上网行为管理设备申请报告

上网行为管理设备采购申请报告

1、现状分析公司上网权限没有明确的制度规定，不能根据不同岗位的需求设定上网权限，现用户通过网络权限申请开通外网权限已有上网权限同事现基本不受控制，可访问购物、娱乐、股票等网页，目前已有的维盟网关设备可控制部分游戏、股票、在线视频等内容，但功能比较简单，无法识别所有的应用（如果有新的游戏或新的股票软件等是无法识别的\目前公司用维盟路由器做网关，设备较陈旧，不能做到精细化的行为管控功能，没有安全审计功能对于上网行为管控、外发文件、邮件管控以及上网日志记录等功能，已有的设备无法支撑未来发展的要求

2.存在的问题及风险

2.1带宽资源被非关键应用大量占用公司内部人员上班时间使用P2P等软件下载与工作无关的资源、在线观看与工作无关的视频，导致办公期间带宽严重不足无法对用户网络带宽流量智能管理控制，严重影响了工作效率

2.2单位人员上班时间使用工作无关的应用部分内部人员上班时间网上购物、聊天、股票、玩在线游戏等，做些与工作无关的事情，浪费了公司的人力和网络资源

2.3存在泄密、网络违法风险:部分内部人员安全和法律意识较差，存在网络泄露机密以及网络发布违法不良言论的风险

2.4私接小路由器，随身wifi,扰乱网络管理:内部人员私接小型路由器，随身Wi-Fi设备（360随身Wi-Fi、小度随身Wi-Fi、小米随）身Wi-Fi等,甚至是猎豹免费Wi-Fi之类的共享软件把内部网络共享给移动终端设备，导致非法移动终端可以随意接入内部网络，对网络进行干扰，客户在公司无稳定无线网络可用，同时给网络管理造成漏洞和安全隐患

2.5网络行为溯源缺失:没有互联网上网行为记录措施,一旦发生网络违法或者泄密，没法追溯事件源头，具有信息安全和信息泄密风险不满足公安部82号法令（企业单位需要对内网用户网络访问行为进行存储记录，）的要求

2.6对员工上网、邮件没有做合理的监控和发送大小限定

3、问题的解决方法在网络出口增加上网行为管理专业设备，对用户的上网行为进行管理，禁用非法网址、视频等，提高公司带宽的利用率，对邮件大小及发送邮件的后缀名进行管理限制接入设备的wifi热点及聊天等社交工具的管理和控制

4.采用上网行为管理设备给公司带来的效益

4.1避免数据泄密以及网络违法，防患于未然上网行为管理设备可帮助公司实现主动防泄密，避免内部人员通过IM、邮箱等应用给外界传输单位机密文件；也可以实现关键字过滤以及记录，避免单位内部人员通过BBS、微博、邮箱等应用在互联网上发布不良言论，将泄密和网络违法行为扼杀，

4.2提高工作效率加速业务运转通过上网行为管理设备对与工作无关的网页和应用进行限制，减少员工在与工作无关的互联网内容上花费的时间，提高员工的有效工作时间，提高工作效率及工作积极性，从而实现整体业务的加速运转

4.3规范网络管理，减轻管理压力通过防私接路由技术和非法Wi-Fi发现技术，可以有效防止内网中私牵路由和私自使用非法Wi-Fi热点，使网络拓补更加规范，网络管理更加简捷无漏洞，问题解决更加迅速

4.4带宽价值最大化，链路高可用通过此次的项目，公司可实现在现有的带宽资源上做到合理的分配，让与工作相关性不大应用将带宽让给更多业务相关、尤其涉及核心业务的应用，最大化利用现有带宽，做到有序、合理、高管控，避免的不必要的浪费及频繁的带宽升级

5、上网行为管理设备解决方案

5.1身份认证AC为内网用户提供账号/密码等认证方式，结合单点登录技术Single SignOn,SSO将避免手工输入帐号信息以简化操作AC通过数据包监听方式即可支持AD单点登录功能内网用户采用域账号登陆操作系统后，自动通过AC认证，简化用户操作，且合作伙伴等第三方人员接入机构内网后将自动禁止访问Internet,进一步降低机构信息资产外泄的风险AC的POP

3、PROXY单点登录功能启用后，内网用户只需收发一下Email,或触发PROXY服务器的认证后，也将自动通过AC认证，极大的方便了用户的使用对于三层网络环境的用户，AC可跨三层绑定IP/MAC

05.2访问控制

5.

2.1网页过滤通过AC上URL库的管理对公司明确禁止访问的网页进行分组默认禁止访问对其他针对型部门员工通过VLAN、IP和MAC进行管控，如财务部可以访问银行网站其他均不允许等此策略可控制员工在办公室不能访问购物、娱乐、股票等与工作无关网站网页，提供工作效率

5.

2.2关键字过滤员工上网时会根据自己访问习惯，通过搜索引擎对关键字进行搜索访问上网网络的开放性给网民带来更多的言论自由，但互联网上部分不负责任人士发表一些类似色情、反动、迷信或者暴力的信息，影响其他人士，造成了不必要的影响AC可对联网中的非法、暴力、毒品等不良网站进行过滤及对论坛网站发帖进行关键字过滤天涯、猫扑、百度贴吧等论坛网站，AC可设置看帖看不允许发帖，或者实行发帖关键字过滤，灵活避免组织中出现泄密或者发表不良言论带来法律追究责任的风险为组织内网提供一个绿色、健康、高效的互联网访问环境同时AC支持在搜索引擎中设置多关键字过滤，过滤包含不健康内容的网页

5.

2.3文件类型过滤部分员工利用下载和上传的工具在上班时间做与工作无关的事情，比如下载电影、音乐、游戏等，不仅影响工作效率，而且占用并浪费了组织的带宽资源AC根据下载文件的类型判别下载的内容，电影、音乐、游戏等与工作无关的娱乐信息为常见的rmvb\avi\mp3等格式，用户通过定义这些文件格式为影视类型，对这类文件的上传和下载进行过滤禁止通过其他途径向外发送文件，通过审计之后，允许发送，未通过的不允许发送

5.

2.4应用控制对于内网用户的网页访问行为，AC可管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制针对目前P2P行为泛滥的趋势5ANGF0R AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控并且对P2P行为严重吞噬带宽资源的问题，提供P2P应用封堵或流量管理措施针对类似P2P难以管控的应用，AC内置应用智能识别库，自动判断新出现应用特征,从而归类管理可通过AC所具备的多种网络访问控制功能对现公司办公电脑进行针对性管控，默认禁用上网聊天工具、影音娱乐软件、网络游戏、股票软件，也可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求

5.

2.5加密聊天管理根据公司相关业务需求可能后期会开通在线沟通软件，如QQ、TM、Skype等随着加密化的趋势不仅使明文的HTTP网站开始转向加密的HTTPS网站，现各种IM聊天工具的聊天内容也被加密，如果不能对加密的IM聊天内容进行监控和记录，隐匿其中的安全风险、安全事件就无法防御、无据可查AC通过聊天内容同步侦听Real-time MonitorforMessages,RMM,实现对QQ、Skype等加密聊天内容的监督和记录

5.

2.6邮件管理邮件成为了日常工作中一种必需的工具，如何避免员工通过邮件有意或无意泄露公司机密，如何过滤垃圾邮件，减少让人头痛的邮件管理问题呢？AC邮件过滤功能，可根据发送和接受邮件的地址，邮件主题、正文、附件类型，发送邮件的大小、附件个数等自动判别和过滤不符合规定邮件和垃圾邮件为避免邮件处理过程中，包含关键字的邮件为合法邮件，AC的邮件延迟审计（Postponed Sendingafter Audit,PSA）技术，可将敏感邮件阻挡于内网内网员工发送Email邮件时，用户认为已经成功发送，实际上该Email行为被AC识别后，符合管理员预定策略的Email被AC网关拦截，整封Email邮件、包括正文和附件全部转存至邮件缓冲区指定的邮件审核人员会获得邮件通知，经人为审核后，才允许该Email邮件发送到公网上，实现了对泄密邮件的封堵，保护了机构的敏感信息的安全性AC的邮件延迟审计技术对内网员工完全透明，邮件的发送过程与日常无异

5.

2.7无线AP管控禁止未知或未经允许的无线路由器与无线AP接入和连接外网当有无线路由器或无线AP接入时，生成记录，并通知管理员通过策略可以允许某一些无线路由器或者无线AP连接网络

5.3竟带流量管理各种吞噬带宽的应用出现和使用，类似P2P,组织若不加以管控，带宽必会被这类应用占据，从而导致整体网络速度变慢，正常的邮件发送和网络访问都无法通畅AC可应用流量进行智能识别，根据相应时间段和用户组权限设置组带宽以及组内用户所占带宽，并可按优先级高的组优先使用带宽带宽包括上传和下载根据用户网络行为检测是否存在下载或P2P流量，并根据检测结果进行封堵或流控实现宽带智能控制能自动检测外网网络带宽或者我们设置两外网带宽具体数值（例如，我们作了双ISP链路备份，但是网络带宽不一样，一条链路断了，链路会自动切换）当一条网络带宽断了，每个组的用户会自动选择另外一个带宽限制策略

5.4监控审计

5.

4.1记录可以记录下所有的网络行为访问记录，比如外发消息，监控用户网访问过的网址和试图访问的网址等，在内部人员上网前进行认证，明确责任

5.

4.2日志存储和权限支持外部日志服务器，可以实现日志导出和同步日志存储容量无限大可对日志内容进行取样和统计，形成各类图表（柱状图，饼状图，曲线图）,生成报表能对管理员进行权限设置，例如，（A用户仅能查看配置设置，B用户可以更改设置，但是不能查看日志，只有最高权限用户可以查看日志以及配置设备）

6、设备选型比对目前供应商根据现公司现状均推荐购买深信服AC1200/1220序号产品型号产品说月歌里单位单价（元）总价（元）供应商报价B包含用户认证、访问控制、行为监控、行为亩计、外发事计、带宽言理、移波说管控、共享WiFi管控、统计报表等功能最大支持带宽60M;并发用户数量:600;上网行为言理网络吞吐量:260Mbps;每秒新建连接数1200,最深圳市前迪科技有限11台¥

30500.00¥30,

500.00AC-1220大并发泡8数60000;公司朝容量:128G SSD网络接口4个千兆电口；ByPass:1对URL系统软件V

2.0URL与端规M库升®1年包含用户认证、访问控制、行为监控、行为亩计、外发亩计、帝宽告理、移费遂管控、共享WiFi管控、统计报表等功能最大支持帝宽60M;并发用户数量:600;上网行为管理网络吞P±S260Mbps;1200,最深圳市艾美斯信息技21台¥

35343.00¥

35343.00AC-122060000;术有限公司酶容量:128G SSD网络接口4个千兆电口；ByPass:1对URL系统软件V

2.0URL与靖臧!1筋级］年包含用户认证、访问控制、行为监控、行为亩计、外发审计、帝宽苣理、移湎屋肯控、共享WiFi管控、统计报表等功能最大支持帝宽60M;并发用户数量:600;深圳市宁佳捷科技有上网行为管理网络吞D1S:260Mbps;1200,最21台¥35,

700.00¥35,

700.00限公司（可提供使用AC-12007^^^:60000;设备）硬盘容量250G网络接口4个千兆电口；ByPass:1对URL薇欧件V

2.0URL与应臧！］筋级1年

7.推荐选择品牌深信服深信服上网行为管理为市场第一品牌2006年最早定义上网行为管理产品的品类；连续9年IDC报告，AC均为市场占有率第一；国内唯一一家入围gartner魔力象限的上网行为管理产品；13000多家的客户，参与北京奥运会、上海世博会、广州亚运会、南京青奥会国际赛事的网络项目深信服厂家在深圳，技术服务能够及时得到响应，售后有保证深信服支持有线无线一体化管控，可以通过AC对无线AP进行集中管控，不用再次购买无线控带！J器2013年下半年安全内容管理硬件市场各厂商所占份额，如下图所示来源IDC China.2014年5月。