XXXX公司网络安全建设方案.doc

_青岛XXXX有限公司网络系统安全建议书二零一三年四月青岛XXXX工程有限公司 2006-2019QINGDAO CHANGLIAN COMMUNICATION ENGINEERING CO.,LTDXXXX-您身边的网络安全专家XXXX指导思想：长远可持续发展 - 打造优秀企业 成就卓越畅联 不将眼界局限于短期内发展的速度、效益或一般意义上的生存，畅联追求和重视的是企业综合竞争能力以及永续发展能力的提高，以可持续发展作为公司重大战略的指导思想和检验标准，追求卓越、超越自我，使企业在稳定中逐步壮大，长盛不衰。XXXX服务理念： 用心服务，尽善尽美，悉查客户需求，超越客户期待。XXXX经营理念：专业服务，成就所托。目 录第 1 章青岛XXXX有限公司网络安全方案综述41.1.青岛XXXX有限公司信息系统概况41.2.青岛XXXX有限公司有限公司网络安全项目规划51.3.部署效果6第 2 章网络安全系统方案产品介绍72.1.深信服上网行为管理设备（AC）72.2.北信源内网安全管理系统232.3.亿赛通数据泄漏防护管理系统41第 3 章项目报价表49第 4 章青岛XXXX工程公司简介504.1 公司简介504.2 公司企业文化504.3 XXXX工程维护和服务承诺514.4 服务支持和承诺524.5 公司成功案例（部分）：53第 1 章 青岛XXXX有限公司网络安全方案综述1.1. 青岛XXXX有限公司信息系统概况根据目前的初步沟通了解，青岛XXXX有限公司网络目前应用大体如下：公司内部各个部门通过防火墙接入到运营商网络，公司内部的应用主要有财务服务器、PC机等，使用的操作系统有Windows 2003/2008/XP/7。大量的使用了Office办公软件、设计软件等专业应用软件与系统软件，有大量的图纸文档需要加密保护。从前期与贵公司交流来看，贵公司在基础网络搭建方面比较欠缺，从网络管控方面，我们并没有对员工的上网行为进行有效管理，很多P2P、IM、在线视频、网上购物等严重滞后了员工的工作效率，占据公司带宽资源；甚至在互联网发布一些国家法律禁止的信息、评论等，给企业带来法律风险。从内网安全的角度考虑出发，公司对外接的计算机终端没有做严格的管控，外接计算机可以无限制的接入企业内网，从而获取公司的核心数据；企业内部的计算机如果不进行安全方面的限制，很容易被蠕虫、木马、病毒等入侵，不仅会使内网瘫痪，也会窃取企业内部的核心机密；企业内部所有的研发产品都是企业中最核心的资产，就目前来看没有对核心数据做一个保密处理，我们可以很轻易的把数据带走，从而造成企业经济和声誉上的损失。因此从上网行为管理管控，内网安全管理，数据泄露防护三个方面增加此次网络安全建设。1.2. 青岛XXXX有限公司有限公司网络安全项目规划根据贵公司网络安全和数据保密需求，同时兼顾到网络的优化性能的特点。我们建议采取以下方案：使用产品：l 深信服上网行为管理设备（AC）l 北信源内网安全管理系统l 亿赛通科技文档安全管理系统1、在安全网关下面部署深信服上网行为管理设备，旨在优化带宽管理，提升用户上网体验；管控网络应用，提高员工工作效率；管控上网权限，实现职位与权限匹配；防范信息泄露，保障组织信息安全；过滤不良信息，规避管理与法律风险；记录上网轨迹满足法规要求；优化上网环境，提升上网安全；支撑IT管理，优化组织IT环境。2、在内网环境部署北信源内网管理系统，可以有效解决网络准入问题，终端安全管理问题，安全审计问题，移动设备存储管理问题，非法外联管理问题，终端补丁分发和软件分发管理问题，资产管理问题，光盘刻录管理问题，电子文档安全管理问题，缺乏统一的远程帮助平台问题等。3、在集团内部部署亿赛通数据泄露防护系统，可对集团内部非结构化核心数据进行加密处理，并在应用服务器前端架设网关，具有上传解密，下载加密的功能，既能保证内部透明使用，也能对非法流出的数据进行加密，并对使用人进行详细的日志审计，真正做到了事前审计、是中控制、事后审计的效果。1.3. 部署效果青岛XXXX有限公司内网部署上述产品之后，可以精确匹配上网策略，有效的分担了核心交换机的负载，可以有效预防DDOS攻击和其他黑客攻击等危险进行，专业的硬件上网行为管理对员工的上网行为进行细粒度的管控与审计，减少员工工作时间的非工作网络应用，避免由于钓鱼网站、病毒、木马等对内网造成的损害。在内网环境部署北信源内网管理系统，可以有效解决网络准入问题，终端安全管理问题，安全审计问题，移动设备存储管理问题，非法外联管理问题，终端补丁分发和软件分发管理问题，资产管理问题，光盘刻录管理问题，缺乏统一的远程帮助平台问题等。内网部署亿赛通数据泄露防护系统，可以对集团内部核心数据进行加密，在确保内部文件透明流通的基础上，对文件进行加密处理，使文件不能非法的外部环境使用，最大程度保障了数据的安全。青岛XXXX有限公司网络安全规划部署拓扑图第 2 章 网络安全系统方案产品介绍2.1. 深信服上网行为管理设备（AC）2.1.1. 产品概述深信服AC系列产品是目前网络行为识别率最高、性能最强的专业上网行为管理设备。 深信服AC系列上网行为管理产品拥有着领先的网络行为识别能力，除了识别普通的明文数据外，AC还可识别加密的流量和应用，并通过基于统计学的网络行为智能检测技术(NBID)，对用户最新面临的应用进行管理，进而提高用户的工作效率，避免机密信息的泄漏。由于采用了高性能的硬件平台，以及不受硬盘空间限制、可独立部署的数据中心，深信服AC的性能领先于其他同类产品，更好的满足了大规模网络的苛刻要求。2.1.2. 上网行为管理应用价值l 优化带宽管理，提升用户上网体验AC能帮助组织管理者透彻了解组织当前、历史带宽资源使用情况，并据此制定带宽管理策略，验证策略有消息。不但可以在工作时间保障核心用户、核心业务所需带宽，限制无关业务对资源的占用，亦可以在带宽空闲时实现动态分配，以实现资源的充分利用。基于不同时间段、不同对象、不同应用的管道式流控，能有效保障用户的上网体验，保障网络的稳定性。l 管控网络应用，提高员工工作效率AC数据中心能帮助组织管理者透彻了解员工的网络行为内容和行为分布情况。借助AC的管理功能，管理员能实现分时间段、基于用户、基于应用、基于行为内容的网络行为控制，据此限制员工上班时间的无关网络行为，减少员工因效率低下带来的加班、离职、薪金浪费、额外薪金支出等问题。管理员使用AC数据中心可自定义“员工工作效率报表”，作为员工工作效率考核的辅助依据。l 管控上网权限，实现职位与权限匹配使用AC，管理员能依据组织架构建立用户身份认证体系，并采用分时间段、基于用户、基于应用、基于行为内容的网络行为控制，从而实现员工职位职责与上网权限的匹配，如限制研发部门不得使用webmail外发邮件、上班时间不能使用IM聊天工具，限制财务人员不能访问不受信网站，等等。以此减少越权访问和权限滥用的现象，防止泄密和不良舆论风险。l 防范信息泄露，保障组织信息安全互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为，而如果又没有证据，无法找到直接责任人，IT部门将成为该亊件压力的承担者。使用AC，能帮助管理员实现基于内容的外发信息过滤，管控文件、邮件发送行为，对网络中的异常流量、用户异常行为及时发起告警，更有数据中心保留相关日志，风险智能报表发现潜在的泄密用户，实现“亊前预防、亊发拦截、亊后追查”。l 过滤不良信息，规避管理与法律风险互联网资源极大丰富，亦良莠不齐。AC能帮助管理员过滤违法、违规不良网页、含有不良关键字的网络信息，防止用户不慎访问不受信的网站带来法律风险。对于内网用户的外发信息行为，AC基二于内容的外发信息过滤能帮助管理员及时拦截不良言论，或者在特殊时期采用“允许看帖不允许发帖、允许收邮件不允许发邮件”的特殊管控手段，最大程度的减少舆论风陌险给组织形象声誉带来影响。l 优化上网环境，提升上网安全网络犯罪日益善用伪装：利用社交网络散播，仿冒可信网站，将访问合法网站的用户“重定向”到非法网站，假冒可信软件如防病毒软件、插入非法软件，通过恶意广告、垃圾博客、恶意点对点文件传播等等。对此，AC支持过滤危险控件和恶意脚本，防止用户终端访问被挂载的网页而染毒，对于已中毒的终端，AC会检测网络中的异常流量如木马流量、端口扫描行为、标准端口中的非标准流量，并自动封锁并发起告警，提升局域网安全。l 支撑IT管理，优化组织IT环境“三分制度、七分管理”，缺乏技术手段支撑的管理制度就像一道没有装锁的门，只能依赖人工值守戒被管理者的自视遵守。越来越多的IT管理员意识到，必须选择适合组织IT环境的技术手段，才不会让管理制度流于形式，AC有效支撑组织的IT管理，帮助规范网络，减少IT管理员的无谓工作量，优化组织IT环境。2.1.3. 深信服上网行为管理功能l 身份认证映射组织行政结构为了给不同用户、不同部门授予差异化的互联网访问、控制、审计权限，需要规划和建立组织的用户分组结构。一般组织均有自己的行政结构，AC可以完全按照组织的行政结构建立树形用户分组，实现父组、子组等多层嵌套的要求。在完成用户组的创建后，即可创建用户，并将用户分配到指定的用户组中，以实现网络访问权限的授予与继承。用户创建的过程简单方便，除手工输入帐户方式外，AC能够根据OU或Group读取AD域控服务器上用户组织结构，并保持与AD的自动同步，方便管理员管理。此外，AC支持账户自动创建功能，依据管理员分配好的IP段与用户组的对应关系，基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC，并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件，过AC的账户导入功能更加快捷的创建用户和分组信息。用户帐号还支持有效期限定，账号过期则自动失效，支持多人共用同一帐号等，丰富的帐号策略使得管理员可以根据实际情况自由地合理调整。建立身份认证体系有效区分用户，是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础。AC支持丰富的身份认证方式： 本地认证：Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定 第三方认证：AD、LDAP、Radius、POP3、PROXY等； 双因素认证：USB-Key认证； 单点登录：AD、POP3、Proxy、HTTP POST等； 强制认证：强制指定IP段的用户必须使用单点登录（如必须登录AD域等）丰富的认证方式，帮助组织管理员有效区分用户，建立组织身份认证体系，进而形成树形用户分组，映射组织行政结构，实现用户与行为的一一对应，方便管理员实施上网行为管理解决方案。AC支持为未认证通过的用户分配受限的互联网访问权限，将通过Web认证的用户重定向至显示指定网页，方便组织管理员发布通知。l 应用权限管理应用控制策略u 识别是管理的基础网络应用极其丰富，尤其随着大量社交型网络应用的出现，用户将个人网络行为带入办公场所，由此引发各种管理和安全问题。识别是管理的基础，全面的应用识别帮助管理员透彻了解网络应用现状和用户行为，保障管理效果。AC多种应用识别技术，全面识别各种应用，进而有效管控和审计。主要包括：a) URL识别： AC内置千万级静态URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术；b) 应用规则识别库：AC拥有国内最大的应用识别库，该库由深信服应用规则研发团队定期维护，保证库处于最新状态；该库支持360种以上网络主流应用，680条以上规则 能识别40种以上IM、50种以上P2P/P2P流媒体、100种以上游戏、20种以上OA、15种以上网银、20种以上股票行情软件、15种以上股票交易软件、10种以上木马、10种以上代理软件；c) 文件类型识别：识别并过滤HTTP、FTP、mail方式上传下载的文件，即使删除文件扩展名、篡改扩展名、压缩、加密后再上传，AC同样能识别和报警；d) 深度内容检测：IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等，基于数据包特征精准识别，且支持管理员自行定义新规则，以及深信服科技及时更新和快速响应；e) 智能识别：种类泛滥的P2P行为，静态“应用识别规则”已经捉襟见肘，通过P2P智能识别，识别不常见、未来可能出现的P2P行为，进而封堵、流控和审计。通过强大的应用识别技术，无论网页访问行为、文件传输行为、邮件行为、应用行为等AC都能帮助组织实现对上网行为的封堵、流控、审计等管理。u 上网策略对象化AC支持完美映射组织的行政结构，管理员可依据组织结构添加管理策略。上网策略对象化，同一条上网策略可被多个用户/用户组复用，同一用户/用户组可关联使用多条策略，实现策略和用户/用户组的双向关联，方便管理员调整。对于父组、子组的上网策略不仅仅支持基于生效时间、用户/用户组、应用类型，支持模板形式复制，更支持策略有效期，管理员可手动设定策略的过期时间，逾期自动失效，有效实现策略的回收管理。此外，AC支持将策略的查看、编辑权限分配给指定管理员，实现策略的分级管理。u 灵活的授权AC支持基于生效时间、用户/用户组、应用类型的授权，帮助组织实现上网权限与工作职责的匹配，防止越权访问与泄密风险，一方面管控与业务无关的上网行为，提升员工工作效率，一方面过滤不良信息、阻止异常行为，防止法律与泄密风险。AC更兼顾了管理与人性化的需求，对于某些不便添加权限控制策略的部门或者是企业文化较为宽松的组织，AC提供了“智能提醒”功能，管理员可设定允许特定用户使用指定应用的时长、流速，一旦用户使用指定应用的时长、速度超限后，AC自动弹出提醒窗口，提醒用户注意违规行为，敦促用户自觉规范，达到促进自我管理的目的，减少管理带来的摩擦。Web应用控制u URL访问控制网页浏览是员工主要互联网行为之一，尤其随着大量社交型网站的出现，用户将个人网络行为带入办公场所，由此引发各种管理与安全问题。在URL过滤方面，AC采用“静态URL库+URL智能识别+云系统”三重识别体系。首先，AC内置千万级预分类URL地址库，该库由深信服URL研发小组专人负责维护，收集新增网页并经由人工审核分类，包含互联网上数十种分类站点，覆盖了95%以上用户访问量最高的网址。其次，互联网网页容量爆炸性增长，Google声称互联网独立网址超过一万亿个，如微博等新的网址每天层出不穷，静态URL库不足以有效应对。因此，AC支持基于内容关键字的过滤手段，可基于管理员指定的多关键字过滤用户搜索行为、网页访问行为、发帖行为等。更提供了人工智能的网页智能分析系统（Intelligent Webpage Analysis System, IWAS）能够根据已知网址、正文内容、关键字、代码特征等对网进行学习和智能分类，真正帮助组织完善网页访问行为的管理。再次，互联网上数万台AC组成了一个庞大的云网络，自动收集上报新增的、不在已识别URL库中的网页，经深信服URL研发小组复核后，加入URL库中。以上三重识别体系保证了AC设备的URL识别率，保障了管理员实施URL控制策略的有效性。u SSL内容管理 SSL (Secure Socket Layer)协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此，一方面，越来越多的网页使用SSL加密，如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站，而因为采用了加密技术，普通的管理产品无法对其内容进行识别管理，别有用心的用户可以利用这一缺陷绕过管理，通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息，导致管理漏洞；另一方面，互联网上存在大量伪造的网上银行、网上购物页面，此类网页利用了网银、网上购物等普遍采用第三方权威机构颁发的数字证书以实现SSL加密的特性，伪造虚假证书以骗取用户信任，警惕性不高的用户容易在毫不知情的情况下泄露自己的账户信息，导致直接或间接的经济损失。AC可以对SSL网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等，防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户，此功能亦应用于过滤SSL加密的色情、反动站点，证券炒股站点等。此外，更重要的，AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”（专利号ZL200710072997.1）具有对SSL加密内容的完全管控能力，支持识别、管控、审计经由SSL加密的内容，如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为，审计SSL加密行为如邮件发送行为，为组织打造坚固无漏洞的管理。u 代理翻墙管控许多组织统一采用Microsoft ISA、CCproxy、Sygate等代理服务器上网，也有的组织明文规定禁止内网用户私用代理上网，但仍有用户将浏览器等应用配置公网服务器、私装代理软件代理他人上网，甚至使用自由门、无界浏览器、IPN等加密代理行为。由于防火墙等设备对内网用户的管理是基于目的地址和端口的，无法有效区分正常上网的流量和通过代理服务器上网的员工流量。对于如上情况，AC的深度内容检测技术能有效识别用户数据中包含的代理上网流量，通过代理识别模块可以识别从用户端发送到达代理服务器之间的应用数据，进而对用户的网络行为进行管控和记录。文件传输控制利用网络来进行文件传输是许多用户每天的必修课，而在文件传输过程中存在种种管理和安全隐患，如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知，有意泄密者甚至会将外发文件的后缀名修改、删除，或者加密、压缩该文件，然后通过HTTP、FTP、Email附件等形式外发。AC支持管控文件外发行为，如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点，基于关键字、文件类型控制上传/下载行为，封堵QQ/MSN等IM传文件，允许使用webmail收邮件而禁止发送邮件等。其中，仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给组织造成的损失，单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型，即便存在修改、删除外发文件后缀名，或者加密、压缩文件文件外发的行为，AC也能发现并且告警，保护组织的信息资产安全。邮件收发控制Email不仅是组织重要的沟通方式之一，同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件，对于将文件修改后缀名、删除后缀名，或者压缩、加密后作为Email附件外发，试图躲过拦截与审查的行为，AC能够识别并进行报警。同时，对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件，并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。一般的，传统设备处理泄密邮件时只能将其拷贝存储留作证据，但泄密邮件已经外发，损失已经造成。对此，AC的邮件延迟审计技术（Postponed Sending after Audit, PSA），支持基于用户、邮件标题、正文、附件等特征拦截泄密邮件，并自动通知审核人员人工审核后再外发，将敏感邮件阻挡于内网。内网用户发送Email邮件时，在终端上看到已经成功发送的邮件，实际上已被全部转存至邮件缓冲区。指定的邮件审核人员会获得邮件通知，经人工审核后，才允许符合组织安全规定的Email邮件发送到互联网上，而不符合要求的Email则被截留并作为追究责任的依据，有效实现了对泄密邮件的封堵，保护了组织的敏感信息的安全性。l 带宽管理流量可视化带宽有限，应用无限组织不断地扩展互联网出口带宽，但仍然感觉不充裕，一旦内网存在网络行为不规范、滥用带宽资源的用户，IT管理员的工作就会饱受抱怨：网络太慢、业务系统访问迟缓、页面迟迟打不开、邮件发送缓慢等。对此，AC为IT管理员提供了网络流量可视化方案，登陆AC控制台后，管理员可以查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况（包括DOS攻击、ARP欺骗等）等信息，直观了解当前网络运行状况。此外，数据中心（Network Database Center，NDC）对内网用户的各种网络行为流量进行记录、审计，借助图形化报表直观显示统计结果等，帮助管理员了解流量TOP N用户、TOP N应用等，并自动形成报表文档，定时发送到指定邮箱，让IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况，了解流控策略效果，为带宽管理的决策提供准确依据。如果您是一位大型机构的CIO或CEO，您需要面对的问题将远不止这些，而AC数据中心的功能需要您亲身体验和掌握。当您面对数据中心的Web页面，通过几次鼠标点击就发现网络及管理中存在的问题时，您将感受到领先技术带来的极富乐趣的用户体验。流量管理当您了解了带宽的使用情况，并对带宽进行优化和分配后，我们即将对用户(组)的上网行为做进一步的管理和控制。u 多线路复用和智能选路很多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过AC特有的多线路复用及带宽叠加技术，AC复用多条链路形成一条互联网总出口，提升整体带宽水平。再结合多线路智能选路专利技术（专利号：ZL200610061591.9），AC将出网流量自动匹配最佳出口。u 基于应用/网站/文件类型的智能流量管理有限的带宽资源如何分配给不同部门/用户、不同应用，如何保障核心用户核心业务带宽，限制网络杀手如BT迅雷等等占用资源？AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。从而保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RMVB文件的带宽。精细智能的流量管理既防止带宽滥用，提升带宽使用效率。u 多级父子通道嵌套技术AC采用“基于队列的流控技术”，即建立管道，将不同的控制对象分配到不同的管道里。该技术的好处是控制灵活，大通道中可以多层嵌套小管道，分别基于不同的用户、时间、应用协议、网站、文件类型等对象建立不同的通道，对于结构复杂又希望实现差异化控制的组织来说可以做到更为精确的控制。u 动态带宽分配组织管理员往往既希望在网络应用高峰期保障核心用户、核心业务带宽，限制无关应用占用资源，又希望在带宽空闲时实现资源的充分利用。为此，AC支持带宽的“自由竞争”与“动态分配”，除了基于父子通道进行流量控制之外，还可以根据在线的用户数量将带宽动态分配给在线用户，如4M的线路，可以动态分配给5个或者20个在线用户使用，从而实现带宽资源的充分利用。u P2P的智能识别与灵活控制通过封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。AC凭借P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，对不常见和未来将出现的P2P亦能管控。对于某些企业文化较为宽松的组织，完全封堵P2P可能实施困难， AC的P2P流量控制技术能限制指定用户的P2P所占用的带宽，既允许指定用户使用P2P，又不会滥用带宽，充分满足管理的灵活性。l 日志记录与报表分析日志记录近年来，一方面随着国家为了净化互联网环境，逐步建立对互联网行业发展的市场规范，监管力度不断增强，另一方面，组织出于自身信息安全保护的需求如防止信息资产泄密、预防舆论风险、保留安全事件的相关证据，以及管理上的要求，如考核员工的网络工作效率、分析网络应用情况、提供管理依据等，对于行为记录方案的需求日益明确。内网用户的所有上网行为AC都能够记录以满足公安部82号令的要求。AC可针对不同用户(组)进行差异化的行为记录和审计，包括网页访问行为、网络发帖、邮件Email、文件传输、游戏行为、炒股行为、在线影音、P2P下载等行为，并且包含该行为的详细信息等。报表分析大型组织可能在短短60天就产生数百G行为日志，仅仅实现日志的海量审计尚不足以帮助组织管理员透彻了解网络状况，而通过AC独立数据中心丰富报表工具，管理员可以根据组织的现实情况和关注点定制、定期导出所需报表，形成网络调整依据、组织网络资源使用情况报告、员工工作情况报告，等。报表工具主要包括：u 内置超过60多种报表模板，并支持自定义报表，管理员可手动设定时间、用户对象、应用对象、报表周期等；u 对比报表：汇总对比、指定用户组/指定用户的对比、指定时间的对比等；u 统计模板：上网流量/行为/时间统计、病毒信息统计、关键字报表、网络热帖报表、热门论坛报表、外发文件行为报表、危险行为报表；u 智能报表：管理员可手动设定基于行为特征的风险智能报表，如离职风险报表、工作效率报表、泄密风险报表、异常思想倾向报表，等；u 趋势：流量趋势、行为趋势、IM趋势、邮件趋势、炒股趋势等；u 查询工具：流量查询、行为查询、时间查询、病毒日志查询、安全日志查询、操作日志查询等；u 内容检索：网页搜索、邮件搜索、IM搜索、关键字搜索、Webmail/BBS搜索等。日志与隐私的平衡对用户网络行为的记录一直是一个颇有争议的话题，许多组织管理员对于部署行为记录方案可能遭遇的管理阻力和舆论阻力表示担忧，主要来自“如何避免对关键人员（如组织高层领导）的过度记录”、“如何实现对日志的保护和保密”、“如何控制对日志的访问和查看权限”三方面，并希望方案提供商能给出合理的解决方法。对此，AC正是考虑到用户可能面临的以上风险和威胁，推出了“免审计Key”功能。在AC上为总裁等重要人员创建帐户时使用DKEY认证，并勾选“启用DKEY防监控”选项，为总裁生成“免审计Key”。总裁使用“免审计Key”认证后，AC从底层免除对总裁的所有记录。如果“非善意”人员私下取消AC配置界面上“启用DKEY防监控”选项，总裁再插入“免审计Key”后系统会自动弹出警告，且禁止总裁访问网络，彻底保障信息安全。而如何防止非授权人员访问数据中心并窥探或恶意传播他人上网行为日志，甚至导致员工对IT管理员的误解和埋怨？AC的“数据中心认证Key”技术，保证只有插入该key的管理员才能审计他人行为日志，否则将只能查看统计报表、趋势图线等，确保日志不被滥用。l 安全防护终端安全网络世界中安全事件数量急剧攀升，内网中断、不稳定将直接影响用户的上网行为，所以需要AC保证网关自身安全，并强化内网可靠性、可用性。u 防火墙AC内置基于状态检测技术的企业级防火墙，对进出组织的数据包提供过滤和控制。NAT（Network Address Translation）功能，代理内网员工上网和实现静态端口映射。u 网关防病毒AC的网关防病毒功能集成知名厂商的防病毒引擎（防病毒引擎每天自动升级），从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀，亦可查杀压缩包（zip，rar，gzip等）中的病毒。u 终端安全级别检测借助网络准入规则专利技术（专利号ZL200510037455.1），AC将按照管理员要求检查每位员工防病毒软件安装、运行、更新情况、操作系统版本、补丁情况、注册表键值、终端程序运行情况、终端目录盘下文件情况等，不满足预设安全级别的终端将不允许访问互联网，从而提升整个内网的可靠性和可用性。网络准入控制近年来，在企业网中，新的安全威胁层出不穷，给组织带来各种风险：u 虽然大多数组织都制定了身份认证与授权制度，并采用技术手段实现基于用户身份与职权的访问权限分配。但是，对于用户终端设备的安全状况却缺乏“评估”与“管理”，尤其当来自外部网络的终端设备可以随意接入内网时，内网的其他用户由于未得到适当的保护而暴露在巨大的安全隐患面前；u 病毒、蠕虫、间谍软件等各种形式的恶意软件成为企业网中大量安全事故的根源，他们引起系统崩溃、网络瘫痪，造成系统中断、数据泄密、收入损失、数据损坏，给机构业务带来巨大影响；u 在企业网中，任何一台安全状态不佳的终端都可能成为整个网络的安全短板，即使是最值得信赖的用户也有可能无意间通过已被感染的终端，或者在业务访问、娱乐访问中不慎引入风险；已感染的终端除了在内网中不断寻找下一个受害者，并使其感染之外，甚至可能将终端上存储的资料不断外发，落入不法分子之手；u 即便组织投入大量资金购买防病毒软件、防病毒网关等安全防护设备，安全意识不足的用户却不理会管理员的一再强调，任由系统漏洞存在、不安装防病毒软件或不及时升级病毒库；而管理员靠人工查找、隔离、修复这些不符合安全策略的终端不但费时、费力、低效，且治标不治本；u 风险除了来自网络应用，用户私自使用3G、无线、路由器等在组织规定的上网线路之外的非法外联线路，将办公用电脑带离办公地点，通过USB口随意读取移动存储设备、拷贝组织机密文件，不受限制地通过网络外发文件等等行为，埋下数据泄密事件的隐患。据此，深信服科技推出了轻量级NAC（网络准入控制）解决方案，只需在出口处部署一台硬件网关，通过向内网终端自动推送一个轻量级的客户端控件，即可实现对接入内网终端的网络准入控制和安全隔离，执行安全级别检查，限制非法外联线路，禁用USB拷贝功能。l 异常流量控制异常流量感知随U盘等潜入组织内网的木马、间谍软件等为了隐藏自己，通常会通过常用的TCP 80、443、25、110等端口泄漏内网机密数据及接受黑客控制。传统设备防火墙等解决方案在开放了常用端口后并不能识别该端口中传输的数据及内容，组织的信息资产安全如何保障？黑客远程控制内网终端形成僵尸网络如何避免？AC的异常流量感知技术能够识别常用端口中的如上异常流量，并能够实时报警，帮助IT管理员掌控您的网络，防范风险。u 建立身份认证体系有效区分用户，是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础。AC支持丰富的身份认证方式： 本地认证：Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定 第三方认证：AD、LDAP、Radius、POP3、PROXY等； 双因素认证：USB-Key认证； 单点登录：AD、POP3、Proxy、HTTP POST等； 强制认证：强制指定IP段的用户必须使用单点登录（如必须登录AD域等）丰富的认证方式，帮助组织管理员有效区分用户，建立组织身份认证体系，进而形成树形用户分组，映射组织行政结构，实现用户与行为的一一对应，方便管理员实施上网行为管理解决方案。AC支持为未认证通过的用户分配受限的互联网访问权限，将通过Web认证的用户重定向至显示指定网页，方便组织管理员发布通知。l 安全桌面网络的迅猛发展给企业带来业务平台的延伸、信息快速的获取和工作效率的提升，企业在享受互联网带来的便利时，也受到了来自于互联网的困扰和威胁。l 网络隔离需求的出现但是由于政府、金融、企业等单位中，用户在工作时既需要访问互联网，又需要访问内部的专网，用户在上网互联网访问网页，接收邮件时遭遇了病毒攻击，导致PC中毒。由于病毒触发后具有快速复制和传播性，往往内网一个用户中毒后，其他PC、甚至服务器均有遭遇病毒攻击的可能，比如曾经爆发过的冲击波病毒、熊猫烧香病毒、SEO病毒等。个人PC瘫痪后需要重装PC，可能导致PC中原有资料无法恢复，这个对于单位和企业来说可能只是一个小的损失，但是中毒导致的内部系统瘫痪，带来的将是经济利益的损失、企业竞争力的下降，对于政府单位来说，更可能上升到政治错误的严重性。所以在政府、金融等单位，客户通过网闸、双硬盘、两套主机、网络隔离卡等方式来实现互联网和内网隔离，统一称为网络隔离。网络隔离的第一个目的是保护内部业务系统，让业务系统不受到互联网的攻击。第二个目的就是防止泄密。由于内部业务系统中跑的都是单位内部机密的信息，用户在上网过程中有意或者无意的把内部的文件发送到互联网上，这种行为就是网络泄密。从有意和无意两个角度来分，网络泄密可以分为主动泄密和被动泄密。主动泄密的方式主要包含：通过发帖、外发邮件、QQ聊天、USB拷贝把单位的机密文件发送出去，被动泄密主要是用户在中了病毒或木马后，病毒程序通过扫描用户电脑，把有用的资料偷发出去，或者利用被中毒的PC作为跳板，访问内部的服务器，从服务器上获取资料再发送出去。无论是哪种泄密方式，给单位和企业带来的损失将是无法估量的。l 物理隔离的弊端分析主要基于上面两个方面的原因，IT界出现了网络隔离的产品。网络隔离分为物理隔离和逻辑隔离两种方式。物理隔离从网络层隔离互联网和内网，但往往需要花重金和大力气部署隔离产品，比如网闸、网络隔离卡、两套终端PC，不仅建设成本高、建设周期长，而且维护管理工作量成倍增加，用户体验差。由于两个网络的数据无法交换，而很多的工作需要同时用到两个网络，因此导致工作效率下降、用户需要不断的在两个网络间进入退出。正因为这种高成本、差的用户体验，于是业界出现了一种新的技术，即虚拟化技术，做逻辑隔离，实现网络隔离相当的效果。它不仅可以防止病毒，而且可以实现数据的隔离，下面我们做详细的介绍。l 虚拟化技术被IT界广泛认可虚拟化技术在IT行业内俨然已成为新技术的弄潮儿，也被称为沙盒技术。深信服上网行为管理AC在经过对已有的政府、金融、企业等各行业8000多家客户的需求进行分析后发现，用户在满足了身份认证、网页过滤、应用控制、流量管理、行为审计后，对上网安全提出了希望和要求。单位和企业在互联网出口或者PC终端部署了企业级的杀毒网关或者其他杀毒产品，但仍然无法防御新的病毒和隐藏得更深的挂马网页中病毒的攻击。在没有部署物理隔离的环境下，员工使用同一台PC同时访问内网和互联网，导致内部数据泄密的时间层出不穷，严重威胁到企业的信息安全。针对这两类需求的出现，深信服上网行为管理引入虚拟化沙盒技术，推出了上网安全桌面。l 解决方案深信服上网安全桌面最核心的功能就是给用户提供一个全新的虚拟桌面。用户可以在虚拟桌面访问危险网站、运行恶意程序，这些都不会给用户的真实环境带来危害。在用户退出安全桌面以后这些病毒、木马都会随之消失。那么这样有趣的功能是如何实现的呢。简单而言，在安全桌面中，我们给每一个程序都提供了一个虚拟的运行环境，所有的程序、病毒都在这个虚拟的环境中运行。这个就好像你的电脑上安装了虚拟机一样，虚拟机提供一个完全虚拟的环境，可以在这个虚拟环境中运行程序，而不是影响到外面的物理机器。在Windows系统中，一个运行环境包括了文件、注册表、IPC、网络等等内容。我们会专门针对这些内容，构造特定的虚拟环境，然后在安全桌面中将他们整合起来。这样在安全桌面中运行的程序将看到一个完全虚拟的环境，所有执行的操作都不会影响到客户真实的系统。上网安全桌面防病毒示意图l 防病毒方案优势深信服上网安全桌面利用虚拟化技术防止病毒入侵和攻击真实PC和内网，这种方案相对于传统的解决方案具有以下优势：1、安全稳定沙盒技术已经是成为业界公认的一种安全技术，已经被各行业产品应用于安全防护。它不仅能解决传统杀软的病毒库小、查杀病毒滞后性的问题，而且能解决传统防病毒厂商无法解决的防止网页挂马、恶意插件的攻击。在特殊环境下，安全桌面及时中毒，也不会感染到默认桌面，因为病毒木马在安全桌面关闭后，所有的数据都将清除，病毒木马在虚拟的环境产生，也将在虚拟的环境中消失。2、轻量级、简单易用终端在开启了上网安全桌面后，仅占用非常小的CPU和内存，不会给终端系统带来负荷压力。在终端，安全桌面和默认桌面有任务栏导航条可轻松切换，默认桌面的应用程序可以复制到安全桌面，所以用户在安全桌面上网时，可正常使用各应用程序，并保留应用程序在上网过程中需要保存的数据。3、统一管理，维护简便大多的杀软产品提供的并非企业级解决方案，像360、卡巴斯基、瑞星、金山等，他们提供的产品针对的是个人用户，所以在单位和企业中，要强制每个用户去安装和及时更新杀毒产品，对于单位和企业的管理员来说，是一件非常困难的事情。但是在深信服上网安全桌面这，管理员可以轻松的解决内网防病毒的问题。上网安全桌面通过深信服上网行为管理策略统一下发，用户必须安装上网安全桌面，否则不允许上网。管理员在上网行为管理设备统一制作策略，统一管理和维护，简单方便，能给日常IT管理工作减少很大的一部分工作。恶意网页过滤图示：深信服上网行为管理AC内置恶意网址库，可以对用户访问的网页进行判断。在用户访问到恶意网页页时，会做如下提醒，从而帮助员工避免中招。安全防病毒图示：l 网络隔离解决方案安全桌面另一个核心的功能就是网络权限控制。这个功能可以配置安全桌面和默认桌面各自可以访问的网络。管理员通过设置用户的安全桌面可以访问互联网，但不允许访问内网；默认桌面只允许访问内网，但不允许访问互联网，从而实现了互联网和内网的隔离。要进行网络控制，我们在启动以后会对整个系统的网络进行监控。任意程序的网络访问我们都会进行判断，先确认是否为安全桌面的程序，如果是则使用安全桌面的访问策略来匹配当前的网络访问是否合法；反之亦然。在阐述需求阶段，我们分过用户做网络隔离的两大主要需求：防病毒和防泄密。防病毒方案在上文中已经做了详解介绍，所以下面我们介绍防泄密。用户在安全桌面上互联网时，由于无法访问到内部业务系统，也无法访问到PC各个盘符的文件，因此即使用户想泄密，也无从下手。深信服上网安全桌面与上网行为管理形成的一种端到端的解决方案，在用户终端，安全桌面通过网络权限的隔离、目录访问权限的隔离实现防止内部文件的可取途径，在互联网出口，上网行为管理AC通过外发信息关键字过滤、文件类型过滤、审计等方式，防止用户通过发帖、发微博、发送邮件、QQ/MSN聊天、发送文件等方式泄密。上网安全桌面网络隔离示意图2.2. 北信源内网安全管理系统2.2.1. 产品概述北信源内网安全管理及补丁分发系统遵循网络防护和端点防护并重理念，对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案，实现内部网络终端的可控管理，并能够支持多级级联广域网构架，达到最佳的管理效果2.2.2. 内网解决方案l 系统部署和管理构架青岛中浩生物工程有限公司网络为内部隔离网络，网内有30台左右终端。根据实际情况需要可以部署内网安全管理系统对终端进行统一监控和管理，由于系统管理采用B/S构架，管理员可在网络的任何终端通过登录内网管理服务器的管理页面进行管理和各种信息查询，所有的网络终端需要安装客户端程序以对其进行监控和管理。具体的部署和管理构架如下：网络通过内网安全管理服务器对全网进行网络客户端的各种策略和配置补丁以及文件的下发，流量监控、违规联网监控、入网设备联网状况监控、终端软硬件管理、系统文件分发、消息分发等工作，并对客户端进行各种行为和状态的监控。网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报，可通过管理节点对异常计算机进行断网等处理，也可通过系统远程对客户端进行故障诊断和维护。l 系统部署时的硬件配置管理控制台：管理服务器1台:硬件需求：CPU至强 2.8或以上, 2*1G内存硬盘146G SCSI或以上软件需求：操作系统 Win 2000 Server或Win 2003 Server数据库系统 SQL Server 2000 l 终端接入管理l 终端身份认证u ARP协议准入ARP准入是一种比较简单的准入方式，系统可以自动检测终端是否注册，通过ARP欺骗的方式，使未注册的设备拒绝接入到内网中来。阻断方式不依赖任何硬件设备。u 基于802.1x协议的交换机端口接入认证这种控制方式要求网络中使用的交换机支持801.1X认证，在交换机支持802.1x协议搭建的内部网络中，通过基于端口的访问控制来管理客户端接入的问题。 图 基于802.1x协议的交换机端口接入认证802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，LAN端口作为请求者，负责向认证服务器提交接入服务申请。基于端口的MACW锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃，从而确保最大限度的安全性。 在802.1x协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。 1. 客户端。客户端安装在用户的终端上（集成在EDP Agent里），当用户有网络访问需求时，EDP Agent自动激活客户端程序通过认证，或由用户手动输入必要的用户名和口令通过认证。 2. 认证系统。认证系统在以太网系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。 3. 认证服务器。系统通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭状态的指令。u 虚拟隔离接入控制技术如果网络并不不支持802.1X协议，如增加HUB一类情况，使得企业网络面临着病毒、木马、蠕虫等安全风险。针对如上问题，北信源虚拟隔离接入控制技术应运而生，在不改变原有网络结构的同时，对新接入的网络终端及非法设备得以有效管理。在执行此功能的网络中，以系统客户端作为身份认证标准，如果有新的终端接入到网络中会立即会被隔离，并且只能与EDPserver通讯，且访问任意URL，网页都会跳转到我们预先设定好的站点。在非法终端处于隔离同时将不能与网络中任何一台已注册终端进行通讯，并且不能访