UAG建设方案建议(模板)范文(共22页).doc

《UAG建设方案建议(模板)范文(共22页).doc》由会员分享，可在线阅读，更多相关《UAG建设方案建议(模板)范文(共22页).doc（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上上网行为审计及流量管理解决方案（行为管控解决方案）建议书宁波海曙探路人软件技术有限公司2011年10月一、安全建设1 安全现状分析网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间，网络技术的迅速发展和广泛应用，为人类社会的进

2、步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题，据国家计算机网络应急协调中心（CNCERT）的调查结果显示：大约76%的网络安全事件与内部人员的有意或无意的网络行为相关，有近80%的企业存在信息安全威胁与风险： n 上班时间浏览非法网站、网络聊天、在线影音的员工日益增加，员工30%-40%的上网活动与工作无关，造成工作效率低下 n 无节制的P2P、视频网站，造成巨大的带宽压力并带来网络拥塞，关键业务经常出现延迟甚至中断n 随意通过EMAIL、IM等方式发送和拷贝敏感涉密信息，导致企业机密信息和关键业务数据外泄 n 内网用户终端的非授权接入，文件的随意下载、拷贝，造成内网

3、病毒泛滥 n 互联网的开放也使得企业网络面临各种病毒侵扰和威胁 上述现象，已成为各企业急需解决的系列难题。同时，国家对企业的各种上网行为有明确的政策和法规，先后发布和进行互联网安全保护技术措施规定（公安部第82号令）、整治互联网低俗之风专项行动等。 中国公安部网监部门根据负责对联网使用单位的互联网安全保护技术措施的落实情况依法实施监督管理： n 联网使用单位负责落实互联网安全保护技术措施，并保障互联网安全保护技术措施功能的正常使用 n 能够记录并留存用户使用的网络地址、互联网地址或域名n 联网使用单位依照本规定落实的记录留存技术措施，应当具有至少保存六十天记录备份的功能n 防范计算机病毒、网络

4、入侵和攻击破坏等危害网络安全事项或者行为 随着网络系统规模的扩大，各种应用系统不断完善，对各类数据的安全提出了新的要求。面对来自外部与内部的各种安全威胁，业务系统需要按照纵深防御的思想，逐步构建成完整的信息安全体系。迪普科技基于DPtech UAG审计及流控一体化行为管控解决方案，可为该系统解决上述难题、落实国家相关法律法规。2 迪普科技安全建设理念理念是人们对于不同事物从自身角度出发确定下来的正确看法，并用于指导人们的行为实践。正确的安全建设理念可以指导用户解决所面临的最主要的安全问题，将有限的资源投入到最有效的地方。迪普科技公司提出的智能安全理念，体现了迪普科技在网络信息安全方面专业和独到

5、的见解，使其成为客户最可信赖的安全建设指导思想。在应用需求的不断推动下，网络技术得到了飞速发展；而网络技术的进步则又反过来推动应用的发展，应用与网络之间是相辅相成、相互促进的。而应用自身的多样化、个性化特性，却与网络的IP化、标准化形成了天然难以逾越的矛盾。特别是随着万兆到核心/千兆到桌面、Web2.0、虚拟化、云计算、物联网、P2P等新技术新应用的不断增多，如何在标准化的网络基础设施上，使模型越来越复杂、流量越来越大的千变万化应用更安全、更快速、更可用，最终使IT战略与企业战略保持一致，是所有IT厂商和用户面临的共同课题。安全：从某种意义上讲安全是叠加于基础网络设施上的一层智能网，它通过安全

6、域划分、访问控制、入侵防御等技术手段形成一套完整的端到端防护体系。但受制于技术积累的不足，传统的防护方案只能用于部分对性能、功能、可靠性要求不高的场景，对大型数据中心、骨干网/城域网、大型园区出口等场景则束手无策。快速：P2P、网络游戏等的无节制使用，使企业网络流量呈现爆炸式增长，宝贵的网络资源被滥用；病毒等威胁的肆意泛滥，不仅会造成网络流量异常，甚至会导致业务瘫痪。单纯通过扩容网络带宽的方法已无法从根本上解决。可用：应用服务的不断增多、流量压力的不断增加、访问延迟的不断增大，如何保证在线业务的持续可用？简单的通过扩容网络带宽和增加服务器的方法不仅成本大而且收效甚微。为解决上述问题，迪普科技从

7、“应用超乎想像”角度出发，提供了一系列保证用户应用更安全、更快速、更可用的产品和解决方案。迪普科技具有一支业界领先的开发团队，基于多年的研究与积累，拥有自主开发的高性能的内容识别与加速芯片以及核心软件平台，目前已推出具有自主知识产权的应用防火墙、UTM统一威胁管理、IPS入侵防御系统、防毒墙、UAG审计及流控、异常流量清洗、Scanner漏洞扫描系统、WebShield网站防护系统、TAC终端接入控制、DPX深度业务交换网关、ADX应用交付平台、工业交换机及UMC统一管理中心等系列化产品。迪普科技自主研发的ConPlat OS系统平台，是一个可剪裁、可伸缩的基础软件平台，可以提供丰富的组网能力

8、、强大的数据流处理功能以及完善的虚拟化功能。迪普科技全系列产品均以高性能多核架构为硬件基础，并结合FPGA与ASIC技术，全线产品的处理能力都提高到万兆水平，即使在功能扩展的情况下依然不会影响设备性能，创新性的突破了安全产品受部署场景、功能和可靠性的限制；流控、WAN加速等技术的综合使用，从27层提供差异化、层次化的应用加速解决方案，为客户提供前所未有的灵敏快捷的应用体验；另外，通过负载均衡、掉电保护等技术，在大大降低客户总体拥有成本的同时，有效保证了客户业务的高质量持续可用。目前，政府制定了网络安全相关的法律法规，促使各行业必须遵循一定的安全标准，以帮助提高企业的攻击防范能力。为了帮助用户构

9、建等级安全体系，实现按需防御需要，迪普科技对企业IT环境现状进行安全评估，为用户度身定制一整套闭环的安全建设方案，并通过培训提升企业安全管理人员的素质，保证安全性的延续。迪普科技的行为管控解决方案就是在这个安全理念指导下形成。二、 行为管控解决方案1 建设原则通过统一管理平台管理整个网络及业务系统出口，对互联网出口的用户上网行为进行审计和带宽管理。系统建成应为完整的可扩展的一套系统，实现数据处理、数据检索、日志存储、策略定制和分组管理等需要。稳定性：系统需具备高度的稳定性，支持软、硬件Bypass，保障系统的正常运行。实用性：主要技术和产品必须具有成熟、稳定、实用的特点，既要便于用户使用，又要

10、便于系统管理。先进性：系统设计要采用成熟可靠的体系和软件硬件产品，应支持对主流技术、协议和标准的升级，以及有完备的技术支持团队。开放性：系统平台应是一个开放的且符合业界主流技术标准的平台，要适应学校应用对系统进行定制的要求。扩展性：系统应支持灵活组网和网络改扩建的需要，能够快速部署和随网络结构进行调整，并无需改动平台主体结构和功能。安全性：要对数据库提供备份和恢复机制，对管理权限实行分组管理分组授权。2 方案简述在网关处部署DPtech UAG网关产品，UAG具有网络行为审计、流量分析与控制、访问控制和病毒防护等功能，其强大的行为管控功能，可规范员工上网行为，保护内部数据安全、防止机密信息泄漏

11、；专用防病毒引擎，可抵御来自外网的各种恶意威胁；独特的安全助手功能保证终端的安全接入，并通过与UAG网关的协作，为用户构建内外网一体化安全防护；基于行为和特征的应用识别和控制技术，可对网络中P2P/IM等各种应用进行有效管理，优化带宽使用效率。设备提供日志保持、关键内容过滤等功能，满足国家公安部颁布的互联网安全保护技术措施规定（公安部令第82令）要求。3 主要功能33.1 上网行为管控，防止机密信息外泄，规避法律风险在互联网出口处，部署UAG产品，可对各种内网出入外网的信息与文件进行安全审计，这样可有效解决网络及业务系统内部泄密的问题。为保证管控效率，管理员可设置敏感关键字进行自动告警与阻断。

12、 对于员工在上班时间访问网站、网络聊天、网络游戏、炒股、看电影、P2P、文件上传下载、Email、FTP等行为，UAG将记录和分析，并可针对部门或个人进行策略性控制、屏蔽或免审计。 UAG设计上采用审计功能和应用特征分离的架构，提供专门的应用协议特征库，并定时进行特征库的更新。这种方式保证了UAG具有全面、准确的网络流量识别能力，同时能够及时针对网络中新出现的业务进行准确识别，而且，升级特征库的过程中不会对用户的实际上网造成任何中断。UAG基于网络用户组和网络应用组策略，可以灵活控制内部员工、部门以及组织的上网行为，其中网络用户组可以由管理者根据自身组织结构情况，将不同的工作组、部门设置成不同

13、网络用户组，然后针对这些网络用户组配置不同的上网控制策略，同时，对于部门中一些特权用户，如经理等，可以设置成免审计，从而保证必要信息的保密。网上的协议类型众多，为了便于对这些协议进行管理，UAG通过网络应用组将上千种能够识别的协议进行了分类，如网页浏览、即时通信聊天、BBS论坛、网上视频、电子邮件、网络游戏、P2P等等，管理员可以在制定策略时进行，直接引用网络应用组中的预定义类型。此外，系统还可以由用户根据自身业务情况，自定义网络应用组。通过网络应用组，可以大大减少管理人员的策略配置工作量。通过部署UAG，可以实现对上互联网用户的行为和内容实现统一审计和管理，在提高工作效率的同时避免业务系统敏

14、感信息的泄露。此外，UAG还支持基于时间段的策略控制，控制用户或者用户组，在指定日期和时间段访问互联网服务的权限。通过灵活的上网控制策略，管理者可以实现对各类上网行为的封堵功能，如即时通讯类（QQ、MSN聊天）封堵、网游封堵、股票封堵、p2p流量封堵、BBS发帖封堵、以及按照网址/关键字封堵等等。3.2 P2P全面管控，优化带宽资源，保护关键应用 P2P应用极大吞噬着网络及业务系统的网络资源，P2P的带宽占用问题已经成为IT管理者头痛的普遍问题 。目前绝大多数P2P软件都不使用固定端口，因此基于传统的端口识别技术已无法有效识别和控制P2P。UAG采用先进的深度包检测和行为检测技术，可全面封堵如

15、迅雷、BT、eMule、PPLive、QQLive等P2P应用，对于加密和未知版本的P2P软件，则通过网络行为智能学习技术对其封堵。同时，为满足带宽的按需使用，UAG可对指定用户或部门，按时间段进行P2P控制。 通过部署UAG，可以实现对现有网络带宽进行分析和管理，提高有限的带宽的使用率，提高工作效率。3.3 安全边界保障企业业务的安心运行 UAG内置的专业防病毒引擎，采用新一代虚拟脱壳和行为判断技术，能准确查杀各种变种病毒、未知病毒，部署在网络及业务系统的互联网出口构建绿色的IT环境。通过在互联网出口处部署网关防病毒，可以将病毒威胁抵御在外网，避免病毒对内部网络的困扰，同时与网络及业务系统现

16、有的防病毒体系形成二重防护，进一步增强对病毒的防护能力。3.4 便捷、直观的统计，降低使用和维护成本 UAG提供设备本地日志管理和信息集中管理两种方式。可以按照严重程度、时间、用户名/用户组、地址等维度，进行系统日志、操作日志和业务日志管理。通过UAG提供的管理平台，可以对整个网络的产品进行配置、版本、特征库和日志管理，通过图形化和报表化的展现，可以让网络应用变得清晰化，从而降低设备管理和维护陈本。三、 上网行为监控技术说明1 用户管理对上网行为的监控需要对用户身份进行有效的管理，没有严格的认证就无法有效区分用户，也就无法部署差异化授权策略，自然无法有效防御身份冒充、权限扩散与滥用等。UAG产

17、品支持持丰富的身份认证方式：Web 认证、用户名/密码认证、IP认证、MAC认证、IP-MAC绑定认证，同时支持与第三方认证服务器AD、LDAP、Radius 等联动进行用户身份认证，确保合法用户才可以正常接入网络；下图是用户名/密码认证的流程图，其他认证方式与该流程图类似2 流量分析和控制UAG采用特征分析和行为模型相结合的独有引擎设计，在不影响报文网络延迟的情况，精确识别各种网络应用； UAG一共可以识别几百种网络应用，如下图所示，可以全面有效的对网络流量进行监控和管理，并且通过定期的协议库规则的升级，可以支持最新的网络应用流量；UAG可以识别的主流应用如下：1、 迅雷、电骡、BT等多种P

18、2P流量2、 PPTV、PPStream、优酷网、土豆网等各种网络视频流量3、 QQ、MSN、新浪UC等各种聊天软件流量4、 魔兽世界、传奇等各种网络游戏流量5、 同花顺、大智慧等各种股票软件流量对于普通的网络应用，UAG使用精确引擎检测技术，通过对网络报文的方向、网络报文的五元组、网络报文的长度、网络报文的负载部分进行深度扫描，精确识别该网络报文所属的网络应用；对于P2P的的网络应用，UAG除了使用精确引擎检测技术进行检测以外，UAG还使用了行为模式引擎技术，通过对P2P软件的流量模型、行为模型和统计模型的分析，构建P2P软件的通用检测技术，可以解决现有的P2P和以后新出现的P2P软件的识别

19、和统计，一劳永逸地解决P2P的监控和管理；一旦精确识别了网络应用，就可以对该网络应用进行允许、禁止和限制等各种管理策略，保证用户正常网络应用的带宽，限制P2P的大量流量占用带宽；下图是流量分析和控制的流程图：3 行为审计各种网络应用日新月异，如何有效的监管上网行为，避免员工频繁地进行网络聊天、观看在线视频等非工作网络业务，防止员工外发信息泄露公司机密信息，防止员工发表与法律法规不相符的相关言论，是每一个单位、企业、公司等面临的问题；UAG产品通过内容审计引擎对各种网络应用进行扫描，提取各种虚拟帐号（如QQ号码、MSN帐号、邮件地址等、论坛帐号），对外发的各种文件上传、论坛发帖、新闻回复等内容进

20、行深度检测；具体的实现流程图如下：4 防病毒功能UAG内置的专业防病毒引擎，采用新一代虚拟脱壳和行为判断技术，能准确查杀各种变种病毒、未知病毒，为企业构建绿色的IT环境。防病毒检测流程图如下：四、 综合安全管理中心（UMC）技术说明书1 产品概述随着互联网技术的发展提高，大多数企业都部署了或即将部署局域网（甚至是大型广域网络）。随着互联网技术的广泛部署，互联网上承载的信息越来越丰富，通讯越来越便捷，企业对互联网的依赖也越来越严重。相应的企业内的信息安全问题也就越来越突出，随着互联网接入的普及，互联网包含的丰富应用和便捷的通讯，为企业机密信息的外泄提供了更便捷更隐蔽的通道。同时来自互联网的满怀恶

21、意的攻击、漫无目的的扫描以及同样功能丰富的病毒木马，对企业的内网构成了严重的威胁。为应对日益多元化和复杂化的安全威胁，传统的桌面安全软件已经无法完全有效的防御来自互联网的攻击，在信息安全方面更是无能为力。为了应对日益严重的威胁，相应的网络安全设备也就应运而生。应对网络攻击和病毒的防火墙和IPS设备，对内网提供网络安全和信息管理的UAG设备等，安全设备的部署大大的增强了企业网络的安全性，提供了应对网络威胁的保护。随着网络规模的扩大，安全设备在网络中得到大量的部署，同时在整个网络上不断对多个安全设备管理，更新和维护也变成了一项日益复杂和耗时的工作。对于安全管理员来说，分别管理每个安全设备是一个复杂

22、又低效的过程，同时这还将给网络安全带来新的风险。分别的安全信息管理设备更为安全管理员的审计、整理和分析安全事件，保护信息安全产生了严重的挑战。并且随着网络带宽的不断提升，对网络安全设备的性能产生了更高的挑战。由于网络性能的压力，导致网络安全设备在更丰富更深入更加自动化的安全事件统计分析上止步不前。同时随着网络规模的扩大分布式部署使这些特性的应用受到了限制。为了应对这些新的安全问题，UMC综合安全管理中心被设计和开发出来。目的将原本分布在网络中，各自独立的安全点进行统一的管理和监控，形成一个集统计分析和管理配置于一体的安全解决方案。UMC综合安全管理中心能够对来源自不同类型的不同设备的网络事件进

23、行集中的管理，进行专业的深入的统计分析，并通过丰富的报表展示网络的各方面的安全状态。通过自动的分析、管理产生告警通知管理员或自动联动安全设备进行防御。通过集中的配置对各安全设备进行管理。UMC综合安全管理中心作为安全解决方案的中心将原本一盘散沙的各安全设备整合为一个完整的安全解决方案，以提供对整个网络的安全监控和管理。满足大型企业网络的安全管理需求。2 产品特性 支持对UAG（还包括应用防火墙、IPS、网站防护、漏洞管理等网络安全设备）的原始安全事件的统一接收存储。 支持对网络安全事件的统计和分析，并生成各种专业报表。提供网络流量、状态分析，用户行为审计的业务功能。 支持对安全事件的自动分析和

24、告警联动 支持对UAG（还包括应用防火墙、IPS、网站防护、漏洞管理等网络安全设备）的集中配置管理 采用B/S架构，支持远程管理3 在网络中的位置：根据不同的网络环境和要求可以灵活的部署到不同的网络位置，只需要保证与被管理的网络设备间的通信即可，可以采用专用链路或公用链路。同时UMC综合安全管理中心也支持分级部署。4 技术简介UMC综合安全管理中心可以作为独立的软件组件进行部署也可以与专用的UMC硬件设备配合部署。软件采用BS架构，内建HTTP服务器，使管理员可以在任意地方通过Web方式对UMC综合安全管理中心进行查看和管理。支持HTTP和HTTPS。内建数据库可以对海量的数据进行存储分析和管

25、理。日志接收器将设备发送的Syslog和私有格式日志进行接收和格式化后存入数据库。配置下发通过WebService和SNMP方式进行远程配置。3.4.3.1 主要优势 BS架构提供方便快捷的使用体验，美观专业的界面展示 独立软件部署 将软件部署和硬件部署分开，可以根据实际的网络规模调整硬件性能。 易于安装使用 快速完成安装；提供直观熟悉的安装界面； 高效的统计分析通过优秀的统计分析算法，为海量事件的统计分析提供了高效的保证，为管理员查看网络状态提供了快速的反应。 内置数据库能够存储大量数据，并进行数据的聚合 日志接收能够对各种格式的安全日志进行接收和处理。 集中管理 在UMC上进行统一的配置，

26、安全策略下发，UMC将自动通过远程配置接口向被管理的安全设备同步配置 分级管理对于大规模， 多区域的网络环境， UMC还支持通过分级的方式进行总部和分部的统一管理。 丰富的告警方式支持邮件、短信和声音等多种告警方式，使管理员及时了解网络安全状态3.4.3.2 总体结构接收器状态监控模块配置代理安全设备数据库数据处理组件管理组件功能模块细分模块描述数据接收接收器接收各种安全设备上报的日志，格式化后存储到数据库中状态监控模块监控各管理的安全设备的运行状态，并保持如数据库数据处理数据库将各项数据分类存储数据处理组件对原始数据进行汇总统计分析，生成相应统计数据和产生联动动作。配置管理配置代理根据不同的

27、配置项与设备支持的配置接口对设备进行配置管理组件管理组件提供管理员使用的配置管理界面相关的所有功能5 功能介绍3455.1 网络监控 提供对网络流量分析 支持网络应用的趋势分布的分析，也支持单用户网络应用的趋势分布的分析。支持对用户的流量的布控 支持对用户的网络行为的审计和监控 支持审计企业内网用户的对各种网络应用的使用，可以定期审计网络应用使用情况。同时提供网络访问的统计信息。 通过对关键内容的布控，可以及时阻止敏感信息的外泄。 通过对访问控制策略的配置，规范企业内上网人员的网络行为。 通过对网站访问策略的配置，限制企业内上网人员的网站访问。5.2 攻击监控 提供对网络攻击的统计分析 统计安全设备发现的网络事件，分析网络的安全状态，了解网络攻击信息 提供对网络病毒的统计分析 统计安全设备发现的病毒事件，分析网络的病毒情况，了解网络病毒信息 提供对DDoS攻击的统计分析 根据安全设备上报的DDoS攻击信息，综合展示网络的DDoS攻击情况 提供对安全策略的配置 集中配置网络的安全策略5.3 设备管理 设备监控 提供对设备的管理和状态监控 特征库管理 提供对设备的特征库的升级管理专心-专注-专业