全网行为管理

需求分析

不明身份、不明终端入网造成内网安全风险剧增

1、非法接入：外来人员拿一根网线即可接入到公司的内部网络，给公司各业务系统带来风险
2、不合规终端入网：未安装杀毒软件、不合规操作系统、终端使用弱密码等不合规终端接入网络，给内网环境带来极大的威胁，比如导致病毒内网疯狂传播

看似正常的上网行为，隐藏着巨大风险

       1、带宽滥用：员工上班时间使用无关应用（如P2P、流媒体）占用大量带宽，邮件发送、资料下载、视频会议等收到严重影响，导致公司核心业务无法保障；
       2、外发泄密：敏感数据/文件被随意外发，如个人隐私信息、组织机密信息、政务文件、红头文件等；无监测预警，未合规审计，不知道内鬼是谁
       3、网络违法：利用组织网络进行网络造谣、人身攻击，肆意外发反动、赌博、色情信息，给公司和组织造成极大损害，且遭受法律追究；
       4、上网难监管：办公室沦为免费网吧，工作效率低；先进的加密、代理技术让非法“内容”容易绕过管控；同一个应用有好坏功能之分，管和不管两难；

业务访问异常行为难发现，账号滥用难管理，出现问题时难追溯

       1、业务行为不可视：员工在访问业务系统的时候，因为业务员操作进行全面审计，导致出现操作失误或数据泄密的时候无法定责
       2、异常行为难发现：员工访问业务系统，可能会存在一些恶意或无意的行为对业务系统造成危害，如大量下载数据、爬取所有数据、执行删除、清空等敏感操作。
       3、网络违法：利用组织网络进行网络造谣、人身攻击，肆意外发反动、赌博、色情信息，给公司和组织造成极大损害，且遭受法律追究；
       4、上网难监管：办公室沦为免费网吧，工作效率低；先进的加密、代理技术让非法“内容”容易绕过管控；同一个应用有好坏功能之分，管和不管两难；

业务访问异常行为难发现，账号滥用难管理，出现问题时难追溯

1、业务行为不可视：员工在访问业务系统的时候，因为业务员操作进行全面审计，导致出现操作失误或数据泄密的时候无法定责
2、异常行为难发现：员工访问业务系统，可能会存在一些恶意或无意的行为对业务系统造成危害，如大量下载数据、爬取所有数据、执行删除、清空等敏感操作。

产品功能

【1】终端接入安全

■ 接入认证

        网络接入认证控制中有很多种认证方式可供企业选择，以满足企业不同需求层面、不同控制颗粒度的内网准入认证需求，主要包括以下几种：
        802.1X认证，又称为EAPOE（Extensible Authentication Protocol Over Ethernet）认证，主要目的是为了解决局域网用户接入认证问题。
        Portal认证，指用户通过浏览器访问外网的时候，被AC的认证驱动重定向到Portal界面，只有当用户登录成功，在线信息保存在驱动中之后，数据包才会被驱动放通，实现认证控制。
        MAB哑终端免认证，支持对哑终端进行放行，比如一些打印机，扫描仪等设备，可在入网失败用户中放行，需要交换机开启MAB属性。
        深信服AC支持丰富的身份认证方式：
       ■本地认证：用户名/密码认证、IP/MAC/IP-MAC绑定，支持绑定短信和微信快捷认证；
       ■第三方认证： LDAP、RADIUS、POP3、PROXY、数据库等；
       ■短信认证：通过接收短信获取验证码，快速认证；
       ■微信认证：通过扫描二维码，关注微信公众号进行快速认证；
       ■OA认证：支持通过OAuth认证协议对接，支持阿里钉钉，口袋助理，企业微信第三方账号授权认证；
       ■会议室二维码认证：支持提供二维码和会议号，用户扫码或输入会议号认证上网；支持通过验证手机号码实名认证；
       ■访客二维码认证：接待人员扫描访客手机上的二维码，备注信息后访客即可通过认证；
       ■双因素认证：USB-Key认证；
       ■单点登录：AD域、POP3、PROXY、WEB和第三方系统等；
       ■强制认证：强制指定IP段的用户必须使用单点登录。
       ■802.1x认证：交换机端口授权的认证方式，能够在认证通过之前有效阻止PC的TCP和UDP报文，实现二层的强管控。
       ■MAB认证：基于802.1x，支持哑终端通过MAC认证的方式接入网络，
       ■CA认证：支持基于802.1x的外部CA证书认证，同时支持在线证书状态查询（OCSP）；

■ 终端安全检查和修复

借助网络准入规则专利技术（专利号ZL200510037455.1），AC将按照管理员要求检查每位员工进行合规性检查，包括杀毒软件检查、登录域检查、操作系统版本、补丁情况、注册表键值、计划任务检查、终端进程运行情况、终端目录盘下文件情况、Windows账号规则检查等安全合规项，不满足预设安全级别的终端将不允许访问互联网或是限制其访问权限，从而提升整个内网的可靠性和可用性。

■ 终端安全管控

● 非法外连
安全入网后需要解决的另一个问题就是如何防止非法外联，AC支持从外联检查和外联控制两个不同的层次加强对非法外联的管控，全面保障内网安全。
外联检查顾名思义是用于检测上网终端设备上外设的使用情况，AC通过外联类型配置、违规处理、提示用户三方面来完成外设管理，在检查项配置中，AC提供了拨号行为、双网卡行为、有无线行为、连接非法WIFI、有无4G网卡、使用非法网关、连接外网和自定义外联等八种行为检查功能。当我们将设置好的策略下发至PC的准入客户端，准入客户端此时就开始发挥其作用。

● 外设管控
配置外设管控的检查规则，添加到检查策略并下发至准入客户端，可有效管控如下类型外设：

存储设备禁止终端使用便携式的存储设备，如U盘，手机，平板
网络设备禁止终端外界网络设备，如移动数据网卡、无线WIFI网卡、蓝牙适配器共享网络、手机共享网络功能。
蓝牙设备禁止终端使用蓝牙功能，如笔记本自带蓝牙、蓝牙适配器等相关功能。
摄像头禁止终端使用摄像头等相关功能。
打印机禁止终端使用物理连接的打印机设备等相关功能。
另外可处理的场景：

规则下发由准入客户端执行生效后，可以有效阻止监管程序上报非法外设接入的告警。

●离线审计

准入启动以后无法连接到网关或者2分钟内未收到心跳包回包则切换至离线模式，如果此时缓存的策略文件打开了离线审计开关，则会继续记录U盘/IM的文件操作：将要审计的目标文件备份起来，把行为记录到本地缓存，支持1G的最大缓存量，下次连上ac时上报到后台，在终端离线状态支持审计。

【2】业务行为审计

AC在互联网审计和业务审计（提供了应用审计、流量和上网时长、网页内容审计）、日志记录、报表分心等不同层级的全面行为审计。实现用户网络的全面管控，不仅支持互联网侧的行为审计，同时支持内网侧的行为审计，可以让用户对自己的网络行为有更多更全的管理监测方式。

【3】应用控制

        AC多种应用识别技术，全面识别各种应用，进而有效管控和审计。主要包括：
        URL识别： AC内置千万级URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术。AC除了内置的上百种URL类别以外，管理员还可以自定义URL分组，分组默认可以到500组，特殊场景可以扩容到更多组。根据组织内部特殊需求，将一些指定的URL划分到一个URL分组下，此时，各种权限策略就可以引用这个URL分组来做控制，满足精细化的URL控制需求，让企业内网管理更加灵活高效，更加满足“权限最小化”的管理原则。
        应用规则识别库：AC拥有国内最大的应用识别库，该库由深信服应用规则研发团队定期维护，保证库处于最新状态；该库支持2000种以上网络主流应用，4500条以上规则能识别125种以上IM、66种以上P2P/P2P流媒体、252种以上游戏、30种以上OA、16种以上网银、50种以上金融行情软件、45种以上金融交易软件、13种木马、30种以上代理软件和590种以上移动APP，涵盖主流的网络应用；
        文件类型识别：识别并过滤HTTP、FTP、mail方式上传下载的文件，即使删除文件扩展名、篡改扩展名、压缩、加密后再上传，AC同样能识别和报警；
        深度内容检测：IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等，基于数据包特征精准识别，且支持管理员自行定义新规则，以及深信服科技及时更新和快速响应；
        智能识别：种类泛滥的P2P行为，静态“应用识别规则”已经捉襟见肘，通过P2P智能识别技术，识别出不常见、未来可能出现的P2P行为，进而封堵、流控和审计。
        通过强大的应用识别技术，无论网页访问行为、文件传输行为、邮件行为、应用行为等AC都能帮助组织实现对上网行为的封堵、流控、审计等管理。

【4】带宽管理

有限的带宽资源如何分配给不同部门/用户、不同应用、不同的终端和不同的业务，如何保障核心用户核心业务带宽，限制网络杀手如BT迅雷等等占用资源？AC可以基于不同用户(组)、出口链路、应用类型、终端类型、位置、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。从而保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RMVB文件的带宽。精细智能的流量管理既防止带宽滥用，提升带宽使用效率。

【5】内部威胁感知

深信服内部威胁方案通过全网行为管理（AC）和内部威胁平台（ITM）组成，在各个分支公司出口部署AC来采集上网数据以及内网业务数据的日志内容，以及对分支用户的行为管控，分支的全网行为日志传到总部的ITM平台上，ITM平台统一对所有员工的行为进行分析，该平台有搜索引擎式追溯中心，可以快速准确定位泄密行为，支持AI智能涉密检测引擎，提高泄密判断的准确率和智能化程度，以人为中心的泄密风险分析，能快速定位到泄密风险，关注高风险用户，从而对泄密场景化进行分析，将用户的泄密信息与行为上下文对应起来，泄密分析更加准确。

产品核心价值

（1）终端入网管控
从终端入网开始，深信服全网行为管理AC对接入终端进行高精准度资产识别，提供802.1x、Portal等多种身份认证方式，同时进行终端安全基线检查、终端外设权限管控，帮助用户建立终端入网安全规范，降低安全隐患和数据泄露风险。
（2）上网管控
对于入网后的终端，深信服全网行为管理AC基于海量级URL库和应用规则库，实现应用细分动作控制，同时做到全面无疏漏的合规审计，支持动态流控、应用引流等技术，实现带宽分配合理，帮助用户保障上网规范和上网体验，避免违法违规。
（3）数据泄密管控
针对泄密风险，深信服全网行为管理AC对高风险数据外发路径进行控制，全方位监测和业务数据使用和数据外发行为，基于UEBA技术建模分析，及时预警敏感数据外发、账号共用、异常下载等风险行为，支持多种便捷的泄密查询追溯方式，帮助用户建立数据外发规范，分析风险，防止敏感数据泄露。