全面加强网络安全的措施技术

四、没有用的邮件过滤

还有多数不当“有害”的信息没有用的邮件，虽然没有必会造成安全隐患，但却能导致带宽使用率，更重要的是工作效率的低下。

为了最大程度的减少这些影响带宽使用率及工作效率的没有用信息，必须找到一种区分没有用的邮件、正常邮件、可疑邮件的有效手段，例如没有用的邮件指纹识别技术，减少误判的随机特征码智能应答技术等。

五、优化带宽资源

不管采取什么方式上网，带宽终究是有限的，在不能够改变带宽的前提下，如何优化带宽资源，使其效率最高，是必须处理的疑问。但现实的疑问是，网管员对个人单位内部的带宽有效使用情况没有依据获知，就更谈不上改善了。

要做到优化带宽资源，第1步要考察内网网络使用情况，并形成可供决策的报表，有些厂商提供的数据中心就能够能够提供丰富的报表分析功能。还有，针对网内多数重要的网络服务，也有必要采取QOS技术，依据而保证重要的服务先行，避免没有用的流量挤占重要服务的带宽。

六、全面应用管理

全球每天有120亿条消息通过即时通讯软件（Instant Messaging，IM）被发送，这些IM应用也许是员工在和同事、客户讨论工作，但很多的聊天对象却是家人、网友甚至是陌生人。还有，网络上还有别的大量的和工作没有关系网络应用存在，包括网络游戏、在线炒股、P2P下载等，这些工作时间内的“丰富应用”造成了组织生产效率的非常大浪费。有些组织靠封端口、封服务器地址等做法在必须程度上有效，但因为服务器地址和端口会经常变换，这导致封服务器地址和端口成为一项持续的高成本工作，只可以是治标不治本。

在全面应用管理上更有效的封堵做法主要有两种，一种是基于应用协议和数据包的智能分析，另一种是针对流量进行检测。前者是通过分析IP数据包首部的服务类型、协议、源地址、目的地址还有数据包的数据部分，能够更好的找到特定服务。后者则能够针对特定网民的网络连接情况进行分析，当网络流量和网络连接超出规定的阀值时，网民的行为用被限制流量。

互联网对企业还有一个重要的危害是信息的过度流动。因为它是一个开放系统，只要使用者轻点鼠标，企业与组织的机密信息就能瞬间以光的速度到达竞争对手那里。而多数攻击性、侮辱性的网络漫骂/谣言，则可能会导致组织不必要的内部纠纷。还有，内部员工通过组织网络随意发表的言论，也可能给组织带着法律上的风险。

要防范这些风险，应该依据IM、HTTP、FTP、EMAIL等各个可能的出口，对外发信息进行审计和监控。所采取的措施应该包括记录与保存，对主要字的审计，甚至对多数主要的信息进行延迟审计。

八、应用权限设置

以上多种手段基本上能够满足一个安全高效的上网环境的建设，然而，一个组织内部，不同部门，不同人员，倘如果对网络应用都拥有同样权限，注定会使网络出于低效、危险的境地。所以在这里我们有必要再介绍一下应用权限方面的管理。

对网络网民进行权限设置是一种非常非常好的分级管理的措施。就流量优化而言，很多的带宽管理只可以对特定服务分配相应的百分比带宽，属于“一刀切”行为。更具效力的网络流量优化方式是基于网民的流量控制技术，再结合各种不同应用的角色分配，能够有更好效果。具体说来，在广域网的访问中，有些部门的特殊应用是应该而且必须获得独占性资源的，例如总部的管理层同各分集团主管召开的视频会议，而有些部门的非工作相关服务则不应获得当高的带宽，例如采购部门的P2P下载。通过分组流量控制,您能够对不同网民组使用的服务进行精细的带宽分配，保障重要部门的重要服务得到足够带宽。

除了服务管理，时间计划也是网络管理中的重要手段，这包括微观时间管理和宏观时间管理，前者包括用一周中每一天的时间进行划分，在特定时间允许特定部门进行特定活动，后者包括为各个部门的员工设置一周内每天的总上网时间，这是保证网络使用效率最大化的好手段。

长期以来，组织管理者为了营造一个安全高效的网络应用环境采取的是很多管理方式，如规章制度、使用守则、奖惩措施等。实际上，解铃还需系铃人，信息技术带着的负面影响最终或者要靠信息技术来处理。好的上网环境的建设是一个周密的系统工程，以上8种手段给我们打造安全高效的上网环境提供了一个开阔的思路。

当然，以上8种技术手段的应用，往往就得组织购买不同的IT设备：例如“一、提高边界防御”和“四、没有用的邮件过滤”就得购买相应的网关杀毒设备和防没有用的邮件设备，而“二、上网终端管理”则就得部署相应的客户端安全软件，“五、优化带宽资源”目前有多数专门做流量控制的厂商能够提供，如F5、Packeteer，但往往费用很贵，“七、外发信息审计”则涉及到多数监控审计设备；而“三、有害内容过滤”、“六、全面应用管理”、“八、应用权限设置”因为是新兴领域，目前还基本没有专门的厂商涉足。

购买这些不同的IT设备，一方面动辄几十万甚至上百万的费用投入对于大面积的网民来说都是难以接受的，另一方面因为这些设备分别来自不同厂商，管理界面各异，对IT维护和管理也是个非常大的挑战和难题。当，有没有我们接着看的一种处理方案，把以上8种技术手段都融入到一个设备里面，依据而便捷灵活的做的更好对整个局域网上网行为的有效管理呢？我们很高兴的观察国内近几年快速成长的网络安全及边界网络方案供应商深信服科技提供了我们接着看一种处理方案SINFOR AC上网行为管理设备。该设备包含“访问控制、带宽流量管理、内监控、安全审计、外发信息管理及数据中心管理软件”多个模块功能，并拥有“邮件延迟审计”、“网络客户端准入”、“P2P流量控制”等多项专利技术，还有，它还灵活的集成了“防火墙”、“网关杀毒”、“防没有用的邮件”等UTM安全模块，客户能够依据个人的网络环境和实际需求灵活选择是不是开启，有效弥补了防火墙等很多安全设备重外不重内、对上网行为缺乏有效管理的不足。

在提高边界防御和有害内容过滤方面，深信服AC设备内置了网关杀毒的模块，同时针对病毒的来源和传播途径，AC上网行为管理设备还能够非常非常好的配合客户原有的杀毒软件做的更好“治标治本”的效果。AC网关里面的URL过滤功能，能够对常见的非法网址/非法BBS论坛直接做的更好过滤，AC网关提供的对HTTP/FTP下载及P2P软件的封堵和管理功能也能够有效减少因为文件下载而引发的病毒传播。尤其值得一提的是AC里面的SSL控制功能，可控制网民通过SSL协议访问的URL，并可对SSL协议的证书做有效性检查，允许或拒绝网民访问持有指定X.509证书的网站，大大下降了网民被伪造的网上银行、购物网站欺骗的几率，避免网民陷入“网络钓鱼”陷阱。

在上网终端安全管理方面，深信服AC上网行为管理设备提供了一个“客户端准入规则”（Network Admission Rules，NAR）认证的功能，能够通过对客户端安全性的评估来做的更好网络访问控制，更好的维护网络安全防线。当采取了AC的NAR功能后，内网网民第一次发起互联网连接请求时，NAR用动态分发准入代理（Sinfor Ingress Agent，SIA）至客户端主机。SIA是轻量级软机代理，用于确定终端是不是遵依据管理员设定的安全策略，SIA可检查预定义的和可定制的标准，例如该PC终端有没有打最新的操作系统补丁、有没有安装杀毒软件、杀毒软件有没有升级到最新版本。当SIA用搜集到的客户端信息传回AC网关后，可能该PC终端的安全状态不符合SIA的规则设置，AC网关用对该网民执行预定义的策略，例如直接禁止上网或弹出警告，依据而有效避免某些员工因为忙碌或者偷懒而不安装杀毒软件和打补丁，或者虽然安装了杀毒软件但没有做及时升级而引发的病毒事件。

在网民身份认证、应用权限设置和外发信息审计方面，深信服AC网关采取了严格的身份认证和不同的访问权限策略，并可依据不同的时间段做灵活的时间管理，拥有URL过滤、主要字过滤、上传下载限制、深度内容检测、邮件过滤功能和独特的邮件延迟审计功能等众多功能，依据而方便组织和企业把与工作没有关系的上网行为降到最低，让员工更专注于工作，提高工作效率，并在技术措施上配合制度管理杜绝了内部机密可能通过Internet泄漏的隐患。

在优化带宽资源方面，AC设备网关除了提供智能QOS，还为网民展现了强大的流量控制功能，能够对内网网民组或终端进行流量控制，使得组织的网络带宽得到最充分有效地使用。

还有，深信服AC网关丰富的数据报表中心还能支持以图表的方式对局域网内人员的上网行为进行分析和归纳，如：每天上网情况的分析、访问最频繁的网站分析、应用和流量排名等，并提供时间、服务、网站访问、使用网络流量等多种分类排行榜，为网络管理员和决策者提供了最直观的数据统计。