1、上网行为管理方案模版简单版XX机构网上网行为管理解决方案深信服科技1.前言1.1深信服科技简介 深信服科技有限公司是一家长期致力于提升用户带宽价值的高科技、 高成长 型企业。从 2000年底成立至今, 深信服公司以每年销售收入增长 23 倍、人员 增长 1 倍的速度高速发展, 从 2005到 2008连续四年入选德勤中国高科技、 高成 长 50 强,亚太区 500 强。深信服科技坚持自主研发、每年将销售收入的 15投 入产品研发,目前已申请近 30 项网络及安全领域发明专利。现有产品包括 AC 上网行为管理、 IPSEC VPN、SSL VPN、广域网加速等全系列产品线。深信服科技现有员工近
2、600 人,平均年龄 26 岁, 95具有大学本科及以上 学历。其中 41从事研发、 40从事市场和客户服务工作。在国内三十余大中 城市设立直属办事处,在香港设有海外办事处,在迪拜、孟买、新加坡等具有全 球销售和服务网络。自 2005 年深信服与业界第一个提出上网行为管理理念并推出成熟产品,目 前已经部署于超过 5000 家客户网络中,是国内上网行为管理领域当之无愧的第 一品牌。深信服通过 SINFOR AC 网关为客户提供业界最领先的上网行为管理解 决方案,全面灵活的帮助客户实现带宽与流量管理、 外发信息管理、 上网行为审 计、网络访问控制、 内网与终端安全增强等, 从而有效解决互联网使用带
3、来的带宽效率降低、网络泄密风险、法律违规问题、工作效率影响、网络安全性降低等 各种问题。深信服立足自主研发、自主创新, SINFOR AC 上网行管理产品具有 7 项发 明专利,并获得高交会自主知识产权认证、 国家信息安全产品评测中心认证等资 质。深信服持续研究上网行为前沿技术与趋势,完全遵从“以精准用户识别、终 端识别、应用识别为基础,实现封堵、流控、审计等管理手段,集合安全增强功 能”的业界标准,为客户提供完善的方案及服务。2.项目概述2.1网络现状描述XX 机构 不仅部署有 OA 、Email 等丰富的业务系统, 并且组织内网 Intranet、 互联网 Internet 的应用也十分普
4、及。信息技术、特别是网络技术为 XX 机构 持续 创造价值。XX 机构 内部网络按照行政架构和部门将网络分为多个功能区,内网连接互 联网的用户数已达 XX 个 ,当前 XX 机构的互联网出口带宽达 XXM ,整个网络 结构程三层架构模式。2.2应用现状描述XX 机构内网由于不同部门的职责与业务决定其对互联网的依赖度不同。 领导及办公室: 由于高层领导需要及时获取互联网讯息, 且频繁需要通过视 频会议、 VOIP 等系统与分支机构进行交流,所以对网络带宽需求强烈且要求较 高。市场部:日常工作内容包括通过互联网与客户、 合作伙伴保持日常的有效沟 通,并及时获取互联网最新行业信息等, 工作任务与性质
5、决定了市场部同事需要 一定的 Internet 访问权限。研发部: CSDN.NET 等互联网上存在诸多研发、 IT 相关技术论坛与网站, 这些资源为研发人员的日常工作提供了有效的帮助和支撑。 同时研发内网存在关 乎 XX 机构发展命运的诸多核心机密。从 XX 机构的整个互联网使用情况看,现有的 Internet 出口带宽资源紧张, IT 技术部时常接到内网用户关于网速太慢的抱怨与投诉;内网用户的网络发贴、 外发 Email、访问的网站等行为也缺乏有效的审计记录手段,一旦发生泄密、法 律违规问题将面临无据可查的尴尬; 上班时间从事工作无关的网络行为已经成为 办公室公开的秘密, 生产效率无法保障
6、; 而由于不受控的上网行为泛滥, 导致内 网病毒、 ARP 欺骗等问题品频频发生。3.需求分析结合 XX 机构 的网络和应用现状可见,有以下问题需要解决:1、 精准识别内网不同用户身份,按照行政架构将用户分配到不同用户 组,并与 XX 机构现存的 AD 服务器配合, 为不同用户授予不同的上 网权限。2、 对全网用户的 BT、迅雷等 P2P 行为进行管控,包括封堵研发部门的 P2P行为,对市场部的 P2P 所占用的带宽进行流控等; 同时要保障关 键业务系统的带宽需求。3、 领导及办公室: 为领导用户组分配充足的带宽资源, 保证领导的视频 会议、VOIP 的带宽要求,并且通过硬件 USB-Key
7、的方式实现领导身 份的防冒充、防破解、以及上网行为免审计功能。4、 市场部:管控上班时间的非业务上网行为, 如 QQ 语音、视频、游戏, 网络炒股、网络游戏等;另外为业务行为如访问行业网站等提供充足 的带宽资源保障。5、 研发部:不仅严格控制研发部的网络访问权限, 同时对外发信息进行 过滤和审计,包括过滤外发文件、外发 Email、先拦截 Email 人工审 核后在外发等。6、 IT 信息技术部同时希望能够强制内网客户端都安装已购买的某杀毒 软件,并且再部署网关杀毒措施; 另外需要海量存储行为日志和快速 的日志检索定位工具,以满足公安部 82 号令的要求,并且通过硬件USB-Key 识别接入日
8、志中心的管理员身份,防止日志的滥用4.方案设计原则4.1 设计原则标准化、一致性原则 设备设置的所有策略都满足国家对于信息审计的要求,遵循国家安全标 准体系。所选择设备要具有公安部销售许可证、国家信息安全评测中心 的认证、公安部信息安全产品监测中心检验报告等。全面、灵活性原则能够基于用户、 用户组、 时间段、应用行为等进行灵活的上网权限控制; 全面记录各种上网行为日志, 并能通过硬件 USB-Key 避免高层领导行为 日志的记录;支持通过硬件 USB-Key 认证接入日志中心的管理员身份 等。安全及前瞻性原则如果设备被攻击、内网 DOS 流量、 ARP 欺骗等导致网络中断将严重影 响网络可用性
9、,所以设备不仅能够通过防火墙等安全模块保障自身安全, 同时能够防御 DOS 攻击、 ARP 欺骗等,提升整个网络的可靠性、可用 性。技术和管理相结合原则 上网行为的各种控制与审计策略应该与 XX 机构 的管理机制、人员思想 教育与技术培训、安全规章制度建设相结合,从技术和行政两方面全面 管理内网用户的上网行为。4.2参考标准1)公安部计算机信息系统安全产品质量监督检验中心 信息技术网络通讯安全 产品检验规范2)国家标准 GB/T18336.2-2001信息技术 安全技术 信息技术安全性评估准则3)公安部第 82 号令互联网安全保护技术措施规定4)国家保密标准 BMZ2-2001涉及国家秘密的计
10、算机信息系统安全保密方案设 计指南。5)国家保密标准 BMZ1-2000 ,涉及国家秘密的计算机信息系统保密技术要 求。6)国家保密标准计算机信息系统保密管理暂行规定 (国保发 19981 号)。7)国家标准 GB17859-1999,计算机信息系统安全保护等级划分准则 。8)ISO27001/ISO17799:2005/BS7799,信息安全管理技术规范 。9)国际塞班斯法案5. 解决方案5.1 总体设计根据客户的应用及网络现状、需求分析,当前 XX 机构 迫切需要对 P2P等费 业务应用进行带宽限制, 为业务应用划分和分配带宽资源, 从而提升带宽使用效 率;封堵互联网非法资源、过滤网络言论
11、、外发 Email,并做到上网行为日志的 全面灵活记录与海量存储; 另外对内网用户的互联网访问行为有针对性、 差异化 的封堵和限制, 同时在实现严格的上网行为管理的同时, 提升网络的可用性、 可 靠性等。因此要求方案设计全方位的考虑到这些重点内容并且符合国家相关安全 条例的标准,切实做到量体裁衣。5.2设备选型在 XX 机构 互联网建设中,对产品选型应遵循以下原则:1、 全面灵活的管理手段。为内网不同用户提供差异化封堵、流控、审计等管理 手段,尤其基于硬件的免审计 USB-Key、数据中心认证 USB-Key 为 XX 机构 提供了个性化的上网行为管理手段。2、 网络可靠性、可用性保障。上网行
12、为的发生是以网络通达为基础的。所以对 网络可靠、可用的保障是使用网络的基础,这需要通过多种手段实现,包括防火墙技术、网关杀毒技术、终端网络准入技术、防 DOS 攻击、防 ARP 欺骗等。3、 强大的性能和稳定性。由于网络带宽的快速增长和组织人员规模的扩大, IT投入必须具有前瞻性,强大的性能和稳定性是必须点。而厂商的技术实力、 业界的高端客户案例等是性能和稳定性的最好体现。4、 完善的售后服务。专业的 CTI 客服中心、多路 800 电话、本省会城市的厂商 直接办事处和服务机构等将为客户构建完善的售后服务体系。因此,本方案 XX 机构 的上网行为管理建设中采用深信服科技 SINFORM5900
13、-AC 。5.3产品功能和性能SINFOR AC上网行为管理网关作为国内上网行为管理第一品牌的厂商 -深信服科技,其 SINFOR AC上网行 为管理网关具有如下特点:1)丰富的部署模式网关模式。 NAT代理上网, 防火墙模块保护内网, 多线路功能扩展带 宽网桥模式和多路桥接。透明串接在网络中,尤其适应 VRRP、双机等 冗余链路环境 旁路模式。不影响网络结构情况下提供丰富的审计功能和部分控制 功能2)精准的用户认证与识别不能识别用户就无法针对用户进行差异化管理弹出式 Web认证,支持指定 IP 段无需认证直接上网 丰富的第三方认证: Radius 、LDAP、AD、POP3、 Proxy 等
14、 支持 AD、 POP3、PROXY单点登录;读取 AD上组织结构并保持同步 支持双因素身份认证,如 USB-Key,提升账户安全性 用户自动创建与认证:指定 IP 段用户自动添加到指定用户组,分配 指定网络权限,同时绑定 IP、 MAC等3)全面的网页访问行为管控 内置千万级与分类 URL地址库,符合国人访问习惯 识别 SSL加密网页,防范钓鱼网站等 过滤XX、 Google 等搜索的指定关键字 基于网页正文关键字过滤网页访问行为 识别非 80 端口的网页访问行为,彻底管控随机端口网站 每天自动更新,设备自动升级,保持时效性 基于内容的网页智能分类系统,从容应对 WEB2.04)国内最大的应
15、用协议识别库内置 20 个大类,超过 260条以上的应用识别规则,国内最大 基于应用协议特征码的识别,有别于传统 IP 、端口识别 支持用户自定义识别规则,实现个性化管理 每周自动更新,并支持回滚功能,保持与互联网的同步 识别加密邮箱、加密方式的炒股软件等,让加密应用无法遁形 基于行为特征全面识别加密 P2P、未知 P2P、不常见 P2P等5)邮件行为的管控 基于发件人地址、附件类型、关键字过滤外发 Email 行为 基于收件人、关键字、大小、附件等先拦截潜在的泄密邮件,人工 审核后再外发,避免泄密风险 对非标准端口的 Email 收发行为进行识别、控制 识别和控制加密邮箱的使用,如 Gmai
16、l 等 基于关键字过滤 Webmail 行为 对接收的邮件进行垃圾邮件过滤6)智能带宽划分与分配 多线路复用和智能选路,扩展带宽并做到流量的智能分担 基于应用协议、网站类型、文件类型的细致流控策略 为对外提供访问的服务器划分与分配指定带宽资源 基于用户、用户组、时间段、出口链路的流控,更精细 基于 P2P的智能识别,对 P2P的流控效果显著7)全面灵活的上网行为审计记录用户访问的 URL地址、网页标题、甚至网页正文内容记录 QQ、MSNShell、Skype 等加密聊天内容记录 Email 、 Webmail正文及附件 记录外网用户在内网服务器上的网络行为,如发贴等 全面记录用户的各种上网行为
17、日志 基于硬件 USB-Key实现指定用户的免审计功能8)灵活精细的策略管理树形用户分组结构 保持与客户的行政组织架构一致 支持用户组的嵌套,具有父组、子组等 保持与 AD域控服务器上组织架构的一致性 基于时间、应用、用户、带宽、等多种条件设置用户的上网策略 面向策略的管理策略对象与用户分类,策略对象支持复用策略支持继承、 强制继承, 父组要求强制继承的策略, 子组无法 修改、删除、绕过等管理员分级管理。不同管理员管理不同的用户组、审计不同用户的 上网行为、管理网关设备的不同功能模块9)海量日志存储与日志报表、内容检索数据中心 设备内置数据中心,方便用户直接操作日志 独立数据中心实现行为日志海
18、量存储 一台数据中心支持以 WEB方式查看多台设备的日志数据 数据中心认证 Key,强认证接入数据中心的管理员的身份 丰富的报表时间统计。统计用户、用户组、各种应用的时间总量和排名,并 支持绘图与导出 流量统计。统计用户、用户组、各种应用的流量和排名,并支持 绘图与导出 对比报表。 支持不同时间段、 指定用户的指定应用访问行为的对 比报表自定义报表。按照用户、用户组、 IP 、应用类型等进行上网行为 的统计、趋势、汇总自定义报表内容检索。 提供类似XX的搜索工具, 基于多关键字, 秒级时间 内实现上 TB 海量日志的快速检索与定位 主题订阅。将含有管理者指定关键字的内容检索结果周期性发送 到指
19、定邮箱10) 网络安全与可用性强化DOS攻击、 ARP欺骗、病毒等导致网络中断的问题必须能够防御 防火墙。保护内网、保护设备本身免受攻击、入侵 网关杀毒。从源头上清除病毒威胁防 DOS攻击。防范来自内网、外网的双向 DOS攻击防 ARP欺骗。导致整个子网用户无法上网的问题得以根除11) 国内性能最强的上网行为管理产品支持处理 1Gbps的用户实际 Internet 应用流量 国内最多的高端客户案例国内上网行为管理成功案例最多产品性能参数:产品型号SINFOR M5900-AC接口速率( Mbps)1000每秒新建连接数150000吞吐量( Mbps)1000支持用户数量14000-50000 人支持出口带宽1000M5.4部署方式深信服 SINFOR AC 上网行为管理网关支持多种部署方式,考虑到 XX 机构的实际情况与需求,我们推荐以网桥模式部署,如下
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 