卫生网多运营商专线接入组网方案

目目 录录 一.项目概述.3 二.需求分析.4 三.组网设计原则.5 四.组网结构.7 五.专线组网方案.7 六.多运营商接入方案.10 6.16.1方案具体实现方式如下方案具体实现方式如下.10 6.26.2链路负载均衡及冗余链路负载均衡及冗余.11 6.36.3设备自身冗余性设备自身冗余性.11 6.46.4易于管理性易于管理性.12 6.56.5链路健康检查链路健康检查.12 七.多运营商接入的优势.12 7.17.1轻松互联互通，畅游网络世界轻松互联互通，畅游网络世界.12 7.27.2加快网络速度，动态负载均衡有效利用资源加快网络速度，动态负载均衡有效利用资源.12 7.37.3线路实时备份，加强通信接入系统的可靠性线路实时备份，加强通信接入系统的可靠性.13 八.混合组网安全性.13 九.行为管理方案.14 9.19.1身份认证身份认证.14 .1多种认证方式多种认证方式.14 .2单点登录技术单点登录技术.15 .3用户批量导入用户批量导入.16 .4跨三层绑定跨三层绑定 IP/MACIP/MAC.16 卫生网专网组网技术方案 第 1 页 .5新用户认证新用户认证.16 9.29.2访问控制访问控制.17 .1网页过滤网页过滤.17 .2搜索关键字过滤搜索关键字过滤.19 .3发帖关键字过滤发帖关键字过滤.19 .4文件类型过滤文件类型过滤.19 .5应用控制应用控制.20 .6SSLSSL 加密应用管理加密应用管理- -反钓鱼网站功能反钓鱼网站功能.21 .7P2PP2P 管理管理.23 .8加密聊天管理加密聊天管理.24 .9邮件管理邮件管理.24 9.39.3带宽管理带宽管理.25 .1多线路复用和智能选路多线路复用和智能选路.25 .2虚拟线路虚拟线路.26 .3父子通道父子通道.26 9.49.4监控审计监控审计.27 .1实时监控实时监控.27 .2全面、灵活的应用审计全面、灵活的应用审计.28 .3数据中心及报表数据中心及报表.29 .4免审计免审计 KeyKey.30 .5日志审查日志审查 KeyKey.30 9.59.5安全强化安全强化.31 .1网关杀毒、防火墙网关杀毒、防火墙.31 .2危险行为识别危险行为识别.32 卫生网专网组网技术方案 第 2 页 .3危险插件过滤危险插件过滤.33 .4恶意脚本过滤恶意脚本过滤.34 .5网络准入规则网络准入规则.34 .6防防 ARPARP 欺骗欺骗.35 .7外发文件告警外发文件告警.35 .8自动告警自动告警.36 .9防代理功能防代理功能.36 十.项目实施计划.37 10.110.1项目实施阶段项目实施阶段.37 10.210.2网络系统集成验收网络系统集成验收.38 10.310.3网管系统要求网管系统要求.41 10.410.4网络安全措施网络安全措施.44 10.510.5网络测试标准网络测试标准.44 卫生网专网组网技术方案 第 3 页 一一.项目概述项目概述 作为传统行业之一的医疗卫生行业，如何面对网络时代带来的 冲击，如何利用网络技术提高我们医疗卫生行业的管理水平和服务 质量，是无法回避的问题。为了认真贯彻卫生部召开的关于加快医 卫系统信息化建设及管理的会议精神，进一步推进医疗行业的信息 化建设，了解国际医疗信息化发展动态，吸收新的技术和管理经验， 提高医卫信息化应用的管理水平，使医院经济效益和社会效益双丰 收，全国各省都在逐步加快医院的信息化建设步伐。 公共卫生专网建设是城市公共卫生体系建设的重要组成部分。 卫生部制定的全国卫生信息化发展规划纲要 2003-2010 年中， 明确提出了区域卫生信息化的工作目标：“围绕国家卫生信息化建 设目标选择信息化基础较好的地区，开展以地 （市）县（区）范围 为单元的区域卫生信息化建设试点和研究工作，建立区域卫生信息 专网示范区。以卫为基本架构，覆盖全市医疗卫生单位的一个网络， 通过该网实现全市卫生资源综合管理、卫生行生专网政办公、执法 监督管理、突发公共卫生事件应急处置等业务的信息化、电子化、 现代化操作。 二二.需求分析需求分析 根据前期的沟通，南充市卫生网主要有以下的联网需求： 1、目前南充市卫生网的中心平台设置于南充市，所有使用该平 台的近 500 个接入点都需要汇聚到南充市卫生局专用机房。按照上 卫生网专网组网技术方案 第 4 页 级指导意见，今后平台会逐步下沉到区县，最终形成一个分为两级 管理的专网。 2、乡镇以上的接入点用光纤方式接入，带宽不低于 10M。 3、从网络的可发展性和安全性考虑，要能做到“三网并存” ， 多家运营商的专线都能接入。 4、专网可以设置统一的互联网访问控制，并能够进行分时段的 控制。 三三.组网设计原则组网设计原则 结合南充市卫生系统专网的需求,我们在设计卫生网专网时，主 要应遵循以下原则： 1. 高性能：网络要求具有数据、图像、语音等多媒体实时通讯 能力。主干网应提供可保证的服务质量和充足的带宽。采用 最新科技，以适应大量数据传输以及多媒体信息的多渠道传 输。整个系统在国内三到五年内保持领先的水平，并具有长 足的发展能力，以适应未来网络技术的发展。 2. 高可靠性：网络系统是日常业务和各种应用系统的基础设施， 应保证工作日和重点时期不间断运行。整个网络应有足够的 冗余，设备在发生故障时能以热插拔的方式在最短时间内加 以修复。可靠性还应充分考虑网络系统的性价比，使整个网 络具有一定的容错能力，减少单点故障。 卫生网专网组网技术方案 第 5 页 3. 标准化：所有网络设备都应符合有关国际标准以保证不同厂 家网络设备之间的互操作性和网络系统的开放性。 4. 可扩展性：所有网络设备不但满足当前需要，并在扩充模块 后满足可预见的未来需求。网络设计不仅要考虑本期网络系 统应用和今后网络的发展，便于向更新技术的升级与衔接。 还要留有扩充余量，包括端口数量和带宽的升级能力。 5. 可维护性：网络设备应易于管理，易于维护，操作简单，易 学，易用，便于进行网络配置，发现故障。 6. 全业务和高 QoS（是网络的一种安全机制， 是用来解决网络 延迟和阻塞等问题的一种技术）：支持文本、语音、图形、 图像及音频、视频等多种媒体信息的传输、查询服务，具有 多种基于优先级队列的 QoS 保证，多媒体应用对服务质量有 很高的要求，如带宽，延迟，延迟的变化等，需要网络对服 务质量(QoS)有很好的支持。 7. 安全性：网络系统的数据和文件多数要求具有高度的安全性， 因此，网络系统本身要有较高的安全性，对使用的信息进行 严格的权限管理，在技术上提供先进的、可靠的、全面的安 全方案和应急措施，确保系统万无一失。同时符合国家关于 医疗网络安全标准和管理条例。 8. 实用性：系统建设首先要从系统的实用性角度出发，未来交 通信息化的信息传输都将依赖于计算机网络系统，所以系统 卫生网专网组网技术方案 第 6 页 设计必须具有很强的实用性，满足不同用户信息服务的实际 需要，具有很高的性能价格比，能为多种应用系统提供强有 力的支持平台。 四四.组网结构组网结构 根据南充市卫生网专网的组网需求，南充市卫生网的市、县卫 生平台应统一规划、分步建设，平台网络设备和专线的建设应按照 层次分明的结构、清晰的界面来进行规划和建设，南充市卫生网的 专线组网结构应如下所示： 说明：根据需求，图中各接入点到市/县卫生平台、以及县卫生 平台到南充市卫生局中心机房的专线接入，需允许不同运营商的专 卫生网专网组网技术方案 第 7 页 线进行接入。 五五.专线组网方案专线组网方案 为满足南充市卫生网的带宽和组网结构需求，依托中国移动遍 布城区和乡镇的城域网，中国移动为承载南充市卫生网提供的专网 组网方案整体结构如下图所示： 具体使用到的接入网络和接入逻辑路由，如下图所示： 卫生网专网组网技术方案 第 8 页 组网说明： 1、各接入点采用专用光缆接入方式，保证物理隔离，提供高可 靠性和高安全性。并且提供了 GE 级的高带宽资源储备，后续如有视 频监控、或高速上网等其他新增需求时能方便的快速升级。 2、在汇聚层和核心层，依托中国移动现有网络资源，南充市卫 生网专线享受环网保护、可靠的配套电源等运营商级别的网络可靠 性、安全性保障。 3、通过 MPLS VPN 方式组建完全透传的专用网络，专网内部的 数据流和专网的配置情况完全由南充市卫生网的网络管理员进行管 理，其他用户以及移动公司网管人员都无法获取具体的数据细节， 保障内部信息传送过程中的绝对安全。 4、全网采用华为公司设备组建，主要设备为 MA5680T（GPON 接 卫生网专网组网技术方案 第 9 页 入层） 、PTN 950/3900（传送网接入/汇聚层） 、OSN 6800（骨干波分 OTN）等，提供电信级的运行维护管理，设备运行状态能全程网管， 方便及时的判断和处理障碍。 5、在卫生网中心机房的互联网出口部署深信服 AD 应用交付产 品，实现多运营商的线路负载。 6、市级到二级单位之间的专线之间部署深信服上网行为管理， 对二级单位访问互联网和应用系统进行数据分离。对上下班时间进 行有效的管理和控制。 六六.多运营商接入方案多运营商接入方案 本方案设计采用深信服 AD 应用交付设备来实现网络中多条链路 入站（从 Internet 发起对内部服务器的访问）和出站（内部客户端 发起对 Internet 的访问）方向负载均衡； 系统采用全冗余网络连接方式设计，来保证系统的高可用性和 高可靠性。 方案具体实现方式如下方案具体实现方式如下 对于出站流量，AD 接收到流量以后，可以智能的将访问不同 ISP 的资源的出站流量分配到相应的 ISP 的接口，并做源地址的 NAT， （可以指定某一合法 IP 地址进行源地址的 NAT，也可以用 AD 的接口地址自动映射） ，保证数据包返回时能够正确接收。 卫生网专网组网技术方案 第 10 页 对于入站流量，AD 分别绑定多个 ISP 服务商的公网地址，解析 来自多个 ISP 服务商的 DNS 解析请求。ISP1 的用户访问通过 ISP1 的线路访问内部，其的他的用户访问通过 ISP2 线路来访问内部。AD 不仅可以根据服务器的健康状况和响应速度回应 LDNS 相应的 IP 地 址，还可以通过两条链路分别与 LDNS 建立连接，根据 RTT 时间判断 链路的好坏，并且综合以上两个参数回应 LDNS 相应的 IP 地址。 6.26.2 链路负载均衡及冗余链路负载均衡及冗余 两台 AD 以主备的方式实现网络中两条链路的负载均衡及冗余。 AD 可以根据相应的链路负载均衡算法来实现快速访问的智能引导， 比如将访问电信的用户引导至电信链路，访问网通的用户引导到网 通链路，解决了不同 ISP 之间的互连互通问题，保证了最好的访问 速度和最高的访问效率。同时，AD 的健康检查机制实现对链路健康 状况的实时监控，当有链路出现故障时 AD 会屏蔽故障链路，并自动 将流量切向其它正常工作的备份链路，实现了链路的高可用性。 6.36.3 设备自身冗余性设备自身冗余性 两台 SANGFOR AD 设备以主备的冗余方式方连接，处于备份状态 的设备采用“心跳线”监测运行的设备的状态，当检测出设备故障 时，两台设备就会产生毫秒级切换，备份设备会切换为运行主机， 卫生网专网组网技术方案 第 11 页 为用户提供服务，保证了系统的高可用性。 6.46.4 易于管理性易于管理性 SANGFOR AD 产品提供 https 的安全 Web 全中文的界面管理，本 地基于 Serial Console 的管理和 SSH 安全远程命令行管理； SANGFOR AD 产品还支持商业能分析功能，能够全面统计链路的 运行状况如会话连接数、用户数、应用分布情况、ip 来源等相关情 况，方便管理员对网络进行优化 6.56.5 链路健康检查链路健康检查 SANGFOR AD 通过多个 Internet 站点的可达性，来共同判断一 条链路的状况。例如，通过电信线路检查 、以及 的 TCP 80 端口， 并对检查结果做“或”运算。这样，只要其中一个站点可达，即可 表明链路状态良好。该方法即避免了 ICMP 检查的局限性，也避免了 单一站点检查带来的单点失误。 七七.多运营商接入的优势多运营商接入的优势 轻松互联互通，畅游网络世界轻松互联互通，畅游网络世界 动态负载策略库收集了电信、联通、移动三大运营商的路由表， 并将路由表整合在路由器的策略库中，用户在为多 WAN 口设备配置 线路时，只需为接口引用路由策略库文件，即可轻松实现策略路由 功能，彻底解决目前国内三大运营商之间互联互通问题。 7.27.2 加快网络速度，动态负载均衡有效利用资源加快网络速度，动态负载均衡有效利用资源 带宽大与带宽小给用户直观感受就是网速快与慢，使用深信服 卫生网专网组网技术方案 第 12 页 AD 同时接入多条线路提高线路总体带宽，就可以在节省成本的同时 提高线路带宽，并且通过很好的动态负载均衡机制，有效的利用线路 带宽，局域网内的上网请求是突发的，将这些突发的请求动态的分配 到多条线路，从宏观上看可以均衡的利用各条线路带宽，避免了一条 线路阻塞而另一条线路空闲的局面发生，可以充分有效的利用资源。 深信服 AD 提供 NAT 会话和 IP 地址两种负载均衡的分配规则，路 由器会将 NAT 会话或者内网主机 IP 地址根据线路的权重比自动均衡 到多条线路上，达到负载均衡的目的。 7.37.3 线路实时备份，加强通信接入系统的可靠性线路实时备份，加强通信接入系统的可靠性 网络的不稳定因素很多，接入单条线路的情况下如果线路出现故 障，会造成某部分网络通信暂时瘫痪，但是如果选择多 WAN 口宽带路 由器同时接入多条线路，可以同时选择不同接入商的不同线路，在其 中一条线路出现故障的同时，多 WAN 口宽带路由器可以将局域网的上 网请求转到另一条线路，保证局域网的通信正常，不会因为其中某条 线路故障造成部分局域网瘫痪，从而加强接入系统的可靠性。 八八.混合组网安全性混合组网安全性 加密卫生网数据，保障信息安全加密卫生网数据，保障信息安全 隧道加密： 内置 AES 128 bit 加密算法，可通过软件或硬件卡 的形式扩展其他加密算法，隧道加密保证数据安全传输； 数据完整性：使用 MD5SHA 算法保证数据完整性； 企业级防火墙：支持包过滤、URL 过滤、访问监控、上网控制、 用户认证、流量控制、 QOS、DHCP 服务等；独有的防火墙规则虚拟 卫生网专网组网技术方案 第 13 页 在线测试技术可避免人为设置错误产生 安全隐患。 攻击功能： 对于 防 DOS 攻击功能：不仅能够防止来自外部的 DOS 攻击（如 SYN Flood 攻击） 内部发起的 DOS 攻击也可进行有 效防御。 九九.行为管理方案行为管理方案 行为管理：针对专线的流量须进一步加强管理工作，对员工的上 网行为进行必要的管理。正常工作时间内，严禁使用与办公无关的、 占用大量网络带宽的应用，比如 P2P 下载、电驴下载、在线看电影 (视频)、听音乐、在线玩游戏、炒股等。同时，严格控制带宽占用率 高、采用多线程技术的网络下载工具，避免这些工具软件长时间、高 带宽地占用有限的专线资源，更好的保证业务系统的访问。 对目前互联网的应用，能够实现自动升级。 身份认证身份认证 多种认证方式多种认证方式 随着网络的发展，网络信息安全的重要性日益显现。现今大多数 企业仍旧采用静态的用户名/口令认证机制，在身份认证过程中交换 的认证消息为明文方式，未进行加密算法或者散列算法的处理，这样 导致的直接结果是用户名和口令这些敏感数据容易被截获和泄露。因 此一套安全稳定高效的安全身份认证系统对于一个不断发展扩大的企 业网络是必不可少的。 组织要对内网进行管理，首先必须对接入内网的人员进行严格的 卫生网专网组网技术方案 第 14 页 身份认证。SANGFOR AC 基于用户识别的功能支持以 IP、MAC、IP/MAC 绑定、用户名密码、USB-Key 识别，公用账号认证。 对于已有域认证的用户，AC 可与域进行结合认证。同时支持 LDAP 认证、Radius 认证、POP3 认证、Web 认证等等，其中 Web 认证 支持以 windows 认证框方式实现 web 认证，也支持以 HTTP POST 方式 实现 web 认证。 .2 单点登录技术单点登录技术 AC 为内网用户提供账号/密码等认证方式，结合单点登录技术 (Single Sign On, SSO)将避免手工输入帐号信息以简化操作。AC 通 过数据包监听方式即可支持 AD 单点登录功能。内网用户采用域账号 登陆操作系统后，自动通过 AC 认证，简化用户操作，且合作伙伴等 第三方人员接入机构内网后将自动禁止访问 Internet，进一步降低 机构信息资产外泄的风险。AC 的 POP3、PROXY 单点登录功能启用后， 内网用户只需收发一下 Email、或触发 PROXY 服务器的认证后，也将 自动通过 AC 认证，极大的方便了用户的使用。 卫生网专网组网技术方案 第 15 页 .3 用户批量导入用户批量导入 用户第一次使用 AC，可批量导入用户，避免手工一个一个用户 信息输入的麻烦。AC 支持多种格式文件的导入，如 CSV，支持扫描 IP 自动导入，支持 AD 域用户导入。 .4 跨三层绑定跨三层绑定 IP/MACIP/MAC 对于三层网络环境的用户，AC 可跨三层绑定 IP/MAC。 .5 新用户认证新用户认证 对于进入内网的新用户，如临时来访的客户、其他办事处的同事 等，AC 可为临时的用户提供简单且可靠的认证方式。 卫生网专网组网技术方案 第 16 页 9.29.2 访问控制访问控制 网页过滤网页过滤 组织员工在日常需要使用网络的工作中，需要搜索访问互联网。 互联网的开放性带来了资源的传播和共享，同时也为不良资源提供了 扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的 网页屡见不鲜、层出不穷，如何在日常工作中过滤这些不良网页，为 员工创造一个健康的绿色的网络环境呢？网页分类、搜索引擎关键字 过滤等技术应运而生。 AC 内置千万级 URL 库，将互联网网页分成 40 多个大类，同时公 司研发专门设立 URL 部分，每半个月实时更新和维护 URL 库。 URL 库支持在线自动更新，同时支持手动更新。 据 Google 统计，在 2008 年 Google 网页已经多达 00（1 兆） ， 2010 年 5 月，工信部发布的互联网产业数据显示，截至 2009 年底， 卫生网专网组网技术方案 第 17 页 国内网站数量达到 323 万个，年增长率 12.3%。网页更新速度如此快， URL 的弊端由此显现。 如何克服网页 URL 管理的滞后性和不完全性？ AC 提供自行添加 URL 的功能，在查询 URL 库中没有此 URL 地址 时，用户可自行在设备界面进行添加，也可自定义 URL 类型，对组织 内部网页进行管理。 AC 具备 URL 智能识别功能，可对未知的网页进行自动学习、判 别、归类。网页智能识别系统是公司于中科院联合开发，属国内前沿 开发技术。 卫生网专网组网技术方案 第 18 页 .2 搜索关键字过滤搜索关键字过滤 用户可根据访问习惯，将互联网中的非法、暴力、毒品等不良网 站进行过滤，为组织内网提供一个绿色、健康、高效的互联网访问环 境。同时 AC 支持在搜索引擎中设置多关键字过滤，过滤包含不健康 内容的网页。 .3发帖关键字过滤发帖关键字过滤 网络的开放性给网民带来更多的言论自由，但互联网上部分 不负责任人士发表一些类似色情、反动、迷信或者暴力的信息，影响 其他人士，造成了不必要的影响。 AC 可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛 网站，AC 可设置看帖看不允许发帖，或者实行发帖关键字过滤，灵 活避免组织中出现泄密或者发表不良言论带来法律追究责任的风险。 .4 文件类型过滤文件类型过滤 网络的开放性带来了网络资源的共享，组织中的用户可在上班时 卫生网专网组网技术方案 第 19 页 间从互联网上下载电脑系统使用工具、免费的杀毒软件、产品文档等 资料，非常便利。但是部分用户利用下载和上传的工具在上班时间做 与工作无关的事情，比如下载电影、音乐、游戏等，不仅影响工作效 率，而且占用并浪费了组织的带宽资源。 AC 根据下载文件的类型判别下载的内容，电影、音乐、游戏等 与工作无关的娱乐信息为常见的 rmvbavimp3 等格式，用户通过定 义这些文件格式为影视类型，对这类文件的上传和下载进行过滤。 .5 应用控制应用控制 互联网应用众多，如何在内网对各应用进行合理的管控呢？首先 需要识别应用。AC 内置应用识别规则库，分为 24 个大类，包含 600 多种应用，可识别网络中各种主流常见应用。 对于内网用户的网页访问行为，AC 不仅通过内置 URL 库，关键 卫生网专网组网技术方案 第 20 页 字过滤等方式进行管控。对于采用 SSL 加密的网页，如钓鱼网站等， AC 的证书验证链接黑白名单技术同样可以管控。AC 不仅管理用户使 用 WEB、FTP、EMAIL 等常用服务，通过深度内容检测技术，实现对 QQ、MSN、SKYPE 等 IM 聊天工具，BT、电骡等 P2P 下载工具， PPLive、QQLive 等在线影音工具，网络游戏，在线炒股等网络应用 行为进行管理和控制。 针对目前 P2P 行为泛滥的趋势，SANGFOR AC 的 P2P 智能识别技 术能够对不常用的、未来可能出现的 P2P 软件进行有效管控。并且对 P2P 行为严重吞噬带宽资源的问题，提供 P2P 应用封堵或流量管理措 施。 针对类似 P2P 难以管控的应用，AC 内置应用智能识别库，自动 判断新出现应用特征，从而归类管理。 AC 所具备的多种网络访问控制功能，可以基于用户/用户组、 基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理 要求。 卫生网专网组网技术方案 第 21 页 .6 SSLSSL 加密应用管理加密应用管理- -反钓鱼网站功能反钓鱼网站功能 互联网从来不是一个宁静的地方，黑客攻击无处不在。随着网络 信息的透明化，个人隐私不断缩小，信息的安全需要加固安全保障。 于是，网络中重要信息不再以明文方式传输在网络中，人们利用加密 传输协议发送消息，网络应用急趋加密化，如常见的网银、加密邮件、 加密聊天等。 道高一尺魔高一丈，当人们正信任来自可靠的 SSL 加密传输协议 发送的消息时，网络“钓鱼者”通过伪造与网上银行、网上购物等网 上交易页面极其相似的界面，使用户毫不知情时泄露自己的账户信息， 导致银行资金被“网络姜太公”轻易盗取。网上金融机构普遍采用第 三方权威机构颁发的数字证书以实现 SSL 加密网页。钓鱼网站同样可 以完全模仿真正网银网站的模样和操作过程，导致用户上当受骗。如 果不能甄别和过滤 SSL 加密网页，则该行为管理方案、网络过滤设备 是不完备的。 AC 内置可信任数字证书颁发机构信息，并可对 SSL 网站提供的 数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证 书撤销列表、证书持有人的公钥、证书签名等。钓鱼网站采用非可信 颁发机构的数字证书，可以蒙骗用户，但却被 AC 识别和过滤，避免 了用户和机构的经济损失。 AC 不仅可识别和控制通过 SSL 协议传输的内容，而且可以对内 容进行审计，为突发可疑事件提供依据。同时为了避免 SSL 内容管理 过度带来的泄露用户信息问题，AC 提供灵活的 SSL 管理措施。AC 可 卫生网专网组网技术方案 第 22 页 自动识别和过滤经过合法机构颁发证书的 SSL 加密应用，比如网银， 同时，管理员根据可判别可靠的 SSL 应用，只对部分网站进行控制和 审计。此技术已经通过国家知识产权局检验，获得专利（ZL 7.1 基于网关、网桥防范网络钓鱼网站的方法） 。 .7 P2PP2P 管理管理 P2P（peer-to-peer）应用的兴起直接导致了 P2P 软件及各种版 本的爆炸性增长。如何对 P2P 行为进行全面有效的管控成为业界的难 题之一。部分厂商通过封堵种子共享网站、过滤种子文件的下载、封 堵资源服务器 IP 或封堵端口等方式进行 P2P 管控，费时费力且达不 到理想效果。AC 的深度内容检测技术对常用 P2P 软件进行识别；基 于 P2P 行为特征的智能分析技术实现对不常见和未来可能出现的 P2P 应用的识别，为您提供了全面、高效的 P2P 行为管控手段。 P2P 作为带宽杀手，P2P 应用种类多、应用复杂、版本更新快， 在众多网络用用中最难管理。AC 针对 P2P 以上特点，专门针对 P2P 采取智能识别、自动管控功能。 能够全面识别 P2P 行为是进一步管控的基础。对 P2P 的管控包括 封堵和流控两方面，即全面禁止指定部门使用 P2P 软件，或允许其使 卫生网专网组网技术方案 第 23 页 用，但对 P2P 行为占用的带宽资源进行限制和管理，既实现带宽使用 的优化，又为机构员工提供了人性化的管理方式。 .8 加密加密聊天管理聊天管理 “加密化”的趋势不仅使明文的 HTTP 网站开始转向加密的 HTTPS 网站，各种 IM 聊天工具的聊天内容也被加密，如腾讯 QQ、TM、Skype、MSNShell 等。如果不能对加密的 IM 聊天内容进行 监控和记录，隐匿其中的安全风险、安全事件就无法防御、无据可查。 目前业界的解决方案多数都无法对 QQ、Skype、MSNShell、Gtalk 的聊天内容进行监控和记录。AC 通过 聊天内容同步侦听（Real-time Monitor for Messages , RMM)，实 现对 QQ、Skype 等加密聊天内容的监督和记录，这在业界的行为管控 方案中是屈指可数的。 .9 邮件邮件管理管理 邮件成为了日常工作中一种必需的工具，如何避免员工通过邮件 有意或无意泄露公司机密，如何过滤垃圾邮件，减少让人头痛的邮件 管理问题呢？ AC 邮件过滤功能，可根据发送和接受邮件的地址，邮件主题、 正文、附件类型，发送邮件的大小、附件个数等自动判别和过滤不符 合规定邮件和垃圾邮件。 卫生网专网组网技术方案 第 24 页 为避免邮件处理过程中，包含关键字的邮件为合法邮件，AC 的邮件延迟审计（Postponed Sending after Audit, PSA）技术，可 将敏感邮件阻挡于内网。内网员工发送 Email 邮件时，用户认为已经 成功发送，实际上该 Email 行为被 AC 识别后，符合管理员预定策略 的 Email 被 AC 网关拦截，整封 Email 邮件、包括正文和附件全部转 存至邮件缓冲区。指定的邮件审核人员会获得邮件通知，经人为审核 后，才允许该 Email 邮件发送到公网上，实现了对泄密邮件的封堵， 保护了机构的敏感信息的安全性。 AC 的邮件延迟