AC19上网行为管理方案模版简单版复习过程Word格式文档下载.docx
- 文档编号:14589107
- 上传时间:2022-10-23
- 格式:DOCX
- 页数:9
- 大小:202.05KB
AC19上网行为管理方案模版简单版复习过程Word格式文档下载.docx
《AC19上网行为管理方案模版简单版复习过程Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《AC19上网行为管理方案模版简单版复习过程Word格式文档下载.docx(9页珍藏版)》请在冰豆网上搜索。
深信服通过SINFORAC网关为客户提供业界最领先的上网行为管理解决方案,全面灵活的帮助客户实现带宽与流量管理、外发信息管理、上网行为审计、网络访问控制、内网与终端安全增强等,从而有效解决互联网使用带来的带宽效率降低、网络泄密风险、法律违规问题、工作效率影响、网络安全性降低等各种问题。
深信服立足自主研发、自主创新,SINFORAC上网行管理产品具有7项发明专利,并获得高交会自主知识产权认证、国家信息安全产品评测中心认证等资质。
深信服持续研究上网行为前沿技术与趋势,完全遵从“以精准用户识别、终端识别、应用识别为基础,实现封堵、流控、审计等管理手段,集合安全增强功能”的业界标准,为客户提供完善的方案及服务。
2.项目概述
2.1网络现状描述
XX机构不仅部署有OA、Email等丰富的业务系统,并且组织内网Intranet、互联网Internet的应用也十分普及。
信息技术、特别是网络技术为XX机构持续创造价值。
XX机构内部网络按照行政架构和部门将网络分为多个功能区,内网连接互联网的用户数已达XX个,当前XX机构的互联网出口带宽达XXM,整个网络结构程三层架构模式。
2.2应用现状描述
XX机构内网由于不同部门的职责与业务决定其对互联网的依赖度不同。
领导及办公室:
由于高层领导需要及时获取互联网讯息,且频繁需要通过视频会议、VOIP等系统与分支机构进行交流,所以对网络带宽需求强烈且要求较高。
市场部:
日常工作内容包括通过互联网与客户、合作伙伴保持日常的有效沟通,并及时获取互联网最新行业信息等,工作任务与性质决定了市场部同事需要一定的Internet访问权限。
研发部:
CSDN.NET等互联网上存在诸多研发、IT相关技术论坛与网站,这些资源为研发人员的日常工作提供了有效的帮助和支撑。
同时研发内网存在关乎XX机构发展命运的诸多核心机密。
从XX机构的整个互联网使用情况看,现有的Internet出口带宽资源紧张,IT技术部时常接到内网用户关于网速太慢的抱怨与投诉;
内网用户的网络发贴、外发Email、访问的网站等行为也缺乏有效的审计记录手段,一旦发生泄密、法律违规问题将面临无据可查的尴尬;
上班时间从事工作无关的网络行为已经成为办公室公开的秘密,生产效率无法保障;
而由于不受控的上网行为泛滥,导致内网病毒、ARP欺骗等问题品频频发生。
3.需求分析
结合XX机构的网络和应用现状可见,有以下问题需要解决:
1、精准识别内网不同用户身份,按照行政架构将用户分配到不同用户组,并与XX机构现存的AD服务器配合,为不同用户授予不同的上网权限。
2、对全网用户的BT、迅雷等P2P行为进行管控,包括封堵研发部门的P2P行为,对市场部的P2P所占用的带宽进行流控等;
同时要保障关键业务系统的带宽需求。
3、领导及办公室:
为领导用户组分配充足的带宽资源,保证领导的视频会议、VOIP的带宽要求,并且通过硬件USB-Key的方式实现领导身份的防冒充、防破解、以及上网行为免审计功能。
4、市场部:
管控上班时间的非业务上网行为,如QQ语音、视频、游戏,网络炒股、网络游戏等;
另外为业务行为如访问行业网站等提供充足的带宽资源保障。
5、研发部:
不仅严格控制研发部的网络访问权限,同时对外发信息进行过滤和审计,包括过滤外发文件、外发Email、先拦截Email人工审核后在外发等。
6、IT信息技术部同时希望能够强制内网客户端都安装已购买的某杀毒软件,并且再部署网关杀毒措施;
另外需要海量存储行为日志和快速的日志检索定位工具,以满足公安部82号令的要求,并且通过硬件USB-Key识别接入日志中心的管理员身份,防止日志的滥用。
4.方案设计原则
4.1设计原则
⏹标准化、一致性原则
设备设置的所有策略都满足国家对于信息审计的要求,遵循国家安全标准体系。
所选择设备要具有公安部销售许可证、国家信息安全评测中心的认证、公安部信息安全产品监测中心检验报告等。
⏹全面、灵活性原则
能够基于用户、用户组、时间段、应用行为等进行灵活的上网权限控制;
全面记录各种上网行为日志,并能通过硬件USB-Key避免高层领导行为日志的记录;
支持通过硬件USB-Key认证接入日志中心的管理员身份等。
⏹安全及前瞻性原则
如果设备被攻击、内网DOS流量、ARP欺骗等导致网络中断将严重影响网络可用性,所以设备不仅能够通过防火墙等安全模块保障自身安全,同时能够防御DOS攻击、ARP欺骗等,提升整个网络的可靠性、可用性。
⏹技术和管理相结合原则
上网行为的各种控制与审计策略应该与XX机构的管理机制、人员思想教育与技术培训、安全规章制度建设相结合,从技术和行政两方面全面管理内网用户的上网行为。
4.2参考标准
1)公安部计算机信息系统安全产品质量监督检验中心《信息技术网络通讯安全产品检验规范》
2)国家标准GB/T18336.2-2001《信息技术安全技术信息技术安全性评估准则》
3)公安部第82号令《互联网安全保护技术措施规定》
4)国家保密标准BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》。
5)国家保密标准BMZ1-2000,《涉及国家秘密的计算机信息系统保密技术要求》。
6)国家保密标准《计算机信息系统保密管理暂行规定》(国保发{1998}1号)。
7)国家标准GB17859-1999,《计算机信息系统安全保护等级划分准则》。
8)ISO27001/ISO17799:
2005/BS7799,《信息安全管理技术规范》。
9)国际《塞班斯法案》
5.解决方案
5.1总体设计
根据客户的应用及网络现状、需求分析,当前XX机构迫切需要对P2P等费业务应用进行带宽限制,为业务应用划分和分配带宽资源,从而提升带宽使用效率;
封堵互联网非法资源、过滤网络言论、外发Email,并做到上网行为日志的全面灵活记录与海量存储;
另外对内网用户的互联网访问行为有针对性、差异化的封堵和限制,同时在实现严格的上网行为管理的同时,提升网络的可用性、可靠性等。
因此要求方案设计全方位的考虑到这些重点内容并且符合国家相关安全条例的标准,切实做到量体裁衣。
5.2设备选型
在XX机构互联网建设中,对产品选型应遵循以下原则:
1、全面灵活的管理手段。
为内网不同用户提供差异化封堵、流控、审计等管理手段,尤其基于硬件的免审计USB-Key、数据中心认证USB-Key为XX机构提供了个性化的上网行为管理手段。
2、网络可靠性、可用性保障。
上网行为的发生是以网络通达为基础的。
所以对网络可靠、可用的保障是使用网络的基础,这需要通过多种手段实现,包括防火墙技术、网关杀毒技术、终端网络准入技术、防DOS攻击、防ARP欺骗等。
3、强大的性能和稳定性。
由于网络带宽的快速增长和组织人员规模的扩大,IT投入必须具有前瞻性,强大的性能和稳定性是必须点。
而厂商的技术实力、业界的高端客户案例等是性能和稳定性的最好体现。
4、完善的售后服务。
专业的CTI客服中心、多路800电话、本省会城市的厂商直接办事处和服务机构等将为客户构建完善的售后服务体系。
因此,本方案XX机构的上网行为管理建设中采用深信服科技SINFORM5900-AC。
5.3产品功能和性能
SINFORAC上网行为管理网关
作为国内上网行为管理第一品牌的厂商-深信服科技,其SINFORAC上网行为管理网关具有如下特点:
1)丰富的部署模式
✧网关模式。
NAT代理上网,防火墙模块保护内网,多线路功能扩展带宽
✧网桥模式和多路桥接。
透明串接在网络中,尤其适应VRRP、双机等冗余链路环境
✧旁路模式。
不影响网络结构情况下提供丰富的审计功能和部分控制功能
2)精准的用户认证与识别
不能识别用户就无法针对用户进行差异化管理
✧弹出式Web认证,支持指定IP段无需认证直接上网
✧丰富的第三方认证:
Radius、LDAP、AD、POP3、Proxy等
✧支持AD、POP3、PROXY单点登录;
读取AD上组织结构并保持同步
✧支持双因素身份认证,如USB-Key,提升账户安全性
✧用户自动创建与认证:
指定IP段用户自动添加到指定用户组,分配指定网络权限,同时绑定IP、MAC等
3)全面的网页访问行为管控
✧内置千万级与分类URL地址库,符合国人访问习惯
✧识别SSL加密网页,防范钓鱼网站等
✧过滤XX、Google等搜索的指定关键字
✧基于网页正文关键字过滤网页访问行为
✧识别非80端口的网页访问行为,彻底管控随机端口网站
✧每天自动更新,设备自动升级,保持时效性
✧基于内容的网页智能分类系统,从容应对WEB2.0
4)国内最大的应用协议识别库
✧内置20个大类,超过260条以上的应用识别规则,国内最大
✧基于应用协议特征码的识别,有别于传统IP、端口识别
✧支持用户自定义识别规则,实现个性化管理
✧每周自动更新,并支持回滚功能,保持与互联网的同步
✧识别加密邮箱、加密方式的炒股软件等,让加密应用无法遁形
✧基于行为特征全面识别加密P2P、未知P2P、不常见P2P等
5)邮件行为的管控
✧基于发件人地址、附件类型、关键字过滤外发Email行为
✧基于收件人、关键字、大小、附件等先拦截潜在的泄密邮件,人工审核后再外发,避免泄密风险
✧对非标准端口的Email收发行为进行识别、控制
✧识别和控制加密邮箱的使用,如Gmail等
✧基于关键字过滤Webmail行为
✧对接收的邮件进行垃圾邮件过滤
6)智能带宽划分与分配
✧多线路复用和智能选路,扩展带宽并做到流量的智能分担
✧基于应用协议、网站类型、文件类型的细致流控策略
✧为对外提供访问的服务器划分与分配指定带宽资源
✧基于用户、用户组、时间段、出口链路的流控,更精细
✧基于P2P的智能识别,对P2P的流控效果显著
7)全面灵活的上网行为审计
✧记录用户访问的URL地址、网页标题、甚至网页正文内容
✧记录QQ、MSNShell、Skype等加密聊天内容
✧记录Email、Webmail正文及附件
✧记录外网用户在内网服务器上的网络行为,如发贴等
✧全面记录用户的各种上网行为日志
✧基于硬件USB-Key实现指定用户的免审计功能
8)灵活精细的策略管理
✧树形用户分组结构
♦保持与客户的行政组织架构一致
♦支持用户组的嵌套,具有父组、子组等
♦保持与AD域控服务器上组织架构的一致性
✧基于时间、应用、用户、带宽、等多种条件设置用户的上网策略
✧面向策略的管理
♦策略对象与用户分类,策略对象支持复用
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- AC19 上网 行为 管理 方案 模版 简单 复习 过程