搭建可管理互联网_深信服AC上网行为管理设备走进东风日产.doc

。2012-07-19#2012-07-19#2012-07-19#搭建可管理互联网深信服AC上网行为管理设备走进东风日产本报记者/文莱如何在最大限度地利用互联网 优势的同时，避免由于互联网资源 被滥用而引发的安全威胁及其他各 类问题？前不久，东风日产信息中 心就此进行过深入地分析和部署后， 提出的解决办法是，通过技术设备 和规章制度的结合指导、规范员工 正确使用网络资源，从而对局域网 的上网行为进行有效的管理。东风 日产还选择了深信服自主研发的 M5800-AC 上网行为管理解决方案。要有合理分配不同部门、员工的上网权限的控制功能，阻止访问高风险、 非法和不健康的互联网内容，避免法 律纠纷等，以增强单位的互联网访问 管理与控制力度，实现对不同权限的 员工对访问网络资源的合理分配。比 如什么时间可以上网、什么时间不能 上网、能够访问哪些互联网内容、哪 些互联网资源是严格禁止使用等。其次是具有将所有跟上网相关 的行为记录下来的监控与审计功 能，以便事后审计，并在内部起到 威慑的效果。如对研发、财务等关 键部门的上网行为、聊天内容、邮 件内容进行记录。第三是具有直观的统计分析员工 上网情况的报表分析功能，据此可以 掌握单位内部互联网的使用情况；同 时，为避免内网用户数量巨大直接查 询网关容易造成网关宕机的现象，要 求设备支持独立的数据中心；第四是流量控制与带宽管理功 能。需要支持对不同员工进行分 组，通过一段时间数据统计，限定 每个组的上网流量；还能对BT/ 电 驴等P2P 下载软件进行封堵，避免 其对网络带宽资源的消耗；最后还要满足国家政策和法律 规定。东风日产作为大型国有控股 公司，所部署的设备需要能满足国 家相关的法律法规，如公安部的82 号文件规定。上网行为管理在国内还是一个很新的课题，能提供该类产品的国内厂商大 部分是一些小公司，无法提供良好的 服务，产品质量和功能也有比较大的 不足；而国外厂商则因为研发部门基 本不在国内，对中国上网行为管理的 国情一知半解，无法满足东风汽车一 些个性化的管理需要。一个偶然的机会，负责此次设 备选型的东风日产信息中心的宋工 从网上看到了一篇关于深信服AC 上网行为管理设备介绍的文章。在 和小组其他成员初步沟通和讨论 后，宋工和他的小组成员把主要精 力放在了深信服SINFOR AC 上。 当时送测的M5800 AC 产品是 基于硬件Linux架构的上网行为管理 平台。东风日产信息中心的宋工这 样评价当时的评测状况：“深信服的 M5800-AC 支持上万用户的大规模 容量，并具备网关、旁路、透明多种 部署模式，在管理、控制、报表功能 都走在所有初选设备的前列，非常贴近东风这种大规模集团的需求。 尤其值得一提的是，深信服销售工 程师所提供的服务水平和响应速度， 让我们非常满意，对我们提的一些 很小的改进意见，深信服往往第二 天就能予以答复，对合理的意见还 会在一周左右提供测试版本”。URL 过滤、关键字过滤、上传下载限制、深度内容检测、邮件过滤功 能和邮件延迟审计功能等众多功 能，从而让东风汽车把与工作无关 的上网行为降到最低，减少员工的 分心时间，并在技术措施上配合制 度管理解决了内部机密可能通过 Internet泄漏的问题。AC 网关具有流量控制功能，可以实现对东风汽车内部上网用户按照用户组或按用户来做流量限 制，使东风汽车的网络带宽得到最 充分有效地利用。5大选型标准应对互联网威胁随着近几年Internet接入的普 及和带宽的增加，互联网暴露出了 双刃剑的特性。一方面，东风日产 运营效率大为提升，员工的上网条 件得到改善；但另一方面，东风日 产要面对许多新的安全威胁，互联 网资源被滥用的问题也日益严峻。 比如，员工在上班时间上网聊天、 购物、游戏等行为严重影响着工作 效率；部分员工因为使用 BBS 论 坛、外发邮件等导致内部机密信息 泄漏； BT、电驴等下载软件的滥 用使关键业务应用的带宽无法保 证，甚至有几次因为无法访问服务 器致使MIS 生产系统停顿。更为严重的是，尽管东风日产 部署了正版杀毒软件，但还时不时 会发生一两起局域网中毒事件。经 信息中心追踪发现很多病毒事件都 是因为一些员工访问非法网页、非 法BBS 论坛，或通过FTP 下载文件 及即时通讯软件传播文件而引发的。东风日产信息中心由此意识到针对病毒的来源和传播途径，AC上网行为管理设备可以很好的配合东风日产原有的杀毒软件实现 “治标治本”的效果。AC网关里面的 URL 过滤功能，可以对常见的非常网址/非法BBS论坛直接实现过虑，AC 网关提供的对下载及P2P软件的封堵和管理功能也可以有效减少因 为文件下载而引发的病毒传播。AC 里面的SSL 控制功能，可控制用户 通过SSL 协议访问的URL，并可对 SSL 协议的证书做有效性检查，允 许或拒绝用户访问持有指定X.509 证书的网站，以防止用户通过SSL 协议泄密和访问色情、反动和钓鱼 网站，从而起到“防网络钓鱼”的效果，避免客户陷入“网络钓鱼”陷阱。此外，深信服AC 网关的数据报表中心还能支持以图表的方式对 局域网内人员的上网行为进行分 析，如：每天上网情况的分析、访 问最频繁的网站分析、上网最多的利用AC搭建可管理互联网东风日产通过部署深信服 AC 上网行为管理设备，逐步制定和 实施了一套适合自己企业的互联 网使用政策。AC网关采用了严格的身份认证选Linux架构上网行为管理平台在选型初期，从大型集团信息化 稳定性、安全性等角度出发，东风日 产信息中心“网控项目小组”选择了人员分析等，并提供时间、服务、网站访问、使用网络流量等多种分对上网行为进行管理控制的紧迫性，多家国内产品和国外产品进行了多方 和不同的访问权限策略，并可根据类排行榜，为网络管理员和决策者2012-并0提7出-5个1设9备#选#型#的#标#准#。#首#先是面的测#试#，结#果#却#都#不#甚#满2意0。1由2于-0不7同-的1时9间#段#做#时#间#管#理#，具有提供2了0最1直2观-的0数7据-统1计9#Your request could not be processed because of a configuration error: Could not connect to LDAP server.For assistance, contact your network support team.file:/C|/U