WEBSENSE用户测试评量手册.docVIP

Websense 員工上網安全管理測試指引手冊 更新日期: 2006年01月01日 作者: 達友科技Contact@.tw 前言 Websense的員工上網管理解決方案，可以協助企業針對內部員工的網路使用行為，制定政策並落實執行政策，阻擋非授權的使用行為。可以支援的應用範圍除了 HTTP 的各種網站類別之政策外，也包括包含 P2P、IM、串流、Tunnel 等的各種網路應用進行管理。Websense也可以針對因為網路的瀏覽而帶來的病毒感染、網頁綁架、間諜軟體、惡意程式的入侵問題進行過濾與預防。 本文件提供客戶或經銷夥伴，針對 Websense 的評估測試期間，提供指引與參考。 目前公司內遇到的困擾 項次 項目大綱 說明 有/否 1 同仁濫用網路瀏覽，大量佔用頻寬，缺乏紀錄與稽核機制 各單位的同仁非常自由的可以瀏覽網路，然而衍生出來的問題是不知道誰何時透過網路在做什麼事，只發現頻寬永遠不夠用，而且已經影響了業務正常使用。因此需要一個好的機制，可以主動紀錄同仁的上網活動，且可以提供各種分析報表，以方便管理。更需要可以透過設定使用政策，以過濾不是本身業務所需要的網路應用。 □ 2 過濾間諜軟體(Spyware)造成的危害與流量佔用 間諜軟體造成的影響，輕則將企業內部的使用者之網路使用習慣進行收集，嚴重則收集企業內部系統的資料，甚至使用者的帳號與密碼，造成極大的資安漏洞。因此需要一些機制可以阻斷這些間諜軟體造成的網路流量。這些間諜軟體不僅浪費了大量的頻寬，影響正常業務使用，最重要的是可能還會成為駭客的後門，為公司網路造成極大的資安風險，也包含所有員工的個人風險。 □ 3 制定使用政策，針對即時通訊軟體的使用進行管理 像 Skype、MSN Messenger、Yahoo Messenger、ICQ等即時通訊軟體，雖然是線上遠端溝通的好工具，但很難去鑑別什麼時候是商業用途，什麼時候是與朋友聊天，甚至如果用其傳檔功能的話，更是資安的一大漏洞。因此有必要制定使用政策，針對即時通訊軟體的使用進行管理，經過申請允許的使用者才准予開放。 □ 4 制定郵件使用政策 外部個人帳號(含POP3信箱，以及Web-Based Email信箱)，目前在公司內並沒有明確的使用政策，尤其Public Web-Mail信箱由於沒有好的管理工具因此只能放任使用。由於同仁大量使用外部私人信箱將會是資訊安全的死角，因此預計將Web-Mail的使用制定政策。並且只允許業務活動上有需求時才使用，避免提供個人使用目的之Web-Mail帳號。甚至未來也可以考慮讓Web-Mail僅能開放讀取信件，如果需要寄信者，需要透過公司內部的 SMTP來寄送，以符合內容稽核的要求。 □ 5 欲禁止P2P的流量在公司內使用 由於目前P2P的網路應用在公司內尚未想得到有任何的商業用途，且大部分網路上在使用P2P都是用來交換色情的影片、非法軟體、以及侵權的MP3歌曲交換，重要的是，一但使用，將大量佔用公司頻寬，因此建議將P2P的網路應用禁止於公司內實施。除非有人有特殊需要可以提出後個別開放。 □ 6 限制串流影音媒體的使用 公司內許多的使用者會去使用串流媒體來大量下載影音的內容，不僅佔用了大量的連外頻寬，甚至由於許多是在上班時間進行，實在影響了工作生產力。實在有必要進行管理。 □ 7 同仁瀏覽與工作無關的網站，浪費生產力及頻寬 網路上的網站多采多姿，同仁在有意無意的情形下去瀏覽與工作絕對無關的網站，例如成人資訊、賭博、MP3 的下載、瀏覽線上影片等，很有可能無形間浪費了頻寬以及工作時間，不僅影響生產力，也有可能造成部分的法律責任。 □ 測試之網路暨佈署架構規劃 透過 Switch的Mirror Port透過封包分析方式實施 於目前的 Switch 上，將連到防火牆的 Port 進行 Mirror，並且將Websense Server的 Network Agent 設定聽這個 Port 的流量。這樣的模式又稱為「獨立運作Stand Alone模式」，如下圖。 該架構中，監聽網路流量甚至針對禁止流量的阻擋方法，可以分成下面三種狀況： 項次 項目大綱 說明 是/否 1 Hub的網路架構模式 如果是 Hub 而非 Switch，則可以依賴單一張網卡同時做到聽流量封包，以及發送阻斷封包。 □ 2 Managed Switch架構 如果接的是Swicth，則可以設定透過mirror port來聽進出Gateway的封包。有些高階的Switch除了可以複製(mirror)封包之外，還可以透過這個 port 注入封包。如此，則可以依賴單一張網卡同時做到聽流量封包，以及發送阻斷封包。以C