当前位置: 首页 > 关于我们 > 新闻中心 > 新闻快讯 > 2013

关于我们About Us

  • 关于网康

    公司简介
    企业文化
    品牌期刊

  • 新闻中心

  • 视频专区

    产品视频
    客户案例
    媒体专访
    市场活动

  • 公司优势

  • 联系我们

上网行为管理产品、市场与应用现状调研报告(4)

信息来源:格物资讯      发表日期:2013-07-22 11:56:00

 

未来之路

  在需求导向的安全市场,厂商和渠道都只是受益者,无法决定上网行为管理的未来。需求都是用户创造出来的,所以上网行为管理未来路在何方,完全要由用户说了算。

  有鉴于此,笔者在专题制作过程中对一些已部署过上网行为管理的企事业单位进行了调研,实地了解了此类产品正在发挥的作用及用户对它的看法。总体看来,用户对上网行为管理产品的感受与期待要远远多于其它安全产品,其原因可以用某用户交流时说过的一句话来概括:“几乎所有安全产品都是给IT打补丁的,唯独上网行为管理堪称有手艺的裁缝,只要IT和管理层提想法,它就能够量体裁衣。”

title

(图片引用自互联网)

  非常精辟的总结,一语道破安全和管理的根本差异。笔者在调研中就有一个特别明显的感受:就像本文开头的案例中描述得一样,IT人员主要对网络管理、优化相关的功能表现出强烈关注,管理团队则格外看重审计报告、数据分析等决策辅助功能。来自后者的反馈更具活力(很多都是具有创新精神的功能建议),昭示着未来上网行为管理的发展将从对网络的管理转向对人的管理。上网行为管理这个称谓看来也用不长久,未来也许得换成诸如“企业信息化管理”这样的名字。

  那么从管理角度出发,用户又存在哪些需求?目前的上网行为管理产品又能满足几分呢?笔者归纳出一些具有代表性的观点,希望能将上网行为管理的未来之路描绘得更加清晰。需要理解的是,因交流中涉及到一些与业务紧密相关的信息,不少用户仅愿匿名接受采访,笔者稍后都做了相应处理。

 

人(User)

  上网控制也好,合规审计也好,它们终都必然被关联用户的具体身份,所以人才是上网行为管理终的作用对象。而人是依靠设备接入网络的,随着移动互联网时代的到来,对BYOD(尤其是移动终端)的管理几乎成了所有受访者的共同需求。

byod

(图片引用自互联网)

  出于保密等方面的考虑,一些企业针对BYOD制订了严格的访问控制策略。阳光保险就是一个典型用户,据信息技术中心李少武介绍,为防止业务数据泄露,行政部门要求禁止未备案的设备私自接入网络。他们希望并且成功利用上网行为管理实现了这一要求,相比其它类型的解决方案配置管理更加灵活,性价比也更高。李少武还认为,虽然部分下一代防火墙也具有对移动终端的识别控制能力,但由于部署位置的关系,来自企业内网的互联网访问请求会先到达上网行为管理,它理应成为身份认证与准入控制的核心。某广告设计公司的CEO则认为,移动终端接入企业网络后的行为大多与业务无关,索性直接要求IT部门用上网行为管理屏蔽了手机、平板电脑等移动终端访问互联网。

  也有部分企业对BYOD表现得比较友好,但这无疑为管理制造了难度。京东商城杨刚就提出了不少需要上网行为管理提供支持的特性,例如需将属于同一个人的多台设备进行关联,执行同样的管理与审计策略;对不同系统、不同类型的终端提供更友好的认证支持等。他还特别强调上网行为管理需要加强与外部系统协同认证的能力,以保证笔记本电脑在采用不同认证系统的有线/无线网络中切换时,单点登录的有效性及身份的统一。在接受采访的用户中,杨刚这一观点很具有代表性。

  除了认证方面的需求,移动终端的普及也使得位置成为上网行为管理必须能够感知到的重要元素。北京实用美术职业学校信息中心的程士斌老师就提出,希望能够根据无线终端在校园内不同的接入位置,执行不同的流量控制与审计策略。而北京某大型购物中心则更进一步,已经利用上网行为管理实现了对不同楼层接入用户弹出带有针对性广告的认证页的功能。

  其实,对移动终端的控制可以看做传统访问控制策略的延伸。安全设备实际上提供的是访问控制和安全防护两类功能,对于前者来说,上网行为管理目前并不弱于下一代防火墙,相反在很多细节上做得更好。实际上,调研中接触到的很多用户,都已经把针对办公网制订的访问控制策略迁移到上网行为管理设备中。

 

应用(App)

  从技术角度看,上网行为管理、流控与下一代防火墙都以应用识别为根本,但要论对应用流量的管理优化,上网行为管理体现出的能力则远远不是主打安全的下一代防火墙和主打流量控制的流控产品所能比拟的。

application

(图片引用自互联网)

  国内某著名互联网企业的IT运维主管在交流中就分享了这样一个案例:P2P下载造成出口拥塞是长期以来令他头疼的问题,他曾经尝试为P2P流量设定了非常小的带宽上限,却很快引发大量投诉,原因是很多员工抱怨下载业务数据时的速度也严重变慢。最后,他使用了上网行为管理提供的下载配额功能,为每个员工每天限定了合理的下载配额,既保证了P2P下载业务数据时的速度,又有效遏制了网络滥用行为的发生。

  无特色偶,程士斌老师在交流中也提到了类似的需求。学校提供网络接入环境,主要目的还是为了提升学生的学习效率,并不鼓励用来做太多与学习无关的事情。他对于P2P的管控思路,是利用上网行为管理对每个学生每月的P2P流量设定配额,如果超出,再对该该学生执行相对严格的P2P限速策略。

  除了应用流量层面,一些用户还利用上网行为管理对网络访问行为实现更细粒度的控制,以满足特定的业务需要。某图书馆就曾出现过个别读者恶意超量下载国外收费数据库中的资料,导致服务被数据提供方中断的事故。由于电子阅览室提供了无线接入,大部分读者都通过自带设备访问网络,无法进行终端层面的限制。终,IT人员利用部署在网络出口的上网行为管理产品,通过身份认证(基于借阅证)、多线程下载控制和HTTP下载频率控制功能实现了文献下载的精细化管理,有效遏制了恶意下载行为。

  上网行为管理赋予IT部门更强大的访问控制能力,但即便是再详细的访问控制策略,效果也赶不上基于应用的白名单访问控制。杨刚就是这个思路坚定的支持者,据他介绍,京东商城利用上网行为管理对员工访问互联网实现了针对应用的白名单控制,只为每个员工开启他们业务需要的应用类型,再辅以全方位的审计,从根本上保证了工作效率,也在一定程度上减少了安全隐患。实际上,调研中很多用户都承认对应用白名单的思路充满兴趣,但实施过程中在技术与管理方面可能出现的不必要的麻烦,是做出决策时的较大阻力。

  阅读原文:http://t.cn/zQc8leM