【導讀】###上網(wǎng)行為管理解決方案。深圳市深信服電子科技有限公司。##機構(gòu)上網(wǎng)行為管理解決方案。深信服科技提升帶寬價值第頁11

　　

【正文】 構(gòu)并建議升級。所有升級工作將由深信服工程師完成 。 ? 上門服務（限有辦事機構(gòu)地區(qū)） 驗收合格 1 年 內(nèi)，深信服公司提供 5 次 上門維護。在出現(xiàn)網(wǎng)絡故障，電話支持、遠程協(xié)助等方式無法解決的情況下， Sinfor 工程師會在您提出上門要求后， 2 小時 內(nèi)予以響應并趕赴現(xiàn)場，幫助解決相關的故障。以下是目前能提供上門服務的區(qū)域分布圖： 機構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價值 第 頁 20 20 如果上述區(qū)域之外的客戶要求提供上門服務，需支付深信服工程師相應的差旅、住宿費用。 如果一年內(nèi)深信服上門服務次數(shù)已達 5 次 ，客戶還要求繼續(xù)提供上門服務時，深信服將按照 元 /人天 的標準收取服務費用。 ? 質(zhì)保期后服務承諾 一年 質(zhì)保期后深信服科技繼續(xù)提供免費電話支持服務。需求方并可和深信服科技簽訂維護保障合同，服務內(nèi)容同上，金額按本次合同金額的 ％ 計算。 5． 3 使用培訓 ? 深信服負責對用戶進行客戶端操作使用培訓 ? 深信服負責對系統(tǒng)管理員進行培訓，使其掌握設備配置、日常維護的方法和技巧，并可獨立進行操作、糾錯處理，保證網(wǎng)絡開通后的正常安全運行。 六、 SINFOR AC 安全網(wǎng)關主要技術優(yōu)勢 單點登陸技術 AC 為內(nèi)網(wǎng)員工提供賬號 /密碼等認證方式，結(jié)合 單點登錄技術 (Single Sign On, SSO)將避免手工輸入帳號信息以簡化操作。 AC 通過數(shù)據(jù)包監(jiān)聽方式即可支持 LDAP 單點登錄功能。內(nèi)網(wǎng)員工采用域賬號登陸操作系統(tǒng)后，自動通過 AC 認證，簡化用戶操作，且合作伙伴等第三方人員接入機構(gòu)內(nèi)網(wǎng)后將自動禁止訪問 Inter，進一步降低機構(gòu)信息資產(chǎn)外泄的風險。 機構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價值 第 頁 21 21 AC 的 POP PROXY 單點登錄功能啟用后，內(nèi)網(wǎng)員工只需收發(fā)一下 Email、或觸發(fā)PROXY 服務器的認證后，也將自動通過 AC 認證，極大的方便了用戶的使用。 反釣魚網(wǎng)站功能 網(wǎng)絡“釣魚 者”通過偽造與網(wǎng)上銀行、網(wǎng)上購物等網(wǎng)上交易頁面極其相似的界面，使用戶毫不知情時泄露自己的賬戶信息，導致銀行資金被“網(wǎng)絡姜太公”輕易盜取。網(wǎng)上金融機構(gòu)普遍采用第三方權(quán)威機構(gòu)頒發(fā)的數(shù)字證書以實現(xiàn) SSL 加密網(wǎng)頁。您訪問網(wǎng)上銀行時看到地址欄是“ HTTPS”形式的 URL 地址，網(wǎng)頁正文點擊右鍵可以看到數(shù)字證書、瀏覽器右下角有小鎖頭標示。但釣魚網(wǎng)站同樣可以完全模仿這些，導致用戶上當受騙?？梢娙绻荒苷鐒e和過濾 SSL 加密網(wǎng)頁，則該行為管理方案、網(wǎng)絡過濾設備是不完備的。 而 AC 內(nèi)置可信任數(shù)字證書頒發(fā)機構(gòu)信息，并可 對 SSL 網(wǎng)站提供的數(shù)字證書進行深度驗證，包括該證書的根頒發(fā)機構(gòu)、證書有效期、證書撤銷列表、證書持有人的公鑰、證書簽名等。釣魚網(wǎng)站采用非可信頒發(fā)機構(gòu)的數(shù)字證書，可以蒙騙用戶，但卻被 AC 識別和過濾，避免了用戶和機構(gòu)的經(jīng)濟損失。 P2P 智能識別 P2P（ peertopeer）應用的興起直接導致了 P2P 軟件及各種版本的爆炸性增長。如何對 P2P 行為進行全面有效的管控成為業(yè)界的難題之一。 部分廠商通過封堵種子共享網(wǎng)站、過濾種子文件的下載、封堵資源服務器 IP 或封堵端口等方式進行 P2P 管控，費時費力且達不到 理想效果。 AC 的深度內(nèi)容檢測 TCD 技術對常 機構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價值 第 頁 22 22 用 P2P 軟件進行識別； P2P 行為特征的智能分析技術實現(xiàn)對不常見和未來可能出現(xiàn)的 P2P應用的識別，為您提供了全面、高效的 P2P 行為管控手段。 能夠全面識別 P2P 行為是進一步管控的基礎。對 P2P 的管控包括封堵和流控兩方面，即全面禁止指定部門使用 P2P 軟件，或允許其使用，但對 P2P 行為占用的帶寬資源進行限制和管理，既實現(xiàn)帶寬使用的優(yōu)化，又為機構(gòu)員工提供了人性化的管理方式。 代理服務器識別 機構(gòu)的內(nèi)網(wǎng)員工通過 Microsoft ISA、 Sygate、 CCproxy 等代理服務器上網(wǎng)，但由于防火墻、內(nèi)容控制等設備對內(nèi)網(wǎng)員工的管理是基于目的地址和端口的，這將無法識別通過代理服務器的員工流量和行為。 對于通過 Proxy Server 代理上網(wǎng)的情況， AC 可以很好地適應并發(fā)揮其作用。 AC 的深度內(nèi)容檢測 TCD 技術識別用戶的數(shù)據(jù)包含代理信息后，通過代理識別模塊可以識別從用戶端發(fā)送到達代理服務器之間的應用數(shù)據(jù)，進而對用戶的網(wǎng)絡行為進行管控和記錄。 全面的應用識別 作為上網(wǎng)行為管控方案，必須能對應用全面識別。無法識別，何談管控、審計？ 內(nèi)網(wǎng)員工的上網(wǎng)行為種類紛繁復雜，且 伴隨著應用“加密化”和“種類爆發(fā)”的趨勢，如何實現(xiàn)全面的應用識別能力，成為管理者考量上網(wǎng)行為管控方案的重要標準之一。 AC 的多種應用識別技術，全面識別各種應用、進而管控和審計。主要包括如下： a) URL 識別：以 HTTP 形式訪問的 URL 地址，和 SSL 加密形式訪問的網(wǎng)站， AC 都能識別；搜索引擎輸入的關鍵字、網(wǎng)頁正文包含的關鍵字、 URL 地址關鍵字等 AC也能徹底識別；從而實現(xiàn)對用戶訪問網(wǎng)站的管理和審計。 b) 文件類型識別：以 HTTP、 FTP 上傳下載的文件，無論是非標準端口的 FTP 行為，還是輸入 URL 地址后通過頁面跳轉(zhuǎn)下載文 件， AC 都能識別、控制和審計。 c) 深度內(nèi)容檢測： IM 聊天工具、在線炒股、網(wǎng)絡游戲、在線流媒體、 P2P 應用、 Email、常用 TCP/IP 協(xié)議等，通過深度內(nèi)容檢測 TCD 技術，都能有效識別，且支持手工添加新的檢測規(guī)則，實現(xiàn)個性化識別、封堵和審計。 P2P 智能識別：種類泛濫的 P2P 行為，靜態(tài)“應用識別規(guī)則”已經(jīng)捉襟見肘，通過 P2P智能識別，識別不常見、未來可能出現(xiàn)的 P2P 行為，進而封堵、流控和審計。 免審計 Key 功能 機構(gòu)的總裁、高層領導網(wǎng)絡訪問行為，財務部收發(fā)的郵件，關乎機構(gòu)機密信息，怎樣防止此類用戶行為 的記錄？業(yè)界多數(shù)方案是通過將敏感用戶劃分到指定用戶組，通過設備配置界面的勾選，避免對這些用戶網(wǎng)絡行為的審計。但如果“非善意”人員私下重新配置設備對敏感用戶進行行為記錄，怎么辦？ 機構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價值 第 頁 23 23 AC 正是考慮到用戶可能面臨的以上風險和威脅，推出了“免審計 Key”功能。 在 AC 上為總裁、財務部相關人員創(chuàng)建帳戶信息時，為用戶指定 DKEY 認證，并“啟用 DKEY 防監(jiān)控”功能，為用戶生成“免審計 Key”?？偛檬褂迷摗懊鈱徲?Key”認證后，AC 從底層免除對總裁的一切記錄?？赡堋翱偛谩睍幸蓡?，如果“非善意”人員私下取消設備配置界面 上的“啟用 DKEY 防監(jiān)控”怎么辦？無須擔心，此時總裁再插入該“免審計Key”后會自動彈出警告，且禁止總裁訪問網(wǎng)絡，徹底保障信息安全。 網(wǎng)絡準入規(guī)則 AC 的網(wǎng)絡準入規(guī)則（ Network Admission Rules, NAR）通過對客戶端的評估來實現(xiàn)網(wǎng)絡訪問控制，并更好的維護網(wǎng)絡安全防線。 NAR 的設計意義在于三個方面： 1. 僅靠網(wǎng)絡邊緣的外圍設備已經(jīng)無法保證安全性。 2. 邊緣網(wǎng)關設備無法防止來自局域網(wǎng)內(nèi)部的濫用、攻擊和破壞。 3. 客戶端的安全級別往往難以保證：使用版本陳舊的操作系統(tǒng)、不及時更 新補丁、長時間不更新防火墻和殺毒軟件等，都成為局域網(wǎng)安全中的“短板”。 鑒于此， AC 網(wǎng)絡準入規(guī)則技術通過對端點安全評估和訪問控制實現(xiàn)全方位安全防護。當某用戶組啟用 NAR 后，用戶第一次發(fā)起互聯(lián)網(wǎng)連接請求時， AC 自動以瀏覽器插件形式分發(fā)準入代理（ Sinfor Ingress Agent, SIA）至客戶端主機。 SIA 檢測端點主機是否遵從管理者設定的安全策略，如操作系統(tǒng)版本和補丁安裝情況、殺毒 /防火墻軟件及更新情況、系統(tǒng)進程、硬盤文件、注冊表等。不能滿預設要求的接入端點，禁止其訪問互聯(lián)網(wǎng)或僅提交報告。 通過 AC 的網(wǎng)絡準入規(guī)則，修補內(nèi)網(wǎng)安全短板，避免病毒、木馬等輕易感染內(nèi)網(wǎng)主機，利于機構(gòu)推行統(tǒng)一的 IT 政策。該準入規(guī)則允許管理者手工添加和定制，從而可以管理幾乎所有終端在線狀態(tài)，使端點安全和網(wǎng)關安全緊密結(jié)合，為機構(gòu)構(gòu)筑統(tǒng)一的安全防御體系。 加密聊天內(nèi)容的記錄 “加密化”的趨勢不僅使明文的 HTTP 網(wǎng)站開始轉(zhuǎn)向加密的 HTTPS 網(wǎng)站，各種 IM 聊天工具的聊天內(nèi)容也被加密，如騰訊 、 TM、 Skype 等。如果不能對加密的 IM 聊天內(nèi)容進行監(jiān)控和記錄，隱匿其中的安全風險、安全事件就無法防御、無據(jù)可查。 目前業(yè)界的解決方案 多數(shù)都無法對 、 Skype 的聊天內(nèi)容進行監(jiān)控和記錄。 AC 通過聊天內(nèi)容同步偵聽（ Realtime Monitor for Messages , RMM)，實現(xiàn)對 、 Skype 等加密聊天內(nèi)容的監(jiān)督和記錄，這在業(yè)界的行為管控方案中是屈指可數(shù)的。 郵件延遲審計 AC 的郵件延遲審計（ Postponed Sending after Audit, PSA）專利技術，將敏感郵件阻擋 機構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價值 第 頁 24 24 于內(nèi)網(wǎng)。內(nèi)網(wǎng)員工發(fā)送 Email 郵件時，用戶認為已經(jīng)成功發(fā)送，實際上該 Email 行為被 AC識別后，符合管理員預定策略的 Email 被 AC 網(wǎng)關攔截，整封 Email 郵件、包括正文和附件全部轉(zhuǎn)存至郵件緩沖區(qū)。指定的郵件審核人員會獲得郵件通知，經(jīng)人為審核后，才允許該Email 郵件發(fā)送到公網(wǎng)上，實現(xiàn)了對泄密郵件的封堵，保護了機構(gòu)的敏感信息的安全性。 AC 的郵件延遲審計技術對內(nèi)網(wǎng)員工完全透明，郵件的發(fā)送過程與日常無異。 強大的流量管理系統(tǒng) 機構(gòu)有限的 Inter 帶寬資源，承擔業(yè)務系統(tǒng)、服務器和用戶的各種流量。 AC 全面、靈活的管控用戶上網(wǎng)行為，又如何有效利用有限的帶寬資源呢？傳統(tǒng)設備根據(jù) IP 地址和端口，結(jié)合 QoS 實現(xiàn)帶寬 分配，但類似 80 端口中會潛藏 、 BT 數(shù)據(jù)、部分業(yè)務系統(tǒng)沒有固定的端口、領導的視頻會議系統(tǒng)沒有固定 IP 等，讓傳統(tǒng)設備的帶寬管理功能大打折扣。 AC 實現(xiàn)了基于應用的帶寬分配和管理功能，基于應用數(shù)據(jù)、用戶 /用戶組、時間段、優(yōu)先級等的流量管理系統(tǒng)，讓機構(gòu)的帶寬資源得到細致的優(yōu)化和高效的使用。 例如在 AC 上創(chuàng)建包含高層領導的用戶組，配置“流量管理系統(tǒng)”，全天優(yōu)先保證領導用戶組所的視頻會議、訪問公司網(wǎng)站和上傳下載文本文件時的帶寬需求。 防 ARP 欺騙 ARP 協(xié)議是 IP 通信中的基本協(xié)議之一。感染 ARP 病 毒的用戶會發(fā)送大量 ARP 廣播通告數(shù)據(jù)包，告知子網(wǎng)內(nèi)所有主機關于網(wǎng)關的虛假 MAC 地址，而子網(wǎng)內(nèi)的接收主機會自動接受網(wǎng)關的虛假 MAC 地址，從而導致整個子網(wǎng)用戶無法訪問外部網(wǎng)絡資源。 ARP 欺騙有多種，而以上即常見之一。如何有效防控 ARP 欺騙是目前用戶和業(yè)界的難題之一，部分廠商需要用戶安裝第三方客戶端軟件實現(xiàn)，難免有用戶不安裝、或安裝后不運行。 AC 通過網(wǎng)絡準入規(guī)則 NAR 插件結(jié)合防 ARP 欺騙技術，保證終端用戶安全和保障網(wǎng)絡可用性。這不僅避免了單獨安裝客戶端軟件的問題，而且 NAR 技術還將進一步加強端點安全級別，提升 整個網(wǎng)絡安全級別。 機構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價值 第 頁 25 25 數(shù)據(jù)中心及報表 記錄員工網(wǎng)絡行為，不僅滿足公安部 82 號令等法律要求，又做到了有據(jù)可查。大型機構(gòu)每天產(chǎn)生數(shù)十 G 的日志數(shù)據(jù)，通過 AC 的外置數(shù)據(jù)中心實現(xiàn)了海量存儲，而且提供了圖形化的日志查詢、統(tǒng)計、審計、報表中心等功能。 通過統(tǒng)計報表功能，您將直觀的獲得關于流量、郵件收發(fā)、上網(wǎng)時間、網(wǎng)絡行為等方面的詳細的報表和圖形化統(tǒng)計結(jié)果，并且支持導出 PDF 等文檔、 Email 投遞等功能，方便 IT部門將統(tǒng)計結(jié)果向機構(gòu)高層匯報。 如何快速檢索海量日志中管理者感興趣的內(nèi)容？ AC 已經(jīng)為您想到 了。 通過 AC 數(shù)據(jù)中心的內(nèi)容檢索工具，您可以類似使用 Google 一樣，從海量日志中查詢、 機構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價值 第 頁 26 26 審計您需要的日志記錄，并且支持高級搜索，