网康互联网控制网关（NSICG）-网络通信专区

网康互联网控制网关（NSICG）

作者：IT168 编辑：唐川 2007-05-30 00:00

网康科技通过建立一套完整的安全体系，为用户提供完善、快速、低维护成本的产品售后服务。作为软硬件一体的设备，用户单位可以结合自身的需要，度身定制互联网活动控制管理策略，一经部署到网络环境中，即可使用。产品通过互联网进行URL/PROTOCOL数据库的更新和NS系统软件的升级。

系统构架图

网康核心URL分类数据库是业界领先的本地化数据库，数据库的生成是根据中国地区上网用户的URL访问集中度、文化背景、对内容的敏感程度，参照国家立法规定，进行合理化采集、分类的结果。工作流程是通过网康自主研发的内容分类搜索引擎，在互联网上进行区域性的URL抓取，着重针对中文网站，强调数据采集本地化。并对抓取工作进行内容相关性的URL链接分析，极大地提高了抓取效率。获取到的URL数据经智能分类分析系统，进行有效性校验和内容分类匹配，导入数据库。此外，成立有专门的URL数据分类审核小组，负责对URL分类结果做校验审核，进一步确保分类的准确性。

网康科技针对中国地区网络应用的流行程度以及技术实现方式的专项分析，涵盖IM即时通讯、P2P共享下载、流媒体、在线游戏以及炒股软件等。及时地将最新的协议应用及特征信息更新到网康核心PROTOCOL数据库中。通过对系统软件的升级，用户可以及时地体验到产品最新的功能和性能。确保产品始终处于最完备、稳定和优化的状态。

统一的策略管理框架

　　网康对企业员工上网行为管理制度的实施，在产品中以基于对象的策略框架为中心，来统一描述。企业管理制度一般是按某人在某时做某事来描述员工行为，网康的产品策略也通过可定义的用户、时间、各种互联网资源对象来确定上网行为，并依据制度对此行为执行允许、阻止、记录等管理动作。

　　这种基于对象的统一策略框架的好处是可以精细、准确的表达企业上网制度，条理清晰，易于管理，具备良好的灵活性和可扩展性。

　　此策略框架不仅可以作为上网控制手段，也可以扩展用于上网行为的分类。例如下面这个简单规则，在不影响可执行文件下载行为的同时，为上网行为的查询统计提供了过滤依据，这种框架结构使用户随着经验的提升，可以挖掘更多的管理功能：

内容分类及协议识别特色

　　互联网资源可分为信息资源和通信资源。目前互联网信息资源获取的主要手段还是通过web方式的检索，然后才利用各种工具下载使用。而IM、网游等软件则充分利用Internet庞大的通讯网络将世界各地的人联系在一起。因此，对互联网资源的分析，主要是对web信息内容的分类，和对各种互联网应用协议的分类，这两者都具有很强的区域性和文化背景。

内容分类的细度、合理性

　　网康采用了目前业内公认的效率最高、实用性最强的url预分类技术来识别web内容的性质。与国内部分产品粗糙的分类不同，网康对内容分类的巨大投入使其有能力维护一个41种分类的庞大中文url库。分类定义来源于当前用户需求和中国国情，涵盖了企业、教育、政府各种需求。比如企业可以通过招聘类信息的访问统计评估人力部门的工作状态以及员工的岗位忠诚度；教育行业可以屏蔽色情、暴力类内容；政府可以屏蔽违反法律类内容；而对病毒、web通讯、BBS、远程代理类内容的访问，可以有效减少网络安全风险，遏制webmail、bbs、非法外联带来的信息管理漏洞。

　　url分类的细度、合理性反映了产品对互联网信息资源的理解程度，是产品对互联网内容管理的基础，对产品的广泛适应性有重要意义。

内容分类的更新能力和准确性

　　url库的更新能力和准确性是评估上网行为、产品内容分析能力的重要指标，没有及时、准确的更新能力，就谈不上给用户提供可持续、高质量的管理服务。

　　网康url及协议分析团队不间断的跟踪互联网变化，提供至少一周多至每天的更新周期，以保持设备识别能力的新鲜度。

　　为提高客户服务质量，网康采用未分类回传技术，使互联网的每一台网康设备成为未知url采集点，被动数据挖掘与主动数据收集相结合，按照客户访问习惯优先处理未知数据，使设备具备一定的自学能力，并将这种高使用价值的更新推送到所有在线的网康设备上。

协议目录树结构，管理层次清晰

　　与互联网信息资源的管理类似，网康关注国内流行的各种互联网应用，并将其合理归类，使之成为树形目录结构的70种以上的应用协议库，这种结构使策略、监控、统计报表可以灵活的按协议组、协议、子协议来管理。如下图所示：

协议跟踪识别的时效性强

　　与一些主要基于端口识别，利用大量公共协议来充数的产品不同。网康通过对客户日常使用的应用做统计，跟踪中国互联网应用的变化，选择对客户网络影响最大的多数应用进行深入分析，这些应用通常不是标准的网络服务。所以，网康协议库不需要通过标准端口服务来扩充支持协议数量（但提供自定义协议接口），而是专注于流行互联网应用的协议特征识别跟踪。

应用子协议的识别和控制

　　如上图所示，对一些多功能的流行应用，网康协议识别精确到应用的子协议，将更多细节纳入策略框架中。例如：允许qq聊天，但阻止qq传输文件，上班时间保障qq远程协助的带宽等等。

带宽管理

　　区别于流量管理产品，网康的带宽管理是上网行为管理的延伸，管理的一方面是切断违规的上网行为，另一面是降低违规行为的服务质量，保障合规行为的服务质量。所以网康的带宽管理完全融入上网行为管理策略框架之中，并提供图形监控界面实施查看带宽通道对象的流量。

关于web mail的审计功能

　　与smtp邮件审计不同，web mail一般属于私人邮件，审计要求不像企业邮箱强烈。另外web mail通过post发送信息，网康设备本身具备post审计能力，但是由于考虑到给用户一个友善的web mail邮件检索界面，需要对不同提供商的web mail单独分析并重组格式。因此仅对主流的web mail进行审计。根据不同需求，可以放弃一些格式上的考虑，给用户更多选择。
关于QQ审计的功能

　　QQ聊天采用加密通讯协议，从企业管理角度看，加密聊天一般属于规避管理的行为，因此网康提倡企业关闭加密聊天，仅提供非加密的IM工具。
如果要对加密算法没有外泄的聊天内容进行审计，必须要截取加密前的信息，需要往客户机上推送客户端插件。目前国内类似产品公开或非公开的均采用这种方法，这样通常会造成客户对产品的反感，网康希望给用户提供一个透明的管理平台，增加此功能的利弊，可以商讨。

后记：

　　产品的功能研发必须依从用户的需求，上网行为产品也不例外。但是作为一个新兴领域的国内自主研发的安全产品，更重要的是打好产品的专业技术基础，并完善周边功能细节，以赢得用户的良好口碑。否则很可能成为应景的流行产品，因不能提供高于用户需求的后续服务而流失客户。

关注我们