上网行为解决方案投标书

资源描述

上网行为审计解决方案投标书北京网康科技有限公司 2007 年 7 月 18 日目录一、网康科技公司简介 .1 二、xx 集团员工上网行为解决方案 .5 1、项目背景 .6 2、 xx 集团信息化建设现状 .7 3、结合 ISC 标准安全评估要点对 xx 集团现有的信息架构进行的分析： .8 4、 xx 集团上网行为管理可行性分析： .10 三、xx 集团上网行为管理部署技术方案 .13 1、方案设计背景 .13 2、网络现状拓扑 .14 3、部署上网行为管理产品后的网络拓扑 .15 4、网络可用性，可靠性分析 .16 5、割接方案说明 .16 6、设备 IP、路由说明，地址分配说明 .16 7、设备可用性测试 .17 8、风险分析及回退 .17 9、变更实施人员工作分工 .17 10、使用期间的维护 .18 11、部署完毕后守局并制作使用报告 .18 四、详细功能实现方案 .19 功能实现文档说明 .19 1、用户组织构架建立 .19 2、用户认证后才能访问互联网 .20 3、带宽管理 .20 4、互联网站点访问控制 .23 5、互联网应用控制管理 .24 6、外发信息控制管理 .25 7、互联网上网行为监控，统计，查询 .26 8、互联网上网行为报告生成（简述） .28 五、招标功能需求应答 .30 六、项目管理 .34 1）项目组成员和运作方式 .34 2）项目实施计划表 .34 3）验收测试报告样本 .35 1 引言 .35 1.1 编写目的 .35 1.2 背景 .35 1.3 定义 .35 2 测试拓扑 .36 3 测试内容 .36 3.1 硬件特性测试 .36 3.2 管理功能测试 .37 3.3 性能测试 .38 3.4 功能测试 .39 3.4.1 用户认证功能测试 .39 3.4.2 用户管理功能测试 .40 3.4.3 流量管理功能测试 .41 3.4.4 应用协议控制功能 .47 3.4.5 流量分析功能 .53 3.4.6 WEB 访问控制测试 .54 3.4.7 审计功能测试 .55 3.4.8 黑、白名单功能测试 .56 3.4.9 日志分析能力测试 .57 3.5 系统软件、特征库升级能力测试 .58 3.6 自身安全性测试 .59 3.7 响应方式测试 .60 3.8 部署适应性测试 .60 4）交付文档清单及样本 .61 七、网康科技客户服务指南 .63 硬件质保 .63 服务分类 .63 服务内容描述 .64 设备附赠服务 .64 一年更新服务 .64 三年更新服务 .64 五年更新服务 .65 客户服务条款 .65 服务内容 .65 技术支持 .65 支持时间 .65 支持方式 .66 产品故障级别及解决时限 .66 产品故障解决时限表 .66 产品故障级别的说明及描述 .67 服务流程 .68 八、典型客户 .69 附录 1 投标函 .73 附录 2 法定代表人授权书 .74 附录 3 完成的类似项目一览表 .75 附录 4 项目经理简历表 .76 附录 5 投标人的营业执照复本和财务状况证明 .78 附录 6 项目资质证书 .79 一、网康科技公司简介网康科技有限公司(NetentSec,Inc.)是由美国风险投资、资深的金融管理专家以及在世界知名高科技公司工作多年的技术专家在美国共同创立的高科技企业。北京网康科技有限公司坐落于中关村高科技园区,是北京市政府和国家科技部重点支持的高新技术企业。公司自 2004 年成立以来，专业专注致力于从事网络安全技术的研究开发及产品应用，以信息安全为基础，互联网资源访问控制技术为手段，结合其它智能信息技术提供多领域、跨行业的互联网信息安全管理与控制服务。我们的目标是成为互联网信息安全管理控制领域的领导者，开发具有世界先进水平的互联网安全产品，为客户提供技术领先、功能完善、质量可靠、服务周到的互联网信息安全管理及控制解决方案。网康有着健康的哑铃型管理模式，100 多人的研发团队和 50 多人的市场团队，高效的行政平台给企业提供了良好的服务保障。研发团队本科比例 65，硕士比例 25，博士比例 5，管理层由曾经服务于知名 IT 公司（微软，IBM，赛门铁克，Intel，华为）多年的精英组成，使网康随时能跟上信息化高速发展的步伐。网康科技从成立伊始就致力要成为中国乃至国际一流的企业，研制开发尖端高科技产品。在网康科技迅速发展的过程中，坚持以国际尖端的核心技术、完善的产品服务支持为基础，本着“造福社会、服务用户、利益员工”的理念，不断探索更加广阔的发展空间。作为互联网控制管理领域的先行者北京网康科技有限公司，其上网行为管理系统具备如下特点： 1. 产品部署便利、可靠，支持交换式 Bypass, 当设备过滤引擎出现异常后会自动进行报文 bypass，进入直通模式，不影响用户使用网络。 2. 具有中国特色的、最大的 URL 数据库，并拥有先进的 URL 特征库更新机制和维护系统。 3. 国内领先的应用协议数据库。目前已支持近百种应用，网康公司拥有一支专业的应用协议识别、分析队伍，跟踪互联网应用的发展，并将研发成果更新于产品中。 4. 目前国内性能最优的串接部署产品。作为国内最好的上网行为管理产，品网康 ICG 可以提供 EIM 产品所涉及的所有功能。 1、灵活的用户认证机制，可以全面透明的支持 AD 域用户的访问接入 2、针对用户进行灵活的分级，分时上网行为管理策略。满足企业的个性化需求。 3、高速的 Cache 缓存技术，有效的提高常用站点静态页面的访问速度。 4、有效管理/控制员工主体的互联网站点的访问行为。网康 ICG 不仅仅是单一的硬件设备，它背靠着网康公司世界上最大的上网行为中文 URL 分类数据库，该数据库拥有 41 中基于行为后果的分类， 600 多万的 URL。网康 URL 数据库的规模和准确性在中文网址中处于绝对领先的地位。该 URL 数据库依靠网康自主知识产权的智能分类机制，每天进行智能收集和更新，并且会经过 100人工再校验，确保了管理人员主体的互联网站点访问的准确性。 5、有效控制人员主体的网络应用访问行为，并进行控管，带宽控制。同样网康 ICG 拥有着自主知识产权的庞大的针对于国内主流应用的动态数据库，该数据库通过网康的应用分析团队进行深度内容检测以及智能模糊匹配方式实现，可有效的识别目前网络上的多种流行应用。例如 P2P，P2SP，IM，Video Streaming 因为使用了智能的模糊匹配算法可有效的识别目前加密的 P2P 应用。并且给用户以自行定义自由应用的能力 6、有效控制企业敏感信息外发机制，ICG 可对目前可能导致企业敏感信息外泄的途径进行监控审计，这些主要应用有 Eamil，WEBmail，网页粘贴，IM。并可以即时产生报警通知安全专员。 7、 ICG 的 QOS 功能结合网康的应用数据库可有效的防止企业的信息资源滥用，保障核心业务的顺利通过。QOS 的统计报告可有效的向管理层提供当前网络资源的使用状况，从而可以是 IT 部门有效的决策网络的扩容/变更时机。并且自定义协议可方便的使 xx 集团能够自行给自己的个性应用设置 QOS 8、丰富的查询机制和统计模板，灵活的报表可以使企业信息部门即时的定位网络的故障，并找到故障源头。制作的统计数据可以给信息部门管理层，人力资源部，以及公司高层一个明确的结果报告，针对这些统计数据管理层可以进行网络，人员等策略安排的在调整。 9、有效的数据留存和查询机制给信息安全审计提供了殷实的数据，是审计工作不再是过场，而是真实有效的发现企业信息安全存在的隐患，并制定相应的策略。员工网上行为的数据留存还可以满足公安部门对企业互联网上网行为的要求，可以即时的配合安全部门的工作。 10、 ICG 提供了简易的部署方式，在用户不需要更改网络拓扑和配置的情况下就可以轻松的接入，节省了 IT 人员的大量人力。并且提供了高可用性，在 ICG 自身出现问题是可实现强行交换式 by-pass 功能，直接导通出入端口，有效避免单点故障。 11、 ICG 提供了良好的可扩展性，随着版本的升级产品的性能也会得到提升，并且用户需要更高性能的硬件平台是网康公司可优惠的提供更高性能的平台的产品。 12、网康公司对客户提供 7x24 小时的服务，重大问题会安排技术专家第一时间到现场进行故障处理，保证客户网络的快速恢复。 13、简单的网管平台界面，操作易懂。并且提供本地 Console 端口可后台解决各种问题 14、数据库每天在线更新，系统提供默认更新频度，用户也可以自行设置更新频率，协议分析定期更新，使流行应用的识别得到及时的更新。 15、全面支持数据备份，策略备份机制，简化设备版本升级操作。 ICG 产品部署通用架构图：产品数据库支持示意图：二、xx 集团员工上网行为解决方案前言： 2007 年 1 月 23 日胡锦涛总书记在中共中央政治局 2007 年的第三十八次集体学习中强调“要以创新的精神，大力发展和传播健康向上的网络文化，切实把互联网建设好、利用好、管理好。”。 2005 年 12 月 23 日，中华人民共和国公安部发布第 82 号令，颁布了互联网安全保护技术措施规定，要求“互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施” 。 2002 年，美国颁布了萨班斯-奥克斯利法案，要求上市公司要求企业的内控活动，不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录。 2007 年 4 月 25 日-5 月 25 日 IT168 进行了企业上网行为调查，报告显示58.4%的企业表示，员工在下载不安全的文件时，因为感染病毒而影响了企业网络安全。 2006年据杂志，500强企业因公司机密被盗而遭受的损失共计超过了450亿美元。其中所发生的经济损失超过5O万美元的泄密案平均为245起。如何避免这些安全问题成为企业需要迫切解决的问题？ 1、项目背景随着信息时代的到来，国际互联网的普遍应用已日益渗透到我国社会政治、经济、文化生活的各个角落。互联网是一个连接全世界的、开放的、自由的信息网络，涉及到社会各个领域，它带来的是其开放性、兼容性、高效性与跨国性的信息传播，人们因此而受益颇多。在信息化推进的同时，不可避免的伴随着计算机犯罪的增加、网上黑客的猖獗、色情信息的泛滥、信息间谋的潜入。 XX 集团作为国内制造业信息数字化的领先者，重视 IT 基础架构的建设，从而助推公司综合实力的提升。但是 XX 集团有必要在现有 IT 基础架构的基础上建设上网行为管理系统，其必要性在于：第一：从遵守国家政策角度，每个联网单位有义务建设行为、内容管理系统。第二：作为上市公司，必须遵守萨班斯法案或者类似法案，该法案要求企业的内控活动，不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录，对审计过程也有存档的要求。第三：通过互联网传递信息已经成为企业的关键应用，然而信息的机密性、健康性、政治性等问题也随之而来。需通过上网行为管理设备制定精细化的信息收发控管策略，有效控制关键信息的传播范围，以及避免可能引起的法律风险，并且保护企业的信息资产，尤其是勘探信息、经营信息等。第四：可以通过管理上网用户的行为，提高企业的运作效率，避免与工作无关的信息的干扰。第五：通过优化业务的运行，最大限度的保障已投资的信息资产（如带宽等）。 2、 xx 集团信息化建设现状从 xx 集团的信息化建设发展情况可以看出 xx 集团致力于通过信息化平台提高企业的核心竞争力，力求在信息化技术上达到国际先进水平，打造中国的数字化企业，推动 xx 全球的发展。 xx 集团网站应用：1996 年，在国内首家引入互联网的家电企业 IntraNet 与 OA：1997 年，建立 xx 集团的 OA 平台（Notes）把电子化的日清管理纳入到信息化应用当中顾客服务系统与电话中心：自 1998 开始到 2004 年，分四期对 xx 集团的顾服应用进行规划，建成国内唯一的覆盖全国范围的、集电话服务中心和售后服务管理为一体的、管理了超过 600 个服务坐席和超过 1 万个服务网点的售后服务体系采购管理信息系统及 B2B 电子采购平台：1999-2000 年，采用国际领先技术在 xx 集团与供应商之间形成电子商务协作平台电子商务（B2C）：2000 年 4 月建立 xx 集团企业网站和电子商务网站，提高了 xx 集团的美誉度，成为国内首家企业发布和建立 B2C 电子商务平台，并实现网上支付。荣获 2000 年 CNNIC 企业类第一名，2001 年 12 月被中国百佳电子商务平台颁奖大会评为“电子商务最高成就奖” 。销售管理系统：2000 年，建立 xx 集团集中式的国内和海外业务的销售平台。 xx 集团骨干广域网络：整个网络覆盖全国 12 个工业园、50 个销售公司、50 个成品配送库、30 个电话中心，实现数据、视频、IP 电话三网合一业务流程管理（BPM）：参考国际母本，SCOR 模型和行业的最佳业务实践，采用 ARIS 工具，管理集团的端到端的业务流程，形成流程知识库业务报告（BI）：建立以市场链为目标的商业分析系统，为集团管理层提供决策支持。 3、结合 ISC 标准安全评估要点对 xx 集团现有的信息架构进行的分析：上图显示：ISC 定义的安全威胁主要分为主体和客体的威胁客体威胁的评估现有防控手段效果优化可能优化手段病毒桌面杀毒产品有需完善 NAC 系统。部署防病毒网关部署 SMS 操作系统升级系统限制病毒资源访问拒绝服务 2TiresFire Wall 暂无目前完美系统入侵 IDS 设备有部署蜜罐垃圾邮件邮件安全网关有仅开放企业自己的 POP3 服务屏蔽 webmail，恶意代码邮件安全网关有限制恶意代码资源访问准确定位恶意代码资源站点分类防病毒网关主体威胁的评估现有防控手段效果优化可能优化手段合规管理无有需完善 NAC 系统分级设置上网管理/控制策略未授权使用 OA 平台口令有控制未授权人员访问互联网 NAC 上网行为安全防火墙有控制管理非安全的上网行为增加上网行为控管，审计机制信息外泄无有仅开通企业 POP3 的使用监控/审计/限制 webmail 监控/审计企业 SMTP 外发信息监控，审计网页信息上传限制网页附件粘贴大小监控/审计 IM 信息控管 P2P 软件的使用业务连续性多冗余线路冗余网络架构有可快速查询出导致故障的行为互联网带宽资源合理分配法律遵从防火墙有限制非法站点的访问控制盗版信息共享的应用实现互联网访问证据留存审计资源滥用防火墙有限制导致资源滥用的网络应用根据上述评估信息可以看出 xx 集团在客体威胁控制层面接近完美，专业的安全产品部署有效的防止了多种应用的威胁。但可以看到依旧还存在一定的改进空间的，但是这些需要提升的短木板又不是简单的靠 IT 人员现有的设备和人力可以完成的，因为这些短木板主要是对外部威胁资源的认知和分类，因此需要专业的安全产品进行辅助实现。从基于主体威胁层面的安全评估来看 xx 集团还存在较大的提升空间。目前所部署的安全设备大部分是被动安全设备，同时基本上也是由外向内的威胁防范，但是内部威胁，内部的管理却存在较多的空白，上网行为的控管，带宽的控管，档案留存，审计和分析的缺陷尤为突出总结： xx 集团在被动安全层面已经比较完善，但需要采用专用的主动安全技术产品来完善自己的安全构架，从而使企业在网络安全方面达到完美。 4、 xx 集团上网行为管理可行性分析：上网行为管理定义：员工上网行为管理（EIM）根据 ISC 的定义隶属于安全领域中的行为管理范畴。其主要针对的威胁来自于企业内部人员，PC，软件的网络行为。目前业界对 EIM 成熟的功能分类主要为以下几个方面： 1、人员主体的互联网站点访问管理/控制 2、人员主体的互联网应用访问的管理/控制 3、人员主体外发信息的管理/控制 4、网络内部信息滥用的管理/控制 5、管理层对人员主体的上网行为的识别/审计/分析/ 6、管理层根据统计信息进行管理策略的再评估安全金字塔以及 PPDR 模型：从 CISSP CBK 定义的安全金字塔和 PPDR 安全模型可以看出，管理层制定的策略需要良好的访问控制（防护）功能进行协助，在访问控制的基础上进行良好的管理/审计，并衍生新的策略来满足更高的防护等级，只有这样主体安全才能得到良性的螺旋上升，使安全达到完美，因此知名的上网行为管理系统将极大的提升企业网络信息安全的等级。需求迫切性的可行性分析：结合在风险评估中针对 xx 集团的结果可以看出，目前 xx 集团存在的主要安全威胁基本都覆盖在了上网行为管理的范畴之内，分析表中带的条目都可以通过上网行为管理方式进行优化和解决（主体的网络站点/应用的管理控制，带宽的控管，主体的网络行为识别/报警，快速查询网内问题来源，网内上网行为的数据留存和审计，统计分析上网行为策略进一步优化管理方针）并且这些威胁是已经部署的安全工具所不能抵御的，并且这些威胁会引起当前 IT 部门大量的人力浪费（例如定位故障发生来源需要较长的时间，较多的人力投入）。因此部署上网行为管理的需求迫切性是真实存在的。技术可行性分析： xx 集团近期将完成的园区网拓扑：从目前 xx 集团的网络拓扑来看，仅仅需要在 xx 集团的最优主干线路的外层防火墙内侧串接一台上网行为管理设备就可以实现内网对互联网的上网行为管理。如果 xx 集团希望将上网行为管理的可用性提升到和目前网络可用性相同的 SLA（服务质量保证）可以在备用线路上也部署 EIM 产品即可。三、xx 集团上网行为管理部署技术方案 1、方案设计背景目前 xx 集团信息事业部为了进一步提高企业的信息安全等级，满足政府安全部门对企业的上网行为管理规定，希望可以对公司内部的员工的互联网行为进行合理的管控，在出现网络问题时能够快速定位问题的来源，并能够提供丰富的行为纪录存档（6 个月）便于后期的行为审计，同时还需要能够给企业的管理部门提供简明，种类丰富的报表从而及时的进行各项管理制度上的调整。 2、网络现状拓扑目前 xx 集团的网络采用了多重冗余技术，并配置了大量的安全设备。已经可以十分有效的抵御基于客体应用的威胁，具体拓扑如下： 3、部署上网行为管理产品后的网络拓扑 4、网络可用性，可靠性分析以下情况均为小概率事件，但为了能够确保客户认知网络的可靠性，在此仍需要说明网康设备提供交换式 Bypass 功能，当网络中出现超大流量攻击时首先保障用户网络通畅，因此会自动进行报文 bypass，并提供告警，指导客户定位问题来源。 5、割接方案说明原有防火墙和 DMZ 交换机之间采用多模千兆光口进行互联，割接期间为了保障对原有线路改动最小，因此采用如下方式：步骤一：将网康 ICG 设备上架固定，上电，检查必要配置。步骤二：将 1st Tire 的防火墙的光纤拔出，光纤接口保留在原有接口附近不移动步骤三：防火墙的光口和网康 ICG 外出接口使用网康提供的光纤进行互联。步骤四：DMZ 交换机的光纤拔出，光纤接口保留在原有接口附近不移动。步骤五：将 DMZ 交换机光口和网康 ICG 光口使用网康提供的光纤进行互联。步骤六：检查网络路由走向是否按照原有的主干线路转发。步骤七：测试内部上网的稳定性。 6、设备 IP、路由说明，地址分配说明网管接口地址设置：ICG 自身的网管端口设置为用户提供的一个普通客户的网段的地址。 ICG 工作端口地址设置：由于 ICG 在需要审计的信息上要求实现快速流过滤，因此建议用户分配给 ICG 一个合法地址。如实在无合法地址可提供可采用其他变通方法实现，不会影响 ICG 的功能。默认路由添加：将 ICG 的默认路由配置成 xx 骨干网出口网络的负载均衡设备地址内网段路由添加：添加 xx 的内部子网的聚合网段到 ICG 的静态路由表中，以协助实现快速流过率。 7、设备可用性测试针对 xx 集团的现有网络应用进行逐一的测试 HTTP 的访问发帖测试 FTP，telnet 常用应用。 IM 即时通信测试。 Email 发送测试。 xx 集团特有互联网应用测试。 8、风险分析及回退风险可能性：假如部署设备后测试案例无法正常使用，经过排查无法现场解决，可进行变更回退。回退方法为取下 ICG 的光纤线路，将原有的放在一边的防火墙和交换机的光纤插回即可。 9、变更实施人员工作分工 xx 集团信息部门网络工程师提供网康工程师所需要的信息，由网康工程师完成 ICG 的配置。线路链接可由网康工程师在 xx 集团信息主管部门的工程师配合下完成割接。测试项目由 xx 集团提供在网的电脑，或者允许网康工程师的笔记本接入测试网段。。 10、使用期间的维护网康公司提供 7x24 小时热线，如果测试期间有任何不可远程指导解决的问题，网康工程师会第一事件感到现场协助解决。确保 xx 集团部署的顺利进行。 11、部署完毕后守局并制作使用报告部署结束后，网康公司会和 xx 集团的信息主管部门一起确定报告主要涵盖内容，并由网康工程师制作监控报告，并将监控报告制作方法和 xx 集团的工程师进行沟通，力求报告能够给 xx 集团提供更多的可用数据。四、详细功能实现方案功能实现文档说明 1 本文档主要针对 xx 集团提供功能实现指导方案用，并指导用户对配置的有效性进行测试。 2 本文中将对所有 ICG 的功能配置进行解释描述以及给出简要的配置和测试步骤指导，针对客户具体客户关注的功能点将用红色字体标注，用户审阅自己关注的功能点后还可以查看其他的功能点，以体现 ICG 更多的产品功能 3 斜体字体为操作步骤的简单说明 1、用户组织构架建立网康 ICG 产品可以采用多种方式进行客户的组织架构建立： 1) 网康 ICG 产品自身提供的用户名/密码方式录入。可以采用文本文件将用户名密码导入，也可以采用手工录入方式。用户信息建立后可自行建立部门信息，并把用户加入到部门中。 2）如果用户采用 Microsoft 的 AD 域方式，则可以直接从 AD 域控制器中导出用户信息到 ICG 产品上。 3) 其他方式的 LDAP（轻量级目录）用户导出。 4) 基于 IP 扫描方式的用户自动建立，用户名体现的就是网络上的 IP 地址。扫描完毕 IP 地址后，可自行建立部门信息，并把用户加入到部门中。使用限制：用户网络中如果采用固定 IP 地址方式则采用该方法可以有效的控制用户，但是如果用户使用 DHCP 方式动态分配地址则本方法并不能有效的控制用户。如果和 ICG 在同一网段有防火墙，并且防火墙上配置的针对 IP 地址扫描（SYNC 扫描）的限制将导致 ICG 不能正常扫描到用户的地址，甚至还可以导致 ICG 被防火墙设备屏蔽。以上各种用户组织构架的方式可使用如下方式进行：点击 ICG 管理界面的 “用户管理 ”页签数据导入选择要采用的用户组织架构建立方式。 2、用户认证后才能访问互联网网康 ICG 产品可采用多种方式进行用户网络访问的认证 1) IP 地址方式的身份识别，主要针对基于 IP 地址方式建立的用户组织架构。 2) MAC 地址方式的身份识别，主要针对基于用户 MAC 地址方式建立的组织架构，在使用时需要注意使用限制。 3) AD 域用户方式的身份识别，主要针对域用户导入的方式。 4) WEB 用户登陆方式的身份之别主要针对用户自行录入用户名和密码，或者文件导入用户名和密码的方式。以上各种认证方法配置可使用如下方式进行：点击 ICG 管理界面的 “用户管理 ”页签认证管理选择要采用的认证管理方式 3、带宽管理网康的 ICG 产品可以针对客户的网络中的应用类型进行灵活的流量控制和流量整形，使客户充分的利用现有的带宽资源获得最大的流量配比效率。具体可控制的协议如下：协议主分类应用软件软件子协议备注互联网协议 FTP DNS HTTPS HTTP PROXY HTTP SOCKS StreamingMedia RealMedia WinMedia Email SMTP ,SMTPS IMAP4,IMAP4S submission POP3, POP3S Session 协议 Telnet SSH 远程桌面-RDP PC ANYWHERE. IM-即时通信 QQ 文件传输，音视频，网络硬盘，游戏，远程协助 MSN 聊天，文件传输，音视频 YAHOO 文件传输，视频 ICQ 文件传输，音视频，游戏 Skype（只可封堵，不可流控） P2P 协议 BitTorrent， eDonkey/eMule， Gnutella， KaZaA(FastTrack)， PP 点点通，Kugoo WinMX Winny 迅雷（只可封堵，不可流控）股票软件大智慧同花顺钱龙大策略 P2P Streaming PPStream PPLive QQLive Feidian UUsee 磊客 Mysee BBsee 隐患服务 Windows 文件共享 NETBIOS 名称服务 NETBIOS 数据报服务 NETBIOS 会话服务 Microsoft-DS 服务 RPC 协议终端位置服务基于 http 的 rpc 服务远程文件共享 VNC MS SQL 用户自定义协议针对上表所显示的各种协议，网康 ICG 都可以基于灵活的控制，策略可以对不同的人，不同的时间来生效。带宽的控制粒度可精细到 10K 以上各种认证方法配置可使用如下方式进行：点击 ICG 管理界面的 “策略管理 ”页签新建带宽管理选择要采用协议以及以及选择带宽通道。（带宽通道需要在 “策略管理 ” “对象管理 ” 带宽通道中定义）测试：用户在给指定应用确定的带宽通道后，可以大流量的访问该应用，观察是否该应用的流量已经被限制。 4、互联网站点访问控制网康 ICG 产品可以基于如下的 41 个针对行为后果的大分类对用户的互联网站点访问行为进行管理/控制/监控，具体分类如下： BBS站点 Web通信在线聊天网络游戏计算机与互联网网上交易色情成人赌博博彩毒品违反道德违反法律犯罪技能病毒医疗健康广告财经商业社会生活新闻媒体宗教与信仰远程代理房地产求职招聘文学门户网站与搜索引擎娱乐机动车参考旅游体育儿童政治军事法律艺术教育科学非盈利组织博客互联网站点控制可以基于任何人员/部门，任何时间，阻塞/允许/纪录。实现互联网站点访问控制可以在： “策略管理 ”页签新建网页浏览控制选其中一种操作行为选则网站分类对象（对象生成方式间下面的蓝色字体）完成网站分类对象需要通过： “策略管理 ”页签对象管理网站分类输入对象名称选择囊括的网站分类类型确定验证方式：用户建立完毕网页浏览控制后，例如阻塞了色情，病毒等站点，可以尝试访问一些用户自己发现的色情，或者带有病毒的站点。观察是否被阻断 5、互联网应用控制管理网康 ICG 产品可以基于如下 70 类的针对行为后果的互联网应用行为进行管理/控制/监控：即时通讯 P2P下载流媒体网络游戏QQ 网络电视炒股软件BitTorrent RTSP 联众游戏 PPLive MSN eMule系列 MMS 浩方游戏平台Yahoo通 PP点点通 QuickTime 梦幻西游 AIM(ICQ) KaZaA网易泡泡 Email QQ直播 Kugoo 大智慧新浪 UC 指南针 PPStream 同花顺跑跑卡丁车远程登录证券之星 Telnet 钱龙泡泡堂SMTPGnutella POP3 街头篮球搜 Q IRC 迅雷Vagaa IMAP4 QQ音速新浪游戏大厅 RDP远程桌面SSH 盘口王大策略代理 SOCKS 中国游戏中心劲舞团热血江湖沸点UUsee 磊客Mysee 青娱乐BBseeUpdated Updated Updated HotmailYahoo Gmail163/126 Sina/SohuTom/QQ Mail Excite (jp)Goo (jp) Livedoor (jp)Infoseek (jp) Webmailil 应用访问的控制可以基于任何人员/部门，任何时间，阻塞/允许。实现互联网应用访问控制可以在： “策略管理 ”页签新建网络应用控制勾选所有的将进行同一种行为操作（阻塞 /允许）的应用完成。测试方式：在用户建立完毕互联网应用策略后，可针对该应用进行访问。观察网络行为是否可以达到预期效果。例如用户勾选了 P2P 软件的阻塞机制，则用户可测试 BT,电骡等应用是否还可以使用。注：迅雷封堵后用户只能使用单一的 FTP 站点方式进行下载，因此流量存在，但是只是普通的应用了，迅雷将失去 P2SP 的快速下载能力。 6、外发信息控制管理网康 ICG 产品可以针对如下上网行为进行外发信息监控并报警。具体实现机制如下图。使用方法： “策略管理页签 ”邮件审计 /POST 审计 /MSN 审计勾选后即可（其中 POST 审计可以输入敏感信息关键字）如果 POST 审计中出现关键字匹配，报警邮件会自动发送到用户预先填写好的邮箱中。测试方式：用户可根据自己需要进行审计项目的选择，然后通过被审计的操作方式外发信息，观察效果。 7、互联网上网行为监控，统计，查询监控：管理员可实时的在 ICG 监控界面中查看当前的访问信息（有监控信息数量限制），具有强实效性，当新发的监控信息大于监控显示信息允许的条数时，最开始的监控信息将被移出监控窗口。用户可进行 WEB,EMAIL,网络应用的监控设置。 WEB 监控设置：在设置中可指定监控对象，指定监控的行为分类。指定监控纪录的条数。 EAMAIL 监控设置：在设置中可指定监控对象，邮件个要素信息关键字，附件名称以及大小等信息。应用监控设置：在设置应用监控时可指定监控对象，网络应用分类，监控纪录条数等信息。以上 3 种设置可在 “监控统计 ”页签 WEB 监控设置 /email 监控设置 /应用监控设置中进行。执行监控：用户可在设置完毕监控方式后针对各种网络行为进行监控信息的查看。在执行监控中默认存在带宽通道监控，用户可以直接查询 ICG 中设置的各个通道的带宽情况，便于分析当前网络健康性。查询管理员在 ICG 中可以查询到设备存储体上保存的上网行为纪录信息。由于上网行为信息存储在存储体上因此具有长时间的回溯效果。可以协助管理人员进行人员前期行为的审计。 WEB 查询：可根据查询对象，查询时间段，查询 WEB 分类进行预期的结果输出。操作方法：监控统计查询WEB 查询新建选择过滤的条件确定。查询方法：监控统计查询WEB 查询选择事先定义的过滤条件GO（按钮） Email 查询：可根据查询对象，查询时间段，Email 相关要素进行预期的结果输出操作方法：监控统计查询 Email 查询新建选择过滤的条件确定。查询方法：监控统计查询 Email 查询选择事先定义的过滤条件 GO（按钮）应用查询：可根据查询对象，查询时间段，网络应用类型进行预期的结果输出操作方法：监控统计查询应用查询新建选择过滤的条件确定。查询方法：监控统计查询应用查询选择事先定义的过滤条件 GO（按钮） Post 查询：可根据查询对象，查询时间段，POST URL/正文关键字进行预期的结果输出操作方法：监控统计查询 POST 查询新建选择过滤的条件确定。查询方法：监控统计查询 POST 查询选择事先定义的过滤条件 GO（按钮）统计可以帮助管理员生成某天，或者某周的流量统计信息。在某些统计信息引起的管理员关注的时候，管理员可以进行递进式的查找，最终可以得到一个和查询效果相同的详细数据信息。本功能主在宏观的查看一些流量信息。用户行为统计：可根据用户为索引统计每个用户的 WEB 访问,网络应用，外发信息的流量。并可以递进式的最终获得用户的访问具体行为和站点信息。并可以反馈出管理员对这种行为操作的处理方式（允许/阻塞）操作方法：监控统计统计用户选择 “关注内容 ” 选择 “时间范围 ” 递进式查找最终的结果。 WEB 统计：针对 WEB 这种上网行为给出宏观的流量统计结果，如果有进一步的需求，最终也可以通过递进式的方式生成具体的查询结果。操作方法：监控统计统计 WEB 选择 “关注内容 ” 选择 “时间范围 ” 递进式查找最终的结果。应用统计：针对网络应用这种上网行为给出宏观的流量统计结果，如果有进一步的需求，最终也可以通过递进式的方式生成具体的查询结果。操作方法：监控统计统计应用选择 “时间范围 ” 递进式查找最终的结果。外发信息统计：针对外发信息这种上网行为给出宏观的流量统计结果，如果有进一步的需求，最终也可以通过递进式的方式生成具体的查询结果。操作方法：监控统计统计外发信息选择 “关注内容 ” 选择 “时间范围 ” 递进式查找最终的结果。测试方法：用户在部署完毕 ICG 后可根据上述蓝色字体进行有效时间范围内的数据统计，观察有效性。 8、互联网上网行为报告生成（简述）网康 ICG 提供灵活的报表生成机制。报表可以根据下述表格的内容生成：报表模板类型报表模板细分网站分类排名站点排名 WEB 用户排名 Email 用户排名 Webmail (供应商) 排名 Post 用户排名 Post URL 排名网络应用用户排名应用排名（具体应用详细排名）操作方法：监控统计报告选择要生成报表的类型选择时间生成报告除上述报告生成方式外，在数据统计的操作中（第 7 大点所描述）也可以根据用户自定义的统计项目生成更为详细，更为有针对性的统计报告。五、招标功能需求应答参照 xx 集团功能需求表进行的应答指标序号项目功能要求偏离情况有 1000 兆级接口无偏离，网康中高端设备均支持 GE 接口电源,有冗余无偏离，网康中高端产品均具备电源冗余，最多可达 1+2 支持设备本身的热备份和上网线路的热备份负偏差，但上网行为管理产品均采用静态路由实现线路热备，该种热备无法提高 xx 网络的热备效能支持最少 1000 用户点无偏离，ICG 可支持最高 20000 人 1 网络接口特性支持协议：IPv6 无偏离，ICG 支持 IPV6 2 接入认证方式支持多种接入认证方式：本地数据库认证/ USB Key 双因素认证 /第三方 LDAP/RADIUS 认证支持第 3 方的 CA 支持客户端和服务器的双向证书认证/短信认证等待负偏差，ICG 支持 LDAP 认证，Basic 认证，本地认证该偏差不影响 xx 项目的任何实施入侵检测与防御功能:含有攻击及脆弱性特征码的数据库，可不断更新，以提供对最新威胁的防护；与内部防火墙联动以及时阻断攻击。负偏差，该偏差是因为 ICG 专业处理上网行为管理，目前 xx 骨干网中的专业设备已经具备此能力，拥有此能力的上网行为管理产品将导致性能严重下降防攻击种类: 可提供对特洛伊木马、蠕虫、病毒、DoS/DDoS 攻击及混合威胁（甚至包括复杂的多形态）负偏差，该偏差是因为 ICG 专业处理上网行为管理，目前 xx 骨干网中的专业设备已经具备此能力，拥有此能力的上网行为管理产品将导致性能严重下降 3 入侵防御支持对特定用户/用户组免监控和审计无偏离可实现对所有炒股软件，所有网络游戏软件，所有在线音视频软件等其他所有基于网络的应用程序的封堵和管理。无偏离，ICG 产品拥有中国同类产品中最大的协议分析库，并且完全基于 7 层特征识别。危险网站阻隔:使用更新的不良网站列表阻隔对色情、病毒、钓鱼网站的访问无偏离，ICG 产品拥有中国最大的 URL 分类数据库，可为客户提供最高质量的服务 4 访问控制访问控制策略:提供基于组、时间、服务、网址策略、内容策略等多无偏离种对象组合的安全访问控制策略 P2P 拦截：使用深度内容检测技术实现对包括 QQ,MSN,SKYPE,BT 等任何 P2P 软件的流量阻隔无偏离，ICG 拥有中国最大的协议分析库，是中国产品中唯一真正封堵客户端迅雷的产品文件上传下载控制:对 HTTP,FTP 文件上传、下载类型和大小进行控制，也能对 QQ,MSN 等 P2P 软件的文件传送进行拦截无偏离，ICG 的协议库对众多协议设有细粒度的子协议，可灵活控管。代理识别功能:能识别采用 Http,Https,Socks 等代理服务器绕过防火墙检查的行为，从而进行阻断无偏离，ICG 协议识别不基于端口，因此代理服务器无法欺骗 ICG 能够对 Email 邮件进行先审计后发送，避免泄密等事件发生负偏差，ICG 可对邮件进行审计，但不阻断实时监控:实时监控用户的上网行为。无偏离，ICG 可实施监控网络中的上网行为访问监控:监控用户所有的上网记录，包括 Web 访问、 FTP、TELNET、邮件（含 Webmail）及附件、 QQ、MSN、ICQ、YAHOO Message 等流行 IM 的数据。以防止信息泄密。负偏差，仅 QQ 内容无法监控，因为 QQ 加密的隧道，如果能够捕捉 QQ 内容需要有插件，截取键盘输入，对客户有较大的安全隐患流量分析:能按用户、协议和时间对 Internet 流量进行统计分析，以优化员工对 Internet 的资源使用情况。无偏离，ICG 可对各种流量进行流量分析 5 访问审计 DOS 防御:使用 SYN 代理和 DOS 智能识别功能对内部服务器提供 DOS 保护。负偏差，该偏差是因为 ICG 专业处理上网行为管理，目前 xx 骨干网中的专业设备已经具备此能力，拥有此能力的上网行为管理产品将导致性能严重下降提供各种类型报表和图表来反映上网行为无偏离，ICG 可提供灵活的报表机制实现。提供一定时间段内上网行为详细的报表，包括 web 访问，ftp，聊天行为，p2p 等无偏离，ICG 可抽取任意时段的数据进行报表汇总 6 报表功能可以定制部分报表无偏离，ICG 可定制报表管理员权限粒度细致，分级管理无偏离，ICG 可对每个子功能进行分级管理 7 管理功能 Firmware 升级（最好免费）负偏差，ICG 有年服务费，因为只有真正收取服务费才能使公司能够真正的跟踪流行应用，给客户提供更好的服务，是双赢 8 高可靠设计如果方案是建议在核心拓朴当中串联，必须考虑双链路问题负偏差，该项目与第一大项，第二小项雷同支持自动定时日志备份，可以使用独立的日志服务器，容量无限制。内置日志容量20G。无偏离，ICG 可存储 100G 的数据，并可提供支持备份 9 日志管理具有专业日志分析工具，根据管理员指定条件对日志数据进行查询和审计，可以统计指定时间段内网络使用情况，统计使用网络资源最多的用户/用户组，统计收发邮件最多的用户/用户组；统计哪些 web 站点被访问最多等. 并且根据统计结构进行绘图：柱状图，病状图，曲线图等。无偏离，ICG 可提供灵活的日志分析组成满足客户的不同日志分析网康正偏差部分： 10 BCP 设计可提供交换式 Bypass 功能，避免串接故障正偏差，ICG 在负载过高，或网络中有超大规模异常流量时可提供交换式 Bypass 功能，确保用户网络畅通，并提供报警机制，可协助管理人员定位问题来源。 11 网站分类广度除色情、病毒、钓鱼网站外，支持各种基于行为后果的网站分类列表，便于了解员工网页访问趋势正偏差，ICG 研发时拥有只能的中文搜索机制，并采用 100%人工校验，提供 41 类的行为后果网站分类，便于管理者了解员工网页访问趋势 13 协议识别机理所有协议基于 7 层协议特征识别，避免代理欺骗正偏差，ICG 支持近 100 种流行应用。 14 P2P 协议广度对目前流行的 P2P 软件具备控管能力正偏差，ICG 支持 10 类的主流 P2P 软件，并且全部基于协议特征。真正做到 P2P 的全面控管 15 P2P Streaming 协议识别广度能够对目前流行的 P2P Streaming 软件进行控管正偏差，可对 9 类 P2P Streaming 软件进行控管，并且全部基于协议特征。 16 游戏识别广度能够对主流的游戏进行识别正偏差，ICG 可对 19 类主流网络游戏进行控管，并且全部基于协议特征。 17 IM 识别广度能够对主流的 IM 软件进行协议识别控管正偏差，ICG 目前支持 8 类的 IM 软件，同时对该 8 类 IM 软件共支持 20 类的子协议进行识别，并且全部基于协议特征。 18 Webmail 覆盖广度可对主流 Webmail 进行审计正偏差，可对 14 个的 Webmail 站点的邮件内容，附件进行审计，留存 19 配置灵活度提供命令行机制进行底层定位和无 IP 设置正偏差，ICG 提供 NSOS 命令行，可方便管理人员进行底层定位。 20 URL 快速更新产品 URL 库可快速更新，用户每天、每周可获取更新列表正偏差，ICG 服务体系每天为客户提供 URL 数据库更新，确保网站分类的准确性，时效性。 21 协议库快速更新每月提供协议库更新，确保客户协议识别准确正偏差，ICG 支持在线补丁分发，可确保用户每月都获得最新的协议列表。 22 用户网络状态显示可以提供上网用户数量/连接数/ 个人包速率（TOP 10），个人速率（TOP 10）分时图正偏差，ICG 可以提供上述功能，协助管理人员排查网络问题 23 增值功能可提供网页重定向功能正偏差，ICG 支持初次上网门户访问机制，可使员工每天上网第一次打开页面时访问的是公司指定的站点六、项目管理 1）项目组成员和运作方式 xx 集团上网行为管理项目组织结构图如下：项目领导小组项目经理项目实施小组项目应急保障小组项目商务小组技术顾问组项目领导及技术后顾问有网康资深的信息安全专家组成，人员在北京，该小组会提供前沿的上网行为管理解决方案。项目经理负责全局掌控项目的进展和跟进，协调各种资源，并起到技术引领作用项目实施小组负责 xx 集团的项目实施工作，主要任务是进行前期的工勘，技术信息收集，设备在变更时间窗内部署，设备运行状况监控，设备日志分析，并对 xx 上网行为分布进行报表制作项目应急保障小组人员在北京待命，如果项目出现实施小组能力所不及的问题，保障小组第一时间在已经搭建好的类似于 xx 网络的 1:1 环境中复现问题，其中一名成员会第一时间赶到 xx 现场进行技术分析。项目商务小组主要负责对项目的各种非技术环节进行协调沟通，确保商务运转正常。 2）项目实施计划表时间进度：如进入测试阶段工作周数完成任务描述设备到货实施小组到位网络情况分析到位第 12 前期准备工作及初次上线设备在变更窗内部署第 2-4 设备正常测试观察网络延时观察网络带宽观察控管效果观察异常行为第 4-5 出具测试，验收出具验收文档报告第 4-5 交付 xx 使用培训 xx 信息部门技术人员，交付使用 3）验收测试报告样本 1 引言 1.1 编写目的本测试标准主要目的是验证某产品是否符合国内客户上网行为的规范和互联网的安全需要。本测试标准读者主要为代理商或者用户负责验证各产商产品的技术人员以及管理人员。 1.2 背景上网行为管理产品是对组织进行上网行为管理、内容安全管理、带宽分配管理、网络应用管理、外发信息管理的产品，从而帮助组织更好的控制和管理对互联网的使用。由于国内外上网行为管理产品众多繁杂，且没有统一的标准，因此用户不具备对某产品进行评价的依据或者标准。 1.3 定义 Bypass：旁路功能 SSH： Secure Shell, 通过使用 SSH，你可以把所有传输的数据进行加密 AD: active directory,活动目录，活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理 2 测试拓扑为了保证对组织内用户的上网行为提供精确的管理和控制，本标准建议上网行为管理产品应串接入测试网络中。接入点选择于测试网络与 Internet（或者其他类型网络出口）出口的分界处。测试拓扑如下图： 3 测试内容 3.1 硬件特性测试由于上网行为管理系统在实际使用时将串接在网络最重要的位置，其基本硬件特性将对网络的安全和稳定性产生极大影响。【测试方法及测试结果】测试项目测试方法测试结果备注环境适应性关闭所有功能将设备串入网络，网络受影响时间小于 30 秒（访问）通过未通过光接口 Bypass 功能中断设备电源，设备自通过如果设备具备光动启动 Bypass 功能，网络受影响时间小于 30 秒（访问）未通过接口测试该项目电接口 Bypass 功能中断设备电源，设备自动启动 Bypass 功能，网络受影响时间小于 30 秒（访问）通过未通过如果设备具备光接口测试该项目掉电恢复接通设备电源，所配置功能自动启用，网络受影响时间小于 30 秒通过未通过分别设置一条允许和阻塞策略（基于 IP 地址） 3.2 管理功能测试上网行为管理系统的重要功能之一就是要体现其可管理性，主要包括操作界面的友善性、设备的管理、系统状态的显示、日志的管理、对控制引擎的管理等。【测试方法】 1. 登录控制台界面（WEB 控制台）； 2. 查看其各组件的分布情况，包括日志管理、系统状态、引擎管理、设备管理等； 3. 查看是否支持其他管理方式【测试结果】测试项目测试结果备注操作界面和显示内容是否全中文通过未通过具备 WEB 控制台（B/S 模式）通过未通过是否有较为完整的系统状态信息显示界面通过未通过支持管理权限划分，不同级别的控制台权限不同通过未通过具备日志管理界面通过未通过 Console 管理通过未通过其他管理方式 SSH 管理通过未通过 3.3 性能测试由于上网行为管理系统将要串接入网络中，因此产品的性能至为关键。【测试方法】直接从内网找一台 PC 机 PING 外部和网关地址，查看延时情况。注意：如果有防火墙，在测试时应允许 PING 报文通过【测试结果】 Ping 目标测试时间设备未串接前串入设备未开启任何功能串入设备实施流量控制方案后 11: 15:00 11:.c n 15:00 11:30网关 15:00 3.4 功能测试 3.4.1 用户认证功

展开阅读全文

上网行为解决方案投标书

最新文档