柔刚写字楼网络安全技术措施建设方案

安居区柔刚写字楼网络信息安全管理系统
解
决
方
案
遂宁铠士计算机信息技术有限公司
2011年7月
目录
1需求背景 (3)
1.1项目提出的背景 (3)
1.2政府网络信息系统面临的安全威胁 (3)
1.3政府网络信息安全管理需求 (4)
2政府事业单位网络安全审计系统解决方案 (6)
2.1系统建设总目标 (6)
2.2本解决方案目标 (6)
2.3本解决方案设计优势 (7)
2.4任天行网络安全管理系统部署 (7)
3任天行网络安全管理系统介绍 (9)
1.1上网实名认证 (9)
1.2网络行为控制 (11)
1.3网络流量分析 (13)
1.4统计报表分析 (15)
1.5系统安全管理 (18)
1需求背景
1.1项目提出的背景
随着Internet蓬勃开展，互联网提供方便的服务，电子政务、电子办公业务出现网络化、数字化发展趋势，同时其信息系统也面临到种种威胁。

计算机和网络技术相伴而生，政府部门对计算机网络系统依赖程度越深，计算机系统的安全也就显得越重要。

与此同时，信息技术也是一把双刃剑。

新技术的运用，在给政府、企事业单位的发展带来了巨大变革的同时，也使高科技犯罪进入一个高发阶段。

网络安全层次已经从外网转向内网，不仅仅是黑客的外扰入侵，内部员工网络攻击业务系统服务器、盗取重要资料信息，重要资料或敏感信息遭到泄露；工作人员的非正当上网行为，违犯了国家法律，给政府单位带来各种法律风险比比皆是，最后由单位来背黑锅；办公室成了免费“网吧”，公务员工作效率越来越低；因为无技术手段限制的员工随意浏览黄色站点或是不安全的网站，不经意间引入病毒、攻击代码等，导致内部网络瘫痪，影响正常业务系统的正常运行；政府网络信息安全已经成为国际上普遍存在并引起强烈关注的问题。

1.2政府网络信息系统面临的安全威胁
1)政府信息化系统为各个职能部门提供电子政务、电子办公，信息传递，资
源共享，互联网获取资源信息，对外发布信息等等，复杂的网络互联应用，
缺乏一种技术手段，对各部门工作人员的上网行为、上网内容信息进行审
计，无法实现上网实名体制。

2)工作人员的上网行为可能给政府单位带来法律纠纷
根据国家相关法律的规定，在互联网上发布淫秽信息与及迷信、反动、
分裂等言论均为违法行为，有些工作人员滥用单位的互联网进行了上述行为，将把单位拖进复杂的、难以脱身的法律纠纷当中。

单位因为缺乏技术手段或工具无法查出是那位员工所为，最后单位不得不承担相应的法律责任。

3)网络安全事故防不胜防
虽然部署了防火墙、入侵检测系统、反病毒系统，但安全工事防不胜防，事业单位网络安全隐患其实绝大部分来自于内部员工，内部员工经常访问一些工作无关的站点或是非法站点，可能会引入大量的含有恶意的或是含有攻击性的内容，未能有效的监测和控制，成为了单位内部网络的一大隐患，内部网络经常出现病毒层出不穷，电脑无法正常工作，业务无法正常开展等等；另企事业单位未能有效的阻止内部重要信息资料或是敏感信息的泄密，给单位造成了资源上或是效益上的损失。

4)不能对公务员的上网行为进行管理
由于公务员的很多工作需要上网查资料，发布信息，收发邮件等等，但是由于缺乏对上网内容信息的审计监管，管理者无法得知工作人员在上班时间的真实上网行为。

工作人员也因此在工作时间进行一些非工作范围内的行为，如上网玩游戏，聊天、冲浪，听音乐、BBS、炒股、购物、电影等等，使得公务员工作效率每况日下。

据一项调查显示，办公室因此沦为不需要花钱的“网吧”。

怎么样采取一些办法来规范和约束公务员在上班时间网络的行为日益变得重要和紧迫。

5)网络带宽的滥用阻碍了正常业务使用
虽然单位租用的带宽已经达到了100M级别，而网速并没有明显改善，
办公室里仍然经常听到有人抱怨“网速为什么这么慢？”，在单位网络使用
情况的中发现，非法使用邮件、浏览非法Web网站、在线游戏、P2P下载
音乐、电影等数字文件，或者在线观看收听流媒体的员工正在增加，导致
大量带宽被非工作行为所占用，造成网络堵塞，影响了其他员工正常工作
业务的开展，令网络管理者头疼不已。

6)内部网络出问题后不能快速的找到根源
当发现内部网络信息系统出现拥塞、访问异常等问题后，不能及时准
确快速的找到问题的根源，无法定位问题，缺少相关的审计记录系统，
对网络管理、网络优化、避免问题不具备趋势化分析，不能提供较为
准确的指导性措施。

1.3政府网络信息安全管理需求
安居区政府秉着“依法、规范、公开、高效、优质、便捷、廉洁”的宗旨，务实求实、热情服务、为政府办公、人民办事提供便捷的窗口，服务于人民、贡献于国家。

为了保障办公核心业务信息系统的平稳运行，优化办公网络，提高公务员的工作效率，更好的为政府及人民服务；规范上网行为，对所有互联网外发内容进行审计，加强内网信息安全等。

具体需求如下：
1)政府的内部办公网络安全越来越得到重视，根据调查显示内部重要信息资
料或敏感信息的泄密是目前较为严重的问题，也给政府带来了严重的资源
损失和一些负面的影响；另一方面，内部员工经常访问一些工作无关的站
点或是无法站点，可能会引入大量的含有恶意的或是含有攻击性的内容，
未能有效的监测和控制，成为了政府单位的一大隐患。

可以设置员工在什
么时间、是否可以上网、对访问可能含有安全风险的网络内容站点进行阻
断，并进行封堵记录。

2)有效避免政府单位牵涉进去的一些和员工上网有关的法律纠纷，能详细记
录员工在什么时间，以何种方式，对外发送了什么信息，发送的对象等，其中包括管理者关心的邮件内容、论坛发帖、网页聊天等，记录其行为和内容。

3)工作人员随意使用网络将导致三个问题：(1)工作效率低下、(2)网络性能恶
化、（3）网络违法行为。

利用上网行为管理系统对内部员工上网行为进行约束，可以根据用户分组进行限制员工工作时间的网络应用、站点访问并记录。

4)网络使用情况的中发现，网络游戏、浏览非法Web网站、P2P下载音乐、
电影等数字文件，或者在线观看收听流媒体的工作人员正在增加，导致大量带宽被非工作所占用，可以针对用户或是计算机进行相应的行为管控，优化带宽，并对P2P等进行访问记录。

5)约束公务员的上网行为，帮助员工匡正工作行为，丢弃不好的习惯，成
为一个专业、敬业的职业人；针对不同部门分组限制或是放开员工上班时间的网络应用行为，可设置灵活的控制策略，并记录其行为。

6)当内部网络发生异常时，可以快速、准确的定位问题，并采取有效的措施；
能够分析问题的普遍性、严重性、共通性等，利用上网行为管理设备分析单位内部哪些人群的网络应用异常，哪些访问资源最普遍，哪些隐患最突出等。

提供丰富报表输出功能，网络应用图表、趋势分析图表、流量统计报表等。

2政府事业单位网络安全审计系统解决方案
2.1系统建设总目标
政府事业单位将实现建设一个总目标为：过滤互联网有害信息、防止重要资料信息及敏感信息泄露，管理控制工作人员的的网络访问行为、对所有互联
网的外发内容信息进行审计、日志存储查询、可进行事后追溯和取证，创建一
个绿色、高效、安全的办公网络环境；加强政府信息化网络应对来自互联网的
风险和挑战。

1)过滤不良或是违规站点
在内部网络总出口安装具有过滤站点功能的管理系统，对流入的互联网
信息进行高效准确过滤，同时支持站点库的自动升级。

营造一个绿色的高
效的内部办公网络。

2)全面记录网络访问信息
记录每台电脑的真实上网行为，形成详细的，加密的网络日志，便于进
行事后的审计和分析。

同时保存60天日志记录，满足公安等管理部门要求。

3)具有强大的防泄密功能
系统能够高效率的协议分析与还原机制,可对在网络内部发生的电子邮
件、即时通讯、发贴等众多与外界联系的网络访问进行准确的内容审计,能
够有效防止政府单位机密、敏感信息外泄,能够有效地进行事后取证分析。

4)灵活的网络行为管理
根据实际的管理需要，针对工作人员岗位职责的不同，采取不同的管理
策略，有效的提高了工作人员的办公效率，更好的为人民服务。

2.2本解决方案目标
本解决方案将实现的目标为：
1)控制政治风险：通过对BBS、公共邮件、聊天工具等进行关键字行为审计，
并触发报警，让管理者第一时间了解到一些敏感信息的对外收发；对涉及
政治敏感字节URL等地址进行封堵，审计网络内部在互联网使用环境的各
种不符合当前法律法规所允许的内容，满足相关部门对使用互联网单位备
案审计要求，并通过日志记录与保留，提供司法证据，有效规避法律风险；
2)上网信息审计：对所有工作人员对互联网的访问行为进行日志记录，对所
有外发邮件、论坛发帖、网页登陆等进行全面记录和审计，对其进行保存
及查询，满足管理部门需求；
3)绿色网络环境：通过对上网行为的管理，对不良站点的封赌，对不良互联
网信息进行过滤，净化网络环境降低网络系统和计算机系统受攻击的风险
70%以上；
4)提高办公效率：通过对上网时间、上网内容、上网行为进行系统化策略化
的控制与管理，并通过报表生成各中分析数据，对工作人员上网进行正确
的引导，匡正上网习惯，提高办公效率50%以上。

2.3本解决方案设计优势
本解决方案有以下优点：
1)完全满足用户需求，并有所扩展。

2)实施方便，管理简单。

只需要在网络出口上安装任子行公司的“任天行网
络安全管理系统”，而无须在所有的机器上安装客户端，减少实施难度。

所
有的产品都支持B/S方式的管理界面，可通过IE等浏览器即可远程管理。

3)高可靠性、高安全性。

审计机器安装在网络出口上，完全不影响原有网络
速度，且不会被卸载。

4)技术领先，保护用户投资。

任子行网络技术股份有限公司有多年的技术积
累，雄厚的研发力量，完善的服务体系，能充分保证用户的投资，所有产
品都支持通过网站即时升级，新的列表，新的功能，新的版本一旦可用，
用户可即时更新。

2.4任天行网络安全管理系统部署
任天行网络安全管理系统在不影响原网络结构的情况下，通过核心交换机的镜像数据，以旁路的方式捕捉网络内的所有数据，加以底层的协议分析，从
而实时记录并还原网络活动日志，满足管理部门审计业务及上网控制的要求。

以下是企事业单位任天行网络安全管理系统典型部署网络拓扑图。

(政府事业单位典型部署拓扑)
3任天行网络安全管理系统介绍
为实现以上需求，并为高校客户提供最完善、最理想的审计产品解决方案，“任天行
网络安全管理系统”应蕴而生。

此系统从硬件性能稳定性、软件功能丰富性、安全使用保障性等多方面进行了长期的产品测试和功能改善工作，至今为止应该是业界最为成熟、实用、可靠的网络审计管控产品，其具体功能如下：
1.1上网实名认证
局域网内的上网用户管理，在任天行系统中是重要的一个环节。

它不仅为管理者提供了方便的管理功能，而且在配合网络行为控制与审计策略的配置实施过程中起到基础性的关键作用。

对于上网用户的组织架构，可以对自动或手动搜索生成的设备列表采用多层多组方式划分组别，最大层次可达16级。

用户管理部分的主要功能包括：
1.1.1认证方式设置
企事业单位接入外部网络的方式各不相同，其内部局域网的组网方式、设备等环境也千差万别。

任天行系统能够针对各种不同的网络环境，结合用户的组网规划和对网络控制的不同需求，采取灵活的上网控制方式设置，应对各种差异化
需求。

任天行系统支持的上网控制方式包括：透明识别和认证识别；
透明识别中包括AD域帐号（kerberos）识别，HTTP代理用户识别，IP识别，MAC识别，POP3识别以及PPPOE识别。

认证识别包括本地WEB认证，远程AD认证，远程ESMTP认证，远程LDAP用户认证，远程POP3认证，远程Radius认证，客户端刷卡认证，客户端账号密码认证，客户端U-KEY、指纹认证等。

灵活多样的控制方式设置可针对各种不同的用户环境，使任天行系统最大限度地与用户现有的认证环境相结合，保护已有投资。

1.1.2机器搜索与管理
用户可根据实际的网络规划，对系统管理的IP地址段、IP段分组规划进行事先设置。

根据事先设定的搜索范围，任天行系统将自动获取指定范围内的机器信息资料，包括机器名、分组、IP地址、MAC地址等，也可进行手工搜索，在机器管理功能中可对这些信息进行增、删、改、导入、导出、设置控制方式等操作。

随着系统总的上网控制方式的设置不同，机器管理也将以不同数据字段为机器的
唯一标识。

1.2网络行为控制
对于多数企事业单位而言，如何通过有效的技术手段实现对单位职员上网行为进行规范的管理和控制是一个非常有意义的课题。

任天行系统提供了丰富的网络行为控制功能，以协助管理者实现上述目标。

1.2.1全局控制策略
对局域网内的所有机器生效的外网访问权限控制。

可设置是否允许访问包含色情、暴力、毒品等的不良站点；是否允许使用MSN、Yahoo Messenger、QQ、ICQ、网易泡泡、GoogleTalk、Skype等国内外流行的十多种即时通信工具；是否可以进行QQ游戏、中游、联众、远航、浩方、茶苑、CS、魔兽等国内外流行的二十多种在线网络游戏；是否允许使用P2P下载；是否可以使用Google、百度等常用搜索引擎搜索指定的关键字；是否允许使用指定的WEBMAIL；是否允许进行QQLive、PPLive等在线音视频；对指定的邮件服务器（POP3/SMTP）实施只开放或只封堵的策略。

1.2.2局部分组控制策略
对指定的分组或是部分机器生效的外网行为访问权限控制。

可根据人员帐号、机器、机器组对不同的时间段设置对各类标准应用协议、各类网站、网络在线游戏、即时通讯工具、P2P下载、指定流量限制、邮件、网页文件下载等协议和应用的控制。

具体支持的协议种类如前所述。

1.2.3黑白名单
机器黑白名单：对于被设为黑名单的机器，系统将无条件禁止其与外网的一切通讯。

对于被设为白名单的机器，则其的网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，但其网络日志仍将被记录。

站点黑白名单：对于被设为黑名单的站点，则网络内的所有机器（白名单机器除外）都不能访问此站点。

对于被设为白名单的站点，则网络内的所有机器（黑
名单机器除外）都可以访问此站点。

日志白名单：对于被设为日志白名单的机器，其网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，并且不记录网络日志。

并且支持客户端使用免审计USBKEY实现特权人物的审计豁免。

帐号黑白名单：在帐号控制模式下应用，对于被设为黑名单的帐号，系统将无条件禁止其与外部网络的一切通讯。

对于被设为白名单的帐号，则其的网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，但其网络日志仍将被记录。

基于帐号的控制可有效避免动态IP地址环境或IP人为变更造成的网络控制漏洞。

1.2.4终端认证方式管理
终端强制认证，只有经过认证的人员才可以登陆计算机使用计算机及网络资源，认证方式包括：刷卡认证，用户名和密码认证，UKEY认证，指纹认证。

灵活的认证方式，针对不同的组可以设置不同的认证方式，更便于客户进行管理，上网人员行为内容管理认证账号或是卡号实现实名制效果。

1.3网络流量分析
任天行系统的网络流量分析是在全面记录网络出口流量数据的基础之上，以简单、直观、易理解的形式为用户提供实时和历史流量监测和统计功能。

主要包括：
1.3.1实时流量
以折线图展示全局、组、机器/帐号的实时流量趋势；以动态柱状图展示指定范围内的实时流量排名；以数据表结合饼图的形式展示指定对象的流量协议结构。

1.3.2当日流量
系统以图表或表格的方式显示当天所有机器的流入流量和流出流量，并按总量大小排序。

可选择任意一个对象，并查看当天累计流量及各种协议端口（可自定义）的流量。

1.3.3历史流量
系统将记录每天的流量统计数据，并可以日，周，月等进行排名，产生排名报表。

可以根据历史流量记录，形成流量增长或减少的趋势图。

可以根据历史流量记录，形成各协议的使用状况图。

1.4统计报表分析
根据历史上网日志数据统计产生丰富详细的报表，包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析、自定义报表等。

可按年度、月度或者指定时间范围生成周期性报表。

报表种类包括柱状图，饼图，曲线图，折线图等。

报表可以以EXCEL、PDF、WORD、HTML等形式导出保存。

并支持自定义的周期性报表自动生成和订阅。

1.4.1分组和人员排名
可根据组织内部网络规划进行分组排名，也可对具体终端进行网络行为排名统计，并以柱状图的方式展示出来，支持多种格式导出。

1.4.2网络应用协议分析
可以饼状图的方式展示某一时间段内网络内部所有应用协议的分布情况。

1.4.3访问资源统计
可对终端用户最关注的网络资源访问情况作出排名统计，如最热门网站、最热门关键字等。

1.4.4报表订阅
系统对于所有统计分析信息支持报表订阅功能，定时、定项目的将统计报表发送到客户指定邮箱。

1.5系统安全管理
为了保障系统正常、稳定、有效、安全地运行，任天行系统本身的管理设置和附加功能必不可少。

其主要作用在于为系统提供符合网络环境要求的基础性参数设置、为系统提供足够的访问管理权限安全保障、为一些故障判断提供辅助工具等。

包括但不限于：IP地址位置查询、网络诊断工具、自定义站点分类、角色与权限管理、、日志管理策略、连接管理中心参数设置、产品升级、远程维护开关等。

1.5.1权限划分
为保证系统日志安全性，系统从软件配置到硬件配置、从账号设定、角色分配、账户关联等多方面进行了功能支持，保证了客户使用审计系统时不必担心敏感日志出现二次泄密情况发生。

1.5.2日志管理策略
系统支持日志备份策略、日志记录策略、磁盘限额等功能。