深信服上网行为管理(AC)产品白皮书.docx

I构建健康安全、高效可管的互联网SANFORAC上网行为管理产品白皮书互联网对组织提出的挑战随着信息技术、特别是网络技术的普及，互联网已经渗透到工作和生活的各方面。而组织内网员工使用IM聊天、网上购物、在线欣赏音乐和电影，通过BT等P2P工具下载互联网资源、收发个人邮件、在论坛上舞文弄墨只要员工有兴趣，他们就能在上班时间尽情享受互联网带来的乐趣。针对用户互联网访问行为的管控与审计，美国于2002年颁布实施萨班斯-奥克斯利法案对组织内控和行为日志记录率先提出了要求；而中国于2006年3月1日实施互联网安全保护技术措施规定-简称公安部82号令的相关条款，也要求互联网服务提供者和联网使用组织记录并留存内网用户发生的各种网络行为日志，包括登录和退出时间、账号、互联网地址或域名等信息，且行为日志至少保留六十天以上。缺乏有效管理的互联网是否让您常常面对如下情形却又束手无策？看似充裕的出口带宽却不断接到内网员工关于网速太慢的抱怨；视频会议、Ve)IP断断续续，与分支互联的VPN极不稳定、经常中断；过激言论、网络造谣给组织招致网监的压力，却又无法查找到责任人；研发代码、营销方案等让竞争对手得知，何人所为？内网病毒、木马、ARP欺骗、DoS攻击让IT管理者头痛不已；巨资购买的杀毒软件很多员工不装、不用，存在风险的终端肆意上网；专注的敲击键盘、认真的盯着屏幕，但却在发生工作无关的行为；让人无奈的是，员工的不规范网络行为往往是组织为其买单：除因上班时间无心工作所带来的直接损失外，组织的带宽资源陷入被滥用扩容再被滥用的恶性循环，同时组织还面临法律违规和泄密风险，组织的信息资产、机密信息的未授权传播同样令管理者痛心疾首，由于互联网行为复杂且难以预料，无论是存心还是意外，一个居心叵测的员工和一个忠实可靠的干将都有可能将组织内网的重要资料泄露给第三方组织甚至竞争对手。值得庆幸的是，越来越多务实、具备安全意识的管理者发现了问题所在，并希望通过有效而可靠的途径来实现对员工的上网行为进行管理，接下来，让我们深入了解深信服SANFORAC上网行为管理解决方案如何帮助组织轻松解决互联网所带来的问题。1上网行为管理给用户带来的价值深信服科技SANFORAC为您带来了全面而灵活的上网行为管理解决方案。在此，我们通过管理网络带宽、避免法律和泄密风险、提升工作效率、提升内网可靠可用性，以及管理的易用性等五个方面的详细阐述SANFORAC为您带来的巨大价值。Ll管理网络带宽多线路复用和智能选路很多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过AC特有的多线路复用及带宽叠加技术（专利号：200310112006X）,AC复用多条链路形成一条互联网总出口，提升整体带宽水平。再结合多线路智能选路专利技术（专利号：ZL03113974.4）,AC将流量自动匹配最佳出口。 基于应用/网站/文件类型的智能流量管理有限的带宽资源如何分配给不同部门/用户、不同应用、不同访问行为？AC可以基于不同用户（组）、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配，如保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RM文件的带宽C精细智能的流量管理既防止带宽滥用，又提升带宽使用效率。 流量限额功能为了更加合理、高效的利用组织有限的带宽资源，流量管理策略需要考虑如果部分用户长时间持续下载非业务相关网络资源，由此对带宽资源的滥用如何管理？SANFoRAC支持为指定用户、用户组按照天/月为周期分配指定的上网总流量，当用户上网总流量超过设限额后将自动终止互联网访问权限，从而促使用户珍惜带宽资源，避免对带宽资源的浪费。 P2P的智能识别与灵活控制封尸、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。AC凭借P2P智能识别技术（专利号：200610156977.8）,不仅识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能管控。而完全封堵P2P可能实施困难，AC的P2P流控技术能限制指定用户的P2P所占用的带宽，既允许指定用户使用P2P,又不会滥用带宽，充分满足管理的灵活性。 带宽统计和报表AC的数据中心（NetworkDatabaseCenter,NDC）对内网用户的各种网络行为进行记录、审计、统计及趋势、报表等。借助图形化报表、统计结果等，可以了解流量TOPN用户、TOPN应用等，并自动形成报表文档，定时发送到指定邮箱，让IT管理者轻松掌控用户网络行为分布和带宽资源使用等情况，为带宽管理的决策提供准确依据。1.2避免法律和泄密风险互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为，而如果又没有证据，无法找到直接责任人，IT部门将成为该事件压力的承担者。外发信息控制办公室内无论是涉及组织前途命运的机密资料还是总裁办公室的八卦新闻，员工都可能会有意无意传播。而便利的互联网让他们更多选择使用IM软件、EmaiI、论坛、博客等方式实现信息的外发。AC可以封堵IM软件，过滤和审计收发的Email邮件，过滤论坛、网站访问行为，也可以过滤和审计网络发帖行为，让员工认识到自己需要为其网络行为负责。严谨的上网行为管理要求组织部署完整的认证体系以确保每个接入者的网络使用权限。SANFORAC提供完整身份认证体系：Web方式的用户名/密码认证，IP/MAC地址绑定，与现有RadiUs、LDAPxAD联动，AC甚至可以借助现有POP3邮件服务器、PROXY服务器上的用户帐号数据，对接入用户进行强身份认证，避免未经授权的接入用户访问互联网。外发EmaiI控制Email不仅是组织重要的沟通方式之一，同时也是最常见的泄密方式。传统设备处理泄密邮件时只能将其拷贝存储留作证据，但泄密邮件已经外发，损失已经造成。而Sanforac的邮件延迟审计技术（专利号：200510037454.7）基于用户、邮件标题、正文、附件等特征拦截泄密邮件，并自动通知审核人员人工审核后再外发，以确保组织信息资产安全。但存心的泄密者往往将Email附件压缩、加密、修改后缀名、删除后缀名等试图躲过拦截与审查，即便如此Sanforac仍然能够对以上行为进行识别和行报警，帮助组织强化信息资产保障措施。同时对于所有收发的Email邮件SANFORAC都可以全面记录，并通过数据中心方便管理者对邮件日志进行查询、审计、报表统计等操作。外发文件控制从互联网下载论文、软件、音视频等，不仅可能引入病毒、木马还存在将组织卷入版权纠葛的风险；而通过http、ftp等外发文件则又存在泄密可能。Sanforac可以基于文件类型对传输的文件进行过滤，并全面记录外发文件内容，即使非善意用户篡改/删除文件后缀名、压缩、加密等AC一样可以识别并报警，保证组织的信息资产安全。网络言论过滤策略论坛灌水、顶贴、人肉搜索等不仅降低工作效率，同时也潜在给组织带来法律风险。借助SANFORAC管理者可以封堵指定论坛、BBS等。而且AC还支持基于关键字过滤用户向公网发布的网络言论、帖子等，即便成功发布到互联网的言论AC也能详细记录，通过数据中心提供的报表、查询工具方便管理者审计，避免组织遭遇的法律压力。有些组织允许员工访问论坛、浏览帖子等，但不准发贴，通过SANFORAC也可以实现。并且AC可实现员工只有使用帐号登录论坛、Webmail后才允许发表言论，从而避免员工的抵触情绪，同时确保网络言论和员工身份的对应。灵活的网络言论过滤策略既避免了组织遇到的法律风险，又满足了员工的正常上网需求。法律遵从和举证AC有效过滤和拦截色情、反动等网站的访问、过滤非法网络言论的发表，即使逃脱过滤进入互联网的非法行为等，也可在AC数据中心中找到相关记录作为法律举证的依据。但“公安部82号令”要求日志至少留存60天如何满足？AC网关本身可存储大量日志，但大型组织每天将产生数十G的日志，只有通过独立于网关的数据中心才可实现海量存储。无论内置/外置数据中心，AC都为管理者提供丰富的日志查询、统计、自动报表等工具。如何从数十G、甚至上百G的海量日志中找到泄密/违法证据、或管理者感兴趣的内容？AC数据中心提供的内容检索功能，让管理员类似Google、百度搜索一样，方便、轻松搜索需要的内容，并支持自动发送管理员指定关键字的检索结果到指定的Email邮箱。