上⽹⾏为管理解决⽅案
XXXXXXXXXXX有限公司
2020年
⽬录
⽬录 (2)
⼀、XX介绍 (4)
1.1公司简介 (4)
逆变器制作1.2产品简介 (4)
1.3资质认证 (5)
1.4产品荣誉 (5)
⼆、上⽹⾏为管理– XX⾏业信息安全新视⾓ (5)
2.1XX⾏业信息安全建设⾯临的问题 (5)
2.2对员⼯上⽹⾏为进⾏规范管理势在必⾏ (7)
3.1 项⽬背景 (7)
3.2需求分析 (7)
四、 XX集团互联⽹访问管理⽅案设计理论依据 (9)
4.1基于ISO/IEC 17799信息安全管理标准 (9)
4.2主体管理技术理念 (9)
4.3 主体管理构架于真实的组织结构之上 (9)
4.4 基于⾏为后果的搜索引擎技术分类⽹址库 (10)
4.5 细粒度树形协议分类库 (10)
4.6 流⾏的五元组⽅式的策略定义 (10)
4.7 DPT,DST技术 (10)
4.8 持续的、可学习的本地更新技术 (10)
4.9 安全基础的PPDR理念 (11)
五、 XX集团上⽹⾏为管理解决⽅案和技术实现 (11)
5.1 整体解决⽅案 (11)
5.1 总部ICG部署的⽹络拓扑 (12)
5.2 分公司ICG部署的⽹络拓扑 (12)
5.3 NSICG的技术实现介绍 (12)
5.3.1可靠⾼效的硬件系统和智能容错旁路技术 (12)
5.3.2灵活安全的设备管理⽅式 (13)
5.3.3专业级的应⽤识别和分类,层次清晰的结构化管理 (13)
5.2.4迅速准确的协议跟踪识别 (13)
5.3.5细致的⽤户组织结构管理 (13)
5.3.6XX灵活精细的带宽管理策略 (14)
5.3.7异常流量防护报警,保障出⼝线路的稳定 (14)
5.3.8先进的内容过滤技术,构建⽂明健康的企业⽹络 (15) 5.3.10强⼤的内置流量分析和⾏为统计报告 (16)
六、产品规范 (16)
6.1产品指标规范 (16)
6.2系统结构图: (16)
七、项⽬实施管理 (17)
⼋、产品部署⽅案 (18)
8.1设备上线安装步骤 (18)
8.2 设备IP、路由说明,地址分配说明 (18)
8.3互联⽹访问管理部署 (18)
8.4设备可⽤性测试 (19)
8.5风险分析及回退 (19)
8.6变更实施⼈员⼯作分⼯ (19)
8.7使⽤期间的维护 (19)
8.8部署完毕后守局并制作使⽤报告 (19)
九、重点功能实现⽅案细则 (19)
9.1⽤户⾝份鉴别及帐户的管理 (19)
9.2互联⽹访问提速⽅案 (20)
信息包⼗、典型客户 (21)
10.1、典型客户案例 (21)
10.2、典型客户列表 (24)
⼀、XX介绍
1.1公司简介
北京XX科技有限公司是互联⽹控制管理领域的先⾏者,致⼒于研究如何帮助⼴⼤⽤户更好地控制和管理对互联⽹的使⽤。XX 科技能够为客户提供中国最领先的互联⽹控制管理解决⽅案,全⾯细致地帮助⽤户实现上⽹⾏为管理、内容安全管理、带宽分配管理、⽹络应⽤管理、外发信息管理,有效解决互联⽹带来的管理、安全、效率、资源、法律、青少年⽹瘾等各种问题。
XX科技由美国风险投资、资深⾦融管理专家及回国留学⽣共同创办。XX科技深根中国,特别强调⾃主创新、⾃主研发,曾获得国家多项技术创新基⾦的⽀持。XX科技不断探索最前沿的互联⽹控制管理技术,深度研究中国⽹民的上⽹习惯,从管理⾓度出发、从内容层⾯控制、从⼈的⾏为进⾏管理,为中国⽤户提供最完善的互联⽹控制管理产品与服务。
3年多来,XX科技凭借领先的产品理念、国际化的技术团队及本地化的服务优势,迅速成长为国内上⽹⾏为管理(EIM –Employee Internet Management)领域的领导者,并先后在⽇本、美国、南美洲等地区打开市场,成为国际知名的EIM产品与⽅案提供商。快速发展的XX科技正逐渐步⼊国际化轨道,全球越来越多的⽤户正在体验XX科技带来的更易管理、更加安全、
更加⽂明的互联⽹空间。
1.2产品简介
XX互联⽹控制⽹关(ICG – Internet Control Gageway,以下简称ICG)是XX公司的核⼼产品,是⼀款⾯向企业市场的软、硬件⼀体化⽹关设备。它通过⽹页过滤、应⽤控制、带宽管理、监控审计等⼿段,帮助企业对员⼯的上⽹⾏为进⾏规范管理,屏蔽对不良⽹站的访问,控制并审计敏感信息的外发泄密,避免由于员⼯的不当⽹络⾏为引起的法律责任,以及帮助企业合理利⽤宝贵的带宽资源。相⽐传统的⽹络安全产品,XXICG不以防范外来攻击为直接⽬标,⽽是通过对⽹络活动的主体–员⼯的⾏
为以及⽹络访问内容进⾏管理监控,来保障企业⽣产⼒、保护企业知识产权以及合理利⽤企业⽹络资源,是⾯向主体、⾯向内容和⾯向管理的⼀款⽹络安全产品。
XX推出了⾯向中⼩企业、⼤中企业、电信级企业三⼤系列8款产品,满⾜各种规模的企业对互联⽹资源管理的需求。到⽬前为⽌,XXICG产品已经在⾦融、电信、能源、教育、
IT、制造等⼗⼏个⾏业超过1000家客户得到推⼴应⽤。领先的产品质量与贴近⽤户的服务,得到了⽤户和业界的⾼度认
可,XX也为此多次获得殊荣。
1.3资质认证
XX科技⾃成⽴以来,先后获得了⼀系列资质认证,包括⾼新技术企业证书、双软认证、软件著作权登记证书、公安部销售许可证和公安部检测报告等。
1.4产品荣誉
中⼩企业IT优选产品中国信息化500强指定产品
⼆、上⽹⾏为管理– XX⾏业信息安全新视⾓
2.1XX⾏业信息安全建设⾯临的问题
伴随着以互联⽹为代表的信息技术与⽹络技术的迅猛发展,我国XX⾏业在电⼦化、⽹络化⽅⾯取得了很⼤成就,已经建成了相对完善的⽹络系统、终端系统等基础设施和信息化⽔平较⾼的业务系统。这些系统的建设,提⾼了XX⾏业务处理的效率,改善了XX⾏业⾏业的经营环境,增强了XX⾏业信息的可靠性,促进了各项新业务的拓展。
XX⾏业作为关系国计民⽣的命脉⾏业,信息与数据的安全管理涉及国家、企业以及个⼈的经济利益,因此信息安全始终是XX ⾏业信息化建设的重要组成部分,⽽⽹络安全⼜是信息安全的重中之重。随着⼀些传统XX⾏业务转移到互联⽹上,在享有互联⽹带来的便利、⾼效、低成本的好处的同时,也越来越多地⾯临来⾃互联⽹的安全挑战。⾯对⿊客攻击、⽹络病毒、间谍软件以及垃圾邮件等威胁,XX公司⼤多数已经部署了⽹络隔离系统、防⽕墙、⼊侵检测系统、VPN、防病毒软件、反垃圾邮件系统等,构成XX⾏业⽹络的⽴体防护屏障,防范来⾃互联⽹的攻击,保障⽹络与业务系统的安全运⾏。
传统的⽹络安全设备可以有效地阻挡来⾃XX⾏业外部的攻击,但对于内部原因,特别是由于员⼯上⽹⾏为不当引起的安全问题却⽆能为⼒。据调查,⼤部分⾦融安全问题是由于内部监控和风险管理⽋缺引起的。许多XX公司可能认为员⼯是最不需要进⾏安全管理的⼀部分,但是,内部员⼯有意或⽆意的不当上⽹⾏为往往对XX⾏业的信息安全造成更⼤的损
害。这些⾏为表现为:
●敏感信息泄漏
电⼦邮件、即时聊天以及论坛发帖等⽹络应⽤,为⼈们沟通信息提供了极⼤的便利,但也可能成为员⼯泄密的⼯具。XX⾏业员⼯掌握着⼤量敏感数据,如果不对员⼯的外发信息进⾏严格控制与监控审计,这些重要信息可“轻易⽽快速”地传递到外部,给XX⾏业造成重⼤损失。
●安全事件频发
四通⼋达的⽹络,⽅便的不仅仅是正常业务的传输,恶意代码、病毒、蠕⾍、间谍软件等等,也会搭乘便车,籍由貌似“善良”的⽹页、Email、聊天⼯具、下载⼯具等⽅式,悄悄侵⼊到⽹络的各个⾓落。由于防⽕墙不能分析应⽤层的内容,⽆法阻挡这些⽹页的下载,⽽桌⾯防病毒软件尽管可以识别并阻⽌病毒的⼊侵,但可能由于软件的版本落后或者病毒更新的速度更快,造成防范实效。由于内部员⼯不安全的互联⽹访问⽽造成的病毒传播与⿊客⼊侵,成为⽹络安全的最⼤⿊洞。
●⼯作效率降低
为了在⽇益激烈的竞争中获得优势,XX公司必须不断增加业务品种,改善服务质量,提⾼⼯作效率,降低运营成本。但未加管理的互联⽹应⽤可能会⼤⼤降低员⼯的⼯作效率。据⼀项调查显⽰,普通企
钻孔电视业员⼯每天的互联⽹访问活动中40%与⼯作⽆关,、浏览新闻娱乐、⽹络视频、⽹络游戏、炒股、博客等⽆时⽆刻不在占⽤正常的⼯作时间,敲击键盘和点击⿏标的“忙碌”表象背后却是低下的⼯作效率。在⾼度⽹络化的现代办公环境⾥,办公室可能成为“舒适的⽹吧”。⼈⼒资源在⽆形中浪费巨⼤,企业运⾏效率也因此⼤⼤降低。
●带宽资源浪费
XX⾏业是信息化建设最先进的⾏业之⼀,企业为了业务发展进⾏了⼤量的IT设备与带宽资源投资。统计表明,在互联⽹活动未加管理的企业中,宝贵的带宽资源超过70%被⾳乐、视频下载等占⽤,尽管带宽⼀扩再扩,却总是被BT、电驴、迅雷等
P2P 应⽤挤占。这不仅造成带宽资源被⼤量浪费,还使得企业正常业务得不到应有的带宽保证。
●导致法律风险
互联⽹充斥着各种良莠不齐的信息,企业员⼯在获取有⽤信息的同时,也易被不良内容侵蚀。为了加强对互联⽹的控制和管理,国务院、⼈⼤常委会、公安部、信息产业
部皆相继出台法律法规明⽂规定,接⼊互联⽹的单位和企业要采⽤相应的技术⼿段对互联⽹的使⽤做出控制和管理。对于互联⽹资源的⾮法访问,⽐如访问⾊情、赌博、犯罪⽹站、发表反动⾔论、泄露
重⼤机密等,都会触犯相关法律,给XX⾏业带来法律风险。
2.2对员⼯上⽹⾏为进⾏规范管理势在必⾏
以上分析看出,由于员⼯的主动⽹络⾏为引发的问题⽆法通过传统的⽹络安全保护⼿段实现,必须通过专业的上⽹⾏为管理产品解决。何为上⽹⾏为管理?简单地讲,就是对员⼯主体的基于内容的⽹络访问⾏为进⾏管理,包含如下⼏个要素:
第⼀、上⽹的⼈是谁(Who:哪个部门哪个员⼯);
第⼆、上⽹的时间(When:⼯作⽇/周末,上班时间/午间休息/夜间,上午/下午);
第三、上⽹做了什么事(How:浏览⽹页、下载⽂件、聊天、游戏、等等);
第四、具体内容是什么(What:⽹页的内容、聊天的内容、邮件的内容);丝锥夹头
第五、占⽤的带宽和流量是多⼤(How much),等等。
与传统的安全防护⽅式不同,上⽹⾏为管理产品基于⽤户、时间、⽹络应⽤、带宽等元素对员⼯的上⽹⾏为进⾏灵活的策略设置,把⽹络风险管理从“被动式响应管理”提升为“主动式预警管理”,从“防范
管理”提升为“控制管理”。为了实现真正安全的⽹络环境,XX ⾏业需要“内外兼修”,除了阻挡外部攻击外,还应该转换视⾓,⼤⼒加强对内的管理,对员⼯的上⽹⾏为进⾏规范管理是⼗分必要的。环氧大豆油丙烯酸酯
三、XX公司互联⽹访问管理需求分析
3.1 项⽬背景
XX公司是国内七⼤XX集团之⼀,由中国⽯油化⼯集团公司、中国南⽅航空集团公司、中国铝业公司、中国外运长航集团有限公司、⼴东电⼒发展股份有限公司等⼤型企业集团于2005年发起组建,注册资本⾦37亿元⼈民币。公司股东实⼒强⼤,涉及⾏业⼴泛,股权结构合理,符合现代企业制度。⽬前拥有多家⼦公司。
3.2 需求分析
总部需求分析:
随着总部⼈数和业务规模的迅速扩张,现在的互联⽹管理已⽆法控制与⼯作⽆关的流量,包括P2P下载、P2P视频以及与⼯作⽆关的⼤流量web访问,造成出⼝带宽链路不堪重
负,成为XX公司总部办公⽹与互联⽹信息沟通的瓶颈;同时⼤量的访问不健康web⽹页,给总部的内
部⽹络安全带来了极⼤的隐患,容易造成⽊马和病毒的传播,员⼯的⼯作效率也会⼤⼤的下降。因⽽,XX集团总部需要专⽤互联⽹管理设备提供更丰富的应⽤流量管理,以及能有效的管控互联⽹内容访问,来满⾜⽬前和未来,承载更多⽤户、提供更⾼访问性能的需要。
分公司需求分析:
随着分公司⼈数和业务规模的迅速扩张,原有通过专线到总部再访问Internet的⽅式已不堪重负,不能保证24⼩时的稳定⼯作,同时⼤量的P2P等下载也占⽤了省公司和地市⼦公司之间的4M专线带宽,导致视频会议等关键业务QOS不能保障,因此分公司需要建⽴⾃⼰的Internet出⼝,来实现上⽹业务的正常运转。
结合上述性能和功能提升的要求,⽤户上⽹⾏为管理项⽬的具体要求和⽬的为:
四、 XX集团互联⽹访问管理⽅案设计理论依据
4.1基于ISO/IEC 17799信息安全管理标准
ISO/IEC 17799是信息安全管理体系的国际标准,该信息安全管理的⾏为标准是为信息安全系统提供的⼀个普通的最佳操作⾏为标准集合。其⽬的是为制订组织的安全标准和进⾏有效的安全管理实践提供公共的基础,并且为组织间的交易建⽴必要的信任。应当根据适⽤的法律法规选择使⽤该标准推荐
的内容。
ISO/IEC 17799详细介绍了127种安全措施,归纳成了10个部分。其中包含对于共享⽹络的访问控制政策需求,尤其是那些超越了组织界限的⽹络(例如互联⽹),需要对⽹络进⾏综合控制,以限制⽤户间的互连。可以通过在⽹关中按照⼀定规则过滤信息来实现这样的控制。这些限制应基于商业应⽤的访问政策和需求来考虑,并应定期进⾏维护和更新。
ISO/IEC 17799对访问控制提出如下基本要求,并做出细节描述:
⽤户标识和鉴别
连接时间的限制
应⽤访问控制
敏感信息隔离
手套编织机监视系统访问和使⽤
事件记录
对于互联⽹访问控制,需要完全遵循ISO/IEC 17799 标准,实施对信息访问和商业处理活动的控制,才能有效保障民⽣商业信息活动的安全管理。
4.2主体管理技术理念
越来越多的互联⽹访问出⼝阻塞以及⽹络安全问题是由于内部⽤户的不当访问造成的。主体管理通俗的讲就是将公司的管理政策(在本⽅案中即为上⽹管理规定)通过技术⼿段落实到内部⽤户⾝上,增加管理规定的可操作性和可审计性。
4.3 主体管理构架于真实的组织结构之上
由于主体管理的策略设置时所有对象都是基于⼈(⾏为主体)同时策略相对复杂(同⼀个部门中的不同⼩部门,不同⼈可能产⽣策略差异),因此在策略主体定义时为了避免策略产⽣后期的不可逆转性,采⽤真实的多级组织结构(不是平⾯组)进⾏主体定义是⼗分必须的。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议