引用本文:张志良 , 张亚磊 , 王小龙 , 等 . 深信服全网行为管理 AC 介绍 [J]. 信息安全与通信保密 ,2020(增刊 1):103-107.
摘 要
近年来网络安全形势迅速变化,企业内用户网络行为安全风险问题突出。深信服提出革新的一体化行为安全管控理念,并发布创新产品全网行为管理 AC,以终端准入管控、上网管控、数据泄密管控三大应用价值帮助客户有效应对风险,产品在对网络行为的识别、审计、分析、管控环节都应用了优势技术。
关键词:网络安全;行为安全;上网行为管理;终端管控;防泄密
内容目录:
0 引 言1 全网行为管理 AC产品理念1.1 需求背景:网络内部威胁日益突出1.2 产品理念:新一代行为管理产品2 全网行为管理 AC应用价值2.1 终端准入管控,建立终端入网规范2.2 上网管控,保障上网规范和上网体验2.3 数据泄密管控,建立数据外发规范3 全网行为管理 AC核心优势3.1 强大的行为识别3.2 全面的行为审计3.3 智能的行为分析3.4 闭环的行为管控
4 结 语
00
引 言
当前网络安全形势下,内部威胁日益突出, 尤其近年来物联网、大数据、HTTPS 等新技术的普及使网络风险更加复杂,企业内部网络行为安全管控需求明显加强,而传统解决方案存在弊端,不足以完善应对新挑战。深信服推出新一代行为管理产品“全网行为管理 AC”,以创新技术帮助用户实现“全网行为可视可控, 内部风险智能感知”,交付一体化内部行为安全管控方案,帮助满足用户需求。
01
全网行为管理AC产品理念
1.1 需求背景:网络内部威胁日益突出
随着互联网产业的快速发展,其相关产品越来越丰富,不仅线上产业链发达,许多传统行业生产线也逐渐实现联网升级管理,这种“互联网 ”式的变革被称为第四次工业革命。第四次工业革命基于一个跨地域的、开放的、自由的信息网络,涉及到社会各个领域,并带来一种开放性、兼容性、高效性与跨地域性的信息传播方式,它使人们的生活正在发生翻天覆地的变化,但同时,随着网络的快速发展以及各项 Internet 技术的广泛应用,也使网络安全危机空前高涨,并逐渐呈现出两大趋势。
首先,网络攻击形式由原来的针对 TCP/IP协议本身弱点的攻击转变针对企业特定系统和应用漏洞的攻击与入侵,例如 GitHub 遭遇大规模 Memcached DDoS 攻击、WannaCry 病毒在企业网络的肆虐等事件。
1.2 产品理念:新一代行为管理产品
2006 年,深信服科技首先在国内推出了网络行为审计和管控系统,率先提出“上网行为管理 AC”概念。上网行为管理产品注重组织对内部人员所有互联网访问行为的管控,包括上网权限、带宽资源、应用行为、访问内容等多个因素,帮助客户实现“上网行为可视可控”。上网行为管理 AC 推出后,迅速获得了市场的认可,十余年来已服务超过 50000家客户,连续十一年蝉联市场第一(根据 IDC 咨询数据), 并在 2011—2019 连续 9 年作为国内唯一产品入围国际 Garter SWG魔力象限。
近年来网络技术迭代加速,用户上网环境日新月异:互联网 HTTPS 流量占比超过一半, 且 SaaS 云应用普及,上网管控难度提升;移动办公和物联网兴起,导致接入网络的人员和终端更不可控;业务信息化加深,数据外发路径增多,企业的防泄密需求愈发强烈。为应对网络安全新形势,深信服在上网行为管理的技术积累上推出“全网行为管理 AC”,产品能力延伸到更多应用场景,为客户更全面地解决网络内部行为安全管控问题。
全网行为管理 AC 支持企业或组织针对用户使用网络的所有核心因素实施管控,包括终端、应用、数据和流量,进行统一的策略化监测和管理,且支持将行为数据汇总至深信服内部威胁管理平台 ITM 进行智能化分析,一体化方案实现“全网行为可视可控,内部威胁智能感知”。
02
全网行为管理AC应用价值
前述网络新形势下企业和组织客户的网络内部行为安全问题,根据风险发生的场景可归类为终端非法接入风险、上网违规访问风险、数据外发泄密风险。全网行为管理 AC 产品功能设计紧扣用户需求,以“终端准入管控”“上网管控”“数据泄密管控”三大模块针对性满足客户需求。
2.1 终端准入管控,建立终端入网规范
企业网络入网侧风险,包括非法身份接入内网窃取信息、不安全终端入网导致病毒横向传播、员工擅自使用 U 盘转移数据、非法外联造成内网暴露等。
深信服全网行为管理 AC 进行可靠的终端准入管控。从终端入网开始,AC 高精准度识别终端类型,对接入终端(包括 PC 和摄像头、PDA 等物联网终端)进行资产梳理和分类管理。终端连接网络时,提供 802.1x、Portal 等多种身份认证方式,适配员工和访客接入等多种场景。同时进行终端安全基线检查,包括有无更新操作系统补丁、有无安装杀毒软件等合规项。在终端入网后,AC 进行终端行为权限控制,包括外设 /U 盘管控、防非法外联等。全网行为管理 AC 终端准入管控帮助客户建立终端入网安全规范,降低安全隐患和数据泄露风险。
2.2 上网管控,保障上网规范和上网体验
企业的办公上网场景下,存在以下典型风险:无关应用占用大量带宽影响访问体验差、员工上班刷抖音 / 微博导致上网效率低、员工下载恶意文件导致主机中毒、员工上网发布非法言论带来法律风险。
深信服全网行为管理 AC 基于海量级 URL 库和应用规则库,实现应用细分动作控制,精准匹配企业上网管控规范;在上网体验方面, 支持动态流控技术,保障带宽分配合理,使专线价值充分发挥;在上网安全维度,AC 可智能识别封堵翻墙和远程软件,支持上网文件杀毒、恶意链接过滤、僵尸主机检测;并以专利 SSL 审计技术加持,做到全面无疏漏的合规审计。全网行为管理 AC 上网管控帮助客户保障上网规范和上网体验,避免违法违规,减少上网抱怨。
2.3 数据泄密管控,建立数据外发规范
企业网络中的核心业务数据存在两大类泄漏路径:网络外发泄密,包括邮件 /网盘 /云笔记等多种网络外发泄密;终端外发泄密,包括 U 盘拷贝、离网终端外发导致数据泄密。而传统的数据安全管理方案,缺少数据流转的可视化监测机制,管理员不清楚“有哪些数据被外发” 和“外发数据中是否包含敏感内容”,导致管理难以有效开展。
深信服全网 AC 提供完善且轻量的数据泄密管控方案,首先对指定的高风险等数据外发路径(包括应用外发、WEB 外发、终端外传等) 进行控制,从根源上切断高危类型的泄密行为;进一步全面监测和记录业务侧的操作行为,并基于 UEBA 建模分析、识别和预警共享业务系统账号、异常下载核心数据等行为;在终端侧和上网侧同样进行全面审计,通过多种内置规则识别风险外发行为;并通过文件相似度搜索、OCR 图像搜索等多种便捷的泄密查询追溯方式帮助企业及时响应疑似泄密事件。全网行为管理 AC 数据泄密管控帮助用户建立数据外发规范,分析风险,防止敏感数据泄露。
03
全网行为管理AC核心优势
深信服全网行为管理提出了新一代的行为安全管控框架,以人为中心,围绕用户入网、访问业务、上网、外发数据的全过程,实现全网行为的识别、审计、分析和管控。产品研发团队累计获得多项知识产权(已申请超 120项,已授权超 69 项),多项创新技术应用于产品核心功能,保障在各种实际环境下能充分发挥功能价值,有效规避网络内部行为安全风险。
3.1 强大的行为识别
全网行为管理 AC 具有强大的终端、应用、数据、流量识别能力,使产品适配场景广泛, 管控策略准确有效。终端识别支持主动嗅探和被动识别双重机制,根据终端指纹识别终端特征,可根据流量特征对终端进行持续安全基线监测;应用识别基于海量 URL 和应用规则库实现,运用应用关联连接识别、弱特征跟踪识别等关键技术,保障识别精准性。数据识别由自研FtID 文件类型识别引擎、文件内容提取引擎、基于 Docker 深度学习的 OCR 图像识别引擎强强联动,实现对文本、文件、图像数据的高性能识别。在流量识别方面,应用了基于十余项专利创新推出的“客户端代理 SSL 解密”技术, 可实现无感知、高性能、高可用的 SSL 加密流量识别。
3.2 全面的行为审计
全网行为管理 AC 具有全方位的全局审计能力,保障全网行为完整可视。通过网关与客户端联动实现上网审计、业务审计、终端审计, 其中上网侧支持网页、邮件等应用审计,日志内容直观显示 ;业务侧自动识别业务资产及关键动作,支持 HTTP/HTTPS 、FTP、SMB 等多种主流协议,记录访问 /响应详情,支持服务器访问状态可视;终端侧支持外设操作、U 盘拷贝文件、加密客户端应用等使用行为的审计,在离线状态下也可持续审计。
3.3 智能的行为分析
3.4 闭环的行为管控
针对已发现的行为安全风险,全网行为管理可联动多产品进行及时响应和闭环处置。入网前支持,全网行为管理支持联动第三方加强安全检查,如入网扫描漏洞、病毒查杀等,对不合规终端支持实现统一修复;入网后,全网行为管理通过深信服或者第三方产品进行用户风险持续评估;当发现风险时支持与其他多类型安全产品协同处置,同时其他安全产品可以通过全网行为管理对风险用户强制下线与隔离或限制访问资源。
04
结 语
传统的企业内部行为安全方案,如需实现全流程行为安全管控,通常由多种产品碎片化堆叠交付,部署和运维复杂,安全能力缺乏联动。深信服全网行为管理 AC 对行为安全实现一体化管控,为用户交付“融合易扩容、简单易使用、全局联动”的优势方案,新产品自 2020年 1 月正式发布以来,已服务超 500 家客户,产品价值获得全国各行业客户认可。
网络强国建设的思想库
安全产业发展的情报站
创新企业腾飞的动力源
投稿网址:http://www.txjszz.com
合作热线:010-88203306
