《多路宽带接入和上网安全审计管理解决方案》由会员分享,可在线阅读,更多相关《多路宽带接入和上网安全审计管理解决方案(10页珍藏版)》请在金锄头文库上搜索。
1、多路宽带接入和上网安全审计管理解决方案目录第一章 企业需求分析及解决方案简述 3第二章 企业上网存在的几种问题 52.1 网络资源的不合理使用,并导致工作效率下降 52.2 网络资源的不公平使用,带来严重的带宽问题 62.3 上网给企业带来的泄密或信息系统破坏等安全问题 62.4 网络资源的非法使用,使企业有可能陷入法律纠纷 7第三章 上网信息安全管理系统介绍及解决方案 83.1 上网信息安全管理系统简介 83.2 上网信息安全管理系统的主要功能,解决信息审计、监控,防止信息非法传递 83.3 上网防火墙策略,限制员工上网权限 9第一章 企业需求分析及解决方案简述目前,随着宽带的普及应用,很多
2、企业都安装上了宽带,网络的应用越来越 来,管理难度越来越到,很多企业一条宽带不够,再增加一条宽带,二条宽带不 够,再增加两条宽带。一般采用拨号宽带,而拨号宽带比专线便宜很多。但是这 样将出现多路接入、多个出口。将给管理带来较大麻烦,接入设备多,维护成本 增大。很希望有一总设备能提供多路宽带同时接入和实现带宽合并,由总的一台 路由器来完成并实现管理。企业上网速度慢的原因是多方面的,最主要的解决办法是上网的规范和管 理。防止带宽滥用、大量占用网络资源。本解决方案根据企业的需求必须解决两个方面的问题,第一方面,实现多路 宽带合并管理,汇集成为一个统一出口,这样带宽增大,上网速度快,实现由一 个路由器
3、作为与 Internet 连接的网关,统一管理,减低故障率和维护成本。第二 方面,需要对上网员工的上网行为进行规范,类似于“企业员工准则”,对上网 信息进行审计,防止有害信息发外和企业机密信息非法外传。采用一台智能宽带路由器和一台网络行为管理系统可以解决以上问题。项目预算:项目名称描述价格(元)1智能高速宽带路由器硬件产品,支持四路ADSL宽带合并、具有路由器功能、四口交换机、端口镜像功能等2网络行为管理系 统硬件产品,1U产品,实现内网上网安全审计功能、管理100台电脑。3实施费安装、调试、维护合计(人民币:元)网络结构图:第二章 企业上网存在的几种问题随着互联网的发展,目前很多大小企业多具
4、有专线接入或宽带接入上网,互联网的发展 给企业信息化及电子商务提供了强大的信息化交换平台,现在已经逐步的摆脱传统的工作模 式,而是采用电子商务。上网给企业、每个员工带来了很多方便和工作效率,可以说再也没 有人拒绝上网查找信息、收发电子邮件了。但是,不可避免的将给企业开通了一道与外界交 换的“大门”,这个“大门”就是我们要将的企业 internet 接入口,也就是网络的大门(网 关)。这个信息大门跟物理上的企业大门实质上是一样的。我们必须确保防止外来的入侵、 非法的攻击、非法进出入。解决的办法是通过在信息大门(网关)安装一套检测系统、安装 一套出入登记系统、安装一套网络信息监控系统等等。上网安全
5、管理系统就是专门为以上问 题的一种解决方案的系统。专门针对中小型企业量身定制的解决方案。上网安全管理系统是 采用最新技术理念信息技术集成。这一套系统集成了原来几套系统的功能,使得整合性非常密切,管理统一、十分容易维护,投入资金大大减少、维护升级费用大大减少,是一 种中小型企业最佳的解决方案。企业宽带(专线、LAN、ADSL等)接入互联网存在很多亟待解决的 管理问题毫无疑问,互联网将信息交流提升到一个前所未有的层次,企业经营人员在获取、收集和发送信息的速度、数量、多媒体的表现形式方面都得到极大的便利,同时相关的 成本却降低了。各类企业主或管理人员正是认识到互联网的好处,纷纷开通专线或宽带 接入互
6、联网,企业内部员工通过局域网就可以方便而快速地享受互联网带来的各种服 务。准确地说,专线接入互联网是企业的一种资源,但目前在利用和管理该资源方面却存在着太多的问题,这些问题极大地困扰着企业高层管理人员、人力资源部和IT部门。2.1 网络资源的不合理使用,并导致工作效率下降根据 IDC 最新数据报导,企业员工平均每天有超过二分之一的上班时间用来 在线聊天,浏览娱乐、色情、赌博网站,或处理个人事务;员工从互联网下载各种 信息,而在那些用于下载信息的时间中, 62用于软件下载, 11的时间用于下载 音乐,只有 25用于下载与写报告和文件相关的资料。互联网上的内容太丰富了,对企业员工有太多的诱惑,很多
7、的员工沉溺其中, 无法自拔,常常把自己的本职工作放在一边,导致企业整体工作效率没有提升反而 下降。 调查数据显示以下为影响工作效率主要的互联网行为,它们与工作无关而 且可能导致更多的问题(比如网络安全等):浏览色情网站; 浏览游戏、音乐等娱乐网站,下载大量与工作无关的音乐文件,在线听音乐,在线看视频图像等,不仅耽误工作,而且占用大量的网络带 宽资源,影响其他人员使用公司的资源; 浏览相关财经网站,利用公司的资源在线买卖私人股票或浏览相关信息; 浏览“在线”购物和拍卖网站; 浏览赌博网站; 使用即时信息交流软件如 ICQ、 QQ、 AOL、 MSN、 Yahoo;2.2 网络资源的不公平使用,带
8、来严重的带宽问题许多上网人员不停地下载大容量的文件,比如大量的MP3音乐文件;或者在线听 音乐、看视频电影、新闻等行为,严重占用网络带宽,造成网络堵塞,上网速度下降, 影响其他员工的正常上网行为。管理人员奇怪企业大量投资的专线接入速度一天比一天慢; IT 部门经常遭到抱怨, 要求提升上网的带宽;而有趣的是抱怨的人中包括那些下载音乐文件或看视频电影的员 工。2.3 上网给企业带来的泄密或信息系统破坏等安全问题任何企业主或管理人员都担心自己内部的机密信息流露出去,而互联网偏偏又方便 信息的交流和传递。通过互联网,任何数字文件都可以方便地发送出企业的内部网,正 因为如此国外很多公司都对企业内部的电子
9、邮件系统实施定期的检查。但邮件的检查并 不全面,因为有很多免费的邮件系统可以利用,它们的使用只要用浏览器就可以;此外 即时信息交流软件也可以使用户绕过电子邮件系统而直接发送信息到企业外部。不受限制的上网行为将带来更多的安全问题,比如下载的文件中带有病毒或其它有 破坏性的程序;ICQ、OICQ等软件的使用有可能招到网络黑客的袭击,硬盘里的资料 和数据被窃取或破坏。想到这些问题,每个管理人员都可能坐立不安。如何解决这些问题呢?2.4网络资源的非法使用,使企业有可能陷入法律纠纷在国内,法律规定了很多网站是非法的,比如有色情内容的、与反动政治相关的、 与迷信和犯罪相关的等等。使用专线接入互联网后,企业
10、内部网某种程度上成了一种“公 共”上网场所,很多与法律相违背的行为都有可能发生在内部网中。事实上,这是很多 企业要加强网络行为管理的最初的原因。另外一个日渐显露出来的问题是网络黑客利用企业专线入网的条件,实施非法的网 络攻击,发送病毒文件等,这都给企业上网带来了很多可能引起法律纠纷的隐患。 企 业目前缺乏有效的工具在相关事情发生后提供数字化证据。第三章 上网信息安全管理系统介绍及解决方案3.1 上网信息安全管理系统简介 上网信息安全管理系统,就是对网络使用者的网络行为进行记录、控制、限 制等管理,达到上网安全审计、上网信息过滤、上网行为规范。对常用上网协议 服务:浏览网页、WEB表单提交、邮件
11、外发(SMTP)、接收邮件(POP3)、文件上传 下载传输(FTP)、远程主机登陆(TELNET)、即时通讯(聊天软件QQ、MSN)、常用 在线游戏等进行安全审计,对符合设定的规则进行动作(阻断、保存数据、报警 等)等信息过滤。系统内置防火墙实现基于IP/子网策略、基于部门/分组策略、 基于用户帐号策略,实现对(员工)上网行为进行策略规范。3.2 上网信息安全管理系统的主要功能,解决信息审计、监控,防止信息非法 传递网页浏览的全面记录:内部员工访问哪些网站、网页都详细的被管理系统所记 录,相当于硬盘录像一样。记录了员工所有浏览网页的详细信息,从而知道了员 工上网的所有行为,可以分析出浏览的网站
12、或网页跟工作是否有关系,以便对员 工进一步的管理。网页表单外发的全面记录及数据备份:针对在线电子邮件(如:163邮局、21CN 邮件、新浪邮局等等)对外发送电子邮件的记录和副本的备份。全面掌握企业员 工使用电子邮件的来龙去脉,及时发现或防止商业机密或技术机密的外涉,特别 及时发现企业员工工作时间进行自己私事业务工作。另一方面,员工很多喜欢到 论坛发表信息(如:灌水行为),将可能涉及到一些非法信息(如:反动政治相关 的、与迷信和犯罪相关),可能给企业带来不必要的麻烦。电子邮件发外的全面记录及数据备份: 采用邮件工具软件(如 :outlook、Foxmail 等)对外发送电子邮件,系统全面记录详细
13、的发送邮件日志,也可以设 置为外发电子邮件备份在本系统内,目前,很多业务往来、订单等都常用电子邮 件进行传输,企业管理者很难掌握很控制到这些信息,如果一旦商业信息或技术 信息被非法外传的话,对企业的影响是可想而知的。通过对发外电子邮件的全面 记录和备份,企业可以全面掌握员工对外发送的电子邮件的详细情况。接收邮件的全面记录:采用邮件工具软件(如:outlook、Foxmail等)接收电 子邮件,系统全面记录详细的接收邮件的全面记录。使得企业管理者掌握了内部 接收外部邮件服务器的邮件详细情况,特别是一些跟企业商业往来的邮箱及为重 要。聊天软件(QQMSN )上下线的审计:QQMSN等即时通讯软件很
14、多企业都 是作为不允许使用的网络行为,一般是在防火墙里做端口的限制,从而禁止上 QQ和MSN等。但是,像QQ通讯它的生命力特别强,平时是采用8000端口, 如果8000端口上不了,它会找其它上网端口(如:网页:80,发送邮件:25,接收 邮件:110), 般情况下不接助其它系统很难做到限制QQ。所以,有必要对聊天 软件进行审计。本系统也能针对 QQ、MSN 进行全面的封堵。3.3 上网防火墙策略,限制员工上网权限本系统另一个强大功能就是防火墙安全策略,通过管理员对上网员工应具备 的上网功能及权限(如:浏览网站、接收邮件、发送邮件、QQ、MSN等),做 安全策略。企业的内部网络管理也是十分重要,
15、上网安全管理只是针对内网与外网的信 息交换的管理。企业内网有以下几种情况,小型网络规模,只有一个子网,具有 一定安全规范的话,通过划分子网或交换机做虚拟子网(VLAN)。中型网络规 模,一般具有的工作站电脑很多,需要划分子网等。一般防火墙是工作在网络层,主要实现对 IP 方面的访问控制。市面上很少 有基于用户帐号方面的访问控制。基于帐号的访问控制是在应用层中实现,一般 是在代理服务器里面实现,例如:微软的IAS、CCPRoxy、Wingate等代理软件。本系统的防火墙具备有网络层和应用层的防火墙,使得能够针对用户帐号进 行定义上网策略。管理层次大大提高,使得访问控制更细、更对象化。解决了网 络 IP 变化等问题。IP/子网策略:控制一些子网或个别电脑能够上网或不能上网,或者只能上 某些网络服务(如:访问网站、收发邮件)、需要审计、或者直通。服务可以是: 常用网络协议(HTTP上网、https、FTP文件传输、SMTP发送邮件、SMTP发 送邮件、POP3接收邮件、IMAP4邮件传输、windows终端服务、LADP目录服 务、QQ、icq、DNS、SQL、SSH等等)及自定义TCP服务、UDP服务。部门/组策略:针对部门或分组
