深信服科技明园蜂业ac方案_港湾网络科技 - HAR.BING - 创新前沿信息安全产品技术与服务供应商

深信服科技明园蜂业ac方案

作者: 来源: 阅读:788 时间:2011年09月16日字体:[ ]

    一、需求概述，
    1．1背景介绍湖南省明园蜂业有限公司是集养蜂生产、科研，蜂产品加工与销售于一体的专业蜂产品公司。公司成立于1998年，是国家商务部认定的行业内唯一的“全国百家大型农产品流通企业”，中国蜂产品协会评定的“全国蜂产品行业产业化经营龙头企业”，省政府认定的“湖南省农业产业化龙头企业”，省科技厅认定的“湖南省高新技术企业”等；“明园”商标是“中国驰名商标”，明园蜂产品是“湖南名牌产品”。公司相继通过了iso9001国际质量管理体系认证、haccp国际食品安全管理体系认证、gmp认证和qs认证。公司现有产品包括蜂王浆、蜂胶、蜂花粉、蜂蜜、化妆品系列和蜂产品特色系列、礼盒七大系列，上百个品种。湖南市场占有率达70%。公司凭借齐全的品种、可靠的质量、精美的包装及优质的服务，赢得了广大消费者的信赖，成为中国蜂业知名品牌。
    公司发展快，设施全，规模大，具有全国首家蜂产品gmp车间、全国首条蜂产品冷链系统、全国第二家大型地下低温蜜库、全国首屈一指的蜂产品研究所和检测中心。10年来，公司已形成了“公司+基地+蜂农”的产业化经营模式，在长沙市、常德市、岳阳市及洞庭湖区与蜂农结成紧密型或半紧密型的合作关系，现已能够吸收我省70%以上的蜂产品；并与湖北、浙江、安徽等地蜂农建立了长期的供应关系。
    公司销售体系十分健全，具有独特的连锁专卖网络，并且在不断的拓展中。现已在全国开设400多家专卖店，仅在长沙就有70多家；并已进驻新一佳、家乐福、沃尔玛、麦德龙、老百姓大药房等数十家国内外著名的大型超市、商场、药店，开设了专门的“店中店”；同时，我司的经销商遍布全国各地，产品畅销全国。为了开拓省外市场，公司正在实施“百城千店”工程，计划在未来三年内，将营销网络延伸到全国大中城市，专卖店数量达到3000家。
    1．2 需求分析随着信息技术的发展，使得oa、email、erp等业务系统的部署逐渐普遍，特别是网络技术的进步，让各行各业的组织内部网络得以组建和完善。网络和信息技术提升了企业的生产力和沟通效率。
然而网络技术的应用，特别是组织内网实现与互联网的互联互通后，在方便沟通的同时，其暴露出的问题也越来越引起人们的重视。规范员工的互联网访问行为已经刻不容缓。
经调查，员工访问互联网如果不受控给明园蜂业带来的问题主要体现在以下方面：
    1.2.1  p2p滥用带宽组织宝贵的互联网带宽资源本应为业务应用服务，但往往员工却通过使用bt、emule、迅雷等p2p软件肆意下载互联网资源、，通过p2p流媒体如通过沸点电视、qqlive、pplive等观看在线电影，从而导致带宽资源被滥用、业务系统访问速度较慢等问题，降低了组织的生产效率和竞争力。
然而对带宽杀手p2p应用一刀切方式的封堵在实际实施过程中可能阻力重重，并且设计部、市场部可能也需要通过p2p与客户共享资源等，所以应该对p2p行为进行灵活管理如对p2p流量进行带宽限制，同时为内网不同部门、不同用户划分带宽资源，以实现带宽的充分利用而不滥用。
    1.2.2  网络行为记录与审计的缺失2006年颁布实施的“公安部82号令”要求组织机构必须对内部人员的网络行为日志至少存储60天以上，如何记录并留存海量日志？一旦明园蜂业内网员工发生互联网违法违规问题时如何快速查找违规行为日志？如何统计获知上一周流量top 10用户？如何获知上一个月内发送邮件top 50用户？再一步如何通过柱状图、饼状图、曲线图等图表直观分析和统计整个网络的效能和员工上网行为？这都要求明园蜂业具备一套全面的网络行为记录与审计解决方案。
另外明园蜂业生存之本的科研技术、市场情报等机密信息，如何防止员工有意无意外泄到互联网甚至竞争对手处，也是信息化建设中迫切需要解决的问题之一。
    1.2.3  网络访问权限难以控制员工上班时间从事工作无关的网络行为，如浏览新闻网站、长时间qq聊天、网络炒股等严重影响工作效率，降低了明园蜂业的竞争力和生产效益，但是借助现有的防火墙等传统设备却无法有效管理此类工作无关的网络访问行为。
无关网络访问行为的泛滥不仅降低工作效率，还将导致病毒、木马、间谍软件的侵入，如qq好友发送的病毒链接、非法网站上隐藏的木马程序、下载文件中含有的arp病毒等，将导致组织网络可用性的降低。所以需要将员工的工作无关网络行为进行管控。
类似明园蜂业一样的it制造企业普遍存在以上问题，但是网络安全传统“三大件”防火墙、ids、杀毒网关等却无法做到有效的管理和控制，无法提升组织的带宽使用效率、提升员工工作效率、避免法律风险。为了达到这些目的，需要对员工的上网行为进行全面灵活的管理、控制、审计等，所以xx企业需要一套全面的上网行为管理解决方案。
    1．3  网络现状分析明园蜂业目前的内部网络拓扑简图如下：

拓扑图说明：
1、网络结构简单，无安全设备，容易遭受攻击。
2、无法对上网用户的流量和行为进行统一管理。
二、sinfor ac上网行为管理解决方案
2.1  sinfor ac解决方案
2.1.1  sinfor ac对p2p行为的全面管控
1、各种p2p行为的识别
对p2p行为进行管理，无论是封堵还是流控，对p2p行为的识别是基础，无法识别，就无从管理。
sinfor ac内置了业界最大的应用识别库，具有20大类，200余条的应用识别规则。并且支持手工添加应用识别规则。其中下载软件类内置了主流的p2p各种软件，像bt、emule、迅雷、百度下吧、pp点点通等；p2p流媒体类包括了qqlive、pplive、mysee、沸点电视、蚂蚁电视等。
sinfor ac除了能够对已知的、常见的p2p行为进行识别外，根据sinfor ac基于统计学的智能检测技术，也能够准确识别未知的、不常见的p2p行为，对各种p2p行为进行全面的识别。
2、p2p行为的流量控制
sinfor ac除了能够对识别出的各种p2p行为进行完全的封堵外，还可以根据需求对各种应用进行细致的流量控制。
sinfor ac具有细致的流量控制功能：
基于应用类型（如：bt、emule、pplive等）的流量控制；
基于网站类型（如：新闻类、娱乐类、体育类）的流量控制；
基于文件类型（如：电影类、图片类、音乐类）的流量控制；
带宽资源分配支持动态保证、预留保证、最高限制、平均分配、自由竞争等。
sinfor ac具有多线路复用技术，可支持多条公网线路，扩展机构的internet带宽，多线路间互为备份，提高可靠性；同时sinfor ac的多线路智能选路和负载均衡技术，将内网用户的流量智能的分配到多条公网线路上，解决跨运营商的带宽瓶颈问题。
3、基于时间段的流量控制
sinfor ac可以在一天内设置定义任意的时间段长，可以设置定义任意多的时间段，一周七天可以设置每天的时间段的信息不同，七天一个循环。
sinfor ac可以实现基于时间段的网络应用访问控制和流量控制，比如机房上课时间不允许访问互联网，下课时间允许访问等，比如可以设置在每天晚上19：00~23：00时间段流量的控制更严格。实现在适当的时间做适当的网络行为功能。
4、基于用户组、用户的流量控制
sinfor ac能够根据不同的用户分配到不同的用户组。比如生活区终端为一个组，工作区终端分为另一个组；比如不同的科研小组属于不同的用户组等。
sinfor ac能够基于用户组分配不同的互联网访问管理策略和流量控制管理。
sinfor ac能够基于单个用户进行流量控制管理。
2.1.2  sinfor ac提供全面的网络行为审计对组织内部网络的各种使用情况进行全面的审计，那么首先需要定位内网的用户和终端，保障内网用户身份的合法性和内网终端的安全性，然后进行全面的审计。
内网用户身份认证：sinfor ac支持web认证、usb-key认证、ip/mac绑定、与ldap/radius/pop3/proxy第三方服务器结合认证，且支持ldap、pop3、proxy的单点登录。sinfor ac可以启用选择多用户使用一个账号，及公用账号。sinfor ac也可以启用选择账号过期功能。内网用户身份认证不通过，则不能访问互联网。
内网终端安全检查：sinfor ac的内网终端安全检查，涉及的终端内容包括了终端操作系统类型、补丁包、注册表、进程、文件等信息。sinfor ac的这个功能还能实现统一部署杀毒软件等功能。内网终端安全检查不通过，则不能访问互联网。
im聊天软件的监控
sinfor ac内置应用识别规则中im软件类内置主流的im软件，像qq、msn、icq、skype、yahoo通、网易popo等。sinfor ac能够完全封堵各种im聊天软件，能够控制使用im软件传文件。不仅能够记录审计非加密聊天软件的聊天内容，像msn；也能够记录审计加密聊天软件的聊天内容，像qq。
邮件信息监控
sinfor ac能够对外发邮件进行控制，有两种方式：邮件过滤和邮件延迟审计。
邮件过滤：sinfor ac可以根据外发邮件的发件人、邮件的主题和内容关键字、外发邮件的附件类型等条件过滤邮件。
邮件延迟审计：sinfor ac可以根据外发邮件的目的地址、邮件的主题和内容关键字、外发邮件的大小、附件个数等条件延迟审计邮件，审计通过后发送，审计不通过则过滤掉。
bbs、博客发帖监控
sinfor ac能够根据关键字过滤bbs发帖内容、博客发帖内容等。
应用访问行为监控和记录
不仅用户访问url地址被记录，发布的帖子被记录，用户使用p2p下载工具、使用p2p流媒体在线影音娱乐、炒股、网游等各种网络行为sinfor ac都提供丰富的日志记录。
外置数据中心：sinfor ac除了具有内置数据中心外，还具有独立外置数据中心。外置数据中心实现海量日志存储，日志存储的空间不是由sinfor ac设备的存储空间决定的，而是由存储日志的第三方日志服务器决定的；外置数据中心实现类似google的内容检索，快速定位关注的日志信息；主题订阅，可以以天/周的周期定期向指定的邮件发送指定的日志发生事件。sinfor ac的外置数据中心还支持自动报表、各种图形化统计、全面的日志记录审计等功能。
流量统计日志：包括了基于用户组流量、用户流量、ip流量、应用流量、网站流量等统计，并支持每种流量统计排名。支持上行下行流量统计及排名。
邮件统计日志：包括了基于用户组邮件、用户邮件、ip邮件等的统计，并支持邮件统计排名，收发邮件统计。
网络监控日志：包括了各种应用类型、网站类型、文件类型的访问日志，qq聊天内容日志，bbs发帖的内容日志，url访问日志、p2p下载日志、email/webmail日志、上网时间统计等信息。全面记录审计各种内网用户网络行为日志。
2.1.3  sinfor ac提供丰富的网络访问权限控制内网用户的互联网访问行为纷繁复杂，为了实现对用户网络访问行为的精细控制，对应用的识别能力是控制的基础。sinfor ac具有国内最大的应用协议识别库，部分识别的应用协议包括如下：
(责任编辑：admin)