《数据防泄漏系统解决方案(共34页).doc》由会员分享,可在线阅读,更多相关《数据防泄漏系统解决方案(共34页).doc(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上数据防泄漏系统解决方案 北京网信安盟科技有限公司2010-01-11目录第1章 概述随着信息技术的飞速发展,计算机和网络已成为日常办公、通信交流和协作互动的必备工具和途径。但是,信息系统在提高人们工作效率的同时,也对信息的存储、访问控制及传输关键数据,如何有效防止其丢失和泄漏等一系列问题提出了安全需求。目前对局域网的安全解决方案,还停留在采用防火墙、入侵检测、网络防病毒等保护网络、限制信息访问或者监控行为的被动防护手段上。在过去的一年中,全球 98.2的计算机用户使用杀毒软件;90.7设有防火墙;75.1使用反间谍程序的软件。但却有 83.7的用户遭遇过至少一次病毒、
2、蠕虫或木马攻击事件;79.5遭遇至少一次间谍程序攻击事件。据国家计算机信息安全测评中心数据显示:由于内部重要机密通过网络泄漏而造成经济损失的单位中,重要资料被黑客窃取和被内部员工泄漏的比例为:1:99。这是来自于国家计算机信息安全测评中心的一个数据,据调查显示,互联网接入单位由于内部重要机密通过网络泄漏而造成重大损失的事件中,只有 1%是被黑客窃取造成的,而 99%都是由于内部员工有意或无意的一些泄密行为所导致的。第2章安全风险分析根据我们的总结分析,来自内部的安全威胁主要有以下几类:l 窃取者将自己的计算机通过内网网络交换设备或者直连网线非法就接入内网或者计 算机终端,窃取内网重要数据;l
3、窃取者直接利用局域网中的某一台主机,通过网络攻击或欺骗的手段,非法取得其他主机甚至是某台网络服务器的重要数据;l 内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印非法拨号外联等 手段泄漏到单位外部;l 内部人员窃取管理员用户名和密码,非法进入单位重要的业务和应用服务器获取内部重要数据。l 内部员工在工作时间浏览无关的网站,导致恶意程序在内网横行,阻塞正常网络带宽l 应用系统(OA,业务系统)等未考虑应用级的安全,任何文件都是明文传输,明文存贮在应用系统的数据库,这样文件极易被截获,并且文件容易被人从数据库中提取,发生泄密事件。l 内部数据存贮在硬盘中,由于未使用数据加密技术,在PC电脑
4、出现故障,需要维修时,维修人员可以轻易从硬盘中获得任何数据。l 对于目前办公内网所使用的监控和审计系统,这类系统虽然提供了一定的网络控制功能,但其重点是对网络数据进行记录和审计,因此并不能很好地阻止单位信息泄密事件的发生。一旦泄密事件发生,对单位已经造成损失,此类产品的安全作用有限l 使用文档加密系统来对敏感数据进行保护的方式,对于这类系统主要是采用各种加密软件实现对计算机数据的加密,但是其对网络、计算机、用户的管理不灵活,而且内网资源众多,需要分别进行权限的设置,管理难度大,尤其当用户权限发生频繁更换的时候,容易造成漏洞。此类产品并不利于单位内部信息的安全管理。上述风险分析中可以看出数据在使
5、用、传输、存储过程中最容易出现安全隐患。这些安全威胁不是防火墙、入侵检测和防病毒等传统全手段所能解决的。应该看到信息安全要立足于终端,从源头抓起,才能从根本上解决安全问题;同时信息安全也要和应用系统紧密结合,才能做到有的放矢。第3章 解决方案从现状分析而知, 首先需要树立安全保密的意识,然后制订针对电子信息保密的规范,并且在日常中贯彻执行。我们既要有完整的、可靠的信息安全理论指导我们的方向,也要有经过验证的、实用的方案实现我们的想法,下面将介绍以:1、 ssl vpn系统2、 数据防泄漏软件系统3、 上网行为管理系统为核心的企业数据防泄漏完整解决方案。本方案考虑了从数据的存储、使用到传输过程中
6、的全方位的防泄漏解决办法。根据对XX公司需求的分析,本方案采用SSL VPN、数据防泄漏软件和上网行为管理系统相结合的方案,在公司总部使用深信服科技的M5100-S SSLVPN设备和M5100-AC上网行为管理设备,以及数据防泄漏软件系统。通过M5100-S移动办公人员可以使用SSL VPN协议,实现内部用户和出差在外用户经过严格的身份认证和授权后,安全便捷的接入公司内部网络核心应用服务器,进行科研和业务工作处理。准入系统可根据接入电脑的安全级别控制是否允许其接入核心服务器。通过M5100-AC上网行为管理设备,通过方便的Web身份认证,管理用户上网权限,封堵工作不需要访问的URL站点和网络
7、应用,控制用户上网下载流量,避免网络拥塞,减少带宽成本,准入系统还可强制用户电脑使用统一的安全软件和工作软件。3.1用户访问内网办公服务器认证、授权、审计针对武汉XX公司的需求,并综合SSL VPN特性,组网方案如下:方案说明:1、 XX公司内网SSL VPN设备承载着重要的应用,是整个办公网络系统的核心节点,所以,推荐采用深信服科技SSL VPN设备SINFOR M5100-S,同时,为了提高整个系统的稳定性,在条件允许时,该设备的部署可考虑采用双机热备的方式,当一台设备出现问题的时候可以无缝的切换到另外一台设备工作,保证核心业务不会被中断。2、 因为本次项目规划只为完成现有员工办公电脑的接
8、入,在后续拓展接入用户时,只需增加SINFOR SSL VPN设备的接入授权既可,无需再做任何其它设置改动。3、 所用用户通过SSL VPN接入时只需在浏览器中输入用户认证信息既可,认证通过后页面自动后台运行,用户电脑上无需安装任何客户端,用户使用简单,所有用户策略、权限分配完毕后,维护量为零。用户认证还可跟手机短信、USB-KEY、动态令牌等多种措施相结合,加强认证安全性。4、 通过认证的用户将被授权,即根据已设置的策略分配给已通过认证的用户相应的访问应用服务的权限。5、 通过认证的用户的一切网络行为都将被SINFOR SSL VPN设备记录日志,以便审计。6、 本拓补图中VPN设备采用桥接
9、模式部署,除了桥接部署模式之外,SINFOR SSL VPN设备还支持网关部署和旁路模式部署,极大的适应用户原有的网络环境。7、 SINFOR SSL VPN虚拟专线功能可实现当用户接入内网应用系统时自动与外网断开,保证内网服务器安全。SINFOR SSL VPN的详细功能请参见3.2节。3.2数据防泄漏软件系统3.2.1系统架构上图为数据防泄漏系统的系统架构示意图。其中每个客户端和应用数据服务器中均可存有受控加密文件。数据防泄漏系统由管理中心、控制台和客户端组成:管理中心用于存储系统数据和提供在线认证。控制台是管理员用于对系统进行配置的管理工具,客户端从管理中心下载策略并根据策略完成对机密文
10、件的保护。整套系统基于C/S模式,其实施架构如图3.2.2文档保护文档加密系统使用微软Windows标准文件过滤驱动框架实现的透明加密内核,可以在文档写入时进行自动加密,读取时自动解密,这样用户根本感觉不到该文档是加密文档,但实际在硬盘上该文档都已被加密。由于加密功能是在内核拦截方式实现,没有任何临时文件,所以可以达到良好的加密性能,几乎不会对用户有任何影响。加密的文件密钥均为一次一密,同时加密文件内部已经集成了多用户级别的身份认证权限,在内部文档流转时可以更好地保护机密数据,可以很方便地对文档进行默认的权限范围划分。文件打开时会对当前进程进行指纹验证以及密文进程保护功能,可以避免木马病毒或其
11、他程序通过改名或注入到合法进程内部进行窃取密文数据的可能,也可以解决网络开放和数据保密不能互存的现象。3.2.3透明加密技术文件加密保存是文件安全保护的首要条件。只要是明文保存文件,无论运用任何手段进行防范,同样会泄密。泄密的方式多种多样,不法分子获取商业机密的手段更是多种多样,我们防不胜防。所以治本的方法就是对情报信息加密,使得拿到也没用。在操作系统中嵌入文档系统过滤驱动程序,从而可对所有应用程序读写的文档执行过滤,当机密文档被读出时,此驱动程序执行对它的解密。当机密文档被写入时,驱动程序执行对它的加密,从而保证机密文档所有被保存到永久介质上的副本都被加密。透明加密内核是基于最新的IFS文件
12、过滤驱动架构的透明加密平台。加密标识内置于文件本身,可支持PKCS7 电子信封、加密算法可在内核,也可在应用层。支持MS CSP标准,可实现对加密硬件认证的支持。加解密操作均在受保护的内存区域完成,高效安全,不会产生临时文件,进程防护驱动可防止进程注入、内存dump。保护机密资料3.2.4基于角色的策略配置将对访问者的控制转换为对角色的控制,从而使授权管理更为方便实用、效率更高。同时,将系统的一些基础功能,控制方式和权限设置为细粒度的策略,角色与角色之间可以继承权限,使各个角色的策略划分更为清晰、明确,降低了策略管理的复杂性。角色可以对应现实管理中的行政角色关系,不同角色的用户可以访问不同权限
13、级别的资源和对应不同策略。系统实现对应用系统对象的访问控制。其思想为将一类用户归结为一个角色,角色之间可以继承和互斥,通过对角色进行策略控制,达到对用户的管理。3.2.5移动存储介质管理针对移动存储介质的管理我们分为两种模式:内网专用模式和内外网混合模式,可以对任何支持的移动介质分别进行这两种介质的模式设置。内网专用模式的安全级别最高,使用之前必须对介质安全格式化后才可以在公司内网内使用,介质内部数据为全加密状态,该介质脱离公司环境后为未格式化状态;内外混合模式一般用在需要内外交互的情况下使用,可以把资料通过介质拷贝到公司内部,也可以把公司内部资料通过专人授权后带到公司外部,非授权的情况下强制
14、拷贝到该介质的文件全部为加密不可读取状态。介质的使用权限对应于每个用户的权限都各不相同,内网专用模式的权限可以细划为“只读、不限和禁用”三个权限,内外混合模式的权限可分为“只读、加密、不受控、禁用”四个权限。3.2.6外发管理对应已加密的文档,如果需要把文档向公司外部发送,可以申请进行外发转换。外发时有两个选择方式,一种是完全明文外发,一种是转换成图片进行外发。图片格式外发安全等级比较高,用户只能看到内容,但不能进行编辑或是复制。完全明文外发安全级别最低,它会把原始文件的明文以不受控的方式外发给外部用户3.2.7日志管理日志内容主要包括加密文件记录、文件基本操作记录、对加密文件进行非法操作的记
15、录3.3内网用户访问因特网有序管控我们建议的XX公司上网行为管理设备部署方案如下图所示:3.3.1控制功能:细致的访问控制,有效管理用户上网对于内网员工访问各种网页的行为,深信服上网行为管理设备(以下简称AC)通过内置URL库,关键字过滤等方式进行管控。对于采用SSL方式加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。AC安全网关不仅可以对员工使用WEB、FTP、EMAIL等常用服务进行控制,通过深度内容检测技术,根据应用数据包四层到七层的特征码,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,
16、在线炒股等网络应用行为进行管理和控制。针对目前P2P行为泛滥和P2P工具版本泛滥的趋势、深信服 AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。基于Web与LDAP/Radius集成的用户认证功能,又支持LocalDB设备自建帐户、支持POP3、PROXY等认证方式,使得对上网用户的管理变得十分灵活方便。通过对基于LDAP、POP3、PROXY的单点登录功能,简化用户的操作,方便用户的使用。AC所具备的各种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制,实现人性化要求
17、。3.3.2审计功能:防止机密信息泄漏和法律违规事件谈到安全问题时,大多数人都只关注外网安全,但其实机构的信息资产更多的不是被黑客窃取,而是通过内部泄漏的。深信服 AC安全网关完善的访问审计和监控功能能够有效防止信息通过Internet泄漏,并建立强大的内部安全的威慑,减少内部泄密的行为。对于邮件类型的应用采用了深信服“邮件延迟审计”的专利技术来保证先审计后发送;对于通过Webmail站点发送邮件,全面记录邮件正文和附件等;对于QQ、MSN等聊天内容提供了全面的记录功能;对于BBS、论坛发帖不仅根据关键字进行过滤,成功发布的内容也能全面记录;内网员工访问的URL地址、网页标题、甚至整个网页内容
18、,AC也能够完全监控和记录等。深信服 AC的访问审计/监控模块为机构构筑了强大的内部安全屏障。3.3.3安全防护功能,全面提升内网安全级别作为一个全面的内网管理设备,深信服 AC安全网关还提供了丰富的安全增值功能。除了强大的防火墙模块外,深信服 AC安全网关还集成了网关防毒和防ARP欺骗等功能,对内网员工接收的邮件、访问的网页、下载的文件进行过滤,降低了内网员工感染病毒的风险。防DOS攻击功能,不仅防御来自公网的DOS攻击,对于发生于内网的DOS攻击同样提供了彻底的防御;防ARP欺骗,让机构先前遭遇的整个子网用户无法上网的故障得以根除。AC具备的网络准入规则专利技术,将按照管理员预定策略,检测
19、内网接入终端设备的操作系统版本,操作系统补丁、防毒/防火墙软件安装和更新状况、注册表、硬盘文件、后台进程等,只有符合安全要求的终端设备才允许接入Internet,修复了内网的安全短板。1.2.3.专心-专注-专业第4章 防御效果通过部署数据防泄漏软件系统,让每个用户持有一个eKEY软证书,来完成用户访问局域网数据资源的身份认证和访问控制; 数据防泄漏软件系统采用透明加密技术在不影响用户使用习惯的前提下保证用户机密文档安全性,完整性;用户相互之间文件交换的安全性,并通过集中监控与审计系统,实现全网的用户数据访问行为监控和日志审计。4.4.1非法用户“进不来”系统利用可信终端网络接入认证系统,严格
20、控制接入局域网的终端,达到非法终端即使实现了与内网的物理连接,也不能进行网络通信,实现非法用户“进不来”局域网络。系统通过在eKey证书中存储用户身份识别的唯一标识,对用户登录系统进行身份认证,使得系统登录与eKey证书紧密捆绑,实现了非法用户“进不来”终端与服务器4.2网络行为“有规则”通过上网行为管理、防泄漏系统的部署,可以规范不同部门的员工的网络行为,比如哪些部门或个人可以上因特网、不允许与其他人通信、只允许本地局域网通信,这些都可以在规则策略里进行详细的设置;4.3有效信息“拿不走”通过下面的安全访问措施,可以很好的实现有效信息 “拿不走”的功能效果:1) 防泄漏系统加密后的数据可以保
21、证终端数据无法拷贝出去;2) 防泄漏系统可以检测并控制终端设备的主机操作和网络通讯,防止终端非法外联和传输机密数据;3) 通过上网行为管理设备、VPN设备在网络上拦截机密信息;4) 移动存储设备管理控制,默认不允许使用任何USB存储设备,从而防止数 据泄漏;4.4涉密信息“读不懂”数据防泄漏系统通过专用加密技术,防止了敏感明文信息的外泄,包括:1) 对于终端设备敏感文件进行安全保护。加、解密过程对用户透明,无须对现有的应用平台进行任何的改动;加、解密过程动态进行,保证了硬盘上任何时刻存放的敏感数据都是密文,即使是意外断电,也不会导致明文信息的外泄;2) 对于网络传输数据,由VPN加密机提供传输
22、加密功能,由数据防泄漏系统提供终端对终端、身份认证系统提供终端对服务器的加密传输机制,实现了即使涉密信息丢失,非法用户也“读不懂”的效果。4.5非法行为“跑不了”整个数据防泄漏系统通过网络行为审计、主机行为审计等功能严密审计、监控、跟踪系统以及受控资源的使用情况,包括:1) 详细记录终端用户针对文件系统的操作行为;2) 严格监测移动存储介质在系统内部的使用情况,确保在出现非法行为时,一定“跑不了”, 便于事后追查责任有据可依;第5章 产品介绍5.1 数据防泄漏系统功能5.1.1服务器双机热备系统可同时设置工作服务器和备份服务器。当工作服务器发生故障时,备份服务器将自动切换为工作服务器,从而保证
23、了系统的正常运行。大大提高了系统的健壮性!5.1.2文件透明加密保护系统主要采用透明加解密技术对机密文件进行保护,所有加解密行为都在后台由系统自动完成,无需用户参与,不改变用户使用习惯。在工作模式上,系统包括密文生成模式和密文使用模式:密文生成模式与目前市场上同类产品相同,采用强制加密技术将符合系统策略的机密文件进行加密, 而密文使用模式则由“安科”创新推出,采用选择性加解密技术只对原本是密文的文件进行保护,而对明文文件不作任何处理,实现了对同一类型文件的明文和密文作区分处理,开创了文件安全领域的新篇章!5.1.3可编辑式外发文件保护可对外发到企业外部的机密文件进行控制,包括设置外发文件的生命
24、周期,只读、打印等使用期限。5.1.4“密钥分组”和“密钥分级”系统融入了“密钥分组”和“密钥分级”的概念。可以满足许多企业对不同部门之间和不通级别之间很细致的文件安全需求,企业可以根据需要设置每个员工的密钥权限,确保每个员工只能使用其权限范围内的机密文件。5.1.5内存监控全程监控机密文件在使用过程中的内存数据,任何妄图通过复制粘贴、拖动或插入等手段将密文内容导入到明文的行为都将被阻止,并将留下审计日志。 5.1.6权限控制对密文的只读(密文使用模式下)、打印等权限进行控制,尤其是打印权限,目前市场上的产品普遍只能控制物理打印或者将物理打印和虚拟打印一并控制,而“安科”首推物理打印和虚拟打印
25、区分控制:对于物理打印,企业可根据需要设置客户端用户是否可以对机密文件进行物理打印;对于虚拟打印,用户只能使用我们提供的两个虚拟打印机软件打印加密文件,并且打印出的文件依然是加密文件。5.1.7在线工作流-安全流水线提供在线工作流处理客户端用户需要解密和外发的文件。客户端用户只需提交申请,系统会根据设置的流程自动在后台进行处理(管理中心审核或管理员审核),一旦请求被通过,被申请的源文件即被上传到管理中心,留待文件审计员日后审计,而客户端用户也会立即获得经解密或者外发处理后的文件。流水线式的工作模式大大提升了工作效率,减轻了用户负担,事后追踪机制更为机密文件的安全性增加了一份保障。5.1.8文件
26、备份要保证机密文件的安全性,首先要保证机密文件的可用性。系统可以对机密文件进行多版本自动备份(同一个文件最多可备份5个版本),提供本地备份和远程备份两种备份模式,提供密文备份和明文备份两种备份格式。让用户在任何时候都可高枕无忧!5.1.9离线控制对于需要脱离管理中心工作的客户端,管理员可为其发放外发eKey或设置离线工作权限使其可离线工作。无论何种方式,都可设置客户端用户离线使用的时间或次数,对客户端的离线使用进行控制。将对机密文件的保护延伸到离线模式,既不影响客户端用户的正常工作,又保证了机密文件的安全性。使企业真正做到了“运筹帷幄之间,决胜千里之外”!5.1.10日志审计日志管理员可对系统
27、生成的详尽日志进行审计,可以生成各种图形报表并导出。审计的日志类型包括:系统日志、文件日志、网络日志、聊天日志、邮件审计日志、HTTP网页访问日志、以及在线消息,并可以生成各种图形报表并导出。5.1.11打印内容监控对物理打印机和虚拟打印机打印过的文件均进行监管,并且可以审计打印内容。5.1.12邮件管理支持对所有发送和接收的邮件进行审计、禁止、放行(不被审计);新增邮件解密的功能:设置策略通过邮件发送加密文件到指定的邮箱,系统会自动解密的加密的。邮件支持通配符的关键字进行过滤。5.1.13内网管理提供强大的局域网在线管理功能,方便管理员对系统的维护;可以实时查看用户的CPU、内存、网络的使用
28、情况;可以用户的当前系统信息包括内存、处理器、磁盘、网卡等基本信息。可以监控用户当前的进程状态,并可以在线禁止用户运行的进程;还可以把用户的进程加入到进程黑名单里面,加入黑名单的进程无法再次启动。可以查看用户目前安装了那些软件,并可以强行卸载某些软件。补丁更新,客户端会自动从服务器下载最新的补丁并自动安装。在线消息管理。接入安全:即IP绑定的功能,绑定用户的之后,如果用户非法修改地址,用户将无法访问外网(可以访问局域网)。5.1.14资产审计对企业硬件资产进行集中管理,可以查询到所有用户的资产信息,并可以导出报表。如果用户的硬件资产变动,系统会自动向管理员发送消息,提示某个用户的硬件资产已经变
29、动。5.2 SSL VPN功能5.2.1安全、高速、便利的远程接入深信服 SSL VPN安全网关对于内部员工、合作伙伴、移动人员可利用SSL VPN的易用性实现安全接入。最大限度地发挥了SSL VPN给企业带来的效益,节约了企业大量的管理成本和投入成本。 5.2.2客户端安全检查,保证接入安全深信服SSL VPN支持对客户端进行全面的检查,支持对操作系统及版本、注册表、进程、文件、登录终端、接入线路IP、接入IP、登录时间和登录终端的组合规则登录前、登陆后的检测。通过客户端的安全检测,可限定用户在指定的终端范围、使用指定安全级别的终端、在指定的时间、通过指定的线路进行SSL VPN登录。深信服
30、SSL VPN支持根据客户端安全检测结果基于角色进行相应的准入和授权控制。管理员可依据组织自身的安全需求,设定操作系统及版本、进程、注册表、文件、登录IP、接入线路IP、登录时间、接入终端等相应的客户端安全检测的组合规则,并根据不同的检测结果判断是否允许该客户端进行接入、允许接入后能访问什么应用。灵活组合,基于角色根据终端自身的安全级别实现接入的灵活控制。5.2.3多种认证方式组合及认证安全策略深信服SSL VPN支持LocalDB、LDAP/AD、Radius、第三CA、自建CA、USBDkey、Secur ID、短信认证(短信猫和短信网关)、硬件特征码、动态令牌多种安全认证方式,最大限度地
31、保证了接入用户的合法性。单一的认证方式容易被暴力破解,为了进一步提高身份认证的安全性,深信服创新性提出“与”、“或”组合认证,针对上面提到的用户名和密码、CA数字证书、LDAP、Radius、AD、USBKey、硬件特征码、短信认证可以进行五个因素以上的捆绑认证,这几种认证方式必须同时满足才能够接入SSL VPN系统。对于以上几种认证方式进行或组合,只要通过一种认证方式即可接入到SSL VPN系统中。对于仅采用用户名密码认证的SSL VPN用户密码防暴安全显得尤为重要,深信服 SSL VPN支持终端用户的防暴破登录设置,通过同用户名登录防暴破和同IP登录防暴破设置彻底封杀已知用户名暴破登录和未
32、知用户名暴破登录的种种可能。支持自定义设置封锁恢复时间。5.2.4完整支持IP层以上所有应用目前对于大部分SSL VPN设备而言,所支持的应用类型是有限的,几乎仅限于支持Web等B/S的应用,而无法像IPSec VPN一样支持基于网络层以上的所有应用,因而也限制了SSL VPN的发展。深信服 SSL VPN安全网关通过html智能重构技术、应用转换技术和IP Tunnel技术,实现了对目前所有网络层以上各种静态或者动态端口应用的完全支持,包括:网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等各种应用。由于采用了IP Tunn
33、el技术,深信服 SSL VPN安全网关实现了对应用程序的完整支持,客户端在打开浏览器的SSL VPN登录界面时,只需安装一个Active X控件(可选),在客户端的机器上会生成一块专门用于SSL VPN通讯的虚拟网卡,因而SSL 远程登录用户便可使用所有基于IP网络层以上的应用。若深信服 SSL VPN在总部网络采用路由模式的部署方式,总部网络还能够实现与远程接入用户的双向访问。这种领先技术的应用,使得深信服 SSL VPN能够支持任何复杂的各种B/S和C/S的应用。应用层运输层网络层完整支持IP层以上的所用应用5.2.5提供细致的访问权限控制功能深信服SSL VPN在资源的划分上,通过IP
34、、端口、服务、URL等方式对内网应用进行资源定义,基于角色实现用户、用户组、资源、资源组进行用户与内网应用访问权限的绑定,并可根据客户端安全检查结果进行SSL VPN用户登录的准入控制和根据客户端安全级别进行应用权限的授权控制。通过结合用户/用户组、资源/资源组、客户端检测准入和授权策略和帐号主从绑定帐号,实现指定用户使用指定终端根据指定安全级别访问采用指定应用帐号访问指定应用的细致权限控制。同时,深信服 SSL VPN集成了组用户并发限制、公用账号并发限制和用户流量限制等多种方式,保证了用户合理地使用VPN资源。并且,在SSL VPN网关中的直观式管理图形用户界面(GUI)的实时监控状态栏中
35、,可以实时地监控用户的接入情况,观察整个VPN系统的运行状况。5.2.6多线路技术实现智能选路和负载均衡目前,大规模VPN网络往往都是跨运营商的。但是国内运营商间的带宽太小,严重影响了VPN的应用效果。作为国内领先的VPN和网络安全研发产商,深信服科技在IPSec VPN 中,创新性地采用了多线路智能选路功能,并成功应用到深信服 SSL VPN安全网关中。所谓多线路智能选路技术,即是指在企业数据中心网络的网关位置部署深信服 SSL VPN安全网关,并申请多条运营商的上网线路连接Internet实现线路捆绑和带宽叠加。当远程的众多VPN客户端在使用不同运营商的上网线路访问总部资源时,深信服 SS
36、L VPN 网关会自动检测最优线路,使得采用不同运营商上网线路的VPN客户端访问企业数据总部时的速度大大提高,解决了用户在不同运营商网络之间部署VPN网络时存在延迟大、带宽小的瓶颈问题。若采用其他方案来解决类似问题,则用户往往需要单独购买一个线路负载均衡器,才能实现多线路负载均衡的效果。而深信服 SSL VPN的多线路技术,不仅解决了跨运营商部署VPN网络时的延迟问题,还实现了多条线路的带宽叠加和负载均衡,用户可根据自身情况选择主/备、平均分配以及动态适应这三种多线路负载均衡的策略模式。深信服 SSL VPN安全网关的多线路智能选路和负载均衡功能,减少了企业在IT部署的采购投入,降低了企业的总
37、体拥有成本。多线路智能选择最优线路5.2.7 HTP技术大幅提升高丢包、高延时下的网络传输速度网络传输速度慢的常常是因为高延时、高丢包等恶劣网络情况所导致的,特别是在移动用户采用智能手机、PDA、笔记本电脑等手持移动终端无线访问时,恶劣的网络状况严重的影响了用户的访问速度及访问体验。尤其是对一些传统TCP的应用而言,一旦遭遇到丢包和延时情况传输速度就会立刻大幅下降,导致网络传输效果非常的差,而往往时延越大丢包越严重传输速度也越慢。针对这样的情况,深信服SSL VPN提出了快速传输协议HTP(HighSpeed Transmission Protocol)。HTP是拥塞控制算法和提高窗口大小改善
38、TCP传输效率,显著提升无线访问、智能手机PDA访问SSL VPN在高丢包、高延时等恶劣网络环境下的网络传输速度。5.2.8管理员分级管理随着客户的企业规模不断扩大,员工数量增长很快,并且不同的员工在公司组织结构里有不同的职责和权限,对设备的用户管理提出了很高要求,统一的集中管理员帐号已经不能解决问题。深信服SSLVPN将管理员分成不同的管理组,ROOT组管理员为顶级管理员,可以管理所有管理员和用户。最大可以分16级的管理组,不同的管理组管理员,可对不同组的成员进行管理,权限包括:用户组、资源、角色、系统配置等。5.2.9强化的网络防护VPN虚拟专线功能虚拟专线指用户登录VPN以后,和内部业务
39、系统构成一条虚拟的专线,此时用户将不再能访问虚拟专线以外的网络资源。用户一旦启用虚拟专线功能后,一方面外部网络上面的不安全因素无法再对VPN系统构成威胁,同时也可以避免客户端上的不安全因素造成泄密的可能性,避免因客户端引发的安全隐患,确保内部业务系统的安全性。5.2.10集成企业级状态防火墙和多数VPN不同,SINFOR VPN网关集成了高性能的企业级状态防火墙,能有效保护内部服务器免受来自Internet的各种攻击。内置的防DOS攻击功能,不仅可以有效防范来自外部网络的DOS攻击,对于内网计算机发起的DOS攻击,SSL VPN安全网关也可以进行防御。5.2.11强大的QOS功能深信服VPN网
40、关内置QOS功能,可以对各种应用进行优先级的排序,保证重要的业务能够有比较高的优先级,保证重要业务的运行。5.2.12强大的日志系统 深信服VPN内置有强大的日志系统,可以针对VPN使用情况,提供详尽的日志数据,包含日志查询,对服务统计,对用户统计,系统设置等四大方面。效果图如下:数据中心操作界面,在此可以进行VPN应用情况的所有日志查询、统计,并且可以打印出报表,提交上级。友好的登陆界面,可以多用户同时登陆,有助于管理人员对整个VPN运作情况的掌握数据统计,可以了解到当前数据中心记录何种数据较多,有利于提高VPN的运作情况单用户统计表格,细致到单个用户,可以针对单个用户的VPN使用情况进行统
41、计单用户操作详细日志表格,有助于分析该用户使用VPN的行为。管理员操作日志表格,管理员的任何操作都记录在案。所有应用服务的统计表格,有助于掌握劳动和社会保障系统整体应用系统的应用情况。5.3上网行为管理产品的价值5.3.1保障内网安全 多数机构已经在公网接口处部署了防火墙、IDS等设备,但内网依然病毒频发、攻击不断,是何原因?堡垒最容易从内部突破,内网员工主动“邀请”病毒、木马等进入内网!拦截不良网页AC内置自动更新的海量URL库,包括色情、反动等分类,潜藏在此类网站中的威胁将被AC轻松过滤;AC允许用户手工添加新URL分类;再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关
42、键字,实现对各类网页的全面过滤,降低内网员工访问不良网页和危险网页的可能。假冒网上银行的钓鱼网站、加密的反动网站等,显示“加密化”已经成为趋势,而业界多数设备无法对SSL加密网页进行管控。AC通过证书验证链接黑白名单技术,过滤含有不可信任数字证书的SSL网站,实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。文件传输控制针对QQ、MSN等IM软件的病毒,通过引诱用户下载指定文件或打开指定URL链接而传播;AC的“拦截不良网页”措施将避免用户访问含病毒URL地址;AC还可限制使用QQ、MSN等传递文件。通过HTTP、FTP从互联网下载的文件,往往打开或运行后导致用户电脑感染病毒、木马,甚至瘫痪。
43、该风险“感染点”还会伺机爆发,感染更多用户,瘫痪整个网络。而此类行为和流量经过AC时,AC首先限制用户通过HTTP、FTP上传下载指定类型的文件,对于允许传输的文件,AC的网关杀毒功能将查杀该文件中潜藏的病毒、木马。修复内网安全短板根据木桶理论,机构内网的安全级别取决于安全等级最低的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等,但并非所有用户都能遵从,进而形成内网安全短板。一旦该“短板用户”访问安全风险网站、下载含病毒文件、执行非法程序等,极易导致自己感染病毒,还将感染整个内网员工群。借助网络准入规则技术(Network Admission Rules,NAR)
44、(专利号:5.1),AC将检测接入终端的操作系统及补丁、杀毒/防火墙软件等安全状况,不安装、不运行指定安全软件,就不允许接入Internet,从而修复内网安全短板。防DOS、防ARP欺骗即使部署众多安全措施,安全威胁仍无孔不入。来自外网的DOS攻击AC能防御;而来自内网的DOS攻击,不仅吞噬带宽,还将影响出口网关的稳定。传统防火墙等无法防御来自内网的DOS攻击,而AC通过检测流量和异常网络行为等技术,彻底防御来自外网和内网的DOS攻击。ARP(Address Resolution Protocol)协议原本用于“从IP地址寻找MAC地址”,但病毒等引起的ARP欺骗导致子网内所有用户无法访问In
45、ternet,定位故障点又颇为麻烦。有别于部分厂商依赖第三方软件的方案,AC通过内置防ARP欺骗功能组件,保障用户网络的可用性和可靠性。5.3.2避免法律风险 身边的网络违法事件也层出不穷:网络间谍、网络泄密、网络造谣和非法言论等。如果员工利用机构网络发生,则法律问题和风险将难以避免;如果没有证据,无法找到直接责任人,IT部门则将成为该违法事件的直接责任人。外发信息控制员工们更多选择使用IM软件、Email、BBS、论坛、个人博客等方式将办公室和机构内信息发布出去。而AC能够封堵IM聊天软件,过滤和审计Email邮件收发,过滤访问论坛、网站的行为,而网络发帖AC一样可以进行过滤和审计,让员工们
46、认识到自己需要为其网络行为负责。对合作伙伴、新员工接入内网的认证,通过AC提供的完整身份认证体系:可以启用Web方式的用户名/密码认证,IP和MAC地址绑定,或与机构的Radius、LDAP、微软域控服务器联动,AC甚至可以借助机构的POP3邮件服务器、PROXY服务器上的用户帐号数据,对接入用户进行强身份认证,未经授权的局域网接入用户将无法访问任何网络资源。保护版权资料互联网充斥着涉及版权纠葛的论文、软件、音视频等,因为个人用户对版权的忽视往往会导致机构受到牵连。AC的访问控制系统通过对HTTP、FTP、IM软件、邮件收发的内容检测和控制,可以阻止员工搅入版权问题;同样,当员工已经出现违法违
47、规问题时,你可以在AC的数据中心中找到其违规记录,进而使机构摆脱不必要的纠纷。法律遵从和举证员工个人偏好导致的非正当网络行为,例如访问色情、反动网站等,AC能有效过滤和拦截;AC亦可过滤张贴的非法网络言论,即使逃脱过滤进入BBS的煽动性言论、网上聊天中的侵犯性语言等,也可在AC数据中心中找到相关记录作为法律举证的重要依据。AC通过独立数据中心实现行为日志海量存储,结合图形化的报表、查询、统计工具,和内容检索工具,让机构的管理者可以轻松掌控您的网络和内部员工的网络访问行为。5.3.3管理网络带宽 多线路策略和QoSAC产品继承了深信服科技的多线路复用、带宽叠加策略(专利号:6X),机构通过AC同时连接多条公网线路,形成一条公网总出口,提升整体带宽水平。再结合多线路智能选路技术(专利号:ZL.4),内网员工访问不同运营资源时,AC能够自动为用户匹配最佳出口。AC强大的QoS(服务质量)技术包括专用带宽、抖动控制和延迟、丢包率的改进以及对指定高优先级网络服务的流量保证,以此使流经AC的数据进行优先级处理,保障重要服务的带宽质量和服务质量。P2P软件的控制P2P行为对带宽的吞噬能力众所周知,而每天不断发布的新P2P软件,让大多数控制工具只能封堵“昨天的BT软件”。AC凭借P2P智能识别专利技术(专利