上网行为管理解决方案-1(详细版).doc

资源描述

上网行为管理解决方案-1(具体版) XX公司上网行为管理解决方案 XXXXXXXXXXX 2021年目录目录 (2) 一、XX介绍 (4) 1.1公司简介 (4) 1.2产品简介 (4) 1.3资质认证 (5) 1.4产品荣誉 (5) 二、上网行为管理– XX行业信息安全新视角 (5) 2.1XX行业信息安全建设面临的问题 (5) 2.2对员工上网行为进行规范管理势在必行 (7) 三、XX集团公司互联网访问管理必需求分析 (7) 3.1 项目背景 (7) 3.2必需求分析 (7) 四、 XX集团互联网访问管理方案制定理论依据 (9) 4.1基于ISO/IEC 17799信息安全管理标准 (9) 4.2主体管理技术理念 (9) 4.3 主体管理构架于真实的组织结构之上 (9) 4.4 基于行为后果的搜索引擎技术分类网址库 (10) 4.5 细粒度树形协议分类库 (10) 4.6 流行的五元组方式的策略定义 (10) 4.7 DPT,DST技术 (10) 4.8 继续的、可学习的本地更新技术 (10) 4.9 安全基础的PPDR理念 (11) 五、 XX集团上网行为管理解决方案和技术实现 (11) 5.1 整体解决方案 (11) 5.1 总部ICG布暑的网络拓扑 (12) 5.2 分公司ICG布暑的网络拓扑 (12) 5.3 NSICG的技术实现介绍 (12) 5.3.1可靠高效的硬件系统和智能容错旁路技术 (12) 5.3.2灵活安全的设备管理方式 (13) 5.3.3专业级的应用识别和分类，层次清楚的结构化管理 (13) 5.2.4迅速准确的协议跟踪识别 (13) 5.3.5细致的用户组织结构管理 (13) 5.3.6XX灵活精细的带宽管理策略 (14) 5.3.7异常流量防护报警，确保出口线路的稳定 (14) 5.3.8先进的内容过滤技术，构建文明健康的企业网络 (15) 5.3.9外发信息控制管理 (16) 5.3.10强大的内置流量分析和行为统计报告 (16) 六、产品规范 (16) 6.1产品指标规范 (16) 6.2系统结构图： (16) 七、项目实施管理 (17) 八、产品布暑方案 (18) 8.1设备上线安装步骤 (18) 8.2 设备IP、路由说明，地址分配说明 (18) 8.3互联网访问管理布暑 (18) 8.4设备可用性测试 (19) 8.5风险分析及回退 (19) 8.6变更实施人员工作分工 (19) 8.7使用期间的维护 (19) 8.8布暑完毕后守局并制作使用报告 (19) 九、重点功能实现方案细则 (19) 9.1用户身份鉴别及帐户的管理 (19) 9.2互联网访问提速方案 (20) 十、典型客户 (21) 10.1、典型客户案例 (21) 10.2、典型客户列表 (24) 一、XX介绍北京XX科技是互联网控制管理领域的先行者，致力于研究如何帮助广大用户更好地控制和管理对互联网的使用。XX科技能够为客户提供中国最领先的互联网控制管理解决方案，全面细致地帮助用户实现上网行为管理、内容安全管理、带宽分配管理、网络应用管理、外发信息管理，有效解决互联网带来的管理、安全、效率、资源、法律、青少年网瘾等各种问题。 XX科技由美国风险投资、资深金融管理专家及回国留同学共同创办。XX科技深根中国，特别强调自主革新、自主研发，曾获得国家多项技术革新基金的支持。XX科技不断探究最前沿的互联网控制管理技术，深度研究中国网民的上网习惯，从管理角度出发、从内容层面控制、从人的行为进行管理，为中国用户提供最完善的互联网控制管理产品与服务。 3年多来，XX科技凭借领先的产品理念、国际化的技术团队及本地化的服务优势，迅速成长为国内上网行为管理〔EIM – Employee Internet Management〕领域的领导者，并先后在日本、美国、南美洲等地区打开市场，成为国际知名的EIM产品与方案提供商。快速发展的XX科技正逐渐步入国际化轨道，全球越来越多的用户正在体验XX科技带来的更易管理、更加安全、更加文明的互联网空间。 XX互联网控制网关〔ICG – Internet Control Gageway，以下简称ICG〕是XX公司的核心产品，是一款面向企业市场的软、硬件一体化网关设备。它通过网页过滤、应用控制、带宽管理、监控审计等手段，帮助企业对员工的上网行为进行规范管理，屏蔽对不良网站的访问，控制并审计敏感信息的外发泄密，避免由于员工的不当网络行为引起的法律责任，以及帮助企业合理利用宝贵的带宽资源。相比传统的网络安全产品，XXICG不以防范外来攻击为直接目标，而是通过对网络活动的主体–员工的行为以及网络访问内容进行管理监控，来确保企业生产力、保护企业知识产权以及合理利用企业网络资源，是面向主体、面向内容和面向管理的一款网络安全产品。 XX推出了面向中小企业、大中企业、电信级企业三大系列8款产品，满足各种规模的企业对互联网资源管理的必需求。到目前为止，XXICG产品已经在金融、电信、能源、教育、 IT、制造等十几个行业超过1000家客户得到推广应用。领先的产品质量与贴近用户的服务，得到了用户和业界的高度认可，XX也为此多次获得殊荣。 XX科技自成立以来，先后获得了一系列资质认证，包括高新技术企业证书、双软认证、软件著作权登记证书、公安部销售许可证和公安部检测报告等。中小企业IT优选产品中国信息化500强指定产品二、上网行为管理– XX行业信息安全新视角伴随着以互联网为代表的信息技术与网络技术的迅猛发展，我国XX行业在电子化、网络化方面取得了很大成就，已经建成了相对完善的网络系统、终端系统等基础设施和信息化水平较高的业务系统。这些系统的建设，提升了XX行业务处理的效率，改善了XX行业行业的经营环境，加强了XX行业信息的可靠性，促进了各项新业务的拓展。 XX行业作为关系国计民生的命脉行业，信息与数据的安全管理涉及国家、企业以及个人的经济利益，因此信息安全始终是XX行业信息化建设的重要组成部分，而网络安全又是信息安全的重中之重。随着一些传统XX行业务转移到互联网上，在享有互联网带来的便利、高效、低成本的好处的同时，也越来越多地面临来自互联网的安全挑战。面对黑客攻击、网络病毒、间谍软件以及垃圾邮件等威胁，XX公司大多数已经布暑了网络隔离系统、防火墙、入侵检测系统、VPN、防病毒软件、反垃圾邮件系统等，构成XX行业网络的立体防护屏障，防范来自互联网的攻击，确保网络与业务系统的安全运行。传统的网络安全设备可以有效地阻挡来自XX行业外部的攻击，但关于内部原因，特别是由于员工上网行为不当引起的安全问题却无能为力。据调查，大部分金融安全问题是由于内部监控和风险管理欠缺引起的。许多XX公司可能认为员工是最不必需要进行安全管理的一部分，但是，内部员工有意或无意的不当上网行为往往对XX行业的信息安全造成更大的损害。这些行为表现为： ●敏感信息泄漏电子邮件、即时聊天以及论坛发帖等网络应用，为人们沟通信息提供了极大的便利，但也可能成为员工泄密的工具。XX行业员工掌握着大量敏感数据，如果不对员工的外发信息进行严格控制与监控审计，这些重要信息可“轻易而快速〞地传递到外部，给XX行业造成重大损失。 ●安全事件频发四通八达的网络，方便的不仅仅是正常业务的传输，恶意代码、病毒、蠕虫、间谍软件等等，也会搭乘便车，籍由貌似“善良〞的网页、Email、聊天工具、下载工具等方式，悄悄侵入到网络的各个角落。由于防火墙不能分析应用层的内容，无法阻挡这些网页的下载，而桌面防病毒软件无论可以识别并阻止病毒的入侵，但可能由于软件的版本落后或者病毒更新的速度更快，造成防范实效。由于内部员工不安全的互联网访问而造成的病毒传播与黑客入侵，成为网络安全的最大黑洞。 ●工作效率降低为了在日益激烈的竞争中获得优势，XX公司必需不断增加业务品种，改善服务质量，提升工作效率，降低运营成本。但未加管理的互联网应用可能会大大降低员工的工作效率。据一项调查显示，一般企业员工天天的互联网访问活动中40％与工作无关，在线聊天、浏览新闻娱乐、网络视频、网络游戏、炒股、博客等无时无刻不在占用正常的工作时间，敲击键盘和点击鼠标的“忙碌〞表象背后却是低下的工作效率。在高度网络化的现代办公环境里，办公室可能成为“舒适的网吧〞。人力资源在无形中浪费庞大，企业运行效率也因此大大降低。 ●带宽资源浪费 XX行业是信息化建设最先进的行业之一，企业为了业务发展进行了大量的IT设备与带宽资源投资。统计说明，在互联网活动未加管理的企业中，宝贵的带宽资源超过70％被音乐、视频下载等占用，无论带宽一扩再扩，却总是被BT、电驴、迅雷等P2P 应用挤占。这不仅造成带宽资源被大量浪费，还使得企业正常业务得不到应有的带宽确保。 ●导致法律风险互联网充斥着各种良莠不齐的信息，企业员工在获取有用信息的同时，也易被不良内容腐蚀。为了强化对互联网的控制和管理，国务院、人大常委会、公安部、信息产业部皆相继出台法律法规明文规定，接入互联网的单位和企业要采纳相应的技术手段对互联网的使用做出控制和管理。关于互联网资源的非法访问，比如访问色情、赌博、犯罪网站、发表反动言论、泄露重大机密等，都会触犯相关法律，给XX行业带来法律风险。以上分析看出，由于员工的主动网络行为引发的问题无法通过传统的网络安全保护手段实现，必需通过专业的上网行为管理产品解决。何为上网行为管理？简单地讲，就是对员工主体的基于内容的网络访问行为进行管理，包涵如下几个要素：第一、上网的人是谁〔Who：哪个部门哪个员工〕；第二、上网的时间〔When：工作日/周末，上班时间/午间休息/夜间，上午/下午〕；第三、上网做了什么事〔How：浏览网页、下载文件、聊天、游戏、等等〕；第四、具体内容是什么〔What：网页的内容、聊天的内容、邮件的内容〕；第五、占用的带宽和流量是多大〔How much〕，等等。与传统的安全防护方式不同，上网行为管理产品基于用户、时间、网络应用、带宽等元素对员工的上网行为进行灵活的策略设置，把网络风险管理从“被动式响应管理〞提升为“主动式预警管理〞，从“防范管理〞提升为“控制管理〞。为了实现真正安全的网络环境，XX 行业必需要“内外兼修〞，除了阻挡外部攻击外，还应该转换视角，大力强化对内的管理，对员工的上网行为进行规范管理是十分必要的。三、XX公司互联网访问管理必需求分析 3.1 项目背景 XX公司是国内七大XX集团之一，由中国石油化工集团公司、中国南方航空集团公司、中国铝业公司、中国外运长航集团、广东电力发展股份等大型企业集团于2005年发起组建，注册资本金37亿元人民币。公司股东实力强大，涉及行业广泛，股权结构合理，符合现代企业制度。目前拥有多家子公司。 3.2 必需求分析总部必需求分析：随着总部人数和业务规模的迅速扩张，现在的互联网管理已无法控制与工作无关的流量，包括P2P下载、P2P视频以及与工作无关的大流量web访问，造成出口带宽链路不堪重负，成为XX公司总部办公网与互联网信息沟通的瓶颈；同时大量的访问不健康web网页，给总部的内部网络安全带来了极大的隐患，容易造成木马和病毒的传播，员工的工作效率也会大大的下降。因而，XX集团总部必需要专用互联网管理设备提供更丰富的应用流量管理，以及能有效的管控互联网内容访问，来满足目前和将来，承载更多用户、提供更高访问性能的必需要。分公司必需求分析：随着分公司人数和业务规模的迅速扩张，原有通过专线到总部再访问Internet的方式已不堪重负，不能确保24小时的稳定工作，同时大量的P2P等下载也占用了省公司和地市子公司之间的4M专线带宽，导致视频会议等关键业务QOS不能确保，因此分公司必需要建立自己的Internet出口，来实现上网业务的正常运转。结合上述性能和功能提升的要求，用户上网行为管理项目的具体要求和目的为：四、 XX集团互联网访问管理方案制定理论依据 ISO/IEC 17799是信息安全管理体系的国际标准，该信息安全管理的行为标准是为信息安全系统提供的一个一般的最正确操作行为标准集合。其目的是为制订组织的安全标准和进行有效的安全管理施行提供公共的基础，并且为组织间的交易建立必要的信任。应当依据适用的法律法规选择使用该标准推举的内容。 ISO/IEC 17799具体介绍了127种安全措施，归纳成了10个部分。其中包涵关于共享网络的访问控制政策必需求，尤其是那些超越了组织界限的网络〔例如互联网〕，必需要对网络进行综合控制，以限制用户间的互连。可以通过在网关中按照一定规则过滤信息来实现这样的控制。这些限制应基于商业应用的访问政策和必需求来合计，并应定期进行维护和更新。 ISO/IEC 17799对访问控制提出如下基本要求，并做出细节描述：用户标识和鉴别连接时间的限制应用访问控制敏感信息隔离监视系统访问和使用事件记录关于互联网访问控制，必需要完全遵循ISO/IEC 17799 标准，实施对信息访问和商业处理活动的控制，才干有效确保民生商业信息活动的安全管理。越来越多的互联网访问出口堵塞以及网络安全问题是由于内部用户的不当访问造成的。主体管理通俗的讲就是将公司的管理政策〔在本方案中即为上网管理规定〕通过技术手段落实到内部用户身上，增加管理规定的可操作性和可审计性。 4.3 主体管理构架于真实的组织结构之上由于主体管理的策略设置时所有对象都是基于人〔行为主体〕同时策略相对复杂〔同一个部门中的不同小部门，不同人可能产生策略差异〕，因此在策略主体定义时为了避免策略产生后期的不可逆转性，采纳真实的多级组织结构〔不是平面组〕进行主体定义是十分必需的。 4.4 基于行为后果的搜索引擎技术分类网址库由于上网行为管理中WEB的控制多基于内置分类库实现，少部分会由用户自定义补充，因此分类库的建立方式和库容量将直接决定WEB的控制效果，目前业界先进厂商均采纳基于搜索引擎技术的网址分类库。〔基于行为后果的分词技术为XX专利技术，通过该技术XX已经拥有900万的URL网址分类库〕搜索引擎可全天候的在WEB站点中依据自定义的分词技术进行URL网址库的更新，并且及时的将更新的网址库提供给客户。 4.5 细粒度树形协议分类库高端的互联网访问管理产品多采纳树形应用协议分类库〔类似于注册表技术〕。由于在设置应用协议的控管策略时用户的必需求可宽，可严，可细化，并且必需要高可读性，传统避免平面协议库在与已有协议嵌套或近似的新协议产生时出现可读性严重降低。采纳细粒度的树形协议分类库将有效提升行为管理策略的可读性。而策略高可读性是安全产品必尊的发着之一。 4.6 流行的五元组方式的策略定义主体管理中策略设按时通常采纳人――时间――行为――管理方式――审计方式的五元组方式进行策略的定义。该种策略的定义将极大提升策略的可读性，有效的避免策略的冲突，便于问题的排查。 4.7 DPT,DST技术 DPT：深度包检测技术。 DST：深度流检测技术。由于互联网访问管理其根本就是依托有效的内置库配合DPT,DST技术进行行为控管。DPT技术主要用于处理行为控管，DST技术主要用于处理内容审计。 4.8 继续的、可学习的本地更新技术由于互联网内容和应用协议的变化非常快，用户互联网访问行为识别的时效性很强，而对互联网资源的识别能力和识别范围是互联网访问管理的基础，因此设备具有继续更新能力将有效降低时效性风险。并且，这种更新能力的支持力度不应该也不可能对所有内容和协议一视同仁。不同国家的互联网内容和应用的发展具备显然的文化差异，识别更新服务必需具备学习和分析目标用户的互联网访问范围的能力，有针对性的进行识别工作，并将识别特征动态更新到设备，才可以使设备的有效管控最大化，更新时效最大化。 4.9 安全基础的PPDR理念通过信息安全表述模型——PPDR模型的分析，我们可以对必需要建设的整体解决方案有一个完整的概念。确定Policy策略、Protection防护、Detection检测和Response响应四个方面的安全必需求。PPDR模型阐述了一个提供7 24不间断安全管理和确保的产品和服务的全部综合套件以及全面安全解决方案。 PPDR方案是一个超前的安全模型。它的指导思想比传统安全方案(传统安全在本质上是静态的，如防火墙和加固验证等)有突破性提升。五、 XX集团上网行为管理解决方案和技术实现 XX互联网控制网关〔NSICG〕是XX公司推出的面向应用层协议的专业的互联网访问管理产品，支持透明网桥或代理模式，支持web高速缓存，基于人/分支部分/大部门、时间段的上网行为策略，可有效的满足XX的互联网访问管理必需求。通过XX互联网访问管理设备，可以识别并统计网络上究竟有哪些网站被浏览，哪些数据在传输，哪些应用在运行，哪些协议在被使用，哪些行为占用了主要的带宽资源等。依据这些量化数据，可以了解每一个行为主体的上网状况，因而可以设置相应的管理策略，实现总带宽资源的充分利用，网络行为的清洁，同时也为以后IT基础构架建设提供了可靠的依据此外，XXICG支持对突发流量的整形，对由内部病毒和攻击引起的异常流量进行识别与控制，能够防御来自内部的恶意的DOS攻击，减轻了出口线路的工作负载，同时也确保互联网管理设备本身的安全运行。 5.1 整体解决方案在总部互联网出口布暑一台ICG设备，采纳串接模式；在每个分公司的互联网出口布暑一台ICG设备，也采纳串接模式；由于中国XX有多个分公司，这就必需要总部进行统一的集中管理，因此在总部配置一台ICG集中管理平台，可以统一下发策略和统一管理；由于员工的上网行为日志是记录在多台ICG上，为了对日志进行统一整体的分析，建议在总部配置一台日志中心服务器，可以记录和存储XX公司所有员工的上网行为海量信息，并能够进行统一的分析和查询。 5.1 总部ICG布暑的网络拓扑 XXNSICG可以依据XX总部实际网络环境灵活布暑，为了坚持总部原有网络拓扑结构，XXNSICG可以以透明网桥模式串接入网络。XXNSICG通过XX动态更新服务坚持最新的互联网内容和应用的识别能力，并依据策略管理和记选用户的访问行为。用户可以在内网通过加密的中文web图形管理界面对设备进行管理。 5.2 分公司ICG布暑的网络拓扑 XXNSICG可以依据XX分公司实际网络环境灵活布暑，为了坚持省分公司原有网络拓扑结构，XXNSICG可以透明串接入网络。XXNSICG通过XX动态更新服务坚持最新的互联网内容和应用的识别能力，为内部用户提供HTTP、HTTPS、SOCKS代理服务，并依据策略管理和记选用户的访问行为。用户可以在内网通过加密的中文web图形管理界面对设备进行管理。 5.3 NSICG的技术实现介绍我们建议采纳XX科技的互联网访问管理NSICG系列产品，该产品提供灵活的用户管理，WEB策略，应用管理，带宽管理功能功能模块，通过灵活的组合可实现XX集团的上网行为控管功能。 XXNSICG支持千兆电口及光口接入，提供更高性能和更丰富的管理特性。该产品在应用层上深度分析用户在网络上的各种应用，灵活调控用户使用各种应用的流量。从流量、内容、用户行为目的等角度实现对应用协议的结构化管理，通过监控、统计、控制等技术手段引导网络用户的上网行为，并为网络管理提供依据，使有限的网络资源最大限度的有效利用，减少由于内部原因造成的网络出口故障和非法内容传播风险，从而确保网络的高效、健康、稳定的运行。该产品采纳专用的硬件平台和XXNSOS安全系统，提供稳定高效的理性能和上网行为管理能力。设备支持700M+的吞吐量，极大地满足用户当前和将来的网络性能的要求。在系统高可靠性方面，NSICG的可靠性可以达到99.99%，并且提供7X24小时连续不间断工作。系统中硬件设备的平均无故障时间大于2万小时。 XX产品还提供一套完整的容错硬件和解决方案。为避免设备单点故障， NSICG系列产品提供硬件bypass与软件bypass双重保护，确保网络一路畅通。硬件bypass：在网桥或透明代理模式下，由于意外原因发生设备掉电时，XXICG将自动启动硬件bypass功能，设备在物理上成为一条连通的网线，不会对已有的网络连接产生任何影响。软件bypass：在串接模式下，要确保互联网访问可用，必需要确保NSICG功能的可用性，当NSICG设备系统异常或负载超过设定的安全阀值时，系统自动启动软件bypass功能，以设备最大带宽“放行〞数据包。当设备负载恢复到安全阀值以下时，系统自动恢复各种处理功能。在实际应用中，我们不能排除设备软硬件发生故障的可能性，但采纳软Bypass和无源的硬Bypass功能，可以极大的提升整个系统的可用性和可靠性。下列图是软硬Bypass触发条件的微调菜单： XXNSICG采纳HTTPS 方式对设备进行安全管理，提供全功能的中文图形化管理界面。此外还支持SSH与console控制台通过命令行进行配置管理。 5.3.3专业级的应用识别和分类，层次清楚的结构化管理 XX关注国内流行的各种互联网应用，并将其进行合理归类，使之成为树形目录结构的100多种以上的应用协议库，这种结构使策略、监控、统计报表可以灵活的按协议组、协议、子协议来管理。如下列图所示，对一些多功能的流行应用，XX协议识别准确到应用的子协议，将更多细节纳进策略框架中。例如：同意聊天，但阻止传输文件，上班时间确保远程协助的带宽等等。同样，我们可以通过堵塞P2P、网络电视来减少带宽资源浪费；通过在工作时间对网络游戏、炒股的限制提升员工工作的效率等。 XX通过对国内网民日常使用的应用做统计，跟踪中国互联网应用的变化，选择对客户网络影响最大的流行应用进行深入分析，这些应用通常不是标准的网络服务,无法通过地址、端口特征来区分。所以，XX协议库不必需要通过标准端口服务来扩充支持协议数量〔但提供自定义协议接口〕，而是专注于流行互联网应用的协议特征识别跟踪，并通过动态更新，不断在第一时间提供最新应用的管理支持。为XX集团用户建立清楚的真实的组织结构图，可利用文件导入、扫描、LDAP导入的方式统一将用户一次性添加，并与可设定与LDAP目录自动同步： XX支持多种用户方式，包括本地web认证、AD域透明认证、包括LD第三方认证等。规划并布暑合适的认证方式，可以把互联网访问管理正真应用到具体用户，实现基于用户身份的访问管理，而不是传统基于设备的访问管理。为不同部门的不同应用设定带宽策略。用户可以依据必需要定义多个虚拟带宽通道，关于每个通道，可以指定其确保上下行速率、限制上下行速率、优先级等参数对数据流近进行整形，见下列图。各参数的含义如下：上传/下载速率：数据流的确保吞吐量。低于此临界值的数据流以最高优先级通过，不受任何数据流管理或整形机制的限制。最大速率：数据流的峰值带宽。超过此临界值的数据流被抑制并丢掉。峰值带宽的意义在于，如果该服务器访问量很大，超过了基本确保带宽，它可以在峰值带宽之下暂时“借用〞其它通道空闲的资源，以提升总带宽利用率。优先级：当数据流带宽在确保带宽和最大带宽设置之间时，设备首先让较高优先级的数据流通过，并且只有在没有其它更高优先级的数据流时，才让较低优先级的信息流通过。系统支持八个优先级。这样可以确保最重要的资源得到最优先的带宽。与传统流量管理产品不同，XX的带宽管理是互联网访问行为管理的延伸，管理的一方面是切断违规的上网行为，另一面是降低违规行为的服务质量，确保合规行为的服务质量。所以XX的带宽管理完全融入XX互联网访问管理策略框架之中，基于用户〔或组〕、时间、访问对象来执行不同的管理动作。关于流量分配，XX通过设定假设干个不同优先级的确保带宽或限制带宽的通道对象，并在策略中调用，准确到1KB进行分配给不同应用和用户，然后提供图形监控界面实时查看带宽通道对象的流量。除此以外，NSICG也支持给用户或每组的每个用户平均分配带宽，如给每用户最多分配30Kbps带宽： ➢多层次灵活控管对象全局控管模型一级单位控管模型二级单位控管模型 ➢多方式灵活选择控管时间设定控管时间段灵活的通道带宽管理设置针对每用户设定带宽上限 5.3.7异常流量防护报警，确保出口线路的稳定为避免来自内网的同意合法协议产生超常流量攻击〔如SYN病毒攻击，WEB蠕虫等〕，XXICG 支持基于IP的请求限速、流量限速等控制规则。通过设置来源IP访问的上传包速率、上传速率、新建连接速率、小包发送速率等多个阀值，对突发流量进行带宽整形，可以确保线路充分的请求响应能力。超出阀值的流量，可以进行带宽限制、全部堵塞，或者只堵塞超出阀值部分，关于异常流量的IP，可以设置列入黑名单进行屏蔽。如下列图所示：当网络正常运行时，XXNSICG可以按时采集网络各项运行指标，如流量速率、包速率、小包速率、连接速率、ip数、及各指标的最大值、平均值等，依据这些数据，我们可以得到网络正常运行的基线，并据此设定自动防护规则，对异常的流量进行自动管控，以实现网络无人值守时的自我防护，确保互联网出口带宽的畅通。 5.3.8先进的内容过滤技术，构建文明健康的企业网络通过对互联网访问的内容管理，对违反国家法规、危害企业安全的内容访问进行过滤，可以避免内部用户有意无意访问包涵非法内容的网页，净化网络，减少病毒进入局域网的几率，降低企业法律风险。对员工上网行为的分析引导，有效确保企业文化积极向上的氛围。 XX科技采纳国际流行的URL预分类技术，依据中国地区上网用户的URL访问集中度、文化背景、对内容的敏感程度，参照国家立法规定，进行合理化采集、分类并生成URL分类数据库。工作流程是通过XX自主研发的内容分类搜索引擎，在互联网上进行区域性的URL 抓取，着重针对中文网站，强调数据采集本地化。并对抓取工作进行内容相关性的URL链接分析，极大地提升了抓取效率。获取到的URL数据经智能分类分析系统，进行有效性校验和内容分类匹配，导入数据库。此外，成立有专门的URL数据分类审核小组，负责对URL分类结果做校验审核，进一步确保分类的准确性。其中，URL自动分类引擎是XX自主研发的URL 智能分类技术，它依据加强的贝叶斯算法，依据网页的文本、图片、框架、颜色、关键字的语义、关键字出现频率以及关键字之间的比例关系、网页之间的相似度，等多个维度，对新网页进行智能分析，自动分类。这是XXWeb分类的核心技术。 XX互联网控制网内存储有40多个分类，结合中国国情，涵盖互联网上的各种内容类别，数量在900多万条URL以上。其中的病毒(高风险)分类，帮助用户防患于未然，避免访问到含有恶意代码、间谍软件或欺诈内容的网页。还有就是色情、反动等类别； XX互联网控制网关支持自动/手动实时更新，最新的URL分类数据由XX科技核心数据库提供，每台NSICG设备自动下载到本地。而且支持URL自动的回传和URL自定义分组互联网站点控制可以基于任何人员/部门，任何时间，堵塞/同意/纪录。实现互联网站的空置与管理。如图：上图：Web非法内容过滤策略 XXICG产品可以针对如下上网行为进行外发信息监控、过滤并报警。下列图给出了一个Post外发帖子的过滤和报警示意图：如果POST审计中出现关键字匹配，报警邮件会自动发送到用户预先填写好的邮箱中。应用管理策略实现了对用户访问行为和流量的管理，访问日志报告和分析功能则显示这些行为及其流量的运行状态，它帮助找出问题所在和相应管理策略的线索。跟踪平均和高峰信息流量，识别最大的用户和应用程序，统计应用分布、用户分布，管理人员就对目前网络资源使用状态有了充分的了解，为下一步实施带宽管理准备了充实的数据依据。 XX提供可定制化的实时监控和历史查询工具，使管理员轻松查看用户的各类应用使用流量的状况。 XX对各巳经分类的流类进行统计数据收集并提供在线图表报告。图表报告计有带宽使用量、应用流量分布、用户流量分布、web访问流量分布等。并且依据管理角度的不同，分别以用户、应用、web访问、外发信息为关注对象，提供逐步深入的查询统计方法。比如说当某时段网络上传性能下降时，可以查询这段时间上传流量最大的用户，并深入查询此用户这段时间的应用分布。这种启发渐进式的查询方式符合管理员由浅入深的分析思维，为管理者提供最短而有效的分析路径。六、产品规范视具体产品型号而定 6.2系统结构图： XX系统体系包括，XXurl分类和协议跟踪分析团队、动态更新服务、XXNSICG互联网访问管理平台。 XXurl分类和协议跟踪分析团队随时跟踪分析互联网内容和协议的变化，并优先处理用户NSICG上传的未分类信息，天天将最新的分析成果输出到更新服务器，NSICG通过动态更新自动获取最新的识别能力，并应用到管理策略中。七、项目实施管理 ●项目领导及技术后顾问有XX资深的信息安全专家组成，人员在北京，该小组会提供前沿的上网行为管理解决方案。 ●项目经理负责全局掌控项目的进展和跟进，协调各种资源，并起到技术引领作用 ●项目实施小组负责XX的项目实施工作，主要任务是进行前期的工勘，技术信息收集，设备在变更时间窗内布暑，设备运行状况监控，设备日志分析，并对国航上网行为分布进行报表制作 ●项目应急确保小组人员在北京待命，如果项目出现实施小组能力所不及的问题，确保小组第一时间在已经搭建好的类似于XX网络的1:1环境中复现问题，其中一名成员会第一时间赶到XX现场进行技术分析。 ● 八、产品布暑方案设备割接期间如果要确保不影响原有网络，完全平滑过渡，建议以透明网桥方式布暑，并按如下方式安装：步骤一：将XXICG设备上架固定，上电。步骤二：将笔记本连接管理口，按配置手册提供的出厂管理地址登录配置界面，完成设备网络配置。具体配置为网桥模式，设置工作ip，设置静态路由、DNS；设置预先分配的内外网口地址，设置静态路由，参照“设备IP、路由说明，地址分配说明〞。步骤三：将外网口连接到防火墙外的交换机，内网口连接到核心交换机，使用设备提供的PING工具测试NSICG到网关和内网地址的连通性。步骤四：测试内部通过NSICG上网的稳定性。 8.2 设备IP、路由说明，地址分配说明网管接口地址设置： ICG自身的网管端口设置为用户提供的一个一般客户的网段的地址。 ICG工作端口地址设置：如果ICG配置为串接模式，ICG的工作模式则为桥接方式，因此必需要管理员给IC 分配一个合法的桥接口IP地址。默认路由添加：将ICG的默认路由下一跳配置成出口路由器内网口地址。内网段路由添加：添加XX集团的内部子网的聚合网段到ICG的静态路由表中，以确保内部终端与NSICG互通。一般建议按如下步骤布暑：步骤1：配置好网络设置，配置管理口，设置免监控IP；步骤2：上架加电开启设备，关闭过滤引擎，测试网络连通性；步骤3：建立由于测试的策略网段，开启过滤引擎，检查配置是否正确，检查无误后开启全局管控。针对XX集团公司的现有网络应用进行逐一的测试 HTTP的访问发帖测试； HTTPS访问测试； P2P流控测试；集中管理测试； XX特有互联网应用测试。风险可能性： XX集团信息部门网络工程师提供XX工程师所必需要的信息，由XX工程师完成ICG的配置。线路链接可由XX工程师在XX集团信息主管部门的工程师配合下完成割接。测试项目由XX集团提供在网的电脑，或者同意XX工程师的笔记本接入测试网段。 XX公司提供7x24小时热线，如果测试期间有任何不可远程指导解决的问题，XX 工程师会第一事件赶到现场协助解决。确保XX集团布暑的顺利进行。布暑结束后，XX公司会和XX集团的信息主管部门一起确定报告主要涵盖内容，并由XX工程师制作监控报告，并将监控报告制作方法和XX集团的工程师进行沟通，力求报告能够给XX集团提供更多的可用数据。九、重点功能实现方案细则 1) 用户信息的建立〔LDAP用户导入和自动更新〕如果用户具有LDAP系统，XXNSICG可以通过LDAP导入用户信息，并保留原有用户组织结构。NSICG在天天网络空闲时间自动更新LDAP,与LDAP服务器坚持一致。 2) 用户身份鉴别方式〔AD客户端认证〕依据必需要，在每个用户终端的电脑上安装AD认证客户端软件，实现单点登录；且可以实现禁止没有加入域的电脑访问互联网。 3〕用户身份与访问权限、行为审计的关联 NSICG会维持认证用户的在线状态，并对在线用户的上网行为进行授权和记录。关于未认证用户，可以选择堵塞，或者设置来宾权限。未认证用户依据其IP进行行为记录。 XX提供从链路防护、应用策略、带宽管理，到内容管理的全面互联网管理功能，依据对XX互联网访问的流量分析，可以通过以下方式改善互联网访问速度： i.禁止恶意侵占带宽有害流量〔P2P、P2P streaming〕； ii.限制无用流量〔网络游戏等〕； iii.对超出阀值外流量进行限制〔基于后果的管理〕； iv.基于用户或用户组平均分配带宽〔静态管理〕； v.通过Web访问控制策略，减少HTTP流量〔限制流量大的网站、文件的上传和下载〕；十、典型客户 10.1、典型客户案例国家开发XX行业：直属国务院领导。在关系国家经济发展命脉的基础设施、基础产业和支柱产业重大项目及配套工程建设中，发挥长期融资领域主力XX行业作。目前国开行在全国设有32家分行和4家代表处，约1万上网用户，所有分行和代表处均统一从北京出口访问互联网。而互联网带来的安全问题、保密问题、管理问题，成为横埂在开行管理层面前的一道必需跨越的鸿沟。面对国开XX行业互联网应用问题，北京XX科技认为必需做到“三分技术，七分管理〞才干有效解决这些问题，也就是通过有效的技术手段实现管理手段，从而达到安全效果。因此，北京XX科技为国开XX行业提供了一套面向国国开XX行业系统的互联网控制管理解决方案――XX互联网访问管理网关(包括一台NSICG和一台NS5500)，帮助开行制定相关策略，细致进行全面的上网行为管理。对包括对网站访问、邮件发送、BBS发贴、网络聊天、BT下载、FTP上传、在线音乐、在线电影、在线游戏等等一切互联网活动进行控制和管理，并能够实现基于用户和各种网络协议的带宽控制管理。布暑XX互联网控制网关后： •XX行业办公网越来越稳定，网络速度较以前有显然改变 •阻止了对色情、反动、病毒等高风险网站的访问，

展开阅读全文