上网行为管理方案

健威家具上网行为管理方案V1.3健威企业集团2012年10月9日目录一、状况分析.....................................................................................................................................................................31.背景介绍..........................................................................................................................................32.健威人性家具信息化建设现状......................................................................................................33.信息安全架构分析..........................................................................................................................44.可行性分析......................................................................................................................................6二、需求概述.....................................................................................................................................................................71.问题分析..........................................................................................................................................71.1安全问题...................................................................................................................................71.2资源问题...................................................................................................................................81.3内容问题...................................................................................................................................82.需求分析..........................................................................................................................................82.1实用性：...................................................................................................................................82.2可操作性：................................................................................................................................92.3网络设备及终端通信可靠：....................................................................................................92.4安全保障：................................................................................................................................92.5管理制度监督及落实：............................................................................................................92.6日志保存时间............................................................................................................................9三、上网行为管理系统试用测试..............................................................................................................................9四、其他产品类型功能对比.............................................................................................................11五、总结............................................................................................................................................................................14附录......................................................................................................................................................................................15一、状况分析1.背景介绍随着信息化建设的发展，健威家具信息网络已建立起设施完善、应用丰富的互联网网络。互联网渗透到工作、生活的方方面面，当下无论企业运作，或是客户业务间联系都已离不开网络上的各种应用作为沟通、交流的媒介，如广泛使用的ERP、Email，个人使用的即时通讯、FTP传输、FAX传真等等应用。健威人性家具集团作为国内制造业信息数字化的领先者，重视IT基础架构的建设，从而助推公司综合实力的提升。在现有IT基础架构的基础上建设上网行为管理系统，通过管理上网用户的行为，提高企业的运作效率，避免与工作无关的信息的干扰。通过优化业务的运行，最大限度的保障已投资的信息资产（如带宽等）。2.健威人性家具信息化建设现状INTERNET：电信专线接入OA系统：Coffice平台ERP系统：TIPTOP平台EMAIL服务：WinmailServer内部邮件服务器传真服务：EasyFax传真服务器FTP文件系统：Serv-U服务器DNS服务器：内部DNS服务器代理服务器：采用代理服务认证上网域管理：基于window系列的域服务管理桌面杀毒：企业版瑞星杀毒软件系统补丁服务：MicrosoftWindowsServerUpdateServices服务器防火墙：FortiGate400（暂无法升级病毒库）企业监控：DVR、CITRIX等数台监控服务器内部电话：电信服务提供网站应用：外部托管机房从信息化建设规模情况可以看出企业对信息化整体投入庞大，管理模式先进，已经建立了较为完善的信息服务体系，为员工提供了丰富的应用资源，一个合理化的管理模式能更好地对服务资源进行合理的分配，提高员工的工作效率，有助于提高企业的核心竞争力。3.信息安全架构分析上图显示：安全威胁主要分为服务供应商和终端客户的威胁终端客户威胁的评估现有防控手段优化可能优化手段病毒桌面杀毒产品操作系统补丁升级服务器有需完善NAC系统控制。部署防病毒网关限制病毒资源访问●拒绝服务FortiGate400FireWall暂无目前完美系统入侵无有部署IDS设备部署蜜罐垃圾邮件邮件服务器安全过滤有增加审计机制，对邮件进行审计过滤●恶意代码邮件服务器安全过滤有限制恶意代码资源访问●准确定位恶意代码资源站点分类●防病毒网关服务供应商威胁的评估现有防控手段优化可能优化手段合规管理代理服务器控制有需完善NAC系统控制分级设置上网管理/控制策略●未授权使用域访问控制有控制未授权人员访问互联网●上网行为安全代理服务器控制有控制管理非安全的上网行为●增加上网行为控管，审计机制●信息外泄无有监控/审计/限制webmail●监控/审计企业SMTP外发信息●监控，审计网页信息上传●限制网页附件粘贴大小●监控/审计IM信息●控管P2P软件的使用●业务连续性互联网带宽资源合理分配有可快速查询出导致故障的行为●多冗余线路冗余网络架构资源滥用FTP服务有限制导致资源滥用的网络应用●根据上述评估信息可以看出在终端客户威胁控制层面较为完善，专业的安全产品部署有效的防止了多种应用的威胁。但可以看到依旧还存在一定的改进空间，主要是对外部威胁资源的认知和分类，不能简单的靠IT人员现有的设备和人力可以完成的，因此需要专业的安全产品进行辅助实现。从基于服务供应商威胁层面的安全评估来看还存在较大的提升空间。目前所部署的安全设备大部分是被动安全设备，同时基本上也是由外向内的威胁防范，但是内部威胁，内部的管理却存在较多的空白，上网行为的控管，带宽的控管，档案留存，审计和分析的缺陷尤为突出。总结：在被动安全层面已经比较完善，但需要采用专用的主动安全技术产品来完善自己的安全构架，从而使企业在网络安全方面达到完美。4.可行性分析结合在安全风险评估结果可以看出，目前存在的主要安全威胁基本都覆盖在了上网行为管理的范畴之内，分析表中带●的条目都可以通过上网行为管理方式进行优化和解决（网络站点/应用的管理控制，带宽的控管，主体的网络行为识别/报警，快速查询网内问题来源，网内上网行为的数据留存和审计，统计分析上网行为策略进一步优化管理方针）并且这些威胁是已经部署的安全工具所不能抵御的，并且这些威胁会引起当前IT部门大量的人力浪费（例如定位故障发生来源需要较长的时间，较多的人力投入）。因此部署上网行为管理的需求重要性是真实存在的。网络现状拓扑：从目前网络拓扑来看，由于防火墙兼任路由功能，骨干网络及外链VPN网络均有终端及服务应用要求，终端上网请求均需要经过域管理服务器的认证，然后通过代理服务器访问互联网，验证后，发现部署在骨干网络上的深信服上网行为管理产品无法辨别通过代理上网的客户端数据，故目前该类型产品只能部署在域管理服务器和代理服务器的网络骨架上。二、