2009和2010年,是上网行为管理系统收获的两年,其市场增长速度和空间大大超过了很多行业预测机构及专家的意料。由之而来的是大大小小的上网行为管理厂商如雨后春笋一般的进入市场,市面上到处充斥着不同厂家的解决方案、宣传资料,其有些宣传彩页除页面的美观程度和陈述方法有所不同外,其内容基本相近,都在大肆宣传上网行为管理的诸多特点。是什么造就了如此火热的上网行为管理市场呢?作为一个企业IT信息部门的主管,如何在众多的品牌当中选择一个真正适合自己的产品?下一代的上网行为管理系统的未来会朝哪一个方向进行发展呢?要知道答案,还必须从上网行为管理系统的起源开始说起。
上网行为管理的“追本溯源”2005年,国内某安全设备制造厂商推出了第一台上网行为管理系统设备,其主要是为了缓解企业带宽资源紧张的问题,同时起到对员工上班时间的网络访问进行管理的作用。该产品推出的初期并没有引来太多的关注,并且在2006年度过了非常平静的一年,从2007年开始,随着厂家持续不断的推广以及由公安部颁布的 ' 互联网安全保护技术措施规定 (简称 公安部82号令 )执行力度的加强,上网行为管理市场开始持续升温,于2009年达到了空前火热的程度。
第一代上网行为管理 “渐入佳境”后的困扰截止目前,上网行为管理产品主要包括应用识别、应用管理、带宽管理、内容审计、内容过滤以及初级的准入控制功能。上网行为管理也被冠以”网络警察”、“网络督察”等名号,其角色被定位为网络领域中的执法者,并得到了广泛应用。然而,目前的上网行为管理系统真正能满足大多数企业或者机构的要求么?作为一个网络执法者,目前的上网行为管理产品执法力度到底能有多大呢?
据了解,从目前已经应用上网行为管理产品的企业的反馈意见来看,他们几乎一致认定,虽然上网行为管理系统的部署的确对企业的网络管理起到了积极作用,并且给企业网络的运维带来了很大的帮助,但是企业网络信息系统的很多问题根本就没有得到根治,例如:员工在上班时间依然可以利用企业的计算机终端访问与工作无关的互联网内容,有些员工改变方式,将视线转移到不用联网就能使用的应用(单机游戏、电影等等),另外,企业重要信息的泄密事件依然存在,除此之外,企业终端的安全问题并没有得到解决,有些终端因为存在太多的系统漏洞而容易感染病毒和木马。诸如此类的问题不胜枚举……
到底是什么原因造成了这样的现象呢?总结起来不外乎以下几点:
目前上网行为管理产品没有相应的标准,很多厂商为了能在这个市场占据一席之地而一味的追求推出产品的速度,同时,厂商往往会将自身的产品理念作为一个行业标准强加给使用者,没有真正站在使用者的角度去考虑问题,整个行业的产品功能固化,创新较少。渠道商作为推广上网行为管理产品的先锋力量,只一味的追求利益,缺乏行业责任感和使命感,没有尽到促进产品良性循环的责任。
“道高一尺,魔高一丈”,有监管则必定会有逃避,互联网这个领域永远没有最终的胜利者,随着网络应用的加密,“网络警察”的抓捕能力越来越趋于弱化。互联网与计算机信息技术的发展都是由应用作为支撑,应用的发展带动了整个计算机技术领域的发展,而所有的应用,最终都是安装在计算机终端上的软件,上网行为管理产品只能针对应用的网络行为过程进行监管,而对应用发生前的风险控制以及不需要联网的应用却没有根本解决办法。企业网络与信息系统的管理是个安全问题,而大部分上网行为管理厂家都是借助该产品突然冒出来的新兴企业,在企业信息安全管理上缺乏技术及经验的积累,在产品力所能及的领域没有形成优秀的理念和产品研发能力。
上网行为管理系统一直以来都被认为是网络七层应用管理产品中一颗冉冉升起的新星,并且被认为是应用管理中的代表。既然是应用管理,除了网络应用之外,还必须能够管理到安装在计算机终端的所有应用,因此,真正的上网行为管理系统应该不仅仅只是一个单一的硬件产品,它可能是一个解决方案,也可能是软硬件结合的一套完整系统。那么,作为一个市场持续火热的网络设备,上网行为管理产品会朝什么样的一个趋势发展呢?
下一代上网行为管理系统 “呼之欲出”业内专业人士指出,上网行为管理系统的升级换代,必然不能从单一的角度去分析,而需要综合考虑产品的应用环境、现有技术能力以及产品的具体定位。
现有上网行为管理产品被定位为一个“网络警察”,也即网络行为的执法者。我们从现实' 法律中也许可以得到一些经验,一部法律从制定到运转,一般包含四个角色,即法律的制定者、法律的遵从对象、执法者以及普法人员。同样的规则也可以应用到企业信息管理中,企业/机构、国家' 法律法规以及行业监管法规是法律的制定者,网络使用者为法律的遵从对象,上网行为管理产品应该作为一个执法者和普法者。而当前上网行为管理产品只是作为一个执法者存在,没有起到普法功能,因此,下一代上网行为管理产品应该更多的承担普法的职责。例如通过web推送发布企业网络及信息系统管理制度,或者通过入网前的准入提示,宣传企业信息管理制度。
企业的信息安全不仅是网络问题,内网终端安全也不容忽视。下一代的上网行为管理系统应该在力所能及的范围内对企业信息系统内的终端情况、网络情况进行风险分析,同时提供风险分析结果以及风险控制手段,以便企业IT系统的管理人员能够及时发现风险的存在,并根据风险事件的等级进行避免或者减轻。具体的风险分析范围包括终端的安全性、网络行为的安全性以及泄密风险分析。具体的风险控制手段应该包含系统安全登录身份认证(U-KEY或证书)安全准入控制、泄密控制。
不仅如此,下一代的上网行为管理系统应该建立行为发生前、发生过程以及行为发生后的三层行为管理体系,对行为发生到结束的整个生命周期进行全方面覆盖的管理。
另外,下一代上网行为管理系统对应用管理的覆盖层面应该从网络链路增加到计算机终端层面,因此除了在网络链路部署硬件网关之外,还应该在每台终端部署客户端程序,通过网关与客户端程序联动的方式,实现对企业/机构信息系统内部的行为进行全面的监管。
总结起来,下一代上网行为管理系统应该在目前产品功能的基础上强化终端行为管理的功能,其中包括:
实名登录与系统准入—U-Key实名登录,同时可根据U-Key信息进行内容审计终端漏洞及补丁安装检测与统计—检查终端系统漏洞情况终端进程统计与管理—风险进程阻断,终端违规应用阻断强化的安全策略网络准入控制—根据补丁安装情况以及防火墙启用情况进行准入控制分布式敏感信息过滤—在终端层面对敏感信息进行过滤,避免任何途径的泄密,对外泄密很严重,对内泄密也不可忽视,敏感信息过滤必须在终端层面进行处理。Web推送及重定向—对未遵从制度的终端以web推送或者重定向的方式进行企业文化制度的灌输、对未通过安全检测的终端重定向到修复区域进行安全修复
……
目前,第二代上网行为管理产品已经初见雏形,从当前市场情况来看,国内专业的终端信息安全厂家北信源公司新推出的上网行为管理产品上已经开始朝着下一代上网行为管理系统的方向进行发展,并且已经取得了一定的成就。由于该公司在终端安全管理市场有着得天独厚的优势(连续四年市场占有率第一),因此,其即将正式推出的上网行为管理系统(VRV BMG)在对终端行为的管理上占据了先机。据悉,北信源公司正在加紧将第一代上网行为管理系统和终端行为管理功能进行融合,或许不久之后,真正的“下一代上网行为管理系统”将正式面世。另外,在上网行为管理市场占据前两位的深信服和网康,也已经开发了相应的客户端程序并应用在现有的产品上,但是由于其在终端行为管理领域的积累还不够深,因此,在对终端行为的管理上还不够专业,功能也不够完善。不过,相信经过一定时间的积累之后,也应该会有值得期待的产品面世。
从当前主流的上网行为管理产品厂家的研发方向来看,我们不得不承认,硬件网关加软件客户端是下一代上网行为管理系统的主要发展趋势。未来的上网行为管理市场将颠覆现在的格局,再次陷入诸侯割据的局面,到底谁将占据制高点,我们拭目以待!