度的控制。组织可以根据自身的需要,选择网络访问的完全禁止,或者是允许浏览、下载,不允许外发信息;或者进一步允许外发少量普通文本信息,却禁止发送word文档、源代码文件等可能涉及核心机密信息的文件;通过不同层次、粒度的访问控制,保障组织的网络安全、信息安全。
² 一体化内容过滤
信息、文件是组织最终需要控制的内容,网络访问可以通过各种方法、各种协议来传递这些信息,通过对于关键字、文件名、文件类型等的抽象、公共化,方便用户的配置。如,管理者希望禁止用户外发任何office文档、压缩包类文件,则用户只需要配置一个文件类型对象组,然后在HTTP、FTP、邮件等相关协议中引用即可,不需要为每个协议进行重复配置。
² 领先的webmail签名
可根据用户需求为指定的Webmail品牌定制签名,使Webmail内容过滤更具针对性;能精确识别Webmail服务,包括发送邮件、上传附件、发送贺卡、发送明信片、设置自动回复等,为邮件审计和事后追查提供有力依据;签名文件和Webmail服务器保持同步,当Webmail服务器软件升级时,仅需升级Webmail签名文件,就能对最新的Webmail品牌的做内容过滤。
3.1 URL过滤
URL过滤功能对用户的HTTP请求进行访问控制,允许或禁止用户访问某些网络资源,可以达到规范上网行为的目的。
3.1.1 URL简介
Internet上的每一个网页都具有一个唯一的标识,称为URL(Uniform Resource Locator)地址。
URL的一般格式为:“protocol://hostname[:port]/path[?query]”。各参数含义如表1所示。
例如,如下图所示,对于“http://www.abcd.com/news/education.aspx?name=tom&age=20”:
www.abcd.com为hostname。
news/education.aspx为path。
?name=tom&age=20为参数部分。
1.1.1 URL过滤匹配顺序
URL过滤只对HTTP协议的URL请求进行过滤。
设备通过分析用户的上网请求中的URL,将URL和黑白名单、URL分类进行比较,根据策略对HTTP请求进行放行或阻断。URL过滤的匹配优先级顺序为:白名单、黑名单、自定义分类、预定义分类。当URL与某项匹配后,不会再进行后续的匹配。
黑白名单
设备将HTTP上网请求的URL与黑白名单进行匹配,如果匹配白名单则允许该HTTP请求,如果匹配黑名单则阻止该HTTP请求,同时显示Web推送页面。
当上网请求的URL与白名单匹配时,不会再进行后续的处理(包括AV、IPS等)。设置白名单有利于提高匹配效率。
URL自定义分类
URL自定义分类由用户自行配置和维护。URL自定义分类将具有相同特征的URL进行分类,用户可以根据业务配置策略,允许或拒绝各个分类URL的访问。相对于预定义URL分类,用户可以使用自定义分类对URL进行更为精细化的控制。
URL预定义分类,即远程URL过滤
URL预定义分类由安全服务中心提供并维护。URL预定义分类中定义了各种URL的分类,例如教育类URL、新闻类URL,用户可以根据业务使用策略,允许或拒绝各个分类网站的访问。使用URL预定义分类的情况下,需要建立到安全服务中心的连接。相对于需要用户自行配置的自定义分类,预定义分类已经预先对大量常见的URL进行了分类,用户可以根据这些分类轻松地控制内网用户禁止访问哪些类别的URL、允许访问哪些类别的URL。
防火墙策略支持对属于特定地址集的用户在特定时间段内进行访问控制。URL模块和防火墙策略相结合,可以实现时间和地址的URL分类过滤:
时间对象
USG支持在特定时间段内对HTTP请求进行URL过滤。
地址对象
USG支持对特定地址或者地址组发起的HTTP请求进行URL过滤。
1.1.2 URL匹配方式
URL过滤的黑白名单、自定义分类通过引用公共模式组来实现URL的匹配。例如,自定义分类uc:game引用公共模式组game,game里面有模式aaa.com、bbb.net,方式为任意匹配,那么URL中包括aaa.com、bbb.net的所有URL将被列入自定义分类uc:game。
1.1.3 URL分类库技术
URL分类库服务平台涵盖分类工作平台、中心数据库、查询服务器集群和升级服务器。其中,工作平台负责从Internet获取URL页面数据,采用自主研发的高智能自动分类技术完成URL分类工作,而分类结果数据则保存在中心数据库中。升级服务器会自动监测中心数据库的数据更新,并负责通知服务平台的查询服务器集群和客户的URL本地查询服务器完成数据升级。
客户获取URL分类服务有两种模式,本地查询模式与远程查询模式。两者最大的区别就是:本地查询模式需要在客户本地网络中部署URL本地查询服务器,由本地查询服务器为各种设备提供URL分类查询服务。相反,对于远程查询模式的客户,其设备是通过互联网直接访问URL分类服务平台,而获取URL分类结果。
1.1.4 URL热点库技术
当客户开启url过滤业务后,设备就近向全球部署的URL查询服务器进行查询,为了减少查询时延,增强用户体验,提供URL分类标准预置库,其中保存了收集到的热点网站分类信息。
标准预置库升级文件大小预计在10MB以下,且设备不需要经常下载更新。由于热点库的查询是在本地进行的,所以大大提高了URL分类查询的速度。
1.2 搜索引擎关键字过滤
搜索引擎关键字过滤是指对指定搜索关键字进行过滤,控制内网用户的搜索内容,防止用户获得敏感信息。
1.2.1 应用场景
目前支持进行关键字过滤的搜索引擎有Google、Yahoo、Bing、百度。搜索关键字过滤的典型组网如下图所示。
Device上开启搜索关键字过滤功能后,当用户在搜索引擎上搜索内容时,Device会对该HTTP报文进行解析:
如果匹配搜索关键字策略,执行过滤策略(阻断或告警);同时可以选择向用户推送Web页面,提醒用户访问受限。
如果没有匹配搜索关键字策略,则允许该HTTP报文通过。用户可以正常进行搜索。
1.1.1 匹配方式
搜索关键字过滤支持关键字匹配方式。例如,假设管理员在设备上配置了禁止搜索关键字“暴力”,当您在搜索引擎中输入任何包含“暴力”的词汇或语句,都将不能得到搜索结果。搜索请求被阻断后,设备将向用户推送Web提示信息,该推送的WEB提示信息可根据客户需求自己定义。
1.2 Web内容过滤过滤
Web内容过滤对用户访问Web页面的内容进行控制。
1.2.1 应用场景
Web内容过滤可以对HTTP协议传输的Web页面内容进行控制,过滤选项有:
网页浏览关键字:过滤网页上的内容。
HTTP POST过滤:过滤HTTP POST操作。
HTTP POST文件过滤:过滤HTTP POST文件操作。
上传/下载文件名关键字:根据上传或下载的文件名进行过滤。
上传/下载文件类型关键字:根据上传或下载的文件类型进行过滤。
文件大小过滤:根据上传或下载的文件大小进行过滤。
Web内容过滤的典型组网如下图所示。
下面以开启上传文件名关键字过滤为例,介绍Web内容过滤的处理过程:
用户发起上传附件的操作,触发发送HTTP报文。
HTTP报文经过Device时,Devcie会对其进行过滤:
如果匹配上传文件名关键字策略,执行过滤策略(阻断或告警);同时可以选择向用户推送Web页面,提醒用户访问受限。
如果没有匹配上传文件名关键字策略,则允许该HTTP报文通过。用户可以正常上传该文件。
1.1.1 匹配方式
网页浏览关键字、文件名支持关键字对象组匹配(任意匹配)。例如,假设管理员在设备上配置了禁止浏览关键字“暴力”的网页,那么用户将不能访问包含“暴力”的网页。
文件类型支持文件类型对象组匹配(精确匹配)。例如,假设管理员在设备上配置了禁止下载文件类型为mp3的文件,那么用户将不能下载文件类型为mp3的文件。
1.2 FTP内容过滤
FTP过滤指对FTP上传和下载的文件、FTP操作进行控制。
1.2.1 应用场景
FTP主要功能是向用户提供本地和远程主机之间的文件传输。在进行版本升级、日志下载、文件传输和配置保存等业务操作时,FTP功能被广泛地使用。如果FTP操作不受控,会给网络带来较多不可控的威胁。通过FTP过滤,可以对FTP操作(上传、下载、删除)、上传/下载的文件名、文件类型、文件大小进行控制。
FTP过滤应用场景
Device上开启FTP过滤功能后,当用户进行FTP的upload、download或delete操作时,Device会对FTP操作进行解析:
如果用户的FTP操作匹配FTP过滤策略,执行过滤策略(阻断或告警)。
如果用户的FTP操作没有匹配FTP过滤策略,则允许该FTP操作。
1.1.1 匹配方式
FTP文件名支持关键字模式组匹配(任意匹配)。例如,假设管理员在设备上配置了禁止使用FTP下载“暴力”,那么用户将不能上传或下载文件名中包含“暴力”的文件。
FTP文件类型支持文件类型模式组匹配(精确匹配)。例如,假设管理员在设备上配置了禁止使用FTP下载文件类型为mp3的文件,那么用户将不能使用下载文件类型为mp3的文件。
1.2 邮件内容过滤
当内网用户通过Webmail或SMTP/POP3客户端收发电子邮件时,邮件内容过滤对邮件地址、主题(标题)、正文、附件大小和数量、附件名或附件扩展名等进行监控,防止数据泄漏或敏感信息传输。
通过邮件内容过滤,可以防止企业内部的机密信息通过邮件泄漏到外部,同时防止内网用户发送和接收包含敏感信息的邮件,避免触犯法律法规和不良内容的侵扰。
1.2.1 Webmail邮件内容过滤应用场景
Webmail是指利用网络浏览器来收发电子邮件的服务或技术。Webmail不需要借助邮件客户端来收发邮件,只要能上网、有Webmail的账号就能通过使用网络浏览器从邮件服务器(电子邮箱)上收发邮件,极大地方便了用户。
Webmail邮件内容过滤是指当内网用户通过电子邮箱收发邮件时,对邮件地址、主题、正文、附件大小、附件名或附件扩展名进行监控。
1.2.2 SMTP/POP3邮件内容过滤应用场景
SMTP(Simple Mail Transfer Protocol)主要负责在Internet上对电子邮件进行传输。POP3(Post Office Protocol)允许客户端从邮件服务器上取得邮件。通过SMTP/POP3传输的邮件需要在用户PC上安装一个客户端,常见的有Outlook和Foxmail。
SMTP/POP3邮件内容过滤是指当内网用户通过邮件客户端收发邮件时,对邮件地址、标题、正文、附件大小和数量、附件名或附件扩展名进行监控。
1.2.3 过滤方式
SMTP/POP3的邮件与附件作为一个整体进行发送和接收,如果附件不符合设备的策略要求,整封邮件会被阻断;与SMTP/POP3不同,Webmail的附件上传与邮件发送是两个相对独立的操作,对于Webmail附件上传行为,如果附件不符合设备的策略要求,会对当前附件上传行为进行阻断,但不影响符合策略要求的邮件正文发送。
2 内容过滤带来的价值
2.1 保障内容安全,净化办公网络
通过设备预先集成的URL分类热点库,以及可实时查询的6500万个站点的URL分类查询服务,对于含有安全隐患的恶意URL及不符合组织访问规范的如***、反动等URL分类进行阻断,极大的降低了内网组织员工对于不良web页面的有意或被动的访问,保障办公网络的安全。
2.2 规范上网行为,提高生产效率
一方面,组织希望为员工提供便捷的互联网访问,方便员工及时获得最新信息,查询需要的资料;同时,也给员工更加弹性、更加人性化的管理。
另一方面,员工对于网络的滥用,带来了生产力的严重流失,生产效率的急剧下降。假设员工每天花费 1 小时的时间,那么从全年来看,就有一个半月的工资其实是白白领取的。而从整个的角度看,一年中,组织白白支付的工资数目将是非常惊人的。
通过内容过滤功能,鱼和熊掌可以得兼。
URL分类超多6500万个站点的库,以及每天超过100万页面的分析能力,几乎可以将所有员工访问的站点进行分类。同时结合用户可定义的关键字组、文件名称组、文件类型组进行关联分析;使得组织可以给员工提供便捷的互联网访问,相关的资讯、新闻、技术网站,都可以流畅访问,而娱乐、***、反动等网站则无法打开;即便合规站点内偶然出现的娱乐等信息,也可以被禁止下载,保证员工的工作投入。
2.3 控制信息发送,避免信息泄漏
允许员工访问互联网,除了对网络的滥用,降低生产效率外,信息的泄漏是另外一个给组织带来巨大经济损失的问题。
组织员工可能因为薪水、人际关系、受到暂时的不公正待遇等各种原因而对组织心怀不满;也可能收到巨大的经济利益诱惑;也可能因为警惕性不强,受到心怀叵测的外部人员欺骗,将组织的知识产权、项目报价、内部政策等机密信息泄漏给第三方乃至竞争对手。BBS、博客、ftp文件传输、邮件客户端、webmail等都可能泄漏这些机密信息。
BBS、博客的信息泄密,内容过滤通过对HTTP 协议的深度解析,通过发贴的关键字的审计来过滤员工的发贴行为,使得包含相关关键字的内容无法发送到外部网络。
FTP 泄密的典型事例,是组织员工通过FTP将设计文档、源代码等文档发送到第三方乃至竞争对手。通过对关键字和文件类型、文件大小的限定,对于通过FTP把相关文件的外传行为,将得到有效控制,并留下审计日志,方便事后追踪。
而对于邮件发送中,除了关键字、文件类型外,还可以通过限定收件人,来控制信息外发行为,避免信息泄漏。
3 典型应用
中小企业一般具备不足10M的互联网接入带宽,其中一部分企业部署了防火墙。企业主要面临的威胁和痛点是:P2P、视频流阻塞正常业务,正常业务流量受到侵占;娱乐网站、IM、网游等影响工作效率;浏览器、文件漏洞感染PC,隐私、身份数据的丢失;内部员工通过各种方式将内部机密信息外泄;
内容过滤系统部署到企业互联网入口处,也就是“串联”在公司网络和互联网接入设备之间,如果已经部署了防火墙,一般会把内容过滤设备部署在防火墙内侧(企业侧)。同时结合设备具备的多层次的用户管理功能,为不同角色的员工设置不同的内容检测策略。如工作时间禁止一切娱乐类站点的访问;对于研发部门,进一步禁止非技术类站点的访问;对于研发部门员工,禁止各种的文件外发行为;对于市场人员开发邮件等文件外发,但禁止包含可能泄密的关键字、文件类型等。
本文链接:https://www.kinber.cn/post/2251.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝: