深信服全网行为管理 AC 介绍

00引言当前网络安全形势下，内部威胁日益突出，尤其近年来物联网、大数据、HTTPS等新技术的普及使网络风险更加复杂，企业内部网络行为安全管控需求明显加强，而传统解决方案存在弊端，不足以完善应对新挑战。深信服推出新一代行为管理产品“全网行为管理AC”，以创新技术帮助用户实现“全网行为可视可控，内部风险智能感知”，交付一体化内部行为安全管控方案，帮助满足用户需求。01全网行为管理AC产品理念1.1需求背景：网络内部威胁日益突出随着互联网产业的快速发展，其相关产品越来越丰富，不仅线上产业链发达，许多传统行业生产线也逐渐实现联网升级管理，这种“互联网+”式的变革被称为第四次工业革命。第四次工业革命基于一个跨地域的、开放的、自由的信息网络，涉及到社会各个领域，并带来一种开放性、兼容性、高效性与跨地域性的信息传播方式，它使人们的生活正在发生翻天覆地的变化，但同时，随着网络的快速发展以及各项Internet技术的广泛应用，也使网络安全危机空前高涨，并逐渐呈现出两大趋势。首先，网络攻击形式由原来的针对TCP/IP协议本身弱点的攻击转变针对企业特定系统和应用漏洞的攻击与入侵，例如GitHub遭遇大规模MemcachedDDoS攻击、WannaCry病毒在企业网络的肆虐等事件。其次，根据近年国内外的研究报道，越来越多的网络安全损失是由于企业内部的一些原因而导致的。其中，内部威胁攻击者一般是企业的员工（在职或离职）、承包商以及商业伙伴等。回顾2018年以来受到广泛关注的企业内部威胁案例，无论是Tesla前员工外发机密的特斯拉数据事件、旁遮普国家银行（PNB）的副总绕开内部系统交易事件，还是国内的华住酒店数据泄密事件，都充分说明了这一发展趋势。在这两种趋势迅速发展的前提下，组织内部员工的网络行为往往成为企业或组织网络安全问题的“罪魁祸首”。这些行为包括：终端联网、共享网络、网页浏览、业务访问、BT下载、IM实时通信、网盘使用等，不当的资源利用及不安全的员工上网行为带来了间谍软件、恶意程序和计算机病毒，造成内网病毒泛滥、网络资源浪费、机密信息泄漏等一系列安全问题。而传统的防火墙或后来的统一威胁管理设备，在面对这些复合型的网络安全威胁时，由于处理能力的分散及网关防御的固有弊端，已经不能满足客户的安全需求。如何构建一个全面的安全解决方案以保证通讯内容的安全和使用行为的合法性，正在迅速成为网络安全应用和研究领域中一个倍受关注的议题。1.2产品理念：新一代行为管理产品2006年，深信服科技首先在国内推出了网络行为审计和管控系统，率先提出“上网行为管理AC”概念。上网行为管理产品注重组织对内部人员所有互联网访问行为的管控，包括上网权限、带宽资源、应用行为、访问内容等多个因素，帮助客户实现“上网行为可视可控”。上网行为管理AC推出后，迅速获得了市场的认可，十余年来已服务超过50000

家客户，连续十一年蝉联市场第一（根据IDC咨询数据），并在2011—2019连续9年作为国内唯一产品入围国际GarterSWG魔力象限。近年来网络技术迭代加速，用户上网环境日新月异：互联网HTTPS流量占比超过一半，且SaaS云应用普及，上网管控难度提升；移动办公和物联网兴起，导致接入网络的人员和终端更不可控；业务信息化加深，数据外发路径增多，企业的防泄密需求愈发强烈。为应对网络安全新形势，深信服在上网行为管理的技术积累上推出“全网行为管理AC”，产品能力延伸到更多应用场景，为客户更全面地解决网络内部行为安全管控问题。全网行为管理AC支持企业或组织针对用户使用网络的所有核心因素实施管控，包括终端、应用、数据和流量，进行统一的策略化监测和管理，且支持将行为数据汇总至深信服内部威胁管理平台ITM进行智能化分析，一体化方案实现“全网行为可视可控，内部威胁智能感知”。02全网行为管理AC应用价值前述网络新形势下企业和组织客户的网络内部行为安全问题，根据风险发生的场景可归类为终端非法接入风险、上网违规访问风险、数据外发泄密风险。全网行为管理AC产品功能设计紧扣用户需求，以“终端准入管控”“上网管控”“数据泄密管控”三大模块针对性满足客户需求。2.1终端准入管控，建立终端入网规范企业网络入网侧风险，包括非法身份接入内网窃取信息、不安全终端入网导致病毒横向传播、员工擅自使用U盘转移数据、非法外联造成内网暴露等。深信服全网行为管理AC进行可靠的终端准入管控。从终端入网开始，AC高精准度识别终端类型，对接入终端（包括PC和摄像头、PDA等物联网终端）进行资产梳理和分类管理。终端连接网络时，提供802.1x、Portal等多种身份认证方式，适配员工和访客接入等多种场景。同时进行终端安全基线检查，包括有无更新操作系统补丁、有无安装杀毒软件等合规项。在终端入网后，AC进行终端行为权限控制，包括外设/U盘管控、防非法外联等。全网行为管理AC终端准入管控帮助客户建立终端入网安全规范，降低安全隐患和数据泄露风险。2.2上网管控，保障上网规范和上网体验企业的办公上网场景下，存在以下典型风险：无关应用占用大量带宽影响访问体验差、员工上班刷抖音/微博导致上网效率低、员工下载恶意文件导致主机中毒、员工上网发布非法言论带来法律风险。深信服全网行为管理AC基于海量级URL库和应用规则库，实现应用细分动作控制，精准匹配企业上网管控规范；在上网体验方面，支持动态流控技术，保障带宽分配合理，使专线价值充分发挥；在上网安全维度，AC可智能识别封堵翻墙和远程软件，支持上网文件杀毒、恶意链接过滤、僵尸主机检测；并以专利SSL审计技术加持，做到全面无疏漏的合规审计。全网行为管理AC上网管控帮助客户保障上网规范和上网体验，避免违法违规，减少上网抱怨。2.3数据泄密管控，建立数据外发规范企业网络中的核心业务数据存在两大类泄漏路径：网络外发泄密，包括邮件/

网盘/

云笔记等多种网络外发泄密；终端外发泄密，包括U盘拷贝、离网终端外发导致数据泄密。而传统的数据安全管理方案，缺少数据流转的可视化监测机制，管理员不清楚“有哪些数据被外发”和“外发数据中是否包含敏感内容”，导致管理难以有效开展。深信服全网AC提供完善且轻量的数据泄密管控方案，首先对指定的高风险等数据外发路径（包括应用外发、WEB外发、终端外传等）进行控制，从根源上切断高危类型的泄密行为；进一步全面监测和记录业务侧的操作行为，并基于UEBA建模分析、识别和预警共享业务系统账号、异常下载核心数据等行为；在终端侧和上网侧同样进行全面审计，通过多种内置规则识别风险外发行为；并通过文件相似度搜索、OCR图像搜索等多种便捷的泄密查询追溯方式帮助企业及时响应疑似泄密事件。全网行为管理AC数据泄密管控帮助用户建立数据外发规范，分析风险，防止敏感数据泄露。0３全网行为管理ＡＣ核心优势深信服全网行为管理提出了新一代的行为安全管控框架，以人为中心，围绕用户入网、访问业务、上网、外发数据的全过程，实现全网行为的识别、审计、分析和管控。产品研发团队累计获得多项知识产权（已申请超120

项，已授权超69项），多项创新技术应用于产品核心功能，保障在各种实际环境下能充分发挥功能价值，有效规避网络内部行为安全风险。3.1强大的行为识别全网行为管理AC具有强大的终端、应用、数据、流量识别能力，使产品适配场景广泛，管控策略准确有效。终端识别支持主动嗅探和被动识别双重机制，根据终端指纹识别终端特征，可根据流量特征对终端进行持续安全基线监测；应用识别基于海量URL和应用规则库实现，运用应用关联连接识别、弱特征跟踪识别等关键技术，保障识别精准性。数据识别由自研FtID文件类型识别引擎、文件内容提取引擎、基于Docker+

深度学习的OCR图像识别引擎强强联动，实现对文本、文件、图像数据的高性能识别。在流量识别方面，应用了基于十余项专利创新推出的“客户端代理SSL解密”技术，可实现无感知、高性能、高可用的SSL加密流量识别。3.2全面的行为审计全网行为管理AC具有全方位的全局审计能力，保障全网行为完整可视。通过网关与客户端联动实现上网审计、业务审计、终端审计，其中上网侧支持网页、邮件等应用审计，日志内容直观显示；业务侧自动识别业务资产及关键动作，支持HTTP/HTTPS、FTP、SMB等多种主流协议，记录访问/

响应详情，支持服务器访问状态可视；终端侧支持外设操作、U盘拷贝文件、加密客户端应用等使用行为的审计，在离线状态下也可持续审计。3.3

智能的行为分析全网行为管理AC对审计数据进行智能化分析，从而有效发现行为安全风险。产品联动内部威胁管理分析系统，基于UEBA基线建模、人物关系图谱、语义识别、知识图谱等技术，有效针对水滴泄密、离职风险、异常时间下载与外发、邮箱异常外发加密文件等十余种异常行为实现提前发现和预警。且数据采集过程和风险分析结果可视化呈现，帮助用户直观了解风险状况。3.4闭环的行为管控针对已发现的行为安全风险，全网行为管理可联动多产品进行及时响应和闭环处置。入网前支持，全网行为管理支持联动第三方加强安全检查，如入网扫描漏洞、病毒查杀等，对不合规终端支持实现统一修复；入网后，全网行为管理通过深信服或者第三方产品进行用户风险持续评估；当发现风险时支持与其他多类型安全产品协同处置，同时其他安全产品可以通过全网行为管理对风险用户强制下线与隔离或限制访问资源。0４结语传统的企业内部行为安全方案，如需实现全流程行为安全管控，通常由多种产