1.1背景 

Internet互联网被称为信息高速公路,是一个对外宣传、获取外部信息和对外交流的重要途径。特别是近几年随着信息化建设的成熟,政府、企业都相继推出了网上业务系统,互联网已成为重要的业务处理渠道。 

互联网应用已经***到社会生活的每一个角落,成为人们学习、工作、生活不可或缺的工具,和政府、企业运营的基础平台。互联网为社会带来了巨大变革,但也产生了副作用。局域网内的成员能够在工作时间使用 IM 聊天、网上购物、在线欣赏音乐和电影,通过 BT 等 P2P 工具下载互联网资源、收发个人邮件等,除了员工或成员无心工作带来的直接损失,这些不良的上网行为还严重挤占了网络带宽,使得有限的带宽资源被滥用,业务无法得到高效运行。同时还让单位或企业面临泄密风险。 

针对用户互联网访问行为的管控,美国于 2002 年颁布实施《萨班斯-奥克斯利法案》对内控和行为日志记录率先提出了要求;而中国于 2006 年 月 日实施《互联网安全保护技术措施规定》-简称公安部 82 号令,也对互联网访问行为及访问日志等提出了具体而严格的要求,例如82号令规定网络服务提供者或使用者保留登录和退出时间、账号、互联网地址或域名等上网行为信息。 

网络出口工作在网络的边缘,是内部网络与Internet之间的桥梁。作为桥梁,出口的重要性是不言而喻的。出口如果断了,内部网络将成为信息孤岛;出口如果慢了,将造成用户体验下降,甚至影响整个办公业务。 

1.2安全风险 

网络出口的安全风险基本上可以分为三大类。 

第一类是***类安全。 

Internet网络中的恶意***者可能因为政治、商业目的或随机目的对企业网络发起恶意扫描和***式***,通过***或绕过防火墙,进入企业网络,获取、篡改甚至破坏敏感的数据,乃至破坏企业的正常业务和生产运行。Internet网络上大量肆虐的网络蠕虫病毒具备***防火墙的传播能力,他们可以穿透防火墙进入企业网络;一旦遭受了病毒和蠕虫的侵袭,不仅会造成网络和系统处理性能的下降,同时也会对核心敏感数据造成严重的威胁,甚至造成网络拥塞,导致业务和生产的中断。 

10年前出现DDoS***是一种简单的、效果显著的***。由于近些年僵尸网络的发展,DDoS***重新成为恶意***者的新宠,直接威胁单位和企业网络的可用性。一些新的病毒以IMP2P软件为传播通道,对企业网络的安全带来严重威胁。防范网页被篡改、防范网站被挂马等都是必要的网络安全措施。 

第二类是日志审计安全。 

重大政治事件、安全事件频发的大背景下,全国都在开展安全大检查,公安部82号令所要求的日志如何满足?如何避免公安网监日志检查带来的麻烦? 

企业和单位网络中,由于安全技能和安全意识存在差异,员工可能通过访问挂马网站、下载包含病毒的恶意程序,从而无意识的通过互联网络将Internet上 危险的、恶意的***程序和恶意代码下载到内部网络执行,甚至将Internet上的蠕虫、网络病毒传播进入内部网络,这将对企业网络的安全带来严重威胁。员工因为各种IM即时通讯软件、网络在线游戏、P2P下载软件、在线视频、浏览工作无关网站导致企业网络资源滥用、网络性能下降,严重影响正常工作,形成新的威胁。随着我国互联网相关法规以及版权保护的重视,企业员工非法下载盗版影视、图书等资料,或外发反动言论等行为,将给企业带来合规性问题,使企业陷入法律纠纷。 

完整的审计不仅是应对安全检查的必要内容,同时能够极大的降低由员工违规行为带来的安全风险,避免以上问题的发生。 

第三类是实名制安全。

不光接入网络要认证,访问Internet也要做准出认证,可以简单理解为网关认证。并在准出认证基础上,针对不同用户身份进行相应策略部署。