2024年5月30日发(作者:)
数据防泄漏系统
解决方案
北京网信安盟科技有限公司
2010-01-11
第2章
目 录
第1章 概述 ........................................................................................................................................ 3
安全风险分析 .................................................................................................................... 4
第3章 解决方案 ................................................................................................................................. 6
3.1用户访问内网办公服务器认证、授权、审计 ............................................................................. 6
3.2数据防泄漏软件系统 ..................................................................................................................... 8
3.3内网用户访问因特网有序管控 ................................................................................................... 11
第4章 防御效果 ............................................................................................................................... 14
4.1非法用户“进不来” ................................................................................................................... 14
4.2网络行为“有规则” ................................................................................................................... 15
4.3有效信息“拿不走” ................................................................................................................... 15
4.4涉密信息“读不懂” ................................................................................................................... 15
4.5非法行为“跑不了” ................................................................................................................... 15
第5章 产品介绍 ............................................................................................................................... 17
5.1
数据防泄漏系统功能 .................................................................................................................. 17
5.2
SSL
VPN功能 ............................................................................................................................. 20
5.3上网行为管理产品的价值 .......................................................................................................... 29
第六章 方案报价 ............................................................................................................................. 34
北京网信安盟科技有限公司 第2页/共34页
第1章 概述
随着信息技术的飞速发展,计算机和网络已成为日常办公、通信交流和协
作互动的必备工具和途径。但是,信息系统在提高人们工作效率的同时,也对
信息的存储、访问控制及传输关键数据,如何有效防止其丢失和泄漏等一系列
问题提出了安全需求。目前对局域网的安全解决方案,还停留在采用防火墙、
入侵检测、网络防病毒等保护网络、限制信息访问或者监控行为的被动防护手
段上。在过去的一年中,全球 98.2%的计算机用户使用杀毒软件;90.7%设有
防火墙;75.1%使用反间谍程序的软件。但却有 83.7%的用户遭遇过至少一次
病毒、蠕虫或木马攻击事件;79.5%遭遇至少一次间谍程序攻击事件。据国家
计算机信息安全测评中心数据显示:由于内部重要机密通过网络泄漏而造成经
济损失的单位中,重要资料被黑客窃取和被内部员工泄漏的比例为:1:99。这
是来自于国家计算机信息安全测评中心的一个数据,据调查显示,互联网接入
单位由于内部重要机密通过网络泄漏而造成重大损失的事件中,只有 1%是被黑
客窃取造成的,而 99%都是由于内部员工有意或无意的一些泄密行为所导致
的。
北京网信安盟科技有限公司 第3页/共34页
第2章 安全风险分析
根据我们的总结分析,来自内部的安全威胁主要有以下几类:
窃取者将自己的计算机通过内网网络交换设备或者直连网线非法就接
入内网或者计 算机终端,窃取内网重要数据;
窃取者直接利用局域网中的某一台主机,通过网络攻击或欺骗的手
段,非法取得其他主机甚至是某台网络服务器的重要数据;
内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印非法
拨号外联等 手段泄漏到单位外部;
内部人员窃取管理员用户名和密码,非法进入单位重要的业务和应用
服务器获取内部重要数据。
内部员工在工作时间浏览无关的网站,导致恶意程序在内网横行,阻
塞正常网络带宽
应用系统(OA,业务系统)等未考虑应用级的安全,任何文件都是明
文传输,明文存贮在应用系统的数据库,这样文件极易被截获,并且
文件容易被人从数据库中提取,发生泄密事件。
内部数据存贮在硬盘中,由于未使用数据加密技术,在PC电脑出现故
障,需要维修时,维修人员可以轻易从硬盘中获得任何数据。
对于目前办公内网所使用的监控和审计系统,这类系统虽然提供了一
定的网络控制功能,但其重点是对网络数据进行记录和审计,因此并
不能很好地阻止单位信息泄密事件的发生。一旦泄密事件发生,对单
位已经造成损失,此类产品的安全作用有限
使用文档加密系统来对敏感数据进行保护的方式,对于这类系统主要
是采用各种加密软件实现对计算机数据的加密,但是其对网络、计算
机、用户的管理不灵活,而且内网资源众多,需要分别进行权限的设
置,管理难度大,尤其当用户权限发生频繁更换的时候,容易造成漏
洞。此类产品并不利于单位内部信息的安全管理。
北京网信安盟科技有限公司 第4页/共34页
上述风险分析中可以看出数据在使用、传输、存储过程中最容易出现安全
隐患。这些安全威胁不是防火墙、入侵检测和防病毒等传统全手段所能解决
的。应该看到信息安全要立足于终端,从源头抓起,才能从根本上解决安全问
题;同时信息安全也要和应用系统紧密结合,才能做到有的放矢。
北京网信安盟科技有限公司 第5页/共34页
第3章 解决方案
从现状分析而知, 首先需要树立安全保密的意识,然后制订针对电子信
息保密的规范,并且在日常中贯彻执行。我们既要有完整的、可靠的信息安全
理论指导我们的方向,也要有经过验证的、实用的方案实现我们的想法,下面
将介绍以:
1、
2、
3、
ssl vpn系统
数据防泄漏软件系统
上网行为管理系统
为核心的企业数据防泄漏完整解决方案。本方案考虑了从数据的存储、使
用到传输过程中的全方位的防泄漏解决办法。
根据对XX公司需求的分析,本方案采用SSL VPN、数据防泄漏软件和上网
行为管理系统相结合的方案,在公司总部使用深信服科技的M5100-S SSLVPN设
备和M5100-AC上网行为管理设备,以及数据防泄漏软件系统。
通过M5100-S移动办公人员可以使用SSL VPN协议,实现内部用户和出差
在外用户经过严格的身份认证和授权后,安全便捷的接入公司内部网络核心应
用服务器,进行科研和业务工作处理。准入系统可根据接入电脑的安全级别控
制是否允许其接入核心服务器。
通过M5100-AC上网行为管理设备,通过方便的Web身份认证,管理用户上
网权限,封堵工作不需要访问的URL站点和网络应用,控制用户上网下载流
量,避免网络拥塞,减少带宽成本,准入系统还可强制用户电脑使用统一的安
全软件和工作软件。
3.1用户访问内网办公服务器认证、授权、审计
针对武汉XX公司的需求,并综合SSL VPN特性,组网方案如下:
北京网信安盟科技有限公司 第6页/共34页
方案说明:
1、 XX公司内网SSL VPN设备承载着重要的应用,是整个办公网络系统的
核心节点,所以,推荐采用深信服科技SSL VPN设备SINFOR M5100-
S,同时,为了提高整个系统的稳定性,在条件允许时,该设备的部署
可考虑采用双机热备的方式,当一台设备出现问题的时候可以无缝的切
换到另外一台设备工作,保证核心业务不会被中断。
2、 因为本次项目规划只为完成现有员工办公电脑的接入,在后续拓展接入
用户时,只需增加SINFOR SSL VPN设备的接入授权既可,无需再做任
何其它设置改动。
3、 所用用户通过SSL VPN接入时只需在浏览器中输入用户认证信息既可,
认证通过后页面自动后台运行,用户电脑上无需安装任何客户端,用户
使用简单,所有用户策略、权限分配完毕后,维护量为零。
用户认证还可跟手机短信、USB-KEY、动态令牌等多种措施相结合,加
强认证安全性。
4、 通过认证的用户将被授权,即根据已设置的策略分配给已通过认证的用
户相应的访问应用服务的权限。
北京网信安盟科技有限公司 第7页/共34页
5、 通过认证的用户的一切网络行为都将被SINFOR SSL VPN设备记录日
志,以便审计。
6、 本拓补图中VPN设备采用桥接模式部署,除了桥接部署模式之外,
SINFOR SSL VPN设备还支持网关部署和旁路模式部署,极大的适应用
户原有的网络环境。
7、 SINFOR SSL VPN虚拟专线功能可实现当用户接入内网应用系统时自动
与外网断开,保证内网服务器安全。
SINFOR SSL VPN的详细功能请参见3.2节。
3.2数据防泄漏软件系统
3.2.1系统架构
上图为数据防泄漏系统的系统架构示意图。其中每个客户端和应用数据服
务器中均可存有受控加密文件。
数据防泄漏系统由管理中心、控制台和客户端组成:
管理中心用于存储系统数据和提供在线认证。
北京网信安盟科技有限公司 第8页/共34页
控制台是管理员用于对系统进行配置的管理工具,
客户端从管理中心下载策略并根据策略完成对机密文件的保护。
整套系统基于C/S模式,其实施架构如图
3.2.2文档保护
文档加密系统使用微软Windows标准文件过滤驱动框架实现的透明加密内
核,可以在文档写入时进行自动加密,读取时自动解密,这样用户根本感觉不
到该文档是加密文档,但实际在硬盘上该文档都已被加密。由于加密功能是在
内核拦截方式实现,没有任何临时文件,所以可以达到良好的加密性能,几乎
不会对用户有任何影响。加密的文件密钥均为一次一密,同时加密文件内部已
经集成了多用户级别的身份认证权限,在内部文档流转时可以更好地保护机密
数据,可以很方便地对文档进行默认的权限范围划分。文件打开时会对当前进
程进行指纹验证以及密文进程保护功能,可以避免木马病毒或其他程序通过改
名或注入到合法进程内部进行窃取密文数据的可能,也可以解决网络开放和数
据保密不能互存的现象。
3.2.3透明加密技术
文件加密保存是文件安全保护的首要条件。只要是明文保存文件,无论运
用任何手段进行防范,同样会泄密。泄密的方式多种多样,不法分子获取商业
机密的手段更是多种多样,我们防不胜防。所以治本的方法就是对情报信息加
密,使得拿到也没用。
在操作系统中嵌入文档系统过滤驱动程序,从而可对所有应用程序读写的
文档执行过滤,当机密文档被读出时,此驱动程序执行对它的解密。当机密文
档被写入时,驱动程序执行对它的加密,从而保证机密文档所有被保存到永久
介质上的副本都被加密。
透明加密内核是基于最新的IFS文件过滤驱动架构的透明加密平台。加密
标识内置于文件本身,可支持PKCS7 电子信封、加密算法可在内核,也可在应
用层。支持MS CSP标准,可实现对加密硬件认证的支持。加解密操作均在受保
护的内存区域完成,高效安全,不会产生临时文件,进程防护驱动可防止进程
北京网信安盟科技有限公司 第9页/共34页
注入、内存dump。保护机密资料
3.2.4基于角色的策略配置
将对访问者的控制转换为对角色的控制,从而使授权管理更为方便实用、
效率更高。同时,将系统的一些基础功能,控制方式和权限设置为细粒度的策
略,角色与角色之间可以继承权限,使各个角色的策略划分更为清晰、明确,
降低了策略管理的复杂性。角色可以对应现实管理中的行政角色关系,不同角
色的用户可以访问不同权限级别的资源和对应不同策略。系统实现对应用系统
对象的访问控制。其思想为将一类用户归结为一个角色,角色之间可以继承和
互斥,通过对角色进行策略控制,达到对用户的管理。
3.2.5移动存储介质管理
针对移动存储介质的管理我们分为两种模式:内网专用模式和内外网混合
模式,可以对任何支持的移动介质分别进行这两种介质的模式设置。内网专用
模式的安全级别最高,使用之前必须对介质安全格式化后才可以在公司内网内
使用,介质内部数据为全加密状态,该介质脱离公司环境后为未格式化状态;
内外混合模式一般用在需要内外交互的情况下使用,可以把资料通过介质拷贝
到公司内部,也可以把公司内部资料通过专人授权后带到公司外部,非授权的
情况下强制拷贝到该介质的文件全部为加密不可读取状态。介质的使用权限对
应于每个用户的权限都各不相同,内网专用模式的权限可以细划为“只读、不
限和禁用”三个权限,内外混合模式的权限可分为“只读、加密、不受控、禁
用”四个权限
。
3.2.6外发管理
对应已加密的文档,如果需要把文档向公司外部发送,可以申请进行外发
转换。外发时有两个选择方式,一种是完全明文外发,一种是转换成图片进行
外发。图片格式外发安全等级比较高,用户只能看到内容,但不能进行编辑或
是复制。完全明文外发安全级别最低,它会把原始文件的明文以不受控的方式
外发给外部用户
北京网信安盟科技有限公司 第10页/共34页
3.2.7日志管理
日志内容主要包括加密文件记录、文件基本操作记录、对加密文件进行非
法操作的记录
3.3内网用户访问因特网有序管控
我们建议的XX公司上网行为管理设备部署方案如下图所示:
北京网信安盟科技有限公司 第11页/共34页
3.3.1控制功能:细致的访问控制,有效管理用户上网
对于内网员工访问各种网页的行为,深信服上网行为管理设备(以下简称
AC)通过内置URL库,关键字过滤等方式进行管控。对于采用SSL方式加密的网
页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。AC安全网
关不仅可以对员工使用WEB、FTP、EMAIL等常用服务进行控制,通过深度内容
检测技术,根据应用数据包四层到七层的特征码,实现对QQ、MSN、SKYPE等IM
聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络
游戏,在线炒股等网络应用行为进行管理和控制。
针对目前P2P行为泛滥和P2P工具版本泛滥的趋势、深信服 AC的P2P智能识
别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行
为严重吞噬带宽资源的问题,提供流量控制功能。
基于Web与LDAP/Radius集成的用户认证功能,又支持LocalDB设备自建帐
户、支持POP3、PROXY等认证方式,使得对上网用户的管理变得十分灵活方便。
通过对基于LDAP、POP3、PROXY的单点登录功能,简化用户的操作,方便用户
的使用。
AC所具备的各种网络访问控制功能,可以基于用户/用户组、基于时间
段、基于不同的目标行为进行灵活权限控制,实现人性化要求。
3.3.2审计功能:防止机密信息泄漏和法律违规事件
谈到安全问题时,大多数人都只关注外网安全,但其实机构的信息资产更
多的不是被黑客窃取,而是通过内部泄漏的。深信服 AC安全网关完善的访问审
计和监控功能能够有效防止信息通过Internet泄漏,并建立强大的内部安全的
威慑,减少内部泄密的行为。对于邮件类型的应用采用了深信服“邮件延迟审
北京网信安盟科技有限公司 第12页/共34页
计”的专利技术来保证先审计后发送;对于通过Webmail站点发送邮件,全面记
录邮件正文和附件等;对于QQ、MSN等聊天内容提供了全面的记录功能;对于
BBS、论坛发帖不仅根据关键字进行过滤,成功发布的内容也能全面记录;内网
员工访问的URL地址、网页标题、甚至整个网页内容,AC也能够完全监控和记录
等。深信服 AC的访问审计/监控模块为机构构筑了强大的内部安全屏障。
3.3.3安全防护功能,全面提升内网安全级别
作为一个全面的内网管理设备,深信服 AC安全网关还提供了丰富的安全
增值功能。除了强大的防火墙模块外,深信服 AC安全网关还集成了网关防毒和
防ARP欺骗等功能,对内网员工接收的邮件、访问的网页、下载的文件进行过
滤,降低了内网员工感染病毒的风险。
防DOS攻击功能,不仅防御来自公网的DOS攻击,对于发生于内网的DOS攻
击同样提供了彻底的防御;防ARP欺骗,让机构先前遭遇的整个子网用户无法上
网的故障得以根除。
AC具备的网络准入规则专利技术,将按照管理员预定策略,检测内网接入
终端设备的操作系统版本,操作系统补丁、防毒/防火墙软件安装和更新状况、
注册表、硬盘文件、后台进程等,只有符合安全要求的终端设备才允许接入
Internet,修复了内网的安全短板。
北京网信安盟科技有限公司 第13页/共34页
第4章 防御效果
通过部署数据防泄漏软件系统,让每个用户持有一个eKEY软证书,来完成
用户访问局域网数据资源的身份认证和访问控制; 数据防泄漏软件系统采用透
明加密技术在不影响用户使用习惯的前提下保证用户机密文档安全性,完整
性;用户相互之间文件交换的安全性,并通过集中监控与审计系统,实现全网
的用户数据访问行为监控和日志审计。
4.1非法用户“进不来”
系统利用可信终端网络接入认证系统,严格控制接入局域网的终端,达到
非法终端即使实现了与内网的物理连接,也不能进行网络通信,实现非法用户
“进不来”局域网络。系统通过在eKey证书中存储用户身份识别的唯一标识,
对用户登录系统进行身份认证,使得系统登录与eKey证书紧密捆绑,实现了非
法用户“进不来”终端与服务器
北京网信安盟科技有限公司 第14页/共34页
4.2网络行为“有规则”
通过上网行为管理、防泄漏系统的部署,可以规范不同部门的员工的网络
行为,比如哪些部门或个人可以上因特网、不允许与其他人通信、只允许本地
局域网通信,这些都可以在规则策略里进行详细的设置;
4.3有效信息“拿不走”
通过下面的安全访问措施,可以很好的实现有效信息 “拿不走”的功能效
果:
1) 防泄漏系统加密后的数据可以保证终端数据无法拷贝出去;
2) 防泄漏系统可以检测并控制终端设备的主机操作和网络通讯,防止终
端非法外联和传输机密数据;
3) 通过上网行为管理设备、VPN设备在网络上拦截机密信息;
4) 移动存储设备管理控制,默认不允许使用任何USB存储设备,从而防
止数 据泄漏;
4.4涉密信息“读不懂”
数据防泄漏系统通过专用加密技术,防止了敏感明文信息的外泄,包括:
1) 对于终端设备敏感文件进行安全保护。加、解密过程对用户透明,无
须对现有的应用平台进行任何的改动;加、解密过程动态进行,保证
了硬盘上任何时刻存放的敏感数据都是密文,即使是意外断电,也不
会导致明文信息的外泄;
2) 对于网络传输数据,由VPN加密机提供传输加密功能,由数据防泄漏
系统提供终端对终端、身份认证系统提供终端对服务器的加密传输机
制,实现了即使涉密信息丢失,非法用户也“读不懂”的效果。
4.5非法行为“跑不了”
整个数据防泄漏系统通过网络行为审计、主机行为审计等功能严密审计、
北京网信安盟科技有限公司 第15页/共34页
监控、跟踪系统以及受控资源的使用情况,包括:
1) 详细记录终端用户针对文件系统的操作行为;
2) 严格监测移动存储介质在系统内部的使用情况,确保在出现非法行为
时,一定“跑不了”, 便于事后追查责任有据可依;
北京网信安盟科技有限公司 第16页/共34页
第5章 产品介绍
5.1 数据防泄漏系统功能
5.1.1服务器双机热备
系统可同时设置工作服务器和备份服务器。当工作服务器发生故障时,备
份服务器将自动切换为工作服务器,从而保证了系统的正常运行。大大提高了
系统的健壮性!
5.1.2文件透明加密保护
系统主要采用透明加解密技术对机密文件进行保护,所有加解密行为都在
后台由系统自动完成,无需用户参与,不改变用户使用习惯。
在工作模式上,系统包括密文生成模式和密文使用模式:密文生成模式与
目前市场上同类产品相同,采用强制加密技术将符合系统策略的机密文件进行
加密, 而密文使用模式则由“安科”创新推出,采用选择性加解密技术只对原
本是密文的文件进行保护,而对明文文件不作任何处理,实现了对同一类型文
件的明文和密文作区分处理,开创了文件安全领域的新篇章!
5.1.3可编辑式外发文件保护
可对外发到企业外部的机密文件进行控制,包括设置外发文件的生命周
期,只读、打印等使用期限。
5.1.4“密钥分组”和“密钥分级”
系统融入了“密钥分组”和“密钥分级”的概念。可以满足许多企业对不
同部门之间和不通级别之间很细致的文件安全需求,企业可以根据需要设置每
北京网信安盟科技有限公司 第17页/共34页
个员工的密钥权限,确保每个员工只能使用其权限范围内的机密文件。
5.1.5内存监控
全程监控机密文件在使用过程中的内存数据,任何妄图通过复制粘贴、拖
动或插入等手段将密文内容导入到明文的行为都将被阻止,并将留下审计日
志。
5.1.6权限控制
对密文的只读(密文使用模式下)、打印等权限进行控制,尤其是打印权
限,目前市场上的产品普遍只能控制物理打印或者将物理打印和虚拟打印一并
控制,而“安科”首推物理打印和虚拟打印区分控制:对于物理打印,企业可
根据需要设置客户端用户是否可以对机密文件进行物理打印;对于虚拟打印,
用户只能使用我们提供的两个虚拟打印机软件打印加密文件,并且打印出的文
件依然是加密文件。
5.1.7在线工作流-安全流水线
提供在线工作流处理客户端用户需要解密和外发的文件。客户端用户只需
提交申请,系统会根据设置的流程自动在后台进行处理(管理中心审核或管理
员审核),一旦请求被通过,被申请的源文件即被上传到管理中心,留待文件审
计员日后审计,而客户端用户也会立即获得经解密或者外发处理后的文件。
流水线式的工作模式大大提升了工作效率,减轻了用户负担,事后追踪机
制更为机密文件的安全性增加了一份保障。
5.1.8文件备份
要保证机密文件的安全性,首先要保证机密文件的可用性。系统可以对机
密文件进行多版本自动备份(同一个文件最多可备份5个版本),提供本地备份
和远程备份两种备份模式,提供密文备份和明文备份两种备份格式。让用户在
任何时候都可高枕无忧!
北京网信安盟科技有限公司 第18页/共34页
5.1.9离线控制
对于需要脱离管理中心工作的客户端,管理员可为其发放外发eKey或设置
离线工作权限使其可离线工作。无论何种方式,都可设置客户端用户离线使用
的时间或次数,对客户端的离线使用进行控制。将对机密文件的保护延伸到离
线模式,既不影响客户端用户的正常工作,又保证了机密文件的安全性。使企
业真正做到了“运筹帷幄之间,决胜千里之外”!
5.1.10日志审计
日志管理员可对系统生成的详尽日志进行审计,可以生成各种图形报表并
导出。
审计的日志类型包括:系统日志、文件日志、网络日志、聊天日志、邮件
审计日志、HTTP网页访问日志、以及在线消息,并可以生成各种图形报表并导
出。
5.1.11打印内容监控
对物理打印机和虚拟打印机打印过的文件均进行监管,并且可以审计打印
内容。
5.1.12邮件管理
支持对所有发送和接收的邮件进行审计、禁止、放行(不被审计);
新增邮件解密的功能:设置策略通过邮件发送加密文件到指定的邮箱,系
统会自动解密的加密的。
邮件支持通配符的关键字进行过滤。
5.1.13内网管理
提供强大的局域网在线管理功能,方便管理员对系统的维护;
可以实时查看用户的CPU、内存、网络的使用情况;
可以用户的当前系统信息包括内存、处理器、磁盘、网卡等基本信息。
北京网信安盟科技有限公司 第19页/共34页
可以监控用户当前的进程状态,并可以在线禁止用户运行的进程;还可以
把用户的进程加入到进程黑名单里面,加入黑名单的进程无法再次启动。
可以查看用户目前安装了那些软件,并可以强行卸载某些软件。
补丁更新,客户端会自动从服务器下载最新的补丁并自动安装。
在线消息管理。
接入安全:即IP绑定的功能,绑定用户的IP之后,如果用户非法修改I
P地址,用户将无法访问外网(可以访问局域网)。
5.1.14资产审计
对企业硬件资产进行集中管理,可以查询到所有用户的资产信息,并可以
导出报表。
如果用户的硬件资产变动,系统会自动向管理员发送消息,提示某个用户
的硬件资产已经变动。
5.2 SSL VPN功能
5.2.1安全、高速、便利的远程接入
深信服 SSL VPN安全网关对于内部员工、合作伙伴、移动人员可利用SSL
VPN的易用性实现安全接入。最大限度地发挥了SSL VPN给企业带来的效益,
节约了企业大量的管理成本和投入成本。
5.2.2客户端安全检查,保证接入安全
深信服SSL VPN支持对客户端进行全面的检查,支持对操作系统及版本、
注册表、进程、文件、登录终端、接入线路IP、接入IP、登录时间和登录终端
的组合规则登录前、登陆后的检测。通过客户端的安全检测,可限定用户在指
定的终端范围、使用指定安全级别的终端、在指定的时间、通过指定的线路进
行SSL VPN登录。
北京网信安盟科技有限公司 第20页/共34页
深信服SSL VPN支持根据客户端安全检测结果基于角色进行相应的准入和
授权控制。管理员可依据组织自身的安全需求,设定操作系统及版本、进程、
注册表、文件、登录IP、接入线路IP、登录时间、接入终端等相应的客户端安
全检测的组合规则,并根据不同的检测结果判断是否允许该客户端进行接入、
允许接入后能访问什么应用。灵活组合,基于角色根据终端自身的安全级别实
现接入的灵活控制。
5.2.3多种认证方式组合及认证安全策略
深信服SSL VPN支持LocalDB、LDAP/AD、Radius、第三CA、自建CA、
USBDkey、Secur ID、短信认证(短信猫和短信网关)、硬件特征码、动态令牌
多种安全认证方式,最大限度地保证了接入用户的合法性。
单一的认证方式容易被暴力破解,为了进一步提高身份认证的安全性,深
北京网信安盟科技有限公司 第21页/共34页
信服创新性提出“与”、“或”组合认证,针对上面提到的用户名和密码、CA数
字证书、LDAP、Radius、AD、USBKey、硬件特征码、短信认证可以进行五个
因素以上的捆绑认证,这几种认证方式必须同时满足才能够接入SSL VPN系
统。对于以上几种认证方式进行或组合,只要通过一种认证方式即可接入到
SSL VPN系统中。
对于仅采用用户名密码认证的SSL VPN用户密码防暴安全显得尤为重要,
深信服 SSL VPN支持终端用户的防暴破登录设置,通过同用户名登录防暴破和
同IP登录防暴破设置彻底封杀已知用户名暴破登录和未知用户名暴破登录的种
种可能。支持自定义设置封锁恢复时间。
5.2.4完整支持IP层以上所有应用
目前对于大部分SSL VPN设备而言,所支持的应用类型是有限的,几乎仅
限于支持Web等B/S的应用,而无法像IPSec VPN一样支持基于网络层以上的所
有应用,因而也限制了SSL VPN的发展。
深信服 SSL VPN安全网关通过html智能重构技术、应用转换技术和IP
Tunnel技术,实现了对目前所有网络层以上各种静态或者动态端口应用的完全
支持,包括:网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、
SYBASE、ORACLE、CITRIX等各种应用。
由于采用了IP Tunnel技术,深信服 SSL VPN安全网关实现了对应用程序的
完整支持,客户端在打开浏览器的SSL VPN登录界面时,只需安装一个Active X
控件(可选),在客户端的机器上会生成一块专门用于SSL VPN通讯的虚拟网
卡,因而SSL 远程登录用户便可使用所有基于IP网络层以上的应用。若深信服
SSL VPN在总部网络采用路由模式的部署方式,总部网络还能够实现与远程接
入用户的双向访问。这种领先技术的应用,使得深信服 SSL VPN能够支持任何
复杂的各种B/S和C/S的应用。
应用层
运输层
网络层
完整支持IP层以上的所用应用
北京网信安盟科技有限公司 第22页/共34页
5.2.5提供细致的访问权限控制功能
深信服SSL VPN在资源的划分上,通过IP、端口、服务、URL等方式对内
网应用进行资源定义,基于角色实现用户、用户组、资源、资源组进行用户与
内网应用访问权限的绑定,并可根据客户端安全检查结果进行SSL VPN用户登
录的准入控制和根据客户端安全级别进行应用权限的授权控制。通过结合用户/
用户组、资源/资源组、客户端检测准入和授权策略和帐号主从绑定帐号,实现
指定用户使用指定终端根据指定安全级别访问采用指定应用帐号访问指定应用
的细致权限控制。
同时,深信服 SSL VPN集成了组用户并发限制、公用账号并发限制和用户
流量限制等多种方式,保证了用户合理地使用VPN资源。并且,在SSL VPN网
关中的直观式管理图形用户界面(GUI)的实时监控状态栏中,可以实时地监
控用户的接入情况,观察整个VPN系统的运行状况。
5.2.6多线路技术实现智能选路和负载均衡
目前,大规模VPN网络往往都是跨运营商的。但是国内运营商间的带宽太
小,严重影响了VPN的应用效果。作为国内领先的VPN和网络安全研发产商,
深信服科技在IPSec VPN 中,创新性地采用了多线路智能选路功能,并成功应
用到深信服 SSL VPN安全网关中。
所谓多线路智能选路技术,即是指在企业数据中心网络的网关位置部署深
信服 SSL VPN安全网关,并申请多条运营商的上网线路连接Internet实现线路捆
北京网信安盟科技有限公司 第23页/共34页
绑和带宽叠加。当远程的众多VPN客户端在使用不同运营商的上网线路访问总
部资源时,深信服 SSL VPN 网关会自动检测最优线路,使得采用不同运营商上
网线路的VPN客户端访问企业数据总部时的速度大大提高,解决了用户在不同
运营商网络之间部署VPN网络时存在延迟大、带宽小的瓶颈问题。
若采用其他方案来解决类似问题,则用户往往需要单独购买一个线路负载
均衡器,才能实现多线路负载均衡的效果。而深信服 SSL VPN的多线路技术,
不仅解决了跨运营商部署VPN网络时的延迟问题,还实现了多条线路的带宽叠
加和负载均衡,用户可根据自身情况选择主/备、平均分配以及动态适应这三种
多线路负载均衡的策略模式。
深信服 SSL VPN安全网关的多线路智能选路和负载均衡功能,减少了企业
在IT部署的采购投入,降低了企业的总体拥有成本。
多线路智能选择最优线路
5.2.7 HTP技术大幅提升高丢包、高延时下的网络传输速度
网络传输速度慢的常常是因为高延时、高丢包等恶劣网络情况所导致的,
特别是在移动用户采用智能手机、PDA、笔记本电脑等手持移动终端无线访问
时,恶劣的网络状况严重的影响了用户的访问速度及访问体验。尤其是对一些
传统TCP的应用而言,一旦遭遇到丢包和延时情况传输速度就会立刻大幅下
降,导致网络传输效果非常的差,而往往时延越大丢包越严重传输速度也越
慢。
针对这样的情况,深信服SSL VPN提出了快速传输协议HTP(HighSpeed
Transmission Protocol)。HTP是拥塞控制算法和提高窗口大小改善TCP传输效
率,显著提升无线访问、智能手机PDA访问SSL VPN在高丢包、高延时等恶劣
北京网信安盟科技有限公司 第24页/共34页
网络环境下的网络传输速度。
5.2.8管理员分级管理
随着客户的企业规模不断扩大,员工数量增长很快,并且不同的员工在公
司组织结构里有不同的职责和权限,对设备的用户管理提出了很高要求,统一
的集中管理员帐号已经不能解决问题。深信服SSLVPN将管理员分成不同的管理
组,ROOT组管理员为顶级管理员,可以管理所有管理员和用户。最大可以分
16级的管理组,不同的管理组管理员,可对不同组的成员进行管理,权限包
括:用户组、资源、角色、系统配置等。
5.2.9强化的网络防护-VPN虚拟专线功能
虚拟专线指用户登录VPN以后,和内部业务系统构成一条虚拟的专线,此
时用户将不再能访问虚拟专线以外的网络资源。用户一旦启用虚拟专线功能
后,一方面外部网络上面的不安全因素无法再对VPN系统构成威胁,同时也可
以避免客户端上的不安全因素造成泄密的可能性,避免因客户端引发的安全隐
患,确保内部业务系统的安全性。
北京网信安盟科技有限公司 第25页/共34页
5.2.10集成企业级状态防火墙
和多数VPN不同,SINFOR VPN网关集成了高性能的企业级状态防火墙,
能有效保护内部服务器免受来自Internet的各种攻击。内置的防DOS攻击功能,
不仅可以有效防范来自外部网络的DOS攻击,对于内网计算机发起的DOS攻
击,SSL VPN安全网关也可以进行防御。
5.2.11强大的QOS功能
深信服VPN网关内置QOS功能,可以对各种应用进行优先级的排序,保证
重要的业务能够有比较高的优先级,保证重要业务的运行。
5.2.12强大的日志系统
深信服VPN内置有强大的日志系统,可以针对VPN使用情况,提供详尽的
日志数据,包含日志查询,对服务统计,对用户统计,系统设置等四大方面。
效果图如下:
数据中心操作界面,在此可以进行VPN应用情况的所有日志查询、统计,
并且可以打印出报表,提交上级。
北京网信安盟科技有限公司 第26页/共34页
友好的登陆界面,可以多用户同时登陆,有助于管理人员对整个VPN运作
情况的掌握
数据统计,可以了解到当前数据中心记录何种数据较多,有利于提高VPN
的运作情况
北京网信安盟科技有限公司 第27页/共34页
单用户统计表格,细致到单个用户,可以针对单个用户的VPN使用情况进
行统计
单用户操作详细日志表格,有助于分析该用户使用VPN的行为。
北京网信安盟科技有限公司 第28页/共34页
管理员操作日志表格,管理员的任何操作都记录在案。
所有应用服务的统计表格,有助于掌握劳动和社会保障系统整体应用系统
的应用情况。
5.3上网行为管理产品的价值
5.3.1保障内网安全
多数机构已经在公网接口处部署了防火墙、IDS等设备,但内网依然病毒
频发、攻击不断,是何原因?堡垒最容易从内部突破,内网员工主动“邀请”
病毒、木马等进入内网!
拦截不良网页
AC内置自动更新的海量URL库,包括色情、反动等分类,潜藏在此类网
站中的威胁将被AC轻松过滤;AC允许用户手工添加新URL分类;再过滤用户
北京网信安盟科技有限公司 第29页/共34页
通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字,实现对
各类网页的全面过滤,降低内网员工访问不良网页和危险网页的可能。
假冒网上银行的钓鱼网站、加密的反动网站等,显示“加密化”已经成为
趋势,而业界多数设备无法对SSL加密网页进行管控。AC通过证书验证链接黑
白名单技术,过滤含有不可信任数字证书的SSL网站,实现对SSL加密过的色
情、邪教、钓鱼网站等的过滤。
文件传输控制
针对QQ、MSN等IM软件的病毒,通过引诱用户下载指定文件或打开指定
URL链接而传播;AC的“拦截不良网页”措施将避免用户访问含病毒URL地
址;AC还可限制使用QQ、MSN等传递文件。
通过HTTP、FTP从互联网下载的文件,往往打开或运行后导致用户电脑感
染病毒、木马,甚至瘫痪。该风险“感染点”还会伺机爆发,感染更多用户,
瘫痪整个网络。而此类行为和流量经过AC时,AC首先限制用户通过HTTP、
FTP上传下载指定类型的文件,对于允许传输的文件,AC的网关杀毒功能将查
杀该文件中潜藏的病毒、木马。
修复内网安全短板
根据木桶理论,机构内网的安全级别取决于安全等级最低的一环。IT部门
要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等,但并非
所有用户都能遵从,进而形成内网安全短板。一旦该“短板用户”访问安全风
险网站、下载含病毒文件、执行非法程序等,极易导致自己感染病毒,还将感
染整个内网员工群。借助网络准入规则技术(Network Admission Rules,NAR)
(专利号:2.1),AC将检测接入终端的操作系统及补丁、杀毒/防
火墙软件等安全状况,不安装、不运行指定安全软件,就不允许接入Internet,
从而修复内网安全短板。
防DOS、防ARP欺骗
即使部署众多安全措施,安全威胁仍无孔不入。来自外网的DOS攻击AC
能防御;而来自内网的DOS攻击,不仅吞噬带宽,还将影响出口网关的稳定。
传统防火墙等无法防御来自内网的DOS攻击,而AC通过检测流量和异常网络行
为等技术,彻底防御来自外网和内网的DOS攻击。
ARP(Address Resolution Protocol)协议原本用于“从IP地址寻找MAC地
北京网信安盟科技有限公司 第30页/共34页
址”,但病毒等引起的ARP欺骗导致子网内所有用户无法访问Internet,定位故障
点又颇为麻烦。有别于部分厂商依赖第三方软件的方案,AC通过内置防ARP欺
骗功能组件,保障用户网络的可用性和可靠性。
5.3.2避免法律风险
身边的网络违法事件也层出不穷:网络间谍、网络泄密、网络造谣和非法
言论等。如果员工利用机构网络发生,则法律问题和风险将难以避免;如果没
有证据,无法找到直接责任人,IT部门则将成为该违法事件的直接责任人。
外发信息控制
员工们更多选择使用IM软件、Email、BBS、论坛、个人博客等方式将办
公室和机构内信息发布出去。而AC能够封堵IM聊天软件,过滤和审计Email邮
件收发,过滤访问论坛、网站的行为,而网络发帖AC一样可以进行过滤和审
计,让员工们认识到自己需要为其网络行为负责。
对合作伙伴、新员工接入内网的认证,通过AC提供的完整身份认证体
系:可以启用Web方式的用户名/密码认证,IP和MAC地址绑定,或与机构的
Radius、LDAP、微软域控服务器联动,AC甚至可以借助机构的POP3邮件服务
器、PROXY服务器上的用户帐号数据,对接入用户进行强身份认证,未经授权
的局域网接入用户将无法访问任何网络资源。
保护版权资料
互联网充斥着涉及版权纠葛的论文、软件、音视频等,因为个人用户对版
权的忽视往往会导致机构受到牵连。AC的访问控制系统通过对HTTP、FTP、
IM软件、邮件收发的内容检测和控制,可以阻止员工搅入版权问题;同样,当
员工已经出现违法违规问题时,你可以在AC的数据中心中找到其违规记录,进
而使机构摆脱不必要的纠纷。
法律遵从和举证
员工个人偏好导致的非正当网络行为,例如访问色情、反动网站等,AC
能有效过滤和拦截;AC亦可过滤张贴的非法网络言论,即使逃脱过滤进入BBS
的煽动性言论、网上聊天中的侵犯性语言等,也可在AC数据中心中找到相关记
录作为法律举证的重要依据。
北京网信安盟科技有限公司 第31页/共34页
AC通过独立数据中心实现行为日志海量存储,结合图形化的报表、查
询、统计工具,和内容检索工具,让机构的管理者可以轻松掌控您的网络和内
部员工的网络访问行为。
5.3.3管理网络带宽
多线路策略和QoS
AC产品继承了深信服科技的多线路复用、带宽叠加策略(专利号:
2X),机构通过AC同时连接多条公网线路,形成一条公网总出口,
提升整体带宽水平。再结合多线路智能选路技术(专利号:ZL03113974.4),内
网员工访问不同运营资源时,AC能够自动为用户匹配最佳出口。
AC强大的QoS(服务质量)技术包括专用带宽、抖动控制和延迟、丢包率
的改进以及对指定高优先级网络服务的流量保证,以此使流经AC的数据进行优
先级处理,保障重要服务的带宽质量和服务质量。
P2P软件的控制
P2P行为对带宽的吞噬能力众所周知,而每天不断发布的新P2P软件,让大
多数控制工具只能封堵“昨天的BT软件”。AC凭借P2P智能识别专利技术(专利
号: 2.8),不仅能识别和管控用户常用的P2P软件及版本,对不常
见的和未来将出现的P2P亦能管控。单纯禁止使用P2P可能导致用户不满或实施
困难,AC为您提供的P2P流控技术,将限制指定用户开启P2P后占用的带宽。既
允许用户使用P2P,又不会滥用机构宝贵的带宽资源。
带宽统计和管理
AC的数据中心对内网员工的各种网络行为进行记录、审计、统计及趋
势、报表等。借助图形化报表、曲线和统计结果,可以了解哪些行为占用了带
宽资源,并能自动形成报表文档,定时发送到指定邮箱,让IT管理者轻松掌控
用户网络行为分布和带宽资源使用等情况。
AC针对不同用户(组)结合具体应用进行合理的带宽通道划分,如为内网服
务器提供充足带宽;保障市场部Email收发的带宽需求,且为市场部每位员工平
均分配带宽资源,既防止带宽滥用,又提升了带宽的使用效率。
北京网信安盟科技有限公司 第32页/共34页
5.3.4提升工作效率
上班时间无关网页浏览、QQ聊天、在线炒股、网络游戏等降低了机构的
生产效率,如何在上班时间对内网员工的网络行为进行管理和引导?
网页过滤策略
上班时间从事私人活动,管理者却难以阻止,如上班时间浏览新闻网站、
论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法,让管理者实现
指定的员工和部门在工作时间只能访问特定的网站,例如行业信息网站、公司
门户网站等,而其他未经允许的网页浏览都将被拒绝。
IM(即时通讯)聊天软件的管理
上班时间使用QQ、MSN等私人聊天,不仅影响工作效率,还可能因IM传
文件而引入病毒和向外泄密。面对Skype、Yahoo Messenger、飞信等众多IM软
件,IT管理员使用现有防火墙等传统网络安全设备,通过封堵端口和服务器IP
的方式,不仅费时费力且无法根治。AC通过检测应用数据包的特征字段,实现
对IM聊天软件、在线影音、炒股、网络游戏、下载等诸多应用的管控。
各种行为的管理
网页过滤、IM聊天等管控只是内网行为管理的一部分。面对员工上班即下
载未看完的电视剧,搜索最新网络新闻、图片、视频,上班时间更新博客、上
传图片、下载电影、程序等问题,AC通过限制用户搜索指定关键字,过滤用户
上传下载的指定文件,将员工精力更多聚焦在工作上。
上网时间管理
每个机构都有其工作时间安排,所以,根据不同时间段为用户分配网络访
问权限,是专业上网行为管理设备必须考虑的问题之一。AC通过为不同部门、
不同员工,基于时间段进行权限分配,也可以限制员工一天内总的上网时间,
实现人性化管理。
北京网信安盟科技有限公司 第33页/共34页
第六章 方案报价
我们推荐如下产品选型及价格供参考选择:
类 别 名 称 描 述
SSL VPN 加密吞吐速度:70Mbps, SSL VPN并发
单价
(元)
数量
价格
(元)
备注
SSL VPN设备
会话数:2,000,转发时延0.3-0.5ms,局域网接口
M5100-S
2个,广域网接口2个,1U 机架式
1台
SSL VPN
加密机
SSL VPN设备
用户接入许可
用户接入许可
深信服SSL VPN 用户登录许可(含USB-KEY)
20个
20个
1套
SSL VPN设备
深信服SSL VPN 用户登录许可(不含USB-
KEY)
吞吐量:100Mbps;并发会话数:300000,转发
时延0.1ms;4个10/100M电口;1U机架式;含
网络流量管理、防火墙、WEB认证、内容过滤、
上网行为控制、审计等功能模块
数据防泄漏
软件系统
上网行为
管理
鸿智数据安全
管理系统
上网行为管理
设备
M5100-AC
1台
北京网信安盟科技有限公司 第34页/共34页
发布评论