《无线wifi上网行为管理方案-final-1.9》由会员分享,可在线阅读,更多相关《无线wifi上网行为管理方案-final-1.9(10页珍藏版)》请在金锄头文库上搜索。
1、银行 Wifi 上网行为审计方案一、 无线 wifi 的安全审计功能人员通过银行 wifi 访问互联网信息,如果向互联网发布一些过激言论、反动信息等,不仅会对银行形象产生负面影响,甚至如果触犯了国家的法律招致有关部门的调查,还会牵连面临法律风险,因此,必须对用户的上网行为进行管理并审计风险行为,以便有据可查。上网行为管理产品,能为用户提供专业的用户管理、应用控制、网站过滤、内容审计、流量管理和行为分析等功能。可以帮助客户达成上网行为可视、减少安全风险,减少信息泄密、遵从法律法规、提升工作效率、优化带宽资源等等实用功能。通过选用通过公安部安全审计入围设备,结合中国电信综合信息服务提供商在网络接入
2、与安全的专业技术优势,提供安全接入综合解决方案,合理配置安全策略,提供可视化管理工具,用户行为分析等应用功能,为银行提供用户wifi 接入安全审计,满足互联网上网规范,同时可以满足银行业务的营销分析需求。上网行为管理设备功能列表如下:业务功能 说明 详细描述 公安安全标准访问审计记录用户、IP 地址、链接、网站类别、时间、网页标题,并支持网页快照,网页内容直观显示。聊天审计 对 IM 聊天软件、论坛微博发帖等内容进行审计。审计 安全审 计文件审计 对外发文件进行审计,防止机密文件外泄。公安部第 82 号令第八条(三)点:记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能。 公安部第
3、82 号令第九条(四)点:开办电子公告服务的,具有用户注册信息和发布信息审计功能;(此条针对网站)身份认证用户使用互联网应用时,由管理服务器推送 PORTAL 界面,提供用户输入手机号并获取动态验证码,输入验证码通过验证后即可访问互联网。公安部第 82 号令第八条(一)点:记录并留存用户注册信息用户审计上网审计手机号作为用户的唯一标识,作为用户审计信息记录用户上网行为与安全审计。包括:用户登录退出时间、账号、上网访问地址、聊天纪录等。公安部第 82 号令第七条(三)点:记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施。监控功能应用可视化通过对网络应用的精确
4、识别,实现网内应用的可视化管理。通过识别结果,制定有针对性的网络优化方案。设备提供增强功能告警功能 违规告警违规操作的告警,告警分级管理,并支持自定义告警规则。 设备提供增强功能mac 地址过滤mac 地址过滤支持 MAC 地址黑名单过滤,网点移动办公电脑的 MAC 地址加入互联网无线网络黑名单,禁止行内计算机违规上网设备提供增强功能网站过滤 网站过滤配置网站黑名单,阻止访问恶意网站、不良网站保障上网安全。 设备提供增强功能P2P 过滤 P2P 过滤 限制视频、流媒体带宽、p2p 下载等,提高用户上网感受。 设备提供增强功能流量控制 带宽控制智能动态的流量控制管理,保障关键业务,灵活分配带宽资
5、源。亦可对单 IP限速,平均分配带宽资源,现在对现有资源的最优化管理。设备提供增强功能防共享 防代理共 享 限制一拖 N 上网,防止代理共享上网功能。 设备提供增强功能功能流量状态 流量统计实时查看本日应用排名、本日活跃用户(用户名、IP、流量)、本日访问网点(网址、分类、请求数)。设备提供增强功能查询统计 应用统计支持应用日志查询统计,域名统计、共享用户统计等。 网络应用报表在指定时间段中,对网络中各种应用进行统计分析,分析每类应用在网络中的连接数占用比例,分析客户行为。 访问网站报表分析在指定时间段中,访问含某个关键字(URL)的网页的客户记录。统计 应用统计 明细统计 上网行为报表公安部
6、第 82 号令第十三条: 互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存六十天记录备份的功能。分析指定时间段中,统计每位客户对互联网的访问情况,包括:网络应用、上下行流量,并可查看详细资料。事件统计 事件日志QQ、MSN、URL 帐号、POP3 帐号、微博账号等登录事件日志查询统计;登陆时间日志查询统计,DNS 事件日志。创建报表 报表创建、PDF 格式导出,自定义报表。报表功能 报表导出 各类分项日志支持 Excel 格式导出。设备管理 集中管控对全网中的上网行为管理设备 AC 进行集中管理,实现策略配置统一下发、设备升级统一维护。设备提供增强功能告警管理
7、告警功能提供对违规操作的告警,支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等,并支持自定义规则。设备提供增强功能管理账号管理 认证功能支持本地认证功能,包括 Web 认证、用户名/密码认证、IP/MAC/IP-MAC 绑定等,支持外部认证,与LDAP、Radius、POP3 等外部认证服务器或者 SAM、CAMS 等认证计费系统结合进行身份认证。设备提供增强功能二、上网行为管理部署可选方案AC 工作模式有两种:一种是集中管理,集中转发。即所有 AP 的管理数据流和终端的业务数据流都需要由 AC 来转发;另外一种是集中管理,分布转发。即所有 AP 的管理数据流由 AC 转发,而业务数据流则
8、在部署在本地的三层设备转发。方案一:AC 的工作模式设置为集中管理,集中转发。上网行为管理设备可部署在2 个位置,汇聚出口或者 AC 与核心交换机之间。可根据设备的多少选择部署上网行为设备管理平台和专用的上网行为管理日志服务器,以便于管理。图示如下:1、选择上网行为管理设备部署在 AC 与核心交换机之间,那么可根据用户数量的增长,相应的扩容行为管理设备,不会造成投资浪费,同时安全性相对较高。2、选择上网行为管理设备部署在上网出口,那么需评估总体用户数量,设备性能需能够支撑未来的用户增长。方案优点:网络结构简单,上网行为管理设备部署集中,管理维护方便。缺点:出口汇聚流量过于集中,出口带宽成本高,
9、地市分行无直接管理权限。 成本核算: 设备厂家 设备型号 产品描述 单价数量 金额/1 年服务 金额/2 年服务单 ap/2年期租赁价格(3000AP 测算)深信服AC-9600-L具备 4 个千兆电口,4 个千兆光口,2 个万兆光口;吞吐量 4Gbps500,000 1 500,000 550,000 7.64并发会话数 3200000并发用户数 50000网纵 Netzone4G具备 6 个千兆电口,4 个万兆光口,4 个万兆电口;吞吐量 4Gbps并发会话数 3000000并发用户数 100000170,000 1 170,000 187,000 2.60网康 具备 6 个千兆电口,4
10、个万兆光口,4 个万兆电口;吞吐量 4Gbps并发会话数 3000000并发用户数 100000400,000 1 400,000 440,000 6.11方案二:AC 的工作模式设置为集中管理,分布转发。省行和地市分行分别汇聚本地市的管理流量,业务流量通过本地汇聚核心交换机在本地汇聚后上Internet。上网行为管理设备部署到各分行的汇聚核心网络出口,省行部署上网行为管理设备专用的管理平台,配置专用的管理日志服务器,以便于管理。优点:1、各地市分行可以管控自己的上网行为管理设备,并根据自己的需求定制个性化的上网行为管理规则。2、地市分行及省行汇聚各地市的业务流量,出口流量比较分散,有更高的安
11、全性与可靠性。缺点:1、涉及到 21 个地市,投入的设备多,投资偏大。2、设备增多,维护管理难度加大。成本核算:设备厂家 设备型号 产品描述 单价 数量 金额/1 年服务 金额/2 年服务单 ap/2 年期租赁价格(3000AP测算)AC-E690-10 吞吐量 1Gbps 85,000 21 1,785,000 1,963,500SC-470-AC-L集中管理平台集中管理中心端网关(可管理 800 个AC 节点)18,070 1 18,070 19,877深信服SC 管理 AC网关授权每增加一个被管理的上网行为管理(AC)网关1,100 21 23,100 25,410汇总报价: 1,826
12、,170 2,008,78727.90E9800具备 6 个千兆电口,4 个千兆光口;吞吐量 2Gbps并发会话数1000000并发用户数1000038,000 21 798,000 877,800集中管理平台集中管理中心端网关6,800 1 6,800 7,480网纵SC 管理 AC网关授权每增加一个被管理的上网行为管理(AC)网关500 21 10,500 11,550汇总报价: 815,300 896,83012.46NI5000-MN具备 4 个千兆光口,4 个千兆电口;含专用操作系统与智能流量管理标准软件;含一年软件升级与数据库更新服务,含一年硬件质保服务。支持用户数 500084,
13、800 21 1,780,800 1,958,880CMP-LBA集中管理平台集中管理中心端网关26,800 1 26,800 29,480网康CMP-LIS-M每增加一个被管理的上网行为管理(AC)网关2,200 21 46,200 50,82028.32汇总报价: 1,853,800 2,039,180方案三AC 的工作模式设置为集中管理,分布转发。省行 AC 集中管理所有 AP 网点,业务上网通过网点汇聚设备直接上网,上网行为管理设备下移至营业厅汇集网点。省行部署上网行为管理设备专用的管理平台,配置专用的管理日志服务器。方案优点:1、网点用上网行为管理设备替换普通的路由器,即可实现上网,
14、也能完成上网行为审计功能。2、通过本地 AD 上网,降低链路租用成本。缺点:1、分散上网,管理节点多,维护管理难。2、网点多,投资成本大。投资预算:设备厂家设备型号 产品描述 单价 数量 金额/1 年服务 金额/2 年服务单 ap/2 年期租赁价格(3000AP 测算)AC-550-GD 吞吐量 20Mbps 4,200 3000 12,600,000 13,860,000SC-570-AC-L集中管理平台集中管理中心端网关(可管理 10000个 AC 节点)131,200 1 131,200 144,320深信服SC 管理 AC网关授权每增加一个被管理的上网行为管理(AC)网关1,100 3
15、000 3,300,000 3,630,000汇总报价: 16,031,200 17,634,320244.92E5800具备 6 个千兆电口;吞吐量 500Mbps并发会话数100000并发用户数 10004,000 3000 12,000,000 13,200,000集中管理平台集中管理中心端网关35,800 1 35,800 39,380网纵SC 管理 AC网关授权每增加一个被管理的上网行为管理(AC)网关500 3000 1,500,000 1,650,000汇总报价: 13,535,800 14,889,380206.80NI3000-HN具备 4 个千兆电口;含专用操作系统与智能流量管理标准软件;含一年软件升级与数据库更新服务,含一年硬件质保服务。支持用户数 30022,800 3000 68,400,000 75,240,000CMP-HBA 高端集中管理平台 48,000 1 48,000 52,800网康SC 管理 AC网关授权每增加一个被管理的上网行为管理 1,250 3000 3,750,000 4,125,0001,103.03(AC)网关汇总报价: 72,198,000 79,417,800四、 问题讨论需要了解目前网络方案的设计情况,选定具体安全审计方案;
