长城集团上网行为管理解决方案

广州国普信息科技有限公司公司网址：电话：020-85515699上网行为管理里网关（AC）解决方案广州国普信息科技有限公司2011年8月广州国普信息科技有限公司公司网址：电话：020-85515699目录第1章需求概述..................................................31.1背景介绍.................................................31.2需求分析.................................................31.3客户具体需求分析.........................................61.4客户网络现状分析.........................................7第2章上网行为管理标准..........................................7第3章上网行为管理AC功能介绍...................................83.1身份认证.................................................83.2访问控制................................................103.3带宽管理................................................163.4监控审计................................................17第4章设备选型及介绍...........................................194.1用户环境具体实施........................................20第5章方案优点及给客户带来的价值...............................215.1管理网络带宽............................................215.2避免法律风险............................................215.3提升工作效率............................................22第6章深信服科技介绍及专利和荣誉...............................236.1深信服科技介绍..........................................236.2SANGFORAC部分专利介绍.................................246.3深信服科技部分荣誉......................................25广州国普信息科技有限公司公司网址：电话：020-85515699第1章需求概述1.1背景介绍网络的发展与普及正在改变人们的生产生活方式，互联网正逐步成为重要的生产资料，组织业务正逐渐向互联网转型。互联网是一把”双刃剑”，缺乏管理的互联网已经带来诸多问题：1、带宽滥用，上网速度慢（P2P流量超过一半，访问网页，ERP等无法顺利进行，带宽无法有效的分配和利用）。2、工作效率下降（上班时间网络聊天、炒股、网游、看新闻等行为泛滥）。3、机密信息被泄露，信息安全遭威胁（上网授权缺失，用户肆意上网，为通过网络泄密提供了通道，泄密后无据可查，责任难追究)。4、违法网络行为为企业带来法律风险（肆意浏览色情、反动网站，无具体日志记录，无法举证追踪）。5、安全威胁频发、上网环境恶化（互联网威胁越来越多、隐蔽和病毒感染技术越来越先进）。1.2需求分析1.2．1带宽效率风险随着互联网的普及，组织机构的业务几乎都依托于互联网进行着。ERP、CRM、OA、电子商务、视频会议等系统已成为各组织机构在建设网络的基础设施，来为公司业务建立一个信息化平台。但是在一个组织机构内部的网络，除了这些关键业务系统外，P2P下载、网络炒股、游戏、视频等非关键业务应用同样共存着，形成了复杂的网络应用“脉络”。据一期美国《时代》周刊载文称，网络带宽将成为继石油之后新的“黑金”，这将是未来10年世界发展的重要趋势之一。组织机构在花了重金从运营商处购买带宽满足业务需求，但是在办公室里经常听到有人抱怨网络速度为什么这么慢，广州国普信息科技有限公司公司网址：电话：020-85515699在业务处理终端经常有工作人员反馈订单等处理太慢，客户往往等不及。网络速度慢，正常业务受到影响，如何来解决问题呢？扩张带宽，将原有的10M扩张到20M？扩张带宽，IT部需要向公司申请一笔较大的经费，财务部需要从其他部门的预算中挤出30W左右的资金，难度大，周期长，有风险。但是扩张带宽后，网络速度慢的问题是否会从根本上解决呢？下面分析网络速度慢的主要原因。上图为一真实客户网络应用显示，600M的互联网带宽内，P2P的应用流量高达36.4%。据iResearch调查统计，P2P业务对带宽占用比大致是40%~60%，在极端情况下会占用80%~90%，它被成为“带宽杀手”，消耗了大量网络资源，导致了运营商网络关键链路拥塞和其他互联网应用性能的快速下降，在各组织机构中的情况也是如此。P2P抢占空闲带宽、上下行流量对称、一对多点链接、大部分端口可变、协议相对固定、流量特征不明显。这些特征导致P2P在采集分析、识别和管理方面比较困难。P2P对于带宽资源的吞噬是一方面，另外一方面P2P会产生大量的连接会话，会对于网络核心以及互联网出口设备都会产生比较大的压力，导致相关设备负载过高，导致设备新建会话的速度变慢从而影响网路速度。例如中国国际航空公司西南信息分布就遇到过在对P2P进行管控之前，防火墙CPU负载经常可达90%以上，在对P2P进行有效的控制之后防火墙CPU基本维持在30%一下。广州国普信息科技有限公司公司网址：电话：020-85515699由此看来，组织机构若不能应付P2P应用大量吞噬带宽的现象，单纯通过扩张带宽，也只能获得一时的效果，仍然不能从根本上解决网络速度慢的问题。网络偶然发生拥堵，很常见，但如果网络开始遭遇频繁的数据重发和拥堵，有一件事情是确定的——如果不将网络拥堵处理妥当，它只会变得更糟。1.2.3泄密风险公司业务依托于互联网开展，ERP、CRM、OA、电子商务、视频会议等系统来自于全球高端厂商的开发，同时系统的应用依托于互联网。但是，无论是政府网、教育网，还是企业网，承载着的都有关于组织的机密信息。所以在信息安全保障工作方面，任何组织都需要考虑如何避免信息泄密事件的发生。项调查显示，名列《财富》杂志前1000名的公司每年因泄露商业机密而出现的损失高达450亿美元。为此，企业无不对商业机密严防死守,对泄密者更是实施较高惩罚措施。让企业恐惧的不是强大的对手，而是自己的商业机密变成了对方手里的底牌，为了不让商业机密泄露出去，企业通常的做法有：采取硬件、软件加密保护，在机密文件上注明“机密”，对机密文件实施专人管理；签订保密协定，在用人合同中对商业保密进行约定、实施竞业禁止行为，注明泄密承担的严重后果；加强员工培训管理等。但是，员工在上班时间利用公司网络和电脑，在聊天、邮件、发帖、访问互联网过程中有意或者无意的泄露组织机密，给组织带来了严重的损失。1.2.4法律风险组织的办公系统、业务系统都依托于互联网，员工在使用的时候势必也拥有上互联网的权限。调查发现，90%的上网人士不清楚网络的法律法规，67%的人都没听说过网络违规违法。“人肉搜索”被媒体评为2008年度十大网络流行词，由于利用“人肉搜索”实施违法行为的主体具有隐蔽性，使得恶意侵犯他人合法权益的事件频发，严重广州国普信息科技有限公司公司网址：电话：020-85515699侵犯他人的名誉权、隐私权和安宁权，甚至造成当事人自杀、自残或者精神失常的后果，引发“网络暴力”。十一届全国人大代表为此提出议案，修改治安处罚法第42条，追究违法“人肉搜索”的法律责任。网络服务提供者明知网络用户利用其网络服务实施侵害他人合法权益的行为，未采取必要措施，情节特别严重且造成严重后果的对直接责任人和主要负责人处五日以下拘留，并对单位处五百以上三千以下的罚款。2009年，全国整治互联网低俗之风专项行动办公室核实，41家网站主要刊登色情和低俗内容，违反了《全国人民代表大会常务委员会关于维护互联网安全的决定》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》等法律法规的规定，被依法关闭。2010年，记者调查发现，不少市民和网友通过QQ的群邮件功能或者MSN的聊天组获取不雅视频，专家表示，这样做也有法律风险。根据最高人民法院、最高人民检察院颁布的新司法解释，利用互联网建立主要用于传播淫秽电子信息的群组，成员达30人以上或者造成严重后果的，对建立者、管理者和主要传播者，依照刑法第364条第1款的规定，以传播淫秽物品罪定罪处罚。网络的违规违法事件越累越多，国家对于违规违法事件打击的力度越来越大。组织职员通过组织网络，在论坛和博客发表反动、藏独等不负责任的言论，在QQ、MSN等聊天过程中传播不雅信息，都属于网络的违规违法行为，一旦被组织机构查处，组织都因此而遭受法律的制裁。其中，国家电网明文规定，对电网公司不定期检查员工的上网行为日志，避免电网内员工发生网络违法和泄密事件。个人违法，理论上不应该由组织来承担责任，但若因为组织没有采取相关的防御措施，违法事件发生后不能通过技术手段查出当事人，那么只能由组织为此违规违法事件而买单。如果避免此类事件的发生，组织可以考虑从网络的技术层面出发，做好网络法律的防御工作。1.3客户具体需求分析广东长城集团有限公司（以下简称：长城集团）网络详细需求是：对各个上网用户进行带宽管理、保证正常业务带宽，对P2P流媒体进行带宽的限制。对员广州国普信息科技有限公司公司网址：电话：020-85515699工上网浏览网页、邮件、IM、外发等进行审计，防止机密数据的外泄。防止来自外网的DOS,DDOS攻击等。组织单位面对来自带宽效率、工作效率、泄密、法律和网络安全五大风险问题时，往往需要一套完善的可靠的上网行为管理解决方案。深信服上网行为管理从身份认证、访问控制、带宽分配、监控审计、安全强化五个方面，为用户解决上网行为管理的问题，提供专业的解决方案和服务。1.4客户网络现状分析长城集团现有网络拓扑图：通过以上内网拓扑简图可见，长城集团网络结构还是比较简单，目前的网络结构无法防御来自外网的安全风险和威胁，对于来自内网的肆意的互联网访问行为、带宽滥用、潜在的泄密、法律违规等也无法进行有效地管控，同时内网员工的各种互联网访问行为也无法有效的监控和审计。第2章上网行为管理标准专业的上网行为管理以识别用户、应用、终端为基础，以授权、流控、审计作为手段，以安全强化作为上网行为管理的辅助和目的。作为一个管理者，只有广州国普信息科技有限公司公司网址：电话：020-85515699清楚在他所管理的网络中是谁用哪一台电脑在网上做了些什么，才能真正的叫做管理网络。第3章上网行为管理AC功能介绍3.1身份认证3.1.1多种认证方式随着网络的发展，网络信息安全的重要性日益显现。现今大多数企业仍旧采用静态的用户名/口令认证机制，在身份认证过程中交换的认证消息为明文方式，未进行加密算法或者散列算法的处理，这样导致