|
企业集团
金威啤酒
乐凯胶片集团
四川郎酒集团
德赛电子
步步高
钱江摩托
浙江千岛湖啤酒
东风日产
比亚迪
南车集团
广州丰田
维维集团 4.1 单点登陆技术ac为内网用户提供账号/密码等认证方式,结合单点登录技术(single sign on, sso)将避免手工输入帐号信息以简化操作。 ac通过数据包监听方式即可支持ldap单点登录功能。内网用户采用域账号登陆操作系统后,自动通过ac认证,简化用户操作,且合作伙伴等第三方人员接入机构内网后将自动禁止访问internet,进一步降低机构信息资产外泄的风险。 在ac上为总裁、财务部相关人员创建帐户信息时,为用户指定dkey认证,并“启用dkey防监控”功能,为用户生成“免审计key”。总裁使用该“免审计key”认证后,ac从底层免除对总裁的一切记录。可能“总裁”会有疑问,如果“非善意”人员私下取消设备配置界面上的“启用dkey防监控”怎么办?无须担心,此时总裁再插入该“免审计key”后会自动弹出警告,且禁止总裁访问网络,彻底保障信息安全。 4.7 网络准入规则ac的网络准入规则(network admission rules, nar)通过对客户端的评估来实现网络访问控制,并更好的维护网络安全防线。nar的设计意义在于三个方面: 1. 仅靠网络边缘的外围设备已经无法保证安全性。 2. 边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。 3. 客户端的安全级别往往难以保证:使用版本陈旧的操作系统、不及时更新补丁、长时间不更新防火墙和杀毒软件等,都成为局域网安全中的“短板”。 鉴于此,ac网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护。当某用户组启用nar后,用户第一次发起互联网连接请求时,ac自动以浏览器插件形式分发准入代理(sinfor ingress agent, sia)至客户端主机。sia检测端点主机是否遵从管理者设定的安全策略,如操作系统版本和补丁安装情况、杀毒/防火墙软件及更新情况、系统进程、硬盘文件、注册表等。不能满预设要求的接入端点,禁止其访问互联网或仅提交报告。 通过ac的网络准入规则,修补内网安全短板,避免病毒、木马等轻易感染内网主机,利于机构推行统一的it政策。该准入规则允许管理者手工添加和定制,从而可以管理几乎所有终端在线状态,使端点安全和网关安全紧密结合,为机构构筑统一的安全防御体系。 4.8 加密聊天内容的记录“加密化”的趋势不仅使明文的http网站开始转向加密的https网站,各种im聊天工具的聊天内容也被加密,如腾讯qq、tm、skype等。如果不能对加密的im聊天内容进行监控和记录,隐匿其中的安全风险、安全事件就无法防御、无据可查。 目前业界的解决方案多数都无法对qq、skype的聊天内容进行监控和记录。ac通过聊天内容同步侦听(real-time monitor for messages , rmm),实现对qq、skype等加密聊天内容的监督和记录,这在业界的行为管控方案中是屈指可数的。 例如在ac上创建包含高层领导的用户组,配置“流量管理系统”,全天优先保证领导用户组所的视频会议、访问公司网站和上传下载文本文件时的带宽需求。 4.11 防arp欺骗arp协议是ip通信中的基本协议之一。感染arp病毒的用户会发送大量arp广播通告数据包,告知子网内所有主机关于网关的虚假mac地址,而子网内的接收主机会自动接受网关的虚假mac地址,从而导致整个子网用户无法访问外部网络资源。 arp欺骗有多种,而以上即常见之一。如何有效防控arp欺骗是目前用户和业界的难题之一,部分厂商需要用户安装第三方客户端软件实现,难免有用户不安装、或安装后不运行。ac通过网络准入规则nar插件结合防arp欺骗技术,保证终端用户安全和保障网络可用性。这不仅避免了单独安装客户端软件的问题,而且nar技术还将进一步加强端点安全级别,提升整个网络安全级别。
4.12 数据中心及报表记录用户网络行为,不仅满足公安部82号令等法律要求,又做到了有据可查。大型机构每天产生数十g的日志数据,通过ac的外置数据中心实现了海量存储,而且提供了图形化的日志查询、统计、审计、报表中心等功能。
通过统计报表功能,您将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果,并且支持导出pdf等文档、email投递等功能,方便it部门将统计结果向机构高层汇报。 如何快速检索海量日志中管理者感兴趣的内容?ac已经为您想到了。
通过ac数据中心的内容检索工具,您可以类似使用google一样,从海量日志中查询、审计您需要的日志记录,并且支持高级搜索,支持订阅和自动email投递功能,极大的方便了管理者的使用。 五、深信服科技介绍及专利和荣誉 5.1 深信服科技介绍 深信服科技有限公司致力于提升商业用户互联网带宽价值。利用创新、高性价比的产品,围绕商业用户internet带宽资源,帮助用户降低成本(ipsec vpn实现网间互联)、提高效率(ssl vpn实现随时随地的移动办公、网间加速技术大幅度提升广域网速度)、防范风险(上网行为管理设备全面维护内网安全)等,提升internet带宽价值。 公司现有产品包括ssl vpn,上网行为管理,广域网加速设备和ipsec vpn等。从2000年底成立至今,公司以每年销售收入增长2-3倍、人员增长1倍的速度高速发展,在近三年连续入选德勤中国高科技、高成长50强。深信服科技坚持自主研发、每年将销售收入的15%投入产品研发,目前已申请近30项网络及安全领域发明专利。 目前,深信服科技在全国三十余个大中城市设立有直属办事处,服务销售网络遍布全国。截止到2007年底,“sinfor”系列产品已经应用于1.2万多家客户、连接着国内外数万个网络,移动用户数量更是超过数十万个,在政府、金融、电信、教育、电网电力、石油石化、民航、物流、制造等诸多行业有着大规模的成熟应用。 5.2 sinfor ac部分专利介绍 深信服科技立足自主研发,目前各产品线已经申请了近30项专利技术,其中ac产品的部分专利如下: 200510037455.1 一种在网关、网桥上实现用户安全接入外网的方法 200510037454.7 一种电子邮件的安全审查方法 200610062252.2 一种基于网关/网桥的防间谍软件侵犯方法 200610061591.9 一种基于网关/网桥的线路自动选路方法 200610156977.8 一种基于网络应用中的p2p流量识别控制方法 200710075287.4 利用网络设备实现代理服务器负载均衡的方法 200710072997.1 基于网关、网桥防范网络钓鱼网站的方法 5.3 深信服科技部分荣誉深信服科技(sinfor)不断为用户提供创新的解决方案,不仅得到了用户的认可和支持,也得到了媒体和国家有关部门的认可。 2005、2006、2007连续三年入选德勤中国高科技、高成长50强,亚太地区高科技高成长500强 高交会自主知识产权证书 高新技术企业证书 商用密码产品生产定点单位证书 商用密码产品销售许可证 公安部sinfor ac上网行为管理网关检验报告
5.4 sinfor ac部分荣誉深信服科技ac上网行为管理设备自2004年进入市场,截止2007年底已经服务于近5000家客户,同时也得到了众多媒体和机构的高度评价和认可,部分如下: 2004年,计算机世界年度产品奖 2004年,中国计算机报编辑选择奖 2005年,计算机产品与流通编辑推荐奖 2005年,中国计算机报cio选择奖 2006年,中国国际高新技术成果交易会优秀产品奖 2006年,计算机世界年度产品奖 2006年,中国网络技术与产品调查“网管员最喜爱的上网行为管理产品奖” 2007年,中国信息安全——上网行为管理产品值得信赖品牌奖 2007年,中国最有价值的上网行为管理产品 2007年,中国cso信赖奖 2008年,荣获2008金融行业信息化cweek推荐网络安全产品奖
5.5 联系方式地址:深圳南山区麒麟路1号创业中心四楼 邮政编码:518052 市场咨询免费热线:800 830 9565 传 真:0755-26581959 邮 箱:master@sinfors.com.cn 技术支持免费热线:800 830 6430 传 真:0755-86182104 邮 箱:support@sinfors.com.cn 深信服科技网址: 各地办事处联系方式,请登陆深信服科技网站查阅。 一、需求概述, 1.1背景介绍湖南省明园蜂业有限公司是集养蜂生产、科研,蜂产品加工与销售于一体的专业蜂产品公司。公司成立于1998年, 是国家商务部认定的行业内唯一的“全国百家大型农产品流通企业”,中国蜂产品协会评定的“全国蜂产品行业产业化经营龙头企业”,省政府认定的“湖南省农业产业化龙头企业”,省科技厅认定的“湖南省高新技术企业”等;“明园”商标是“中国驰名商标”,明园蜂产品是“湖南名牌产品”。公司相继通过了iso9001国际质量管理体系认证、haccp国际食品安全管理体系认证、gmp认证和qs认证。公司现有产品包括蜂王浆、蜂胶、蜂花粉、蜂蜜、化妆品系列和蜂产品特色系列、礼盒七大系列,上百个品种。湖南市场占有率达70%。公司凭借齐全的品种、可靠的质量、精美的包装及优质的服务,赢得了广大消费者的信赖,成为中国蜂业知名品牌。 公司发展快,设施全,规模大,具有全国首家蜂产品gmp车间、全国首条蜂产品冷链系统、全国第二家大型地下低温蜜库、全国首屈一指的蜂产品研究所和检测中心。10年来,公司已形成了“公司+基地+蜂农”的产业化经营模式,在长沙市、常德市、岳阳市及洞庭湖区与蜂农结成紧密型或半紧密型的合作关系,现已能够吸收我省70%以上的蜂产品;并与湖北、浙江、安徽等地蜂农建立了长期的供应关系。 公司销售体系十分健全,具有独特的连锁专卖网络,并且在不断的拓展中。现已在全国开设400多家专卖店,仅在长沙就有70多家;并已进驻新一佳、家乐福、沃尔玛、麦德龙、老百姓大药房等数十家国内外著名的大型超市、商场、药店,开设了专门的“店中店”;同时,我司的经销商遍布全国各地,产品畅销全国。为了开拓省外市场,公司正在实施“百城千店”工程,计划在未来三年内,将营销网络延伸到全国大中城市,专卖店数量达到3000家。 1.2 需求分析随着信息技术的发展,使得oa、email、erp等业务系统的部署逐渐普遍,特别是网络技术的进步,让各行各业的组织内部网络得以组建和完善。网络和信息技术提升了企业的生产力和沟通效率。 然而网络技术的应用,特别是组织内网实现与互联网的互联互通后,在方便沟通的同时,其暴露出的问题也越来越引起人们的重视。规范员工的互联网访问行为已经刻不容缓。 经调查,员工访问互联网如果不受控给明园蜂业带来的问题主要体现在以下方面: 1.2.1 p2p滥用带宽组织宝贵的互联网带宽资源本应为业务应用服务,但往往员工却通过使用bt、emule、迅雷等p2p软件肆意下载互联网资源、,通过p2p流媒体如通过沸点电视、qqlive、pplive等观看在线电影,从而导致带宽资源被滥用、业务系统访问速度较慢等问题,降低了组织的生产效率和竞争力。 然而对带宽杀手p2p应用一刀切方式的封堵在实际实施过程中可能阻力重重,并且设计部、市场部可能也需要通过p2p与客户共享资源等,所以应该对p2p行为进行灵活管理如对p2p流量进行带宽限制,同时为内网不同部门、不同用户划分带宽资源,以实现带宽的充分利用而不滥用。 1.2.2 网络行为记录与审计的缺失2006年颁布实施的“公安部82号令”要求组织机构必须对内部人员的网络行为日志至少存储60天以上,如何记录并留存海量日志?一旦明园蜂业内网员工发生互联网违法违规问题时如何快速查找违规行为日志?如何统计获知上一周流量top 10用户?如何获知上一个月内发送邮件top 50用户?再一步如何通过柱状图、饼状图、曲线图等图表直观分析和统计整个网络的效能和员工上网行为?这都要求明园蜂业具备一套全面的网络行为记录与审计解决方案。 另外明园蜂业生存之本的科研技术、市场情报等机密信息,如何防止员工有意无意外泄到互联网甚至竞争对手处,也是信息化建设中迫切需要解决的问题之一。 1.2.3 网络访问权限难以控制员工上班时间从事工作无关的网络行为,如浏览新闻网站、长时间qq聊天、网络炒股等严重影响工作效率,降低了明园蜂业的竞争力和生产效益,但是借助现有的防火墙等传统设备却无法有效管理此类工作无关的网络访问行为。 无关网络访问行为的泛滥不仅降低工作效率,还将导致病毒、木马、间谍软件的侵入,如qq好友发送的病毒链接、非法网站上隐藏的木马程序、下载文件中含有的arp病毒等,将导致组织网络可用性的降低。所以需要将员工的工作无关网络行为进行管控。 类似明园蜂业一样的it制造企业普遍存在以上问题,但是网络安全传统“三大件”防火墙、ids、杀毒网关等却无法做到有效的管理和控制,无法提升组织的带宽使用效率、提升员工工作效率、避免法律风险。为了达到这些目的,需要对员工的上网行为进行全面灵活的管理、控制、审计等,所以xx企业需要一套全面的上网行为管理解决方案。 1.3 网络现状分析 明园蜂业目前的内部网络拓扑简图如下:
拓扑图说明: 1、网络结构简单,无安全设备,容易遭受攻击。 2、无法对上网用户的流量和行为进行统一管理。 二、sinfor ac上网行为管理解决方案 2.1 sinfor ac解决方案 2.1.1 sinfor ac对p2p行为的全面管控 1、各种p2p行为的识别 对p2p行为进行管理,无论是封堵还是流控,对p2p行为的识别是基础,无法识别,就无从管理。 sinfor ac内置了业界最大的应用识别库,具有20大类,200余条的应用识别规则。并且支持手工添加应用识别规则。其中下载软件类内置了主流的p2p各种软件,像bt、emule、迅雷、百度下吧、pp点点通等;p2p流媒体类包括了qqlive、pplive、mysee、沸点电视、蚂蚁电视等。 sinfor ac除了能够对已知的、常见的p2p行为进行识别外,根据sinfor ac基于统计学的智能检测技术,也能够准确识别未知的、不常见的p2p行为,对各种p2p行为进行全面的识别。 2、p2p行为的流量控制 sinfor ac除了能够对识别出的各种p2p行为进行完全的封堵外,还可以根据需求对各种应用进行细致的流量控制。 sinfor ac具有细致的流量控制功能: 基于应用类型(如:bt、emule、pplive等)的流量控制; 基于网站类型(如:新闻类、娱乐类、体育类)的流量控制; 基于文件类型(如:电影类、图片类、音乐类)的流量控制; 带宽资源分配支持动态保证、预留保证、最高限制、平均分配、自由竞争等。 sinfor ac具有多线路复用技术,可支持多条公网线路,扩展机构的internet带宽,多线路间互为备份,提高可靠性;同时sinfor ac的多线路智能选路和负载均衡技术,将内网用户的流量智能的分配到多条公网线路上,解决跨运营商的带宽瓶颈问题。 3、基于时间段的流量控制 sinfor ac可以在一天内设置定义任意的时间段长,可以设置定义任意多的时间段,一周七天可以设置每天的时间段的信息不同,七天一个循环。 sinfor ac可以实现基于时间段的网络应用访问控制和流量控制,比如机房上课时间不允许访问互联网,下课时间允许访问等,比如可以设置在每天晚上19:00~23:00时间段流量的控制更严格。实现在适当的时间做适当的网络行为功能。 4、基于用户组、用户的流量控制 sinfor ac能够根据不同的用户分配到不同的用户组。比如生活区终端为一个组,工作区终端分为另一个组;比如不同的科研小组属于不同的用户组等。 sinfor ac能够基于用户组分配不同的互联网访问管理策略和流量控制管理。 sinfor ac能够基于单个用户进行流量控制管理。 2.1.2 sinfor ac提供全面的网络行为审计对组织内部网络的各种使用情况进行全面的审计,那么首先需要定位内网的用户和终端,保障内网用户身份的合法性和内网终端的安全性,然后进行全面的审计。 内网用户身份认证:sinfor ac支持web认证、usb-key认证、ip/mac绑定、与ldap/radius/pop3/proxy第三方服务器结合认证,且支持ldap、pop3、proxy的单点登录。sinfor ac可以启用选择多用户使用一个账号,及公用账号。sinfor ac也可以启用选择账号过期功能。内网用户身份认证不通过,则不能访问互联网。 内网终端安全检查:sinfor ac的内网终端安全检查,涉及的终端内容包括了终端操作系统类型、补丁包、注册表、进程、文件等信息。sinfor ac的这个功能还能实现统一部署杀毒软件等功能。内网终端安全检查不通过,则不能访问互联网。 im聊天软件的监控 sinfor ac内置应用识别规则中im软件类内置主流的im软件,像qq、msn、icq、skype、yahoo通、网易popo等。sinfor ac能够完全封堵各种im聊天软件,能够控制使用im软件传文件。不仅能够记录审计非加密聊天软件的聊天内容,像msn;也能够记录审计加密聊天软件的聊天内容,像qq。 邮件信息监控 sinfor ac能够对外发邮件进行控制,有两种方式:邮件过滤和邮件延迟审计。 邮件过滤:sinfor ac可以根据外发邮件的发件人、邮件的主题和内容关键字、外发邮件的附件类型等条件过滤邮件。 邮件延迟审计:sinfor ac可以根据外发邮件的目的地址、邮件的主题和内容关键字、外发邮件的大小、附件个数等条件延迟审计邮件,审计通过后发送,审计不通过则过滤掉。 bbs、博客发帖监控 sinfor ac能够根据关键字过滤bbs发帖内容、博客发帖内容等。 应用访问行为监控和记录 不仅用户访问url地址被记录,发布的帖子被记录,用户使用p2p下载工具、使用p2p流媒体在线影音娱乐、炒股、网游等各种网络行为sinfor ac都提供丰富的日志记录。 外置数据中心:sinfor ac除了具有内置数据中心外,还具有独立外置数据中心。外置数据中心实现海量日志存储,日志存储的空间不是由sinfor ac设备的存储空间决定的,而是由存储日志的第三方日志服务器决定的;外置数据中心实现类似google的内容检索,快速定位关注的日志信息;主题订阅,可以以天/周的周期定期向指定的邮件发送指定的日志发生事件。sinfor ac的外置数据中心还支持自动报表、各种图形化统计、全面的日志记录审计等功能。 流量统计日志:包括了基于用户组流量、用户流量、ip流量、应用流量、网站流量等统计,并支持每种流量统计排名。支持上行下行流量统计及排名。 邮件统计日志:包括了基于用户组邮件、用户邮件、ip邮件等的统计,并支持邮件统计排名,收发邮件统计。 网络监控日志:包括了各种应用类型、网站类型、文件类型的访问日志,qq聊天内容日志,bbs发帖的内容日志,url访问日志、p2p下载日志、email/webmail日志、上网时间统计等信息。全面记录审计各种内网用户网络行为日志。 2.1.3 sinfor ac提供丰富的网络访问权限控制 内网用户的互联网访问行为纷繁复杂,为了实现对用户网络访问行为的精细控制,对应用的识别能力是控制的基础。sinfor ac具有国内最大的应用协议识别库,部分识别的应用协议包括如下: (责任编辑:admin) |
