上網(wǎng)行為管理設(shè)備采購(gòu)申請(qǐng)報(bào)告1■現(xiàn)狀分析公司上網(wǎng)權(quán)限沒(méi)有明確的制度規(guī)定，不能根據(jù)不同崗位的需求設(shè)定上網(wǎng)權(quán)限，現(xiàn)用戶通過(guò)網(wǎng)絡(luò)權(quán)限申請(qǐng)開(kāi)通外網(wǎng)權(quán)限。已有上網(wǎng)權(quán)限同事現(xiàn)基本不受控制，可訪問(wèn)購(gòu)物、娛樂(lè)、股票等網(wǎng)頁(yè)，目前已有的維盟網(wǎng)關(guān)設(shè)備可控制部分游戲、股票、在線視頻等內(nèi)容，但功能比較簡(jiǎn)單，無(wú)法識(shí)別所有的應(yīng)用（如果有新的游戲或新的股票軟件等是無(wú)法識(shí)別的。目前公司用維盟路由器做網(wǎng)關(guān)，設(shè)備較陳舊，不能做到精細(xì)化的行為管控功能，沒(méi)有安全審計(jì)功能。對(duì)于上網(wǎng)行為管控、外發(fā)文件、郵件管控以及上網(wǎng)日志記錄等功能，已有的設(shè)備無(wú)法支撐未來(lái)發(fā)展的要求。2,存在的問(wèn)題及風(fēng)險(xiǎn)2.1帶寬資源被非關(guān)鍵應(yīng)用大量占用：公司內(nèi)部人員上班時(shí)間使用P2P等軟件下載與工作無(wú)關(guān)的資源、在線觀看與工作無(wú)關(guān)的視頻，導(dǎo)致辦公期間帶寬嚴(yán)重不足。無(wú)法對(duì)用戶網(wǎng)絡(luò)帶寬流量智能管理控制，嚴(yán)重影響了工作效率。2.2單位人員上班時(shí)間使用工作無(wú)關(guān)的應(yīng)用：部分內(nèi)部人員上班時(shí)間網(wǎng)上購(gòu)物、聊天、股票、玩在線游戲等，做些與工作無(wú)關(guān)的事情，浪費(fèi)了公司的人力和網(wǎng)絡(luò)資源。2.3存在泄密■網(wǎng)絡(luò)違法風(fēng)險(xiǎn)：部分內(nèi)部人員安全和法律意識(shí)較差存在網(wǎng)絡(luò)泄露機(jī)密以及網(wǎng)絡(luò)發(fā)布違法不良言論的風(fēng)險(xiǎn)。2.4私接小路由器，隨身wifi，擾亂網(wǎng)絡(luò)管理：內(nèi)部人員私接小型路由器，隨身Wi-Fi設(shè)備（360隨身Wi-Fi、小度隨身Wi-Fi、小米隨身Wi-Fi等），甚至是獵豹免費(fèi)Wi-Fi之類的共享軟件把內(nèi)部網(wǎng)絡(luò)共享給移動(dòng)終端設(shè)備，導(dǎo)致非法移動(dòng)終端可以隨意接入內(nèi)部網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)進(jìn)行干擾，客戶在公司無(wú)穩(wěn)定無(wú)線網(wǎng)絡(luò)可用，同時(shí)給網(wǎng)絡(luò)管理造成漏洞和安全隱患。2.5網(wǎng)絡(luò)行為溯源缺失：沒(méi)有互聯(lián)網(wǎng)上網(wǎng)行為記錄措施，一旦發(fā)生網(wǎng)絡(luò)違法或者泄密，沒(méi)法追溯事件源頭，具有信息安全和信息泄密風(fēng)險(xiǎn)。不滿足公安部82號(hào)法令（企業(yè)單位需要對(duì)內(nèi)網(wǎng)用戶網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行存儲(chǔ)記錄，）的要求。2.6對(duì)員工上網(wǎng)■郵件沒(méi)有做合理的監(jiān)控和發(fā)送大小限定3■問(wèn)題的解決方法在網(wǎng)絡(luò)出口增加上網(wǎng)行為管理專業(yè)設(shè)備，對(duì)用戶的上網(wǎng)行為進(jìn)行管理，禁用非法網(wǎng)址、視頻等，提高公司帶寬的利用率，對(duì)郵件大小及發(fā)送郵件的后綴名進(jìn)行管理限制。接入設(shè)備的wifi熱點(diǎn)及聊天等社交工具的管理和控制。4■采用上網(wǎng)行為管理設(shè)備給公司帶來(lái)的效益4.1避免數(shù)據(jù)泄密以及網(wǎng)絡(luò)違法，防患于未然上網(wǎng)行為管理設(shè)備可幫助公司實(shí)現(xiàn)主動(dòng)防泄密，避免內(nèi)部人員通過(guò)IM、郵箱等應(yīng)用給外界傳輸單位機(jī)密文件；也可以實(shí)現(xiàn)關(guān)鍵字過(guò)濾以及記錄，避免單位內(nèi)部人員通過(guò)BBS、微博、郵箱等應(yīng)用在互聯(lián)網(wǎng)上發(fā)布不良言論，將泄密和網(wǎng)絡(luò)違法行為扼殺。4.2提高工作效率，加速業(yè)務(wù)運(yùn)轉(zhuǎn)通過(guò)上網(wǎng)行為管理設(shè)備對(duì)與工作無(wú)關(guān)的網(wǎng)頁(yè)和應(yīng)用進(jìn)行限制減少員工在與工作無(wú)關(guān)的互聯(lián)網(wǎng)內(nèi)容上花費(fèi)的時(shí)間，提高員工的有效工作時(shí)間，提高工作效率及工作積極性，從而實(shí)現(xiàn)整體業(yè)務(wù)的加速運(yùn)轉(zhuǎn)。4.3規(guī)范網(wǎng)絡(luò)管理，減輕管理壓力通過(guò)防私接路由技術(shù)和非法Wi-Fi發(fā)現(xiàn)技術(shù)可以有效防止內(nèi)網(wǎng)中私牽路由和私自使用非法Wi-Fi熱點(diǎn)，使網(wǎng)絡(luò)拓補(bǔ)更加規(guī)范，網(wǎng)絡(luò)管理更加簡(jiǎn)捷無(wú)漏洞，問(wèn)題解決更加迅速。4.4帶寬價(jià)值最大化，鏈路高可用通過(guò)此次的項(xiàng)目，公司可實(shí)現(xiàn)在現(xiàn)有的帶寬資源上做到合理的分配，讓與工作相關(guān)性不大應(yīng)用將帶寬讓給更多業(yè)務(wù)相關(guān)、尤其涉及核心業(yè)務(wù)的應(yīng)用，最大化利用現(xiàn)有帶寬，做到有序、合理、高管控，避免的不必要的浪費(fèi)及頻繁的帶寬升級(jí)上網(wǎng)行為管理設(shè)備解決方案5.1身份認(rèn)證AC為內(nèi)網(wǎng)用戶提供賬號(hào)/密碼等認(rèn)證方式，結(jié)合單點(diǎn)登錄技術(shù)(SingleSignOn,SSO)將避免手工輸入帳號(hào)信息以簡(jiǎn)化操作。AC通過(guò)數(shù)據(jù)包監(jiān)聽(tīng)方式即可支持AD單點(diǎn)登錄功能。內(nèi)網(wǎng)用戶采用域賬號(hào)登陸操作系統(tǒng)后，自動(dòng)通過(guò)AC認(rèn)證，簡(jiǎn)化用戶操作，且合作伙伴等第三方人員接入機(jī)構(gòu)內(nèi)網(wǎng)后將自動(dòng)禁止訪問(wèn)Internet，進(jìn)一步降低機(jī)構(gòu)信息資產(chǎn)外泄的風(fēng)險(xiǎn)。AC的POP3、PROXY單點(diǎn)登錄功能啟用后，內(nèi)網(wǎng)用戶只需收發(fā)一下Email、或觸發(fā)PROXY服務(wù)器的認(rèn)證后，也將自動(dòng)通過(guò)AC認(rèn)證，極大的方便了用戶的使用。對(duì)于三層網(wǎng)絡(luò)環(huán)境的用戶，AC可跨三層綁定IP/MAC。5.2訪問(wèn)控制5.2.1網(wǎng)頁(yè)過(guò)濾通過(guò)AC上URL庫(kù)的管理對(duì)公司明確禁止訪問(wèn)的網(wǎng)頁(yè)進(jìn)行分組默認(rèn)禁止訪問(wèn)。對(duì)其他針對(duì)型部門員工通過(guò)VLAN、IP和MAC進(jìn)行管控，如財(cái)務(wù)部可以訪問(wèn)銀行網(wǎng)站其他均不允許等。此策略可控制員工在辦公室不能訪問(wèn)購(gòu)物、娛樂(lè)、股票等與工作無(wú)關(guān)網(wǎng)站網(wǎng)頁(yè)，提供工作效率。5.2.2關(guān)鍵字過(guò)濾員工上網(wǎng)時(shí)會(huì)根據(jù)自己訪問(wèn)習(xí)慣，通過(guò)搜索引擎對(duì)關(guān)鍵字進(jìn)行搜索訪問(wèn)上網(wǎng)。網(wǎng)絡(luò)的開(kāi)放性給網(wǎng)民帶來(lái)更多的言論自由，但互聯(lián)網(wǎng)上部分不負(fù)責(zé)任人士發(fā)表一些類似色情、反動(dòng)、迷信或者暴力的信息，影響其他人士，造成了不必要的影響。AC可對(duì)聯(lián)網(wǎng)中的非法、暴力、毒品等不良網(wǎng)站進(jìn)行過(guò)濾及對(duì)論壇網(wǎng)站發(fā)帖進(jìn)行關(guān)鍵字過(guò)濾。天涯、貓撲、百度貼吧等論壇網(wǎng)站，AC可設(shè)置看帖看不允許發(fā)帖，或者實(shí)行發(fā)帖關(guān)鍵字過(guò)濾，靈活避免組織中出現(xiàn)泄密或者發(fā)表不良言論帶來(lái)法律追究責(zé)任的風(fēng)險(xiǎn)。為組織內(nèi)網(wǎng)提供一個(gè)綠色、健康、高效的互聯(lián)網(wǎng)訪問(wèn)環(huán)境。同時(shí)AC支持在搜索引擎中設(shè)置多關(guān)鍵字過(guò)濾，過(guò)濾包含不健康內(nèi)容的網(wǎng)頁(yè)。5.2.3文件類型過(guò)濾部分員工利用下載和上傳的工具在上班時(shí)間做與工作無(wú)關(guān)的事情比如下載電影、音樂(lè)、游戲等，不僅影響工作效率，而且占用并浪費(fèi)了組織的帶寬資源。AC根據(jù)下載文件的類型判別下載的內(nèi)容，電影、音樂(lè)、游戲等與工作無(wú)關(guān)的娛樂(lè)信息為常見(jiàn)的rmvb\avi\mp3等格式，用戶通過(guò)定義這些文件格式為影視類型，對(duì)這類文件的上傳和下載進(jìn)行過(guò)濾。禁止通過(guò)其他途徑向外發(fā)送文件，通過(guò)審計(jì)之后，允許發(fā)送，未通過(guò)的不允許發(fā)送。5.2.4應(yīng)用控制對(duì)于內(nèi)網(wǎng)用戶的網(wǎng)頁(yè)訪問(wèn)行為，AC可管理用戶使用WEB、FTP、EMAIL等常用服務(wù)，通過(guò)深度內(nèi)容檢測(cè)技術(shù)，實(shí)現(xiàn)對(duì)QQ、MSN、SKYPE等IM聊天工具，BT、電騾等P2P下載工具，PPLive、QQLive等在線影音工具，網(wǎng)絡(luò)游戲，在線炒股等網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理和控制。針對(duì)目前P2P行為泛濫的趨勢(shì)SANGFORAC的P2P智能識(shí)別技術(shù)能夠?qū)Σ怀Ｓ玫?、未?lái)可能出現(xiàn)的P2P軟件進(jìn)行有效管控。并且對(duì)P2P行為嚴(yán)重吞噬帶寬資源的問(wèn)題，提供P2P應(yīng)用封堵或流量管理措施。針對(duì)類似P2P難以管控的應(yīng)用，AC內(nèi)置應(yīng)用智能識(shí)別庫(kù)，自動(dòng)判斷新出現(xiàn)應(yīng)用特征，從而歸類管理。可通過(guò)AC所具備的多種網(wǎng)絡(luò)訪問(wèn)控制功能對(duì)現(xiàn)公司辦公電腦進(jìn)行針對(duì)性管控，默認(rèn)禁用上網(wǎng)聊天工具、影音娛樂(lè)軟件、網(wǎng)絡(luò)游戲、股票軟件，也可以基于用戶/用戶組、基于時(shí)間段、基于不同目標(biāo)行為進(jìn)行靈活權(quán)限控制，實(shí)現(xiàn)人性化管理要求。5.2.5加密聊天管理根據(jù)公司相關(guān)業(yè)務(wù)需求可能后期會(huì)開(kāi)通在線溝通軟件，如QQ、TM、Skype等。隨著"加密化"的趨勢(shì)不僅使明文的HTTP網(wǎng)站開(kāi)始轉(zhuǎn)向加密的HTTPS網(wǎng)站，現(xiàn)各種IM聊天工具的聊天內(nèi)容也被加密，如果不能對(duì)加密的IM聊天內(nèi)容進(jìn)行監(jiān)控和記錄，隱匿其中的安全風(fēng)險(xiǎn)、安全事件就無(wú)法防御、無(wú)據(jù)可查。AC通過(guò)聊天內(nèi)容同步偵聽(tīng)(Real-timeMonitorforMessages,RMM)，實(shí)現(xiàn)對(duì)QQ、Skype等加密聊天內(nèi)容的監(jiān)督和記錄。5.2.6郵件管理由B件成為了日常工作中一種必需的工具如何避免員工通過(guò)郵件有意或無(wú)意泄露公司機(jī)密，如何過(guò)濾垃圾郵件，減少讓人頭痛的郵件管理問(wèn)題呢？AC郵件過(guò)濾功能，可根據(jù)發(fā)送和接受郵件的地址，郵件主題、正文、附件類型，發(fā)送郵件的大小、附件個(gè)數(shù)等自動(dòng)判別和過(guò)濾不符合規(guī)定郵件和垃圾郵件。為避免郵件處理過(guò)程中，包含關(guān)鍵字的郵件為合法郵件，AC的郵件延遲審計(jì)（PostponedSendingafterAudit,PSA）技術(shù)，可將敏感郵件阻擋于內(nèi)網(wǎng)。內(nèi)網(wǎng)員工發(fā)送Email由B件時(shí)，用戶認(rèn)為已經(jīng)成功發(fā)送，實(shí)際上該Email行為被AC識(shí)別后，符合管理員預(yù)定策略的Email被AC網(wǎng)關(guān)攔截，整封Email郵件、包括正文和附件全部轉(zhuǎn)存至郵件緩沖區(qū)。指定的郵件審核人員會(huì)獲得郵件通知，經(jīng)人為審核后，才允許該Email由B件發(fā)送到公網(wǎng)上，實(shí)現(xiàn)了對(duì)泄密郵件的封堵，保護(hù)了機(jī)構(gòu)的敏感信息的安全性。AC的郵件延遲審計(jì)技術(shù)對(duì)內(nèi)網(wǎng)員工完全透明，郵件的發(fā)送過(guò)程與日常無(wú)異。5.2.7無(wú)線AP管控禁止未知或未經(jīng)允許的無(wú)線路由器與無(wú)線AP接入和連接外網(wǎng)。當(dāng)有無(wú)線路由器或無(wú)線AP接入時(shí)，生成記錄，并通知管理員。通過(guò)策略可以允許某一些無(wú)線路由器或者無(wú)線AP連接網(wǎng)絡(luò)。5.3寬帶流量管理各種吞噬帶寬的應(yīng)用出現(xiàn)和使用，類似P2P，組織若不加以管控，帶寬必會(huì)被這類應(yīng)用占據(jù)，從而導(dǎo)致整體網(wǎng)絡(luò)速度變慢，正常的郵件發(fā)送和網(wǎng)絡(luò)訪問(wèn)都無(wú)法通暢。AC可應(yīng)用流量進(jìn)行智能識(shí)別，根據(jù)相應(yīng)時(shí)間段和用戶組權(quán)限設(shè)置組帶寬以及組內(nèi)用戶所占帶寬，并可按優(yōu)先級(jí)高的組優(yōu)先使用帶寬。帶寬包括上傳和下載。根據(jù)用戶網(wǎng)絡(luò)行為檢測(cè)是否存在下載或P2P流量，并根據(jù)檢測(cè)結(jié)果進(jìn)行封堵或流控實(shí)現(xiàn)寬帶智能控制。能自動(dòng)檢測(cè)外網(wǎng)網(wǎng)絡(luò)帶寬或者我們?cè)O(shè)置兩外網(wǎng)帶寬具體數(shù)值。（例如，我們作了雙ISP鏈路備份，但是網(wǎng)絡(luò)帶寬不一樣，一條鏈路斷了，鏈路會(huì)自動(dòng)切換）當(dāng)一條網(wǎng)絡(luò)帶寬斷了，每個(gè)組的用戶會(huì)自動(dòng)選擇另外一個(gè)帶寬限制策略。5.4監(jiān)控審計(jì)5.4.1記錄可以記錄下所有的網(wǎng)絡(luò)行為訪問(wèn)記錄，比如外發(fā)消息，監(jiān)控用戶網(wǎng)訪問(wèn)過(guò)的網(wǎng)址和試圖訪問(wèn)的網(wǎng)址等，在內(nèi)部人員上網(wǎng)前進(jìn)行認(rèn)證，明確責(zé)任。5.4.2日志存儲(chǔ)和權(quán)限支持外部日志服務(wù)器，可以實(shí)現(xiàn)日志導(dǎo)出和同步。日志存儲(chǔ)容量無(wú)限大。可對(duì)日志內(nèi)容進(jìn)行取樣和統(tǒng)計(jì)，形成各類圖表（柱狀圖，餅狀圖，曲線圖），生成報(bào)表。能對(duì)管理員進(jìn)行權(quán)限設(shè)置，例如，（A用戶僅能查看配置設(shè)置，B用戶可以更改設(shè)置，但是不能查看日志，只有最高權(quán)限用戶可以查看日志以及配置設(shè)備）設(shè)備選型比對(duì)目前供應(yīng)商根據(jù)現(xiàn)公司現(xiàn)狀均推薦購(gòu)買深信服AC1200/1220

產(chǎn)用圖金產(chǎn)品豆明單憤單卅［無(wú)】涵（五）利胸商摳仙1上網(wǎng)行力鼻ftC-1220勺含月古認(rèn)正.燃區(qū)控制、行為監(jiān)攔一行為豐土外賞宜計(jì).帶寬井、孳眼毓自拒.其嘗/JiFi豈至、統(tǒng)計(jì)損席曰能景K支持磚:&DM:并發(fā)戶典:600r網(wǎng)咨吾典:2MMbpir寫毛L新建iE接故:1200,最:&9000;硬最容旦：128GSSD網(wǎng)咨接H:d八■十,&電口?UyPass:UR卷茹舛也QURL與.函艦庫(kù)升殷1年1臺(tái)￥30.50000￥3Or5?.W兼tin苛油再柯有礎(chǔ)司2上網(wǎng)仔為算AC-1220包含月戶認(rèn)-上、沽問(wèn)控散行為蝠行為畝計(jì)、外發(fā)曰計(jì)、硅夸基透猝港笠岌豆'可后昔在、藐計(jì)最K豆椅蜀:63M;莊寂戶我皇:600;網(wǎng)焙吞止壁：260Mbps;國(guó)^新建目弟S；1200,:&3000.：硬色醵：128GSSD網(wǎng)給接ZI;時(shí)千％電口：EyPiJN;15ftURL^?^V2.0URL與應(yīng)用規(guī)虹庫(kù)推1年L言.￥35343.00￥33J4j.OT訐LI挨諱般司2上何行內(nèi)夸三AC-120D包富月戶認(rèn)土、沆叵控札行為典.行為宥汁、弗發(fā)審計(jì)、帶竟夸浬.穢避用控.拄皇WiFi案、筑計(jì)授表等岳熊最K支3^宏:6DM;瞧戶曜:600?向爵舌揖:26OM￡p5;國(guó)堀麒海:1200,最島feSSE!:&3000.：硬也留晝:25OG網(wǎng)緡接ZI:ST形電口；EyPa?:攻tURL^^VWURLK吏用規(guī)虹庠升板1年1臺(tái)￥35,70000￥35JOO.M制iim寧佳桎科博有祕(mì)司（可提供使設(shè)旨）7、