IdeaBank**供电公司上网行为管理解决方案**供电公司上网行为管理解决方案济南意源科技有限公司2013年05月IdeaBank**供电公司上网行为管理解决方案-I-目录第一章需求概述...........................................................................................................11.1背景介绍.........................................................................................................11.2需求分析.........................................................................................................11.3**供电公司具体需求分析..................................................................................21.4客户网络现状分析...........................................................................................5第二章解决方案...........................................................................................................52.1AC上网行为管理设备功能介绍........................................................................52.2AC上网行为管理部署方式.............................................................................142.3AC上网行为管理实施效果.............................................................................19第三章上网行为管理推荐型号及产品价值.................................................................203.1设备选型描述及价格.....................................................................................203.2产品价值.......................................................................................................20第四章产品介绍(深信服上网行为管理).................................................................23深信服上网行为管理系统..............................................................................23IdeaBank**供电公司上网行为管理解决方案第1页第一章需求概述1.1背景介绍目前**供电公司信息基础网络安全改造已经完成,网关处已经部署了专用防火墙和入侵防御等网络安全设备。机构内部也已经应用了众多信息系统,包括生产管理系统、WEB服务器、邮件服务器等,各业务应用系统都或多或少的通过互联网平台得到整体应用。由于现有外网用户只有防火墙和入侵防御系统,缺少帮助互联网用户控制和管理对互联网的使用的工具,很容易造成网络安全隐患,对员工的审计不够,造成办公效率低;一些违反网络行为审计不够等。1.2需求分析随着Internet接入的普及和带宽的增加,一方面内网用户上网条件得到改善,另一方面也给机构带来更高的网络使用危险性、复杂性和混乱性。据IDC调查发现,在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。IDC的数据统计显示,员工30%-40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。而中国员工比其它地区的员工每周多花7.6小时使用IM、玩游戏、P2P软件或流媒体。互联网滥用,给中国企业、政府、高校、行业用户等各行业带来了巨大的损失。内网用户随意使用互联网将主要导致五个问题:(1)网速越来越慢(2)信息和机密外泄(3)网络违法行为(4)工作效率低下(5)安全隐患不断为获取外部信息和资源、及与第三方合作伙伴、投资方等保持联系和沟通,机构内部网络必然与互联网连通。IT管理者如何及时了解网络运行情况,并对网络整体状况作出基本的分析,发现可能存在的问题(如违规访问、资源滥用、泄密、ARP欺骗等),并进行快速的故障定位,这一切都是对机构内网安全管理的挑战,这些问题包括:IdeaBank**供电公司上网行为管理解决方案第2页IT管理者如何对网络效能和行为进行统计、分析、评估?IT管理者如何管控BT、PPLive等P2P行为,避免其严重占用带宽,同时如何为业务系统和关键用户保障带宽资源的分配,提升带宽利用率?IT管理者如何杜绝通过Email、MSN等途径潜在的泄密行为?IT管理者如何避免网络造谣、恶意言论和发贴等法律问题,并在发生问题时有据可查?IT管理者如何控制上班时间QQ聊天、无关网站浏览等非工作网络访问行为IT管理者如何防范用户“主动”下载含有病毒、木马、恶意软件的文件?因此,如何有效地提高工作效率,提升带宽资源使用效率、改善内网安全环境、杜绝泄密行为、避免法律风险,已经成为各行业信息化建设中的首要任务。当前内网网络和行为管理也随之提升到一个新的高度,在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时,从内到外诸如访问控制、访问跟踪、流量限制、监控、审计等问题也日益凸现。越来越多的组织机构需要对内网用户上网行为进行管理以实现网络资源的合理利用。1.3**供电公司具体需求分析随着业务的发展和信息化建设步伐的加快,公司的网络可用性和内网用户的互联网访问行为管控等问题日益严峻,虽然在网络出口处已部署了专门的防火墙设备,但无孔不入的病毒(尤其是木马、ARP欺骗等)、恶意软件、DOS攻击等仍然大肆泛滥,严重影响了本机构应用系统的运行和业务的正常运作;另外,在针对内网安全方面(尤其是PC客户端准入安全检查,公司基本没有安全检查),由于缺少专门的客户端安全检查设备,无法查找和修复内网的安全短板,从而无法有效的保护整个内部网络的安全性。更为重要的是上班时间内部用户的网络访问行为没有很好的管理、控制方法,上班时间长时间使用QQ聊天、收发私人邮件、浏览无关网页、在BBS、论坛上发帖等,不仅导致用户工作效率低下,还潜在可能向公网泄露机构内部机密信息,并可能因访问非法网站或发别非法言论而违反法律。另外内网用户肆意使用BT、PPLive等P2P工具下IdeaBank**供电公司上网行为管理解决方案第3页载电影等、在线看电视、看电影、听歌等,严重吞噬了有限的带宽资源,影响了机构内部关键应用和业务的开展。通过对研究内部网络目前存在的问题,我们看到贵公司在内网用户的互联网访问行为管控方面需要解决几个问题。1.3.1缺乏有效统计方法,无法得知网络使用状况对于贵公司网络的使用情况,有限的公网出口带宽的占用情况,用户端最常发生的网络访问行为,贵公司职工最常访问的网站等,管理者当前都无法掌握真实情况,而只能靠部分内网用户反映或抱怨,或者当网络出现问题时,才简单记录的一些IP访问情况,出现问题后查询、审计也非常不便。头疼医头,脚疼医脚,不能防患于未然。1.3.2无法管理带宽流量,无法保障业务的带宽需求贵公司的公网出口带宽通常看似充裕,但部出内网用户全速下载BT、eMule等占用出口带宽较的程序时,其他用户和业务系统的访问与开展都会及其缓慢,甚至完全不可用。而IT管理者一方面无法有效的获知现有带宽资源的使用情况和利用率,同时对于各种P2P等非业务相关的网络访问行为也无法有效管控。业务部门收发Email缓慢,领导的视频会议系统无法正常运作,生产等部的远程系统文件传输速度极慢等,都需要IT管理者优化机构有限带宽资源的使用情况,有效的限制非业务系统对带宽的占用,合理的划分和分配更多的带宽供业务系统所使用。1.3.3无法有效监控和审计用户的网络行为不是被黑客窃取,而是通过内部泄漏的。所以虽然贵公司已经部署了防火墙等安全设备,但是无法对内网用户的网络行为进行有效的监控和审计。内网用户可能通过MSN聊天即将机构的机密信息无意间泄露出去,而更典型的是通过Email邮件,将机构的信息资产通过邮件及附件发送到公网;还可能通过向公网BBS、论坛发贴的方式,不仅泄露机构信息,也可能发表不良言论、网络造谣等,不仅泄露机构的信息资产,还难免招致法律问题;这就需要有别于传统防火墙的解决方案,对用户的网络访问行为进行有效的监控和审计,做到有据可查。2006年3月1日开始实施的“公安部82号令”及“公安部33号令”都对组织机构内网用户的互联网行为提出了管控和审计要求。尤其“公安部82号令”要求互联网使用单位必须存储内网用户的上网行为日志至少60天以上,这为组织机构在发生网络违法行为时提供证据提出了要求。IdeaBank**供电公司上网行为管理解决方案第4页1.3.4无法细致管控用户的上网行为因为需要获取外部信息和资源而与Internet实现互联,通过Email等IT应用系统,内网用户不仅可以与合作伙伴、第三方单位保持沟通,而且外网用户也可以方便的通过Internet访问机构内部的私自建设网站、FTP下载服务器等。但是如果没有完善的互联网访问权限控制手段,而仅仅依靠传统的防火墙等设备,将无法有效管控内网用户的各种网络访问行为;内网用户在上班时间使用QQ、MSN等聊天,浏览各种网站(甚至色情、反动网站),BBS、论坛发贴(包括不负责任的反动言论等),在线炒股、网络游戏娱乐等,不仅降低了工作效率,甚至通过Email泄漏机构机密信息,给贵公司带来直接经济损失,还可能引起不必要的法律纠纷。1.3.5无法保证客户端的端点安全性类似木桶理论,客户网络的安全性、可用可靠性取决于最薄弱环节。如果有内网用户的终端设备使用陈旧的操作系统、不更新操作系统补丁、不安装指定的杀毒/防火墙软件、甚至不更新,反而使用和安装机构不允许的软件,这都将造成该终端设备成为内网的安全短板。如果用户使用该终端设备肆意访问互联网,来自Internet的病毒、木马、恶意程序等极易感染和侵害该终端,从而进一步感染和泛滥到整个内网,影响更多用户的网络使用和业务的开展。IdeaBank**供电公司上网行为管理解决方案第5页1.4客户网络现状分析通过以上内网拓扑简图可见,机构内部众多用户和各种应用系统,通过位于外网接口的防火墙进行了防护和保障,对于来自外网的安全风险和威胁提供了一定的防御能力,但是对于来自内网的肆意的互联网访问行为、带宽滥用、潜在的泄密、法律违规等无法进行有效地管控,同时内网员工的各种互联网访问行为也无法有效的监控和审计。第二章解决方案2.1AC上网行为管理设备功能介绍2.1.1控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、M