1、精品文档就在这里-各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- 上网行为管理里网关(AC)解决方案广州国普信息科技有限公司2011年8月目 录第1章需求概述21.1背景介绍21.2 需求分析21.3 客户具体需求分析21.4 客户网络现状分析2第2章上网行为管理标准2第3章上网行为管理AC功能介绍23.1 身份认证23.2 访问控制23.3 带宽管理23.4 监控审计2第4章设备选型及介绍24.1 用户环境具体实施2第5章方案优点及给客户带来的价值25.1 管理网络带宽25.2 避免法律风险25.3 提升工作效率2第6章深信服科技介绍及专利和荣誉26.1 深信服科技
2、介绍26.2 SANGFOR AC部分专利介绍26.3 深信服科技部分荣誉2第1章需求概述1.1背景介绍网络的发展与普及正在改变人们的生产生活方式,互联网正逐步成为重要的生产资料,组织业务正逐渐向互联网转型。 互联网是一把”双刃剑”,缺乏管理的互联网已经带来诸多问题:1、 带宽滥用,上网速度慢(P2P流量超过一半,访问网页,ERP等无法顺利进行,带宽无法有效的分配和利用)。2、工作效率下降(上班时间网络聊天、炒股、网游、看新闻等行为泛滥)。3、机密信息被泄露,信息安全遭威胁(上网授权缺失,用户肆意上网,为通过网络泄密提供了通道,泄密后无据可查,责任难追究)。4、违法网络行为为企业带来法律风险(
3、肆意浏览色情、反动网站,无具体日志记录,无法举证追踪)。5、安全威胁频发、上网环境恶化(互联网威胁越来越多、隐蔽和病毒感染技术越来越先进)。1.2 需求分析1.21 带宽效率风险随着互联网的普及,组织机构的业务几乎都依托于互联网进行着。ERP、CRM、OA、电子商务、视频会议等系统已成为各组织机构在建设网络的基础设施,来为公司业务建立一个信息化平台。但是在一个组织机构内部的网络,除了这些关键业务系统外,P2P下载、网络炒股、游戏、视频等非关键业务应用同样共存着,形成了复杂的网络应用“脉络”。据一期美国时代周刊载文称,网络带宽将成为继石油之后新的“黑金”,这将是未来10年世界发展的重要趋势之一。
4、组织机构在花了重金从运营商处购买带宽满足业务需求,但是在办公室里经常听到有人抱怨网络速度为什么这么慢,在业务处理终端经常有工作人员反馈订单等处理太慢,客户往往等不及。网络速度慢,正常业务受到影响,如何来解决问题呢?扩张带宽,将原有的10M扩张到20M?扩张带宽,IT部需要向公司申请一笔较大的经费,财务部需要从其他部门的预算中挤出30W左右的资金,难度大,周期长,有风险。但是扩张带宽后,网络速度慢的问题是否会从根本上解决呢?下面分析网络速度慢的主要原因。 上图为一真实客户网络应用显示,600M的互联网带宽内,P2P的应用流量高达36.4%。据iResearch调查统计,P2P业务对带宽占用比大致
5、是40%60%,在极端情况下会占用80%90%,它被成为“带宽杀手”,消耗了大量网络资源,导致了运营商网络关键链路拥塞和其他互联网应用性能的快速下降,在各组织机构中的情况也是如此。P2P抢占空闲带宽、上下行流量对称、一对多点链接、大部分端口可变、协议相对固定、流量特征不明显。这些特征导致P2P在采集分析、识别和管理方面比较困难。P2P对于带宽资源的吞噬是一方面,另外一方面P2P会产生大量的连接会话,会对于网络核心以及互联网出口设备都会产生比较大的压力,导致相关设备负载过高,导致设备新建会话的速度变慢从而影响网路速度。例如中国国际航空公司西南信息分布就遇到过在对P2P进行管控之前,防火墙CPU负
6、载经常可达90%以上,在对P2P进行有效的控制之后防火墙CPU基本维持在30%一下。由此看来,组织机构若不能应付P2P应用大量吞噬带宽的现象,单纯通过扩张带宽,也只能获得一时的效果,仍然不能从根本上解决网络速度慢的问题。网络偶然发生拥堵,很常见,但如果网络开始遭遇频繁的数据重发和拥堵,有一件事情是确定的如果不将网络拥堵处理妥当,它只会变得更糟。1.2.3 泄密风险公司业务依托于互联网开展,ERP、CRM、OA、电子商务、视频会议等系统来自于全球高端厂商的开发,同时系统的应用依托于互联网。但是,无论是政府网、教育网,还是企业网,承载着的都有关于组织的机密信息。所以在信息安全保障工作方面,任何组织
7、都需要考虑如何避免信息泄密事件的发生。项调查显示,名列财富杂志前1000名的公司每年因泄露商业机密而出现的损失高达450亿美元。为此,企业无不对商业机密严防死守,对泄密者更是实施较高惩罚措施。让企业恐惧的不是强大的对手,而是自己的商业机密变成了对方手里的底牌,为了不让商业机密泄露出去,企业通常的做法有:采取硬件、软件加密保护,在机密文件上注明“机密”,对机密文件实施专人管理;签订保密协定,在用人合同中对商业保密进行约定、实施竞业禁止行为,注明泄密承担的严重后果;加强员工培训管理等。但是,员工在上班时间利用公司网络和电脑,在聊天、邮件、发帖、访问互联网过程中有意或者无意的泄露组织机密,给组织带来
8、了严重的损失。1.2.4 法律风险组织的办公系统、业务系统都依托于互联网,员工在使用的时候势必也拥有上互联网的权限。调查发现,90%的上网人士不清楚网络的法律法规,67%的人都没听说过网络违规违法。“人肉搜索”被媒体评为2008年度十大网络流行词,由于利用“人肉搜索”实施违法行为的主体具有隐蔽性,使得恶意侵犯他人合法权益的事件频发,严重侵犯他人的名誉权、隐私权和安宁权,甚至造成当事人自杀、自残或者精神失常的后果,引发“网络暴力”。十一届全国人大代表为此提出议案,修改治安处罚法第42条,追究违法“人肉搜索”的法律责任。网络服务提供者明知网络用户利用其网络服务实施侵害他人合法权益的行为,未采取必要
9、措施,情节特别严重且造成严重后果的对直接责任人和主要负责人处五日以下拘留,并对单位处五百以上三千以下的罚款。2009年,全国整治互联网低俗之风专项行动办公室核实,41家网站主要刊登色情和低俗内容,违反了全国人民代表大会常务委员会关于维护互联网安全的决定、互联网信息服务管理办法、互联网新闻信息服务管理规定等法律法规的规定,被依法关闭。2010年,记者调查发现,不少市民和网友通过QQ的群邮件功能或者MSN的聊天组获取不雅视频,专家表示,这样做也有法律风险。根据最高人民法院、最高人民检察院颁布的新司法解释,利用互联网建立主要用于传播淫秽电子信息的群组,成员达30人以上或者造成严重后果的,对建立者、管
10、理者和主要传播者,依照刑法第364条第1款的规定,以传播淫秽物品罪定罪处罚。网络的违规违法事件越累越多,国家对于违规违法事件打击的力度越来越大。组织职员通过组织网络,在论坛和博客发表反动、藏独等不负责任的言论,在QQ、MSN等聊天过程中传播不雅信息,都属于网络的违规违法行为,一旦被组织机构查处,组织都因此而遭受法律的制裁。其中,国家电网明文规定,对电网公司不定期检查员工的上网行为日志,避免电网内员工发生网络违法和泄密事件。个人违法,理论上不应该由组织来承担责任,但若因为组织没有采取相关的防御措施,违法事件发生后不能通过技术手段查出当事人,那么只能由组织为此违规违法事件而买单。如果避免此类事件的
11、发生,组织可以考虑从网络的技术层面出发,做好网络法律的防御工作。1.3 客户具体需求分析广东长城集团有限公司(以下简称:长城集团)网络详细需求是:对各个上网用户进行带宽管理、保证正常业务带宽,对P2P流媒体进行带宽的限制。对员工上网浏览网页、邮件、IM、外发等进行审计,防止机密数据的外泄。防止来自外网的DOS,DDOS攻击等。组织单位面对来自带宽效率、工作效率、泄密、法律和网络安全五大风险问题时,往往需要一套完善的可靠的上网行为管理解决方案。深信服上网行为管理从身份认证、访问控制、带宽分配、监控审计、安全强化五个方面,为用户解决上网行为管理的问题,提供专业的解决方案和服务。1.4 客户网络现状
12、分析长城集团现有网络拓扑图:通过以上内网拓扑简图可见,长城集团网络结构还是比较简单,目前的网络结构无法防御来自外网的安全风险和威胁,对于来自内网的肆意的互联网访问行为、带宽滥用、潜在的泄密、法律违规等也无法进行有效地管控,同时内网员工的各种互联网访问行为也无法有效的监控和审计。第2章上网行为管理标准专业的上网行为管理以识别用户、应用、终端为基础,以授权、流控、审计作为手段,以安全强化作为上网行为管理的辅助和目的。作为一个管理者,只有清楚在他所管理的网络中是谁用哪一台电脑在网上做了些什么,才能真正的叫做管理网络。第3章上网行为管理AC功能介绍3.1 身份认证3.1.1 多种认证方式随着网络的发展
13、,网络信息安全的重要性日益显现。现今大多数企业仍旧采用静态的用户名/口令认证机制,在身份认证过程中交换的认证消息为明文方式,未进行加密算法或者散列算法的处理,这样导致的直接结果是用户名和口令这些敏感数据容易被截获和泄露。因此一套安全稳定高效的安全身份认证系统对于一个不断发展扩大的企业网络是必不可少的。组织要对内网进行管理,首先必须对接入内网的人员进行严格的身份认证。SANGFOR AC基于用户识别的功能支持以IP、MAC、IP/MAC绑定、用户名密码、USB-Key识别,公用账号认证。对于已有域认证的用户,AC可与域进行结合认证。同时支持LDAP认证、Radius认证、POP3认证、Web认证
14、等等,其中Web认证支持以windows认证框方式实现web认证,也支持以HTTP POST方式实现web认证。3.1.2 单点登录技术AC为内网用户提供账号/密码等认证方式,结合单点登录技术(Single Sign On, SSO)将避免手工输入帐号信息以简化操作。AC通过数据包监听方式即可支持AD单点登录功能。内网用户采用域账号登陆操作系统后,自动通过AC认证,简化用户操作,且合作伙伴等第三方人员接入机构内网后将自动禁止访问Internet,进一步降低机构信息资产外泄的风险。AC的POP3、PROXY单点登录功能启用后,内网用户只需收发一下Email、或触发PROXY服务器的认证后,也将自
15、动通过AC认证,极大的方便了用户的使用。3.1.3 跨三层绑定IP/MAC对于三层网络环境的用户,AC可跨三层绑定IP/MAC。3.1.4 新用户认证对于进入内网的新用户,如临时来访的客户、其他办事处的同事等,AC可为临时的用户提供简单且可靠的认证方式。3.2 访问控制3.2.1 网页过滤组织员工在日常需要使用网络的工作中,需要搜索访问互联网。互联网的开放性带来了资源的传播和共享,同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷,如何在日常工作中过滤这些不良网页,为员工创造一个健康的绿色的网络环境呢?网页分类、搜索引擎关键字过滤等技术应运
16、而生。AC内置千万级URL库,将互联网网页分成40多个大类,同时公司研发专门设立URL部分,每半个月实时更新和维护URL库。URL库支持在线自动更新,同时支持手动更新。据Google统计,在2008年Google网页已经多达1000000000000(1兆),2010年5月,工信部发布的互联网产业数据显示,截至2009年底,国内网站数量达到323万个,年增长率12.3%。网页更新速度如此快,URL的弊端由此显现。如何克服网页URL管理的滞后性和不完全性?AC提供自行添加URL的功能,在查询URL库中没有此URL地址时,用户可自行在设备界面进行添加,也可自定义URL类型,对组织内部网页进行管理。
17、AC具备URL智能识别功能,可对未知的网页进行自动学习、判别、归类。网页智能识别系统是公司于中科院联合开发,属国内前沿开发技术。3.2.2 搜索关键字过滤用户可根据访问习惯,将互联网中的非法、暴力、毒品等不良网站进行过滤,为组织内网提供一个绿色、健康、高效的互联网访问环境。同时AC支持在搜索引擎中设置多关键字过滤,过滤包含不健康内容的网页。3.2.3 发帖关键字过滤网络的开放性给网民带来更多的言论自由,但互联网上部分不负责任人士发表一些类似色情、反动、迷信或者暴力的信息,影响其他人士,造成了不必要的影响。AC可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站,AC可设置看帖看不允许发帖,或
18、者实行发帖关键字过滤,灵活避免组织中出现泄密或者发表不良言论带来法律追究责任的风险。3.2.4 文件类型过滤网络的开放性带来了网络资源的共享,组织中的用户可在上班时间从互联网上下载电脑系统使用工具、免费的杀毒软件、产品文档等资料,非常便利。但是部分用户利用下载和上传的工具在上班时间做与工作无关的事情,比如下载电影、音乐、游戏等,不仅影响工作效率,而且占用并浪费了组织的带宽资源。AC根据下载文件的类型判别下载的内容,电影、音乐、游戏等与工作无关的娱乐信息为常见的rmvbavimp3等格式,用户通过定义这些文件格式为影视类型,对这类文件的上传和下载进行过滤。3.2.5 应用控制互联网应用众多,如何
19、在内网对各应用进行合理的管控呢?首先需要识别应用。AC内置应用识别规则库,分为24个大类,包含600多种应用,可识别网络中各种主流常见应用。对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。针对目前P2P行为泛滥的趋势,SANGFOR AC的
20、P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供P2P应用封堵或流量管理措施。针对类似P2P难以管控的应用,AC内置应用智能识别库,自动判断新出现应用特征,从而归类管理。AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。3.2.6 P2P管理P2P(peer-to-peer)应用的兴起直接导致了P2P软件及各种版本的爆炸性增长。如何对P2P行为进行全面有效的管控成为业界的难题之一。部分厂商通过封堵种子共享网站、过滤种子文件的下载、封堵资源服务器IP或封堵端
21、口等方式进行P2P管控,费时费力且达不到理想效果。AC的深度内容检测技术对常用P2P软件进行识别;基于P2P行为特征的智能分析技术实现对不常见和未来可能出现的P2P应用的识别,为您提供了全面、高效的P2P行为管控手段。P2P作为带宽杀手,P2P应用种类多、应用复杂、版本更新快,在众多网络用用中最难管理。AC针对P2P以上特点,专门针对P2P采取智能识别、自动管控功能。能够全面识别P2P行为是进一步管控的基础。对P2P的管控包括封堵和流控两方面,即全面禁止指定部门使用P2P软件,或允许其使用,但对P2P行为占用的带宽资源进行限3.2.7 加密聊天管理“加密化”的趋势不仅使明文的HTTP网站开始转
22、向加密的HTTPS网站,各种IM聊天工具的聊天内容也被加密,如腾讯QQ、TM、Skype、MSNShell等。如果不能对加密的IM聊天内容进行监控和记录,隐匿其中的安全风险、安全事件就无法防御、无据可查。目前业界的解决方案多数都无法对QQ、Skype、MSNShell、Gtalk的聊天内容进行监控和记录。AC通过聊天内容同步侦听(Real-time Monitor for Messages , RMM),实现对QQ、Skype等加密聊天内容的监督和记录,这在业界的行为管控方案中是屈指可数的。3.2.8 邮件管理邮件成为了日常工作中一种必需的工具,如何避免员工通过邮件有意或无意泄露公司机密,如何
23、过滤垃圾邮件,减少让人头痛的邮件管理问题呢?AC邮件过滤功能,可根据发送和接受邮件的地址,邮件主题、正文、附件类型,发送邮件的大小、附件个数等自动判别和过滤不符合规定邮件和垃圾邮件。为避免邮件处理过程中,包含关键字的邮件为合法邮件,AC的邮件延迟审计(Postponed Sending after Audit, PSA)技术,可将敏感邮件阻挡于内网。内网员工发送Email邮件时,用户认为已经成功发送,实际上该Email行为被AC识别后,符合管理员预定策略的Email被AC网关拦截,整封Email邮件、包括正文和附件全部转存至邮件缓冲区。指定的邮件审核人员会获得邮件通知,经人为审核后,才允许该E
24、mail邮件发送到公网上,实现了对泄密邮件的封堵,保护了机构的敏感信息的安全性。AC的邮件延迟审计技术对内网员工完全透明,邮件的发送过程与日常无异。3.3 带宽管理组织的出口带宽有限,随着网络应用的丰富,各种吞噬带宽的应用出现和使用,类似P2P,组织若不加以管控,带宽必会被这类应用占据,从而导致整体网络速度变慢,正常的邮件发送和网络访问都无法通畅。因此,组织需要一种流量管理工具,识别应用流量,对现有的带宽进行合理的分配。 3.3.1 虚拟线路用户出口有多条运营商线路,通过路由器接入到防火墙和核心交换中间,往往只有一根线。在一条物理线路中很难实现精细化的流量划分,容易造成外面几条线路流量分配不均
25、,导致部分线路负荷过重。如何将物理上的一条线路进行虚拟,对应外接的几条线路,实现多线路分别流控呢?SANGFOR AC独家虚拟线路技术,通过这样的方式对于多条出口线路分别流控,或是为来自内网不同网段的用户分别进行流控。除虚拟线路外,在各线路中,AC可建父子通道,父通道中可建立二级、三级通道等,最多能建成十一级的流量通道,为用户提供了最细致的流量管理手段。3.3.2 父子通道SANGFOR AC支持父通道中嵌套子通道,可支持8级子通道,最多能形成11级流量通道,为用户提供细致的流量管理手段,实现大流量划分成小流量通道,分级管理。IT管理者需要详细了解当前带宽资源的使用情况,这可以通过访问AC的数
26、据中心实现,如查看指定时间周期内应用流量分布情况,用户流量分布和排名等。下一步IT管理者就需要对非业务流量如P2P行为等进行带宽限制,对领导的视频会议系统等业务流量需求进行满足,这通过AC智能流量管理系统轻松实现,基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制,进行带宽划分和分配,实现带宽资源利用率的最大化。机构有限的Internet带宽资源承担业务系统、服务器和用户的各种流量。AC如何实现带宽资源的合理利用呢?传统设备根据IP地址和端口,结合QoS实现带宽分配,但类似80端口中会潜藏QQ、BT数据、部分业务系统没有固定的端口、领导的视频会议系统没有固
27、定IP等,让传统设备的带宽管理功能大打折扣。AC实现了基于用户/用户组、时间段、优先级、应用协议、网站类型、文件类型等的流量管理系统,让机构的带宽资源得到细致的优化和高效的使用。3.4 监控审计众多组织机构网络环境良好,带宽分配合理,但由于工作和行业性质关系,员工日常工作中涉及了大量与公司企业、政府单位密切相关的信息,这些信息一旦公开,给公司和单位将带来泄露商业机密、触犯法律风险等违规违法的麻烦。当这类事情出现的时候,组织如何在最短的时间内,通过一种最有根据的方式找到网络违法的当事人,避免由组织因此背负责任?AC提供了全面的、灵活的监控审计功能。3.4.1 实时监控SANGFOR AC具备强大
28、的实时监控功能,可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要进数据中心即可实时查看网络的各种应用和流量使用情况。运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。此外AC还支持实时连接监控,显示用户的所有会话连接状况。3.4.2 全面、灵活的应用审计谈到安全时多数人只关注外网安全,但其实机构的信息资产更多的是通过
29、内部泄漏的。SANGFOR AC实时监控和完善的访问审计功能可有效防止信息通过Internet泄漏。对邮件类型应用采用深信服“邮件延迟审计”术保证先审计后发送;对于通过Webmail发送邮件,AC全面记录邮件正文和附件等;对于QQ、MSN、Gtalk等聊天内容提供全面记录功能;对于BBS、论坛发帖不仅根据关键字进行过滤,成功发布的内容也能全面记录;内网用户访问的URL地址、网页标题、甚至整个网页内容,AC也能完全监控和记录等。值得一提的是对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3,AC也都可以基于关键字过滤和内容审计记录;SANGFOR AC的访问审计/监控模块
30、为机构构筑了强大的内部安全屏障。针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能。3.4.3 数据中心及报表大型机构每天产生数十G日志数据,通过AC独立数据中心实现日志海量存储,而且提供了图形化的日志查询、统计、审计、报表中心等功能。通过统计报表功能,您将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果,并且支持导出PDF等文档、Email投递等功能,方便IT部门将统计结果向机构高层汇报。AC的风险智能报表能够深入挖掘日志,根据管理员指定的上网行为特征及阈值,自动挖掘日志,自动帮助组织提前发现风险,包括:离职风险智能报表、泄密风险智能报
31、表、工作效率低下风险智能报表等。对于BBS发帖,SANGFOR AC还支持进行热帖排名,只准看贴不准发帖的灵活管控方式。而如何快速检索海量日志中管理者感兴趣的内容AC已经为您想到了。通过AC数据中心的内容检索工具,您可以类似使用Google一样,从海量日志中查询、审计您需要的日志记录,并且支持高级搜索,支持订阅和自动Email投递功能,极大的方便了管理者的使用。第4章设备选型及介绍根据对长城集团的现状及需求的分析,本方案推荐使用深信服科技的AC1200内网行为管理设备,它隶属于AC1X00产品系列。AC 系列设备是中高端内网行为管理产品中的典范,是安全防范意识强、需要管理和控制互联网访问的用户
32、的第一选择。目前已经成功运行在政府、教育科研、电信、金融证券、电网电力、石油石化、制造等行业。终上所述,AC1200-V上网行为管理设备在这个需求上是十分合适的,以下是此设备的基本性能参数SANGFOR AC1200-V 性能参数如下表:产品型号用户数吞吐量并发会话数网络接口尺寸冗余电源AC1200-V40095 Mbps300,0004个千兆电口1U无4.1 用户环境具体实施如图将SANGFOR AC设备以网桥模式部署在路由器与三层交换机之间,对网络的改动很小,网桥模式将SANGFOR AC等同于一根连接在网关和交换机之间的“智能网线”,可以对所有流经AC的数据流进行审计、管理和控制。AC以
33、串联的方式接在路由设备和交换设备之间,不做NAT和选路,但对所有经过的应用流量都具有控制功能,完美展现AC的所有功能。AC具有开机BYPASS、软件BYPASS和硬件BYPASS功能,当AC出现策略或者设备故障问题时,AC将成为一条透明的网线,放行所有的数据,不影响组织的正常上网。第5章方案优点及给客户带来的价值通过深信服科技的上网行为管理SANGFOR AC为长城集团带来以下价值:5.1 管理网络带宽P2P软件的控制P2P行为对带宽的吞噬能力众所周知,而传统的只能封堵“昨天的BT软件”是不够的。AC凭借P2P智能识别专利技术(专利号: 200610156977.8),不仅能识别和管控常用P2
34、P软件及版本,对不常见的和未来将出现的P2P亦能管控。而AC为您提供的P2P流控技术,将限制指定用户开启P2P后占用的带宽。既允许用户使用P2P,又不会滥用带宽。带宽统计和管理AC数据中心对内网用户的各种网络行为进行审计、统计及趋势、报表等。借助图形化报表、曲线和统计结果,可以帮助IT管理者轻松掌控网络行为分布和带宽资源使用等情况。AC基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智能流控,细致划分与分配带宽资源,如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行为得到带宽保障,提升整个机构的带宽使用效率。 5.2 避免法律风险网络违法事件也层出不穷:网络间谍、网络
35、泄密、网络造谣和非法言论等。如果内网用户利用机构网络发生,则法律问题和风险将难以避免;如果没有证据,无法找到直接责任人,IT部门则将成为该违法事件的直接责任人。外发信息控制内网用户使用IM软件、Email、BBS、论坛、个人博客等将办公室和机构内信息泄露出去。而AC能封堵IM软件,过滤和审计收发的Email,过滤访问论坛、网站的行为,网络发帖行为的过滤和审计等,让内网用户认识到自己需要为其网络行为负责。对合作伙伴接入内网的认证,通过AC提供的完整身份认证体系:可以启用Web方式的用户名/密码认证,IP和MAC地址绑定,或与机构的Radius、LDAP、微软域控服务器联动,AC甚至可以借助机构的
36、POP3邮件服务器、PROXY服务器上的用户帐号数据,对接入用户进行强身份认证,未经授权的局域网接入用户将无法访问任何网络资源。保护版权资料互联网充斥着涉及版权纠葛的论文、软件、音视频等,因为个人用户对版权的忽视往往会导致机构受到牵连。AC的访问控制系统通过对HTTP、FTP、IM软件、邮件收发的内容检测和控制,可以阻止内网用户搅入版权问题;同样,当内网用户已经出现违法违规问题时,你可以在AC的数据中心中找到其违规记录,进而使机构摆脱不必要的纠纷。法律遵从和举证内网用户个人偏好导致的非正当网络行为,例如访问色情、反动网站等,AC能有效过滤和拦截;AC亦可过滤张贴的非法网络言论,即使逃脱过滤进入
37、BBS的煽动性言论、网上聊天中的侵犯性语言等,也可在AC数据中心中找到相关记录作为法律举证的重要依据。AC通过独立数据中心实现行为日志海量存储,结合图形化的报表、查询、统计工具,和内容检索工具,让机构的管理者可以轻松掌控您的网络和内部用户的网络访问行为。5.3 提升工作效率上班时间无关网页浏览、QQ聊天、在线炒股、网络游戏等降低了机构的生产效率,如何在上班时间对内网用户的网络行为进行管理和引导?网页过滤策略上班时间从事私人活动,管理者却难以阻止,如上班时间浏览新闻网站、论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法,让管理者实现指定用户和部门在工作时间只能访问特定的网站,例如行业信
38、息网站、公司门户网站等,而其他未经允许的网页浏览都将被拒绝。IM(即时通讯)聊天软件的管理上班时间使用QQ、MSN等私人聊天,不仅影响工作效率,还可能因IM传文件而引入病毒和向外泄密。面对Skype、Yahoo Messenger、飞信等众多IM软件,IT管理员使用现有防火墙等传统网络安全设备,通过封堵端口和服务器IP的方式,不仅费时费力且无法根治。AC通过检测应用数据包的特征字段,实现对IM聊天软件、在线影音、炒股、网络游戏、下载等诸多应用的管控。各种行为的管理网页过滤、IM聊天等管控只是内网行为管理的一部分。面对用户上班即下载未看完的电视剧,搜索最新网络新闻、图片、视频,上班时间更新博客、
39、上传图片、下载电影、程序等问题,AC通过限制用户搜索指定关键字,过滤用户上传下载的指定文件,将内网用户精力更多聚焦在工作上。上网时间管理每个机构都有其工作时间安排,所以,根据不同时间段为用户分配网络访问权限,是专业上网行为管理设备必须考虑的问题之一。AC通过为不同部门、不同用户,基于时间段进行权限分配,也可以限制用户一天内总的上网时间,实现人性化管理。支持设定一定的上网时间值,当用户超过这个阀值时,AC会自动弹出提醒页面,提醒员工上班时间注意提高工作效率,不要从事与工作无关的网络活动。第6章深信服科技介绍及专利和荣誉6.1 深信服科技介绍深信服科技有限公司是中国规模最大、创新能力最强的前沿网络
40、设备供应商,致力于通过创新、高品质的产品及卓越的服务,帮助用户在将业务向互联网转型中获得成功。 作为一家专注于广域网市场的厂商,深信服提供了贯穿用户广域网建设生命周期的前沿产品及解决方案,包括IPSec VPN、SSL VPN、上网行为管理、广域网加速、应用交付、流量控制、上网优化等,并被公认为其中多个领域的技术及市场领导者。截止到2009年8月,已有超过14,000家用户选择了同深信服合作并取得了显著收益。这些用户包括中国移动、通用电气、壳牌石油、丰田汽车等世界500强企业,也包括中国人民银行、国资委、中国人寿、招商银行、南方航空、中国人民大学等中国知名用户。 目前,深信服公司总人数已达到9
41、00人,直属分支机构36个,并在香港、新加坡、阿联酋、泰国、印度等国家和地区设有直属办事机构。2005年2009年,深信服连续5次获得德勤“中国高科技高成长50强”、“亚太地区高科技高成长500强”,并于2008年获得渣打银行授予的“最具成长性新锐企业”中型企业金奖。2009年,深信服荣获财富杂志“卓越雇主奖”。深信服的产品已经应用于1万4千多家客户、连接着国内外数万个网络。在中国入选世界500强的企业中,超过一半的企业都是深信服的用户。6.2 SANGFOR AC部分专利介绍 深信服科技立足自主研发,目前各产品线已经申请了近30项专利技术,其中AC产品的部分专利如下:ZL 200510037
42、455.1 一种在网关、网桥上实现用户安全接入外网的方法 ZL 200610061591.9 一种基于网关/网桥的线路自动选路方法 ZL 200710072997.1 基于网关、网桥防范网络钓鱼网站的方法200810141807.1 一种网络插件的安全检查方法、系统及安全检查设备200810241565.3 一种在网关进行数据安全检测方法、系统及设备200910108672.3 一种网络数据流识别方法6.3 深信服科技部分荣誉深信服科技(SANGFOR)不断为用户提供创新的解决方案,不仅得到了用户的认可和支持,也得到了媒体和国家有关部门的认可。2005、2006、2007、2008、2009连
43、续五年入选德勤中国高科技、高成长50强,亚太地区高科技高成长500强高交会自主知识产权证书高新技术企业证书商用密码产品生产定点单位证书商用密码产品销售许可证公安部SANGFOR AC上网行为管理网关检验报告 3、通过活动,使学生养成博览群书的好习惯。B比率分析法和比较分析法不能测算出各因素的影响程度。C采用约当产量比例法,分配原材料费用与分配加工费用所用的完工率都是一致的。C采用直接分配法分配辅助生产费用时,应考虑各辅助生产车间之间相互提供产品或劳务的情况。错 C产品的实际生产成本包括废品损失和停工损失。C成本报表是对外报告的会计报表。C成本分析的首要程序是发现问题、分析原因。C成本会计的对象
44、是指成本核算。C成本计算的辅助方法一般应与基本方法结合使用而不单独使用。C成本计算方法中的最基本的方法是分步法。XD当车间生产多种产品时,“废品损失”、“停工损失”的借方余额,月末均直接记入该产品的产品成本 中。D定额法是为了简化成本计算而采用的一种成本计算方法。F“废品损失”账户月末没有余额。F废品损失是指在生产过程中发现和入库后发现的不可修复废品的生产成本和可修复废品的修复费用。F分步法的一个重要特点是各步骤之间要进行成本结转。()G各月末在产品数量变化不大的产品,可不计算月末在产品成本。错G工资费用就是成本项目。()G归集在基本生产车间的制造费用最后均应分配计入产品成本中。对J计算计时工
45、资费用,应以考勤记录中的工作时间记录为依据。()J简化的分批法就是不计算在产品成本的分批法。()J简化分批法是不分批计算在产品成本的方法。对 J加班加点工资既可能是直接计人费用,又可能是间接计人费用。J接生产工艺过程的特点,工业企业的生产可分为大量生产、成批生产和单件生产三种,XK可修复废品是指技术上可以修复使用的废品。错K可修复废品是指经过修理可以使用,而不管修复费用在经济上是否合算的废品。P品种法只适用于大量大批的单步骤生产的企业。Q企业的制造费用一定要通过“制造费用”科目核算。Q企业职工的医药费、医务部门、职工浴室等部门职工的工资,均应通过“应付工资”科目核算。 S生产车间耗用的材料,全
46、部计入“直接材料”成本项目。 S适应生产特点和管理要求,采用适当的成本计算方法,是成本核算的基础工作。()W完工产品费用等于月初在产品费用加本月生产费用减月末在产品费用。对Y“预提费用”可能出现借方余额,其性质属于资产,实际上是待摊费用。对 Y引起资产和负债同时减少的支出是费用性支出。XY以应付票据去偿付购买材料的费用,是成本性支出。XY原材料分工序一次投入与原材料在每道工序陆续投入,其完工率的计算方法是完全一致的。Y运用连环替代法进行分析,即使随意改变各构成因素的替换顺序,各因素的影响结果加总后仍等于指标的总差异,因此更换各因索替换顺序,不会影响分析的结果。()Z在产品品种规格繁多的情况下,应该采用分类法计算产品成本。对Z直接生产费用就是直接计人费用。XZ逐步结转分步法也称为计列半成品分步法。A按年度计划分配率分配制造费用,“制造费用”账户月末(可能有月末余额/可能有借方余额/可能有贷方余额/可能无月末余额)。A按年度计划分配率分配制造费用的方法适用于(季节性生产企业)-精品 文档-
浙ICP备2021020529号-1 | 浙B2-20240490 
