上网行为管理方案模版简单版.doc

XX机构网上网行为管理解决方案深信服科技1. 前言1.1 深信服科技简介 深信服科技有限公司是一家长期致力于提升用户带宽价值的高科技、高成长型企业。从2000年底成立至今，深信服公司以每年销售收入增长23倍、人员增长1倍的速度高速发展，从2005到2008连续四年入选德勤中国高科技、高成长50强，亚太区500强。深信服科技坚持自主研发、每年将销售收入的15投入产品研发，目前已申请近30项网络及安全领域发明专利。现有产品包括AC上网行为管理、IPSEC VPN、SSL VPN、广域网加速等全系列产品线。深信服科技现有员工近600人，平均年龄26岁，95具有大学本科及以上学历。其中41从事研发、40从事市场和客户服务工作。在国内三十余大中城市设立直属办事处，在香港设有海外办事处，在迪拜、孟买、新加坡等具有全球销售和服务网络。自2005年深信服与业界第一个提出上网行为管理理念并推出成熟产品，目前已经部署于超过5000家客户网络中，是国内上网行为管理领域当之无愧的第一品牌。深信服通过SINFOR AC网关为客户提供业界最领先的上网行为管理解决方案，全面灵活的帮助客户实现带宽与流量管理、外发信息管理、上网行为审计、网络访问控制、内网与终端安全增强等，从而有效解决互联网使用带来的带宽效率降低、网络泄密风险、法律违规问题、工作效率影响、网络安全性降低等各种问题。 深信服立足自主研发、自主创新，SINFOR AC上网行管理产品具有7项发明专利，并获得高交会自主知识产权认证、国家信息安全产品评测中心认证等资质。深信服持续研究上网行为前沿技术与趋势，完全遵从“以精准用户识别、终端识别、应用识别为基础，实现封堵、流控、审计等管理手段，集合安全增强功能”的业界标准，为客户提供完善的方案及服务。2. 项目概述2.1 网络现状描述XX机构不仅部署有OA、Email等丰富的业务系统，并且组织内网Intranet、互联网Internet的应用也十分普及。信息技术、特别是网络技术为XX机构持续创造价值。XX机构内部网络按照行政架构和部门将网络分为多个功能区，内网连接互联网的用户数已达XX个，当前XX机构的互联网出口带宽达XXM，整个网络结构程三层架构模式。2.2 应用现状描述XX机构内网由于不同部门的职责与业务决定其对互联网的依赖度不同。领导及办公室：由于高层领导需要及时获取互联网讯息，且频繁需要通过视频会议、VOIP等系统与分支机构进行交流，所以对网络带宽需求强烈且要求较高。市场部：日常工作内容包括通过互联网与客户、合作伙伴保持日常的有效沟通，并及时获取互联网最新行业信息等，工作任务与性质决定了市场部同事需要一定的Internet访问权限。研发部：CSDN.NET等互联网上存在诸多研发、IT相关技术论坛与网站，这些资源为研发人员的日常工作提供了有效的帮助和支撑。同时研发内网存在关乎XX机构发展命运的诸多核心机密。从XX机构的整个互联网使用情况看，现有的Internet出口带宽资源紧张，IT技术部时常接到内网用户关于网速太慢的抱怨与投诉；内网用户的网络发贴、外发Email、访问的网站等行为也缺乏有效的审计记录手段，一旦发生泄密、法律违规问题将面临无据可查的尴尬；上班时间从事工作无关的网络行为已经成为办公室公开的秘密，生产效率无法保障；而由于不受控的上网行为泛滥，导致内网病毒、ARP欺骗等问题品频频发生。3. 需求分析结合XX机构的网络和应用现状可见，有以下问题需要解决：1、 精准识别内网不同用户身份，按照行政架构将用户分配到不同用户组，并与XX机构现存的AD服务器配合，为不同用户授予不同的上网权限。2、 对全网用户的BT、迅雷等P2P行为进行管控，包括封堵研发部门的P2P行为，对市场部的P2P所占用的带宽进行流控等；同时要保障关键业务系统的带宽需求。3、 领导及办公室：为领导用户组分配充足的带宽资源，保证领导的视频会议、VOIP的带宽要求，并且通过硬件USB-Key的方式实现领导身份的防冒充、防破解、以及上网行为免审计功能。4、 市场部：管控上班时间的非业务上网行为，如QQ语音、视频、游戏，网络炒股、网络游戏等；另外为业务行为如访问行业网站等提供充足的带宽资源保障。5、 研发部：不仅严格控制研发部的网络访问权限，同时对外发信息进行过滤和审计，包括过滤外发文件、外发Email、先拦截Email人工审核后在外发等。6、 IT信息技术部同时希望能够强制内网客户端都安装已购买的某杀毒软件，并且再部署网关杀毒措施；另外需要海量存储行为日志和快速的日志检索定位工具，以满足公安部82号令的要求，并且通过硬件USB-Key识别接入日志中心的管理员身份，防止日志的滥用。4. 方案设计原则4.1 设计原则n 标准化、一致性原则设备设置的所有策略都满足国家对于信息审计的要求，遵循国家安全标准体系。所选择设备要具有公安部销售许可证、国家信息安全评测中心的认证、公安部信息安全产品监测中心检验报告等。n 全面、灵活性原则能够基于用户、用户组、时间段、应用行为等进行灵活的上网权限控制；全面记录各种上网行为日志，并能通过硬件USB-Key避免高层领导行为日志的记录；支持通过硬件USB-Key认证接入日志中心的管理员身份等。n 安全及前瞻性原则如果设备被攻击、内网DOS流量、ARP欺骗等导致网络中断将严重影响网络可用性，所以设备不仅能够通过防火墙等安全模块保障自身安全，同时能够防御DOS攻击、ARP欺骗等，提升整个网络的可靠性、可用性。n 技术和管理相结合原则上网行为的各种控制与审计策略应该与XX机构的管理机制、人员思想教育与技术培训、安全规章制度建设相结合，从技术和行政两方面全面管理内网用户的上网行为。 4.2 参考标准1) 公安部计算机信息系统安全产品质量监督检验中心信息技术网络通讯安全产品检验规范2) 国家标准GB/T18336.2-2001信息技术 安全技术 信息技术安全性评估准则3) 公安部第82号令互联网安全保护技术措施规定4) 国家保密标准BMZ2-2001涉及国家秘密的计算机信息系统安全保密方案设计指南。5) 国家保密标准BMZ1-2000，涉及国家秘密的计算机信息系统保密技术要求。6) 国家保密标准计算机信息系统保密管理暂行规定（国保发19981号）。7) 国家标准GB17859-1999，计算机信息系统安全保护等级划分准则。8) ISO27001/ISO17799:2005/BS7799,信息安全管理技术规范。9) 国际塞班斯法案5. 解决方案5.1 总体设计根据客户的应用及网络现状、需求分析，当前XX机构迫切需要对P2P等费业务应用进行带宽限制，为业务应用划分和分配带宽资源，从而提升带宽使用效率；封堵互联网非法资源、过滤网络言论、外发Email，并做到上网行为日志的全面灵活记录与海量存储；另外对内网用户的互联网访问行为有针对性、差异化的封堵和限制，同时在实现严格的上网行为管理的同时，提升网络的可用性、可靠性等。因此要求方案设计全方位的考虑到这些重点内容并且符合国家相关安全条例的标准，切实做到量体裁衣。5.2 设备选型在XX机构互联网建设中，对产品选型应遵循以下原则：1、 全面灵活的管理手段。为内网不同用户提供差异化封堵、流控、审计等管理手段，尤其基于硬件的免审计USB-Key、数据中心认证USB-Key为XX机构提供了个性化的上网行为管理手段。2、 网络可靠性、可用性保障。上网行为的发生是以网络通达为基础的。所以对网络可靠、可用的保障是使用网络的基础，这需要通过多种手段实现，包括防火墙技术、网关杀毒技术、终端网络准入技术、防DOS攻击、防ARP欺骗等。3、 强大的性能和稳定性。由于网络带宽的快速增长和组织人员规模的扩大，IT投入必须具有前瞻性，强大的性能和稳定性是必须点。而厂商的技术实力、业界的高端客户案例等是性能和稳定性的最好体现。4、 完善的售后服务。专业的CTI客服中心、多路800电话、本省会城市的厂商直接办事处和服务机构等将为客户构建完善的售后服务体系。因此，本方案XX机构的上网行为管理建设中采用深信服科技SINFOR M5900-AC。5.3 产品功能和性能SINFOR AC上网行为管理网关作为国内上网行为管理第一品牌的厂商-深信服科技，其SINFOR AC上网行为管理网关具有如下特点：1) 丰富的部署模式² 网关模式。NAT代理上网，防火墙模块保护内网，多线路功能扩展带宽² 网桥模式和多路桥接。透明串接在网络中，尤其适应VRRP、双机等冗余链路环境² 旁路模式。不影响网络结构情况下提供丰富的审计功能和部分控制功能2) 精准的用户认证与识别不能识别用户就无法针对用户进行差异化管理² 弹出式Web认证，支持指定IP段无需认证直接上网² 丰富的第三方认证：Radius、LDAP、AD、POP3、Proxy等² 支持AD、POP3、PROXY单点登录；读取AD上组织结构并保持同步² 支持双因素身份认证，如USB-Key，提升账户安全性² 用户自动创建与认证：指定IP段用户自动添加到指定用户组，分配指定网络权限，同时绑定IP、MAC等3) 全面的网页访问行为管控² 内置千万级与分类URL地址库，符合国人访问习惯² 识别SSL加密网页，防范钓鱼网站等² 过滤百度、Google等搜索的指定关键字² 基于网页正文关键字过滤网页访问行为² 识别非80端口的网页访问行为，彻底管控随机端口网站² 每天自动更新，设备自动升级，保持时效性² 基于内容的网页智能分类系统，从容应对WEB2.04) 国内最大的应用协议识别库² 内置20个大类，超过260条以上的应用识别规则，国内最大² 基于应用协议特征码的识别，有别于传统IP、端口识别² 支持用户自定义识别规则，实现个性化管理² 每周自动更新，并支持回滚功能，保持与互联网的同步² 识别加密邮箱、加密方式的炒股软件等，让加密应用无法遁形² 基于行为特征全面识别加密P2P、未知P2P、不常见P2P等 5) 邮件行为的管控² 基于发件人地址、附件类型、关键字过滤外发Email行为² 基于收件人、关键字、大小、附件等先拦截潜在的泄密邮件，人工审核后再外发，避免泄密风险² 对非标准端口的Email收发行为进行识别、控制² 识别和控制加密邮箱的使用，如Gmail等² 基于关键字过滤Webmail行为² 对接收的邮件进行垃圾邮件过滤6) 智能带宽划分与分配² 多线路复用和智能选路，扩展带宽并做到流量的智能分担² 基于应用协议、网站类型、文件类型的细致流控策略² 为对外提供访问的服务器划分与分配指定带宽资源² 基于用户、用户组、时间段、出口链路的流控，更精细² 基于P2P的智能识别，对P2P的流控效果显著7) 全面灵活的上网行为审计² 记录用户访问的URL地址、网页标题、甚至网页正文内容² 记录QQ、MSNShell、Skype等加密聊天内容² 记录Email、Webmail正文及附件² 记录外网用户在内网服务器上的网络行为，如发贴等² 全面记录用户的各种上网行为日志² 基于硬件USB-Key实现指定用户的免审计功能8) 灵活精细的策略管理² 树形用户分组结构¨ 保持与客户的行政组织架构一致¨ 支持用户组的嵌套，具有父组、子组等¨ 保持与AD域控服务器上组织架构的一致性² 基于时间、应用、用户、带宽、等多种条件设置用户的上网策略² 面向策略的管理¨ 策略对象与用户分类，策略对象支持复用¨ 策略支持继承、强制继承，父组要求强制继承的策略，子组无法修改、删除、绕过等² 管理员分级管理。不同管理员管理不同的用户组、审计不同用户的上网行为、管理网关设备的不同功能模块9) 海量日志存储与日志报表、内容检索² 数据中心¨ 设备内置数据中心，方便用户直接操作日志¨ 独立数据中心实现行为日志海量存储¨ 一台数据中心支持以WEB方式查看多台设备的日志数据¨ 数据中心认证Key，强认证接入数据中心的管理员的身份² 丰富的报表¨ 时间统计。统计用户、用户组、各种应用的时间总量和排名，并支持绘图与导出¨ 流量统计。统计用户、用户组、各种应用的流量和排名，并支持绘图与导出¨ 对比报表。支持不同时间段、指定用户的指定应用访问行为的对比报表¨ 自定义报表。按照用户、用户组、IP、应用类型等进行上网行为的统计、趋势、汇总自定义报表¨ 内容检索。提供类似百度的搜索工具，基于多关键字，秒级时间内实现上TB海量日志的快速检索与定位¨ 主题订阅。将含有管理者指定关键字的内容检索结果周期性发送到指定邮箱10) 网络安全与可用性强化² DOS攻击、ARP欺骗、病毒等导致网络中断的问题必须能够防御² 防火墙。保护内网、保护设备本身免受攻击、入侵² 网关杀毒。从源头上清除病毒威胁² 防DOS攻击。防范来自内网、外网的双向DOS攻击² 防ARP欺骗。导致整个子网用户无法上网的问题得以根除11) 国内性能最强的上网行为管理产品² 支持处理1Gbps的用户实际Internet应用流量² 国内最多的高端客户案例² 国内上网行为管理成功案例最多产品性能参数：产品型号SINFOR M5900-AC接口速率（Mbps）1000每秒新建连接数150000吞吐量（Mbps）1000支持用户数量14000-50000人支持出口带宽1000M5.4 部署方式深信服SINFOR AC上网行为管理网关支持多种部署方式，考虑到XX机构的实际情况与需求，我们推荐以网桥模式部署，如下。