长城集团上网行为管理解决方案.docx
《长城集团上网行为管理解决方案.docx》由会员分享,可在线阅读,更多相关《长城集团上网行为管理解决方案.docx(27页珍藏版)》请在咨信网上搜索。
1、精品文档就在这里-各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- 上网行为管理里网关(AC)解决方案广州国普信息科技有限公司2011年8月目 录第1章需求概述21.1背景介绍21.2 需求分析21.3 客户具体需求分析21.4 客户网络现状分析2第2章上网行为管理标准2第3章上网行为管理AC功能介绍23.1 身份认证23.2 访问控制23.3 带宽管理23.4 监控审计2第4章设备选型及介绍24.1 用户环境具体实施2第5章方案优点及给客户带来的价值25.1 管理网络带宽25.2 避免法律风险25.3 提升工作效率2第6章深信服科技介绍及专利和荣誉26.1 深信服科技
2、介绍26.2 SANGFOR AC部分专利介绍26.3 深信服科技部分荣誉2第1章需求概述1.1背景介绍网络的发展与普及正在改变人们的生产生活方式,互联网正逐步成为重要的生产资料,组织业务正逐渐向互联网转型。 互联网是一把”双刃剑”,缺乏管理的互联网已经带来诸多问题:1、 带宽滥用,上网速度慢(P2P流量超过一半,访问网页,ERP等无法顺利进行,带宽无法有效的分配和利用)。2、工作效率下降(上班时间网络聊天、炒股、网游、看新闻等行为泛滥)。3、机密信息被泄露,信息安全遭威胁(上网授权缺失,用户肆意上网,为通过网络泄密提供了通道,泄密后无据可查,责任难追究)。4、违法网络行为为企业带来法律风险(
3、肆意浏览色情、反动网站,无具体日志记录,无法举证追踪)。5、安全威胁频发、上网环境恶化(互联网威胁越来越多、隐蔽和病毒感染技术越来越先进)。1.2 需求分析1.21 带宽效率风险随着互联网的普及,组织机构的业务几乎都依托于互联网进行着。ERP、CRM、OA、电子商务、视频会议等系统已成为各组织机构在建设网络的基础设施,来为公司业务建立一个信息化平台。但是在一个组织机构内部的网络,除了这些关键业务系统外,P2P下载、网络炒股、游戏、视频等非关键业务应用同样共存着,形成了复杂的网络应用“脉络”。据一期美国时代周刊载文称,网络带宽将成为继石油之后新的“黑金”,这将是未来10年世界发展的重要趋势之一。
4、组织机构在花了重金从运营商处购买带宽满足业务需求,但是在办公室里经常听到有人抱怨网络速度为什么这么慢,在业务处理终端经常有工作人员反馈订单等处理太慢,客户往往等不及。网络速度慢,正常业务受到影响,如何来解决问题呢?扩张带宽,将原有的10M扩张到20M?扩张带宽,IT部需要向公司申请一笔较大的经费,财务部需要从其他部门的预算中挤出30W左右的资金,难度大,周期长,有风险。但是扩张带宽后,网络速度慢的问题是否会从根本上解决呢?下面分析网络速度慢的主要原因。 上图为一真实客户网络应用显示,600M的互联网带宽内,P2P的应用流量高达36.4%。据iResearch调查统计,P2P业务对带宽占用比大致
5、是40%60%,在极端情况下会占用80%90%,它被成为“带宽杀手”,消耗了大量网络资源,导致了运营商网络关键链路拥塞和其他互联网应用性能的快速下降,在各组织机构中的情况也是如此。P2P抢占空闲带宽、上下行流量对称、一对多点链接、大部分端口可变、协议相对固定、流量特征不明显。这些特征导致P2P在采集分析、识别和管理方面比较困难。P2P对于带宽资源的吞噬是一方面,另外一方面P2P会产生大量的连接会话,会对于网络核心以及互联网出口设备都会产生比较大的压力,导致相关设备负载过高,导致设备新建会话的速度变慢从而影响网路速度。例如中国国际航空公司西南信息分布就遇到过在对P2P进行管控之前,防火墙CPU负
6、载经常可达90%以上,在对P2P进行有效的控制之后防火墙CPU基本维持在30%一下。由此看来,组织机构若不能应付P2P应用大量吞噬带宽的现象,单纯通过扩张带宽,也只能获得一时的效果,仍然不能从根本上解决网络速度慢的问题。网络偶然发生拥堵,很常见,但如果网络开始遭遇频繁的数据重发和拥堵,有一件事情是确定的如果不将网络拥堵处理妥当,它只会变得更糟。1.2.3 泄密风险公司业务依托于互联网开展,ERP、CRM、OA、电子商务、视频会议等系统来自于全球高端厂商的开发,同时系统的应用依托于互联网。但是,无论是政府网、教育网,还是企业网,承载着的都有关于组织的机密信息。所以在信息安全保障工作方面,任何组织
7、都需要考虑如何避免信息泄密事件的发生。项调查显示,名列财富杂志前1000名的公司每年因泄露商业机密而出现的损失高达450亿美元。为此,企业无不对商业机密严防死守,对泄密者更是实施较高惩罚措施。让企业恐惧的不是强大的对手,而是自己的商业机密变成了对方手里的底牌,为了不让商业机密泄露出去,企业通常的做法有:采取硬件、软件加密保护,在机密文件上注明“机密”,对机密文件实施专人管理;签订保密协定,在用人合同中对商业保密进行约定、实施竞业禁止行为,注明泄密承担的严重后果;加强员工培训管理等。但是,员工在上班时间利用公司网络和电脑,在聊天、邮件、发帖、访问互联网过程中有意或者无意的泄露组织机密,给组织带来
8、了严重的损失。1.2.4 法律风险组织的办公系统、业务系统都依托于互联网,员工在使用的时候势必也拥有上互联网的权限。调查发现,90%的上网人士不清楚网络的法律法规,67%的人都没听说过网络违规违法。“人肉搜索”被媒体评为2008年度十大网络流行词,由于利用“人肉搜索”实施违法行为的主体具有隐蔽性,使得恶意侵犯他人合法权益的事件频发,严重侵犯他人的名誉权、隐私权和安宁权,甚至造成当事人自杀、自残或者精神失常的后果,引发“网络暴力”。十一届全国人大代表为此提出议案,修改治安处罚法第42条,追究违法“人肉搜索”的法律责任。网络服务提供者明知网络用户利用其网络服务实施侵害他人合法权益的行为,未采取必要
9、措施,情节特别严重且造成严重后果的对直接责任人和主要负责人处五日以下拘留,并对单位处五百以上三千以下的罚款。2009年,全国整治互联网低俗之风专项行动办公室核实,41家网站主要刊登色情和低俗内容,违反了全国人民代表大会常务委员会关于维护互联网安全的决定、互联网信息服务管理办法、互联网新闻信息服务管理规定等法律法规的规定,被依法关闭。2010年,记者调查发现,不少市民和网友通过QQ的群邮件功能或者MSN的聊天组获取不雅视频,专家表示,这样做也有法律风险。根据最高人民法院、最高人民检察院颁布的新司法解释,利用互联网建立主要用于传播淫秽电子信息的群组,成员达30人以上或者造成严重后果的,对建立者、管
10、理者和主要传播者,依照刑法第364条第1款的规定,以传播淫秽物品罪定罪处罚。网络的违规违法事件越累越多,国家对于违规违法事件打击的力度越来越大。组织职员通过组织网络,在论坛和博客发表反动、藏独等不负责任的言论,在QQ、MSN等聊天过程中传播不雅信息,都属于网络的违规违法行为,一旦被组织机构查处,组织都因此而遭受法律的制裁。其中,国家电网明文规定,对电网公司不定期检查员工的上网行为日志,避免电网内员工发生网络违法和泄密事件。个人违法,理论上不应该由组织来承担责任,但若因为组织没有采取相关的防御措施,违法事件发生后不能通过技术手段查出当事人,那么只能由组织为此违规违法事件而买单。如果避免此类事件的
11、发生,组织可以考虑从网络的技术层面出发,做好网络法律的防御工作。1.3 客户具体需求分析广东长城集团有限公司(以下简称:长城集团)网络详细需求是:对各个上网用户进行带宽管理、保证正常业务带宽,对P2P流媒体进行带宽的限制。对员工上网浏览网页、邮件、IM、外发等进行审计,防止机密数据的外泄。防止来自外网的DOS,DDOS攻击等。组织单位面对来自带宽效率、工作效率、泄密、法律和网络安全五大风险问题时,往往需要一套完善的可靠的上网行为管理解决方案。深信服上网行为管理从身份认证、访问控制、带宽分配、监控审计、安全强化五个方面,为用户解决上网行为管理的问题,提供专业的解决方案和服务。1.4 客户网络现状
12、分析长城集团现有网络拓扑图:通过以上内网拓扑简图可见,长城集团网络结构还是比较简单,目前的网络结构无法防御来自外网的安全风险和威胁,对于来自内网的肆意的互联网访问行为、带宽滥用、潜在的泄密、法律违规等也无法进行有效地管控,同时内网员工的各种互联网访问行为也无法有效的监控和审计。第2章上网行为管理标准专业的上网行为管理以识别用户、应用、终端为基础,以授权、流控、审计作为手段,以安全强化作为上网行为管理的辅助和目的。作为一个管理者,只有清楚在他所管理的网络中是谁用哪一台电脑在网上做了些什么,才能真正的叫做管理网络。第3章上网行为管理AC功能介绍3.1 身份认证3.1.1 多种认证方式随着网络的发展
13、,网络信息安全的重要性日益显现。现今大多数企业仍旧采用静态的用户名/口令认证机制,在身份认证过程中交换的认证消息为明文方式,未进行加密算法或者散列算法的处理,这样导致的直接结果是用户名和口令这些敏感数据容易被截获和泄露。因此一套安全稳定高效的安全身份认证系统对于一个不断发展扩大的企业网络是必不可少的。组织要对内网进行管理,首先必须对接入内网的人员进行严格的身份认证。SANGFOR AC基于用户识别的功能支持以IP、MAC、IP/MAC绑定、用户名密码、USB-Key识别,公用账号认证。对于已有域认证的用户,AC可与域进行结合认证。同时支持LDAP认证、Radius认证、POP3认证、Web认证
14、等等,其中Web认证支持以windows认证框方式实现web认证,也支持以HTTP POST方式实现web认证。3.1.2 单点登录技术AC为内网用户提供账号/密码等认证方式,结合单点登录技术(Single Sign On, SSO)将避免手工输入帐号信息以简化操作。AC通过数据包监听方式即可支持AD单点登录功能。内网用户采用域账号登陆操作系统后,自动通过AC认证,简化用户操作,且合作伙伴等第三方人员接入机构内网后将自动禁止访问Internet,进一步降低机构信息资产外泄的风险。AC的POP3、PROXY单点登录功能启用后,内网用户只需收发一下Email、或触发PROXY服务器的认证后,也将自
15、动通过AC认证,极大的方便了用户的使用。3.1.3 跨三层绑定IP/MAC对于三层网络环境的用户,AC可跨三层绑定IP/MAC。3.1.4 新用户认证对于进入内网的新用户,如临时来访的客户、其他办事处的同事等,AC可为临时的用户提供简单且可靠的认证方式。3.2 访问控制3.2.1 网页过滤组织员工在日常需要使用网络的工作中,需要搜索访问互联网。互联网的开放性带来了资源的传播和共享,同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷,如何在日常工作中过滤这些不良网页,为员工创造一个健康的绿色的网络环境呢?网页分类、搜索引擎关键字过滤等技术应运
16、而生。AC内置千万级URL库,将互联网网页分成40多个大类,同时公司研发专门设立URL部分,每半个月实时更新和维护URL库。URL库支持在线自动更新,同时支持手动更新。据Google统计,在2008年Google网页已经多达1000000000000(1兆),2010年5月,工信部发布的互联网产业数据显示,截至2009年底,国内网站数量达到323万个,年增长率12.3%。网页更新速度如此快,URL的弊端由此显现。如何克服网页URL管理的滞后性和不完全性?AC提供自行添加URL的功能,在查询URL库中没有此URL地址时,用户可自行在设备界面进行添加,也可自定义URL类型,对组织内部网页进行管理。
17、AC具备URL智能识别功能,可对未知的网页进行自动学习、判别、归类。网页智能识别系统是公司于中科院联合开发,属国内前沿开发技术。3.2.2 搜索关键字过滤用户可根据访问习惯,将互联网中的非法、暴力、毒品等不良网站进行过滤,为组织内网提供一个绿色、健康、高效的互联网访问环境。同时AC支持在搜索引擎中设置多关键字过滤,过滤包含不健康内容的网页。3.2.3 发帖关键字过滤网络的开放性给网民带来更多的言论自由,但互联网上部分不负责任人士发表一些类似色情、反动、迷信或者暴力的信息,影响其他人士,造成了不必要的影响。AC可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站,AC可设置看帖看不允许发帖,或
18、者实行发帖关键字过滤,灵活避免组织中出现泄密或者发表不良言论带来法律追究责任的风险。3.2.4 文件类型过滤网络的开放性带来了网络资源的共享,组织中的用户可在上班时间从互联网上下载电脑系统使用工具、免费的杀毒软件、产品文档等资料,非常便利。但是部分用户利用下载和上传的工具在上班时间做与工作无关的事情,比如下载电影、音乐、游戏等,不仅影响工作效率,而且占用并浪费了组织的带宽资源。AC根据下载文件的类型判别下载的内容,电影、音乐、游戏等与工作无关的娱乐信息为常见的rmvbavimp3等格式,用户通过定义这些文件格式为影视类型,对这类文件的上传和下载进行过滤。3.2.5 应用控制互联网应用众多,如何
19、在内网对各应用进行合理的管控呢?首先需要识别应用。AC内置应用识别规则库,分为24个大类,包含600多种应用,可识别网络中各种主流常见应用。对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。针对目前P2P行为泛滥的趋势,SANGFOR AC的
20、P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供P2P应用封堵或流量管理措施。针对类似P2P难以管控的应用,AC内置应用智能识别库,自动判断新出现应用特征,从而归类管理。AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。3.2.6 P2P管理P2P(peer-to-peer)应用的兴起直接导致了P2P软件及各种版本的爆炸性增长。如何对P2P行为进行全面有效的管控成为业界的难题之一。部分厂商通过封堵种子共享网站、过滤种子文件的下载、封堵资源服务器IP或封堵端
21、口等方式进行P2P管控,费时费力且达不到理想效果。AC的深度内容检测技术对常用P2P软件进行识别;基于P2P行为特征的智能分析技术实现对不常见和未来可能出现的P2P应用的识别,为您提供了全面、高效的P2P行为管控手段。P2P作为带宽杀手,P2P应用种类多、应用复杂、版本更新快,在众多网络用用中最难管理。AC针对P2P以上特点,专门针对P2P采取智能识别、自动管控功能。能够全面识别P2P行为是进一步管控的基础。对P2P的管控包括封堵和流控两方面,即全面禁止指定部门使用P2P软件,或允许其使用,但对P2P行为占用的带宽资源进行限3.2.7 加密聊天管理“加密化”的趋势不仅使明文的HTTP网站开始转
22、向加密的HTTPS网站,各种IM聊天工具的聊天内容也被加密,如腾讯QQ、TM、Skype、MSNShell等。如果不能对加密的IM聊天内容进行监控和记录,隐匿其中的安全风险、安全事件就无法防御、无据可查。目前业界的解决方案多数都无法对QQ、Skype、MSNShell、Gtalk的聊天内容进行监控和记录。AC通过聊天内容同步侦听(Real-time Monitor for Messages , RMM),实现对QQ、Skype等加密聊天内容的监督和记录,这在业界的行为管控方案中是屈指可数的。3.2.8 邮件管理邮件成为了日常工作中一种必需的工具,如何避免员工通过邮件有意或无意泄露公司机密,如何
23、过滤垃圾邮件,减少让人头痛的邮件管理问题呢?AC邮件过滤功能,可根据发送和接受邮件的地址,邮件主题、正文、附件类型,发送邮件的大小、附件个数等自动判别和过滤不符合规定邮件和垃圾邮件。为避免邮件处理过程中,包含关键字的邮件为合法邮件,AC的邮件延迟审计(Postponed Sending after Audit, PSA)技术,可将敏感邮件阻挡于内网。内网员工发送Email邮件时,用户认为已经成功发送,实际上该Email行为被AC识别后,符合管理员预定策略的Email被AC网关拦截,整封Email邮件、包括正文和附件全部转存至邮件缓冲区。指定的邮件审核人员会获得邮件通知,经人为审核后,才允许该E
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 长城 集团 上网 行为 管理 解决方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【人****来】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【人****来】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。