上网行为管理参数
上网行为管理制度标准
上网行为管理制度标准一、背景与意义随着互联网的普及和应用,人们的上网行为已经成为日常生活中不可或缺的一部分。
然而,网络世界的虚拟性和开放性也为不法分子提供了便利,使得网络安全问题日益突出。
因此,建立健全的上网行为管理制度,对于维护个人隐私、保护网络安全、规范网络环境具有重要意义。
二、管理目标1.明确规范员工上网行为,保障公司信息安全。
2.规范员工上网行为,提高工作效率。
3.加强员工网络素养培训,提高员工网络安全意识。
4.避免员工沉迷网络,影响工作效率。
三、管理内容1.上网时间管理(1)明确上网时间段:规定员工可以在何时上网,例如午休时间、下班时间等。
(2)限制上网时长:对员工上网时间进行限制,避免员工长时间盯着屏幕。
(3)限制非工作时间上网:规定员工在非工作时间不得上网,避免影响休息时间。
2.上网内容管理(1)禁止访问不良网站:禁止员工访问色情、暴力、赌博等不良网站,保障公司网络环境。
(2)限制个人娱乐:规定员工不得在工作时间内上网观看视频、玩游戏等娱乐行为。
(3)管理社交网络:规定员工在社交网络上不得发表泄震慑言论,保障公司形象。
3.网络安全管理(1)加强密码保护:规定员工需要定期更改密码,避免密码泄霪(2)防范网络攻击:教育员工如何辨别网络钓鱼、恶意软件等网络攻击手段,保障信息安全。
(3)备份数据:规定员工需要定期对工作数据进行备份,避免数据丢失。
4.责任与监督(1)明确责任主体:规定上网行为管理责任主体,详细列出各项管理措施及责任人。
(2)加强监督:设立专门的网络监管部门,对员工上网行为进行监督与检查,确保制度的执行。
四、管理制度执行1.制度宣传:通过员工手册、培训等途径向员工宣传上网行为管理制度,让员工了解制度内容及重要性。
2.执行监督:设立专门的监察机构对员工上网行为进行监督,及时发现问题并进行处理。
3.奖惩机制:对遵守制度的员工进行奖励,对违反制度的员工进行惩罚,形成良好的管理氛围。
上网行为管理系统技术参数书
4
应用识别库、URL库要求
1.可准确区分网易、腾讯、பைடு நூலகம்39、新浪等常用邮箱;
2.可准确区分搜狗输入法、360、腾讯、金山、微软等;
4.可准确区分政府网站、税务网站、运营商官网等公众常用网站;
5.可准确定义网易、搜狐、360、腾讯常用网络共享存储空间;
6.应用识别库至少包含10000中常见应用;
7.URL库至少包含100万个常见URL;
8.所有应用识别库、URL库均须提供截图证明。
5
售后服务
1.提供三年原厂硬件保修;
2.提供三年应用特征库和URL库升级许可;
3.提供三年系统软件升级许可;
7.支持扩展接口;
2
性能参数
1.吞吐量≥3Gbps
2.并发会话数≥2百万个
3.终端数量≥1万台
3
功能要求
1.支持两台设备同时做主机的部署模式;支持网关模式、网桥模式等部署模式。
2.设备在认证、应用控制、内容审计、报表等都支持IPv6环境;
3.支持按剩余带宽、带宽比例、平均分配、前面优先等方式进行多链路负载;支持链路故障检测;
4.支持触发式WEB认证,静态用户名密码认证、以USB-Key方式实现双因素身份认证、短信认证、微信认证;支持LDAP、Radius、POP3、Proxy等第三方认证。
5.设备能够发现私接路由(或者共享软件等)共享网络的行为:支持自定义配置终端数量和冻结时间,和添加信任列表;支持显示以IP或用户名的维度统计一段时间内的趋势图且支持例外排除功能;
上网行为管理系统技术参数书
序号
指标类型
具体参数要求
1
硬件要求
天融信上网行为管理参数
·全面权威的行为日志审计分级分权的日志账户管理图形化日志统计,方便用户对行为记录的查询、审计,并支持饼状图、柱状图、曲线图等形式直观显示结果·强大灵活的上网行为管理内容过滤,如即时聊天内容及文件传输过滤、网页URL及搜索关键字过滤、HTTP 及FTP文件传输过滤、以及非标准端口FTP过滤,支持根据邮件发件人、邮件附件类型过滤,发贴关键字过滤,文件下载过滤策略管理方面支持策略对象复用、策略继承、强制策略继承即子组也可以继承父组的策略,父组也可以强制子组继承自己的策略·用户管理黑名单、白名单管理,免审计key支持批量导入用户:比如文件导入,LDAP/AD用户导入等支持L2/L3层网络环境的IP+MAC和VLAN ID的绑定支持用户自动分组,可按IP、MAC地址、主机名、VLAN ID等多种方式来定义用户名,这样大大的简化了动态用户的管理,增强了用户管理的灵活性支持公用账户、临时账户,支持对临时账户的自动和手动审核,从而减少管理员对临时账户的频繁配置,也统一了临时账户的上网权限和使用期限的管理·多种身份认证方式支持网页重定向支持多种认证方式的混合使用支持WEB认证、LDAP认证、AD域认证、Radius认证、POP3认证等·安全防护支持基于状态监测的防火墙,不仅保障网关设备安全,还能保护内网安全支持一对一的地址转换、多对一的PAT转换、端口映像等多种NAT转换策略·带宽资源管理支持对具体URL的带宽管理支持对具体应用协议的带宽管理支持对单用户、单IP的带宽管理支持应用的流量配额控制、在线时长控制、并发Session控制、新建会话控制,并提供相应的惩罚手段可基于业务应用划分优先级,将业务应用划分为高、中、低三个优先级,优先级越高的流量,优先传送提供最大带宽限制、保障带宽、预留带宽等一系列强大的带宽管理功能·网络适应性支持静态路由、策略路由支持DHCP服务器、DHCP中继功能支持DNS代理、DNS缓存、VLAN等功能支持链路的负载均衡、主备链路的备份功能支持GRE VPN、PPTP VPN、IPSec VPN功能支持PPPOE拨号方式,并支持对多条PPPOE线路做负载均衡·高可靠性(HA)主备模式:系统支持一主一备,或一主多备的HA模式负载均衡模式:系统支持多个主设备(多主一备/多主多备)的HA模式,多个主设备间可实现负载均衡·详实的报表分析曲线图、饼状图、柱状图等图文并茂的数据统计报表展现以小时、天、周、月、年,或自定义时间段为单位的统计分析报表以用户、用户组、服务、服务组、线路等为对象,并进行对象排名根据组织结构中的逻辑树结构,可逐个展示用户,并将每个用户的上网行为分项统计支持报表的Email自动订阅, 便于管理员掌握某个时间段内网络的运行状态、流量和行为的趋势信息·日志查看USBkey控制日志查看权限:即用户上网记录的查询权限,必须用Key进行控制,任何其他人不允许有查询权限;·无线热点控制与防共享上网管理1、支持对无线热点、智能终端接入的识别,通过信任列表进行管控;2、支持对代理软件或路由器共享上网的检测控制。
AC上网行为管理技术参数
3、支持不同分支选择不同的微信公众号进行认证;
用户自注册和自管理
密码登录支持用户自注册;支持用户信息自管理Web界面,终端用户可以自己修改当前账号的绑定手机、绑定邮箱、密码等信息;支持用户可查看和管理到当前账号的终端绑定关系;
管理员账号安全保障机制
支持管理员账号登录允许尝试次数可配,并支持管理员用户登录进行双因素认证,密码认证加邮件验证码;管理员账号支持ACACS+/RADIUS/LDAP协议外部认证;
支持集中管理
多台设备支持通过统一平台集中管理、集中配置等;
加入集中管理时,支持身份认证,比如密码正确才能加入
解除集中管理时,要输入中心端的解控秘钥才允许解控
用户认证故障排查
支持针对用户认证的故障进行分析,给出错误详情以及处置建议;(提供产品界面截图)
用户管理
本地认证
支持触发式WEB认证,静态用户名密码认证等;
第三方认证
支持LDAP、Radius、POP3、Proxy等第三方认证;
Radius必须支持GBK和UTF-8编码格式可选;
支持ISA\lotus ldap\novel ldap\oracle、sql server、db2、mysql等数据库等第三方认证;
3.支持对单用户进行定向web访问质量检测
(提供产品界面截图)
★支持网络故障排查
支持PPS异常、丢包异常、ARP异常、内网DOS攻击等异常情况实时监测,显示每日异常事件个数及情况;(提供产品界面截图)
★支持权限策略故障排查
支持针对上网权限策略进行检测分析,查看各个应用是否匹配相关策略;(提供产品界面截图)
USB-KEY双因素认证
上网行为管理参数
*支持识别终端硬盘指定目录下的文件情况;
进程识别
*支持识别终端系统后台运行的进程信息,防止间谍软件的运行;(提供自主知识产权证明,加盖厂商公章);
注册表识别
*支持识别终端系统注册表中指定的表项和键值;
自定义识别
*支持终端调用管理员指定脚本/程序以满足个性化检查要求;
终端准入
*支持win 7 64位操作系统,支持在旁路模式部署下准入生效;
支持根据外发文件类型、关键字等条件的过滤告警,
扩展名识别
支持基于外发文件的扩展名识别外发文件类型;
无扩展名识别
*能识别删除扩展名的外发文件类型并报警
改扩展名识别
*能识别篡改扩展名的外发文件类型并报警
压缩识别
*能解压压缩文件后再识别内含真实文件类型并报警;
加密识别
*能识别加密文件外发行为并报警;
邮件管理
支持当用户MAC地址变动时,需要重新认证;
新用户认证
根据新用户的源IP网段实现新用户差异化账户创建、自动分组、认证规则;
公用账户
支持多人使用同一帐号登录,且支持重复登陆检测机制;
账户有效期
指定账户支持有效期限制,并支持自动过期;
单点登录
支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录,简化用户操作;
网站审计
危险插件管理
*能识别网页中的插件,并过滤含有恶意插件的网页(提供自主知识产权证明,加盖厂商公章);
危险脚本管理
*能识别执行脚本的网页,并过滤脚本中隐藏木马等程序的网页;(提供自主知识产权证明,加盖厂商公章);
防范端口扫描
*能识别并封堵端口扫描行为;
NETSYS AC500-Q上网行为流量管理产品参数-new
产品测试报告
必须可提供工信部计算机安全技术检测中心《产品测试报告》
请提供测试报告扫描件
★★信息安全产品测试报告
可提供中国软件评测中心(CSTC)《信息安全产品测试报告》
请提供测试报告扫描件
产品必须达到GB/T 20945-2007标准的要求
请提供测试报告扫描件
二、硬件及性能要求
项目
指标
13.针对流量异常的用户或者IP地址进行用户黑名单智能控制管理;
14.根据每用户的“每日/每周/每月”使用的流量(上行/下行/双向)总和超过预设阀值,则自动进入黑名单。
15.根据每用户在连续一段时间的“上行速率/下行速率”超过预设阀值,则自动进入黑名单。
16.根据每用户在连续一段时间的并发会话数(上行/下行)超过预设阀值,则自动进入黑名单。
11.支持ARP防欺骗
五
多链路负载均衡
1.支持4出口以上的多链路负载均衡;
2.支持基于轮询的多链路负载均衡算法;
3.支持基于链路的上行流量自动均衡的多链路负载均衡算法;
4.支持基于链路的下行流量自动均衡的多链路负载均衡算法;
5.支持基于链路的总流量自动均衡的的多链路负载均衡算法;
6.支持固定指派链路的自动均衡算法
17.分时段对网站类型的流量、新建会话、活跃会话进行统计分析,并进一步统计分析网站类型的基于服务的统计分析,以及网站类型基于用户的统计分析
18.支持自动/手动报表导出功能。可导出为Excel或HTML或PDF格式文件。可将报表作为附件发送邮件到指定邮箱。
一十一
上网行为管理与审计
1.支持即插即用功能。不管电脑的IP如何配置,开启即插即用功能后,只要插上网线,即可上网。
11.分时段对各个服务的流量、新建会话、活跃会话进行统计分析,并进一步统计分析每种服务有哪些用户在使用,及每个用户的使用情况。
上网行为管理系统技术参数书
15.支持自定义条件检索功能,可根据时间、用户/组、终端类型、位置、日志类型等中的一种或几种条件联合检索;
16.在流量时长分析、用户行为分析、终端接入分析等纬度相关页面支持对统计结果的向下钻取查询;
4.提供三年相关功能的使用许可;
5.提供电话、邮件24小时响应、突发事件3小时内到场的原厂售后服务;
6
产品资质
1.产品具有公安部颁发的《销售许可证(网络通讯安全审计)》;
2.中国信息安全认证中心ISCCC《IT产品信息安全产品认证证书》
上网行为管理系统技术参数书
序号
指标类型
具体参数要求
1
硬件要求
1.至少具备4个10/100/1000 Base-T 千兆电口;
2.至少具备4个100/1000 SFP千兆光口并配置多模模块;
3.具备至少一个串口;
4.具备双电源;
5.具备多核CPU,并配置至少500G硬盘;
6.支持Bypass 功能通道;
5.可准确定义网易、搜狐、360、腾讯常用网络共享存储空间;
6.应用识别库至少包含10000中常见应用;
7.URL库至少包含100万个常见URL;
8.所有应用识别库、URL库均须提供截图证明。
5
售后服务
1.提供三年原厂硬件保修;
2.提供三年应用特征库和URL库升级许可;
3.提供三年系统软件升级许可;
17.所有功能均须提供截图证明,要求原厂出具符合性证明。
4
应用识别库、URL库要求
1.可准确区分网易、腾讯、139、新浪等常用邮箱;
2.可准确区分搜狗输入法、360、腾讯、金山、微软等;
上网行为管理产品技术参数
上网行为管理产品技术参数序号指标项技术要求及指标1 品牌型号网康2 设备规格机架式3★设备性能最大吞吐量≥;最大并发连接数≥万;最大新建连接数≥个4★硬件规格硬盘≥;要求至少提供个千兆电口;设备必须可以提供独立于,,接口的管理口,要求至少提供个接口的口和个口;支持硬件按钮,设备必须提供物理硬件按钮,如果有光接口线路,支持外置光,支持界面5 设备部署支持网关模式,镜像模式,网桥模式,多路桥接等方式部署;支持、、、、、协议下的网络环境(提供页面截图证明,加盖公章有效)能够支持环境下的应用识别管控、带宽管理、网址访问审计与管控、生成分析报表等功能6 用户管理支持通过手工方式、导入、数据库导入(、、)、文件导入、扫描等方式建立组织架构;支持本地、、、邮件认证、短信方式的认证;支持对、、、、、、、锐捷、、、城市热点、深澜等各种数据库格式的单点登录并支持非客户端的用户识别方式(提供页面截图证明,加盖公章有效);支持免审计、免管控、免认证三者的组合;能够针对不同设备类型的用户设置不同的认证策略。
满足为移动终端提供短信认证、为用户提供账号密码认证等更加贴近使用习惯的需求;可以为用户添加多属性,并根据用户的属性(如职位、部门、电话、邮件等)自动进行用户分类,根据分类的结果做审计、控制策略;能够建立虚拟用户组,其成员从各级普通组中抽取,以实现对分散在各普通组中的一些特定用户进行统一管理;可以建立认证页面与多个认证跳转成功页面,供不同的认证策略引用,并支持用户完全自定义;可识别私接主机个数,并可制定策略以私接主机个数为阀值进行封堵,同时可建立白名单,可生成日志。
可识别用户上网设备类型作为“工具”对象,并可作为策略条件,可将或段作为“位置”对象,并可作为策略条件。
7★网页管理库大小≥万条数据,≥种网页分类(提供页面截图证明,加盖公章有效);支持搜索关键字,搜索策略,网址管理,网址策略;可以基于特定网址的一天访问总次数或者总流量进行控制;可以建立多个认证页面,供不同的网页策略引用,支持不同用户的不同网页被阻塞后会跳转不同的阻塞页面,支持用户完全自定义;可限制用户文件下载频率,个每分钟;根据用户、终端类型、时间等多个条件为不同的用户推送页面;可以建立多个推送页面,供不同的推送策略引用支持用户完全自定义。
深信服上网行为管理功能参数
双因素认证
支持以USB-Key方式实现双因素身份认证;
IP、MAC认证
支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等;
支持通过SNMP服务器跨三层获取MAC地址;
网页管理
静态URL库
设备内置海量预分类的URL地址库,支持根据URL类别实现URL过滤;
URL智能识别
支持未知网页的自动识别与分类;
支持根据用户训练的关键字、url、自动分类未知网页;
SSL加密网页
识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等
自定义URL
设备支持管理者自定义新的URL地址和URL分类;
支持基于扩展名过滤含指定文件类型的邮件外发行为;
支持识别删除、篡改文件扩展名的邮件附件外发行为并报警;;
支持根据附件大小、附件个数限制外发邮件;
邮件关键字过滤
过滤同时匹配三个以上关键字的邮件主题、正文和附件的邮件外发行为;
Webmail管理
支持允许用户登录Webmail收邮件,而禁止发送Webmail邮件的功能;
网关管理
管理界面
支持SSL加密WEB方式、SSH命令行方式管理设备;
分级管理
不同用户组的管理权限支持分配给不同管理员;
集中管理
多台设备支持通过统一平台集中管理、集中配置等;
被控设备加入统一平台支持以硬件证书验证身份;
告警管理
支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等;
加密连接
具有IPSec VPN远程加密访问和连接的模块,并能提供IPSec VPN客户端授权远程接入访问;
上网行为管理产品招标参数
可将IP或IP段作为“位置”对象,并可作为策略条件。
网页管理
URL库大小
≥3000万条URL数据
搜索关键字
根据关键字管理搜索引擎访问;每个精确关键字对象要求可至少录入500个关键字
搜索策略
一条策略实现搜索关键字的阻断、记录、告警,方便维护
网址管理
能够实时提供应用流量排名、网址分类排名、用户流量排名、应用流量趋势、用户流量趋势
流量监控
能够提供设备流速趋势、用户实时流速、设备实时日志等信息。
报警平台
能够提供各类报警信息,包括行为合规、内容审计、系统状态、网络流量等
用户管理
组织架构建立
可通过手工方式、LDAP导入、数据库导入(SQL Server、MySQL、ORACLE)、文件导入、IP扫描等方式建立组织架构
用户识别
支持对Kerberos、LDAP、POP3、SMTP、Radius、PORTAL、锐捷SAM、H3C CAMS、PPPOE、城市热点等各种数据库格式的单点登录。提供非客户端的AD用户识别方式。
特权用户
支持key免审计、key免管控、key免认证三者的组合
认证安全
认证密码支持全局统一设定与随机获取的方式;
SMTP邮件发送管理
SMTP基于发件人、收件人、主题、内容、附件名、附件大小维度进行记录、告警;
SMTP邮件发送告警
根据SMTP主题、正文关键字进行阻塞并进行告警
邮件延迟预审策略
根据邮件标题、正文、附件名、文件指纹触发延迟审计
IM外发管理
QQ行为审计
可针对QQ账号制定策略,对聊天、登录及登出的行为进行记录与控制
网页文件频率
上网行为管理技术参数规格表
支持禁止USB、光驱、软驱、红外、无线网络、CF卡等
进程黑白名单
支持设置进程黑白名单
日志
系统
日志中心
设置日志、定制日志、第三方日志
syslog
支持日志的SYSLOG转储
可配置将告警日志发送给指定邮箱
操作日志
支持管理员的操作日志、审计员的审计等;
系统日志
支持系统核心的系统日志、流量管理系统日志、上网行为记录日至
80
150
300
400
800
1200
2000
外观
1U
1U
1U
1U
2U
2U
2U
设备状态
监控
硬件环境
支持设备的CPU、内存、硬盘等硬件使用率的实时监控
网络监控
网卡的流量、吞吐量、丢包等网络状态的实时监控
系统监控
设备型号、ID、版本信息、运行时间的实时监控
网络
管理
网关模式
网关模式支持NAT、路由转发、DHCP等功能;
分类
主要规格
W600TM
W800TM
W1000TM
W1200TM
W1500TM
W2000TM
W3000TM
性能
参数
端口RJ45
4*1G
4*1G
4*1G
4*1G
6*1G
6*1G
6*1G
扩展光口
--
--
--
2*SFP
2*SFP
2*SFP
2*SFP
并发连接数
200,000
300,000
600,000
1000,000
支持多搜索引擎关键字词的过滤
上网行为管理设备参数
附件一上网行为管理设备参数0000000上网行为管理设备一台技术要求:1、硬件性能要求:1000BASE-T (RJ-45)≥4个防火墙吞吐量(双向 256 bits包)≥500Mbps并发用户数≥800. 并发会话数≥1000,000,必须具有一个RS232串口,支持ECC校验2、安全防护要求:设备支持网关杀毒、具有防火墙、防ARP欺骗、防DOS攻击等安全防护功能。
(以上功能提供产品界面截图证明)3、终端识别要求:设备必须能识别终端操作系统版本及补丁更新情况,可识别终端杀毒软件更新情况,必须能识别终端杀毒软件/防火墙软件的安装、运行、更新情况(必须提供自主知识产权证明,加盖厂商公章),必须能识别终端硬盘文件情况、系统进程情况、注册表情况。
4、URL过滤要求:设备能对URL网址进行识别和过滤,内置1000万条以上的URL库,并且能识别并过滤SSL加密网站(必须提供自主知识产权证明,加盖厂商公章)。
5、应用监控要求:可对网络常见应用进行识别和控制,内置应用库不少于500个,其中IM聊天工具识别必须包括:QQ、QQ农场、QQ游戏、QQ网页类游戏、MSN、51挂挂、chikka、Digsby、Doshow、Gizmo、IceChat、ispeak、KC网络电话、KuBao、Miranda、PaLTALK、raketu、TeamSpeak、XChat、阿里旺旺、百度Hi、慧聪发发、歪歪语音等。
网络游戏识别必须包括:UU棋牌、赤壁、春秋Q传、封神榜、华夏、黄金岛、机战、口袋西游、路尼亚战记、梦幻龙族、墨香、千年、热舞派对、神鬼传奇、生死格斗、盛大富翁、水浒Q传、唐人游戏、特种部队、天龙八部、天下贰、武林外传、星尘传说、英雄岛、诛仙、卓越之剑等。
必须能在指定用户使用指定应用时长超额、流速超限后自动提醒该用户。
6、邮件监控要求:可审计网页和POP3收发邮件,支持对接收和外发的邮件进行垃圾邮件识别和过滤的功能。
上网行为管理系统参数
上网行为管理系统参数一、物理性能要求:大于等于6个千兆电口,大于等于1个RJ45串口,大于等于2个USB接口;七层吞吐量≥500Mbps;并发会话≥1,000,000;用户规模≥1500人;二、产品功能要求:1、审计功能要求:满足公安部82号令审计要求,河北省公安厅或唐山市公安局有平台建设。
2、链路负载均衡功能要求:必须免费提供,支持多链路之间的负载均衡功能(支持固定指派、源目IP轮询、上行流量、下行流量、总流量负载以及最佳路径等多种算法)、支持多PPPoE出口的链路负载均衡。
3、路由功能要求:持续路由支持数据报文的持续路由配置。
4、上网行为管理功能要求:设备内置海量预分类的URL地址库,支持根据URL类别实现URL过滤、SSL加密识别自定义、URL关键字过滤、网页过滤、文件传输过滤、邮件过滤、WEBMAIl过滤、邮件地址过滤、邮件附件过滤、邮件关键字过滤、Webmail管理、SSL邮件管理、加密Webmail管理、加密SMTP邮件过滤、加密SMTP、POP3邮件审计。
5、黑白名单管理功能要求:支持对单个用户/用户组、IP、地址簿设置一天内总上网时长、上网流量;在某些时间段(如下班时间,凌晨),不对用户的速率和会话数进行限制,用户产生的流量也不记入黑名单的流量配额内。
6、流量控制功能要求:必须支持在不同线路上,根据不同的应用、用户、用户组来保证或者限制流量,对于多链路必须免费实现流控功能。
7、应用控制功能要求:1、应用控制:设备内置应用识别规则库,支持超过500种以上的应用,并保持每个星期更新一次,保证应用识别的准确率、支持根据IP、端口、协议等自定义应用规则、支持根据不同的应用类型或具体的某种应用设置允许或拒绝。
2、即时通讯:支持MSN、QQ、飞信、Yahoo、WangWang、ICQ等国内外主流的聊天软件,可以分别控制其登陆与聊天行为。
3、其他类别控制:支持P2P、流媒体、炒股软件、网上银行、网络游戏、网络电话、远程控制等应用识别、ISA代理识别针对ISA代理服务器在代理部署模式下,数据被重新封装进行专门的配置部署,可以识别被ISA重新封装的数据。
深信服 M5400-AC-P 上网行为管理产品招标参数
必须能过滤内网用户外发垃圾邮件、支持向内外网用户发送垃圾邮件的行为
应用识别
应用识别
包括不少于450条以上的应用识别规则
IM识别:阿里旺旺、雅虎通、QQ、TM、MSN、MSNShell、51挂挂、POCO、等不少于70种
游戏识别:联众游戏、游戏中心、浩方、QQ游戏、MSNGame、联众好友、新浪游戏大厅不少于90种
上网流量管理
流控子通道
必须支持通道内再划分子通道技术
1.支持基于应用类型、网站类型、文件类型分配带
2.支持基于时间段、基于用户/用户组的带宽分配带宽;支持用户平均带宽策略
3.支持基于目标IP实分配带宽
缓存加速
1.必须支持缓存加速功能,且对内网用户透明,无需任何配置
2.支持控制台中查看当天、当周、当月的加速命中情况
支持限制用户一天内总上网时长
上网提醒
支持自动提醒功能,用户使用某应用时长、流速超过管理员设定值时,网关自动向该用户发起提醒;(以上功能提供产品界面截图证明)
上网权限管理
策略有效期
必须支持上网策略对象有效期设定,过期自动失效
网关多线路
网关能同时连接多条外网线路,且支持线路复用和智能选路技术
网桥多线路
网桥下支持识别外网多线路并分别流控
2.支持管理员自定义风险行为特征并输出相关报表
3.支持记录终端木马、间谍软件、垃圾邮件发送、异常端口扫描并输出报表(以上功能提供产品界面截图、审计图片证明)
报表订阅
1.支持将报表自动发送到指定邮箱
2.支持将含三个以上关键字的日志检索结果自动周期性发到指定邮箱
内容检索
1.支持基于三个以上关键字对行为日志检索定位的功能
部署方式
深信服 M5400-AC-P 上网行为管理产品招标参数
必须能过滤内网用户外发垃圾邮件、支持向内外网用户发送垃圾邮件的行为
应用识别
应用识别
包括不少于450条以上的应用识别规则
IM识别:阿里旺旺、雅虎通、QQ、TM、MSN、MSNShell、51挂挂、POCO、等不少于70种
游戏识别:联众游戏、游戏中心、浩方、QQ游戏、MSNGame、联众好友、新浪游戏大厅不少于90种
2.必须能防范三层网络环境中的ARP欺骗问题
防火墙
具有防火墙功能模块
入侵防御
必须能防御来自外网的攻击和入侵,并提供不少于3000种攻击行为识别特征码
投标产品资质要求
中国信息安全产品测评认证中心《产品型号证书》
投标产品生产商资质要求
公安部信息安全产品检测中心《检验报告》
国家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》
IM审计
支持记录QQ、MSNShell、Skype、等加密聊天内容
支持记录MSN、飞信、雅虎通等明文聊天内容
应用审计
审计P2P、流媒体、炒股、网络游戏、FTP、Telnet等应用行为
异常行为记录
必须记录木马、病毒、端口扫描等危险行为
反向审计
支持能审计外网访问内网网站、发帖、收发邮件、下载上传文件的行为;
支持网管员自定义规则
P2P智能识别
必须具有识别和管理P2P的新版本、不常见的P2P、和未识别P2P的技术(以上功能提供产品界面截图证明)
应用行为管理
代理封堵
支持禁用公网Web代理服务器的,并能封堵自由门、无界面浏览器等加密代理封堵用户代理他人上网的行为;(以上功能提供产品界面截图证明)
权限控制
支持基于时间段、基于用户/用户组、基于应用类型控制用户的上网权限;
(完整版)上网行为管理AC-1200实际配置管理手册
附件五上网行为管理AC-1200配置管理文档1. 设备名称本系统上网行为管理设备采用深信服公司生产的AC-1200。
2.设备功能根据用户提出的应用需求,AC-1200在本系统中的设计功能是对网络资源进行合理的分配,并对内部工作人员的上网行为进行规范,以及对防火墙的功能进行必要的补充。
3.设备硬件信息3.1 AC-1200产品外形AC-1200产品外形和接口信息如图1所示。
图1 AC-1200产品外形和接口信息网络连接与管理方式AC-1200的ETH0(LAN)口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接,加入本地局域网络。
ETH2(WAN1)口与路由器CISCO2821,与Internet连接。
ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。
设备端口IP地址分配见表1。
本设备只提供WEB管理方式。
通过网络连接到WEB管理端口,打开浏览器,在地址栏输入https://192.168.5.41 ,进入管理页面输入用户名和密码,单击“登录”,即可进入管理界面,如图2所示。
表1设备端口IP地址分配表接口IP地址描述ETH0 (LAN) 透明模式与核心交换G3/1连接ETH1 (DMZ) 192.168.5.41 与VLAN5某端口连接(WEB管理)ETH2 (WAN1) 192.168.1.6 与路由器G0/0/0连接图2WEB登录页面4. 配置管理4.1 WEBUI界面登录后看到的是WEB管理的首页,包含左侧的功能菜单栏和右侧的状态信息显示。
如图3所示。
图3 WEB用户管理界面4.2 系统配置系统配置部分包含系统信息、管理员帐户、系统时钟等信息。
4.2.1 系统信息系统信息包含系统内的序列号和license信息,如图4所示。
图4系统信息4.2.2 管理员帐户本系统内除admin帐户外,另创建了一个gtyl管理员帐户,其权限与admin相同。
图5所示为管理员帐户列表。
天融信上网行为管理参数
·全面权威的行为日志审计分级分权的日志账户管理图形化日志统计,方便用户对行为记录的查询、审计,并支持饼状图、柱状图、曲线图等形式直观显示结果·强大灵活的上网行为管理内容过滤,如即时聊天内容及文件传输过滤、网页URL及搜索关键字过滤、HTTP 及FTP文件传输过滤、以及非标准端口FTP过滤,支持根据邮件发件人、邮件附件类型过滤,发贴关键字过滤,文件下载过滤策略管理方面支持策略对象复用、策略继承、强制策略继承即子组也可以继承父组的策略,父组也可以强制子组继承自己的策略·用户管理黑名单、白名单管理,免审计key支持批量导入用户:比如文件导入,LDAP/AD用户导入等支持L2/L3层网络环境的IP+MAC和VLAN ID的绑定支持用户自动分组,可按IP、MAC地址、主机名、VLAN ID等多种方式来定义用户名,这样大大的简化了动态用户的管理,增强了用户管理的灵活性支持公用账户、临时账户,支持对临时账户的自动和手动审核,从而减少管理员对临时账户的频繁配置,也统一了临时账户的上网权限和使用期限的管理·多种身份认证方式支持网页重定向支持多种认证方式的混合使用支持WEB认证、LDAP认证、AD域认证、Radius认证、POP3认证等·安全防护支持基于状态监测的防火墙,不仅保障网关设备安全,还能保护内网安全支持一对一的地址转换、多对一的PAT转换、端口映像等多种NAT转换策略·带宽资源管理支持对具体URL的带宽管理支持对具体应用协议的带宽管理支持对单用户、单IP的带宽管理支持应用的流量配额控制、在线时长控制、并发Session控制、新建会话控制,并提供相应的惩罚手段可基于业务应用划分优先级,将业务应用划分为高、中、低三个优先级,优先级越高的流量,优先传送提供最大带宽限制、保障带宽、预留带宽等一系列强大的带宽管理功能·网络适应性支持静态路由、策略路由支持DHCP服务器、DHCP中继功能支持DNS代理、DNS缓存、VLAN等功能支持链路的负载均衡、主备链路的备份功能支持GRE VPN、PPTP VPN、IPSec VPN功能支持PPPOE拨号方式,并支持对多条PPPOE线路做负载均衡·高可靠性(HA)主备模式:系统支持一主一备,或一主多备的HA模式负载均衡模式:系统支持多个主设备(多主一备/多主多备)的HA模式,多个主设备间可实现负载均衡·详实的报表分析曲线图、饼状图、柱状图等图文并茂的数据统计报表展现以小时、天、周、月、年,或自定义时间段为单位的统计分析报表以用户、用户组、服务、服务组、线路等为对象,并进行对象排名根据组织结构中的逻辑树结构,可逐个展示用户,并将每个用户的上网行为分项统计支持报表的Email自动订阅, 便于管理员掌握某个时间段内网络的运行状态、流量和行为的趋势信息·日志查看USBkey控制日志查看权限:即用户上网记录的查询权限,必须用Key进行控制,任何其他人不允许有查询权限;·无线热点控制与防共享上网管理1、支持对无线热点、智能终端接入的识别,通过信任列表进行管控;2、支持对代理软件或路由器共享上网的检测控制。
上网行为管理产品招标参数
可以建立多个认证跳转成功页面,供不同的认证策略引用,并可以支持用户完全自定义
共享接入(防私接)
可识别私接主机个数,并可制定策略以私接主机个数为阀值进行封堵。同时可建立白名单。
可生成日志。
识别用户设备类型、位置
可识别用户上网设备类型作为“工具”对象,并可作为策略条件。
可将键字管理,每个关键字对象要求可至少录入个关键字
网页策略
一条策略方式可实现网页正文关键字阻断、记录、告警,方便维护
多阻塞跳转页面
可以建立多个认证页面,供不同的网页策略引用,支持不同用户的不同网页被阻塞后会跳转不同的阻塞页面。
支持用户完全自定义
网页快照
支持仅留存含违规文字的网页正文快照取证,合法快照不留存,避免过多垃圾日志
加密管理
必须能够基于关键字识别和过滤使用加密的邮箱外发邮件的行为,比如;
邮件发送管理
基于发件人、收件人、主题、内容、附件名、附件大小维度进行记录、告警;
邮件发送告警
根据主题、正文关键字进行阻塞并进行告警
邮件延迟预审策略
根据邮件标题、正文、附件名、文件指纹触发延迟审计
外发管理
行为审计
可针对账号制定策略,对聊天、登录及登出的行为进行记录与控制
可以对,网络视频,游戏,炒股,期货,即时通讯,移动应用有独立的分类进行识别控制,协议库数量不低于
移动协议库
移动协议库数量不低于
时长限额
可以根据应用协议库限制每个人的应用时长
流量限额
可以根据应用协议库限制每个人的应用流量
应用告警
可以记录应用行为,并对于阻断的应用可以触发告警
告警方式
支持邮件及语音双重告警
带宽借用
当部分虚拟通道空闲时,其带宽资源可以被繁忙的带宽通道借用,避免带宽浪费
上网行为管理产品技术参数.doc
需提供50个终端管理系统授权。
★流量管理
支持多级虚拟通道,带宽控制,带宽保障,带宽借用,带宽平均,每用户新建、并发连接控制,每用户带宽限制等多种流量管理方式,可以每个人的并发/新建连接数量进行控制,可以建立7级流量管理通道
上网行为管理产品技术参数
序号
指标项
技术要求及指标
1
品牌型号
网康NI3100-20
2
设备规格
1U 机架式
3
★设备性能
最大吞吐量≥100Mbps;最大并发连接数≥30万;最大新建连接数≥11000个/S
4
★硬件规格
硬盘≥500G;要求至少提供4个千兆电口;设备必须可以提供独立于LAN,WAN,DMZ接口的管理口,要求至少提供1个RJ45接口的Console口和1个HA口;支持硬件bypass按钮,设备必须提供物理硬件bypass按钮,如果有光接口线路,支持外置光bypass,支持web界面bypass
7
★网页管理
URL库大小≥3900万条URL数据,≥150种网页分类(提供页面截图证明,加盖公章有效);
支持搜索关键字,搜索策略,网址管理,网址策略;可以基于特定网址的一天访问总次数或者总流量进行控制;可以建立多个认证页面,供不同的网页策略引用,支持不同用户的不同网页被阻塞后会跳转不同的阻塞页面,支持用户完全自定义;可限制用户文件下载频率,x个/每分钟;根据用户、终端类型、时间等多个条件为不同的用户推送Web页面;可以建立多个Web推送页面,供不同的推送策略引用支持用户完全自定义。
11
★终端管理软件联动
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
支持对单个用户/用户组设置一天内总上网时长;
并发连接控制
支持限制指定用户最大并发连接数;
上网时间提醒
*用户指定应用上网时长超过预设阈值后,网关自动提醒该用户;
上网流速提醒
*用户指定应用上网流速超过预设阈值后,网关自动提醒该用户;
策略复用
*上网策略对象与用户无关联,同一条上网策略可复用、重用;
支持当用户MAC地址变动时,需要重新认证;
新用户认证
根据新用户的源IP网段实现新用户差异化账户创建、自动分组、认证规则;
公用账户
支持多人使用同一帐号登录,且支持重复登陆检测机制;
账户有效期
指定账户支持有效期限制,并支持自动过期;
单点登录
支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录,简化用户操作;
安全状态
实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员管理内网安全;
上网行为监控
实时显示设置过滤条件的用户上网行为监控,支持手动设置刷新时间;
用户管理
本地认证
支持触发式WEB认证,静态用户名密码认证等;
第三方认证
支持LDAP、Radius、POP3、Proxy等第三方认证;
支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数据库等第三方认证;
双因素认证
*支持以USB-Key方式实现双因素身份认证;
IP、MAC认证
支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等;
支持通过SNMP服务器跨三层获取MAC地址;
*支持禁止不满足终端检查要求的用户访问互联网;
应用管理
应用识别规则库
1、支持根据标签选择应用,标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类;
2、支持给每个应用自定义标签;
3、支持根据标签选择一类应用做控制;
4、支持对每一种应用的定义和解释,帮助客户快速定位应用的分类;
3.*跳转到该用户上网信息排行页面;
4.跳转到注销页面;
帐户导入
支持从本地导入和扫描导入,支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息;
支持从外部LDAP服务器导入账户及分组信息;
组织结构
用户分组支持树形结构,支持父组、子组、组内套组等;
用户状态查询
支持用户登录时间、注销时间、在线时长的查询;
P2P智能流控
*支持通过抑制P2P的下行流量,来减缓P2P的上行流量,从而解决网络出口在做流控后仍然压力较大的问题;
单IP限制
*支持限制单个IP的最大上行和下行带宽;
用户带宽分配
支持平均分配、自由竞争等方式实现用户间带宽分配;
Wan-lan流控
*支持把每属性对外网IP有效;
策略有效期
*支持上网策略对象的自动过期功能;
排除IP
不控制、不监控目标为排除IP的上网行为;
排除域名
不控制、不监控目标为排除域名的上网行为;
流量控制
带宽管理
*支持在不同线路上,根据不同的应用、用户、用户组来保证或者限制流量;
支持根据百分比或数值设置通道带宽,并支持设置各通道的优先级;
多线路技术
*网关能同时连接多条外网线路,且支持多条线路流量复用和智能选择流速最快线路的技术(提供自主知识产权证明,加盖厂商公章);
自定义URL
设备支持管理者自定义新的URL地址和URL分类;
关键字过滤
过滤同时匹配三个以上关键字的搜索行为;
*过滤同时匹配三个以上关键字的网页访问行为;
网页过滤
*支持根据访问的URL、网页关键字进行网页过滤,支持设置拒绝以IP访问网页行为;
*支持在放行URL时,自动放行主域名的子链接中被禁止的网站,保证网页显示完整;
多台设备支持通过统一平台集中管理、集中配置等;
*被控设备加入统一平台支持以硬件证书验证身份;
告警管理
*支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等;
实时监控
设备资源信息
提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息;
流量状态
实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息;
自动注销
支持自动注销指定时间内无流量的已认证用户;
冻结用户
支持冻结认证失败次数超过最大值的用户,在冻结时间结束后恢复登录;
用户密码强度
可设置用户密码不能等于用户名;
新密码不能与旧密码相同;
可设置密码最小长度;
可设置密码包括数字或字母或特殊字符;(提供产品界面截图)
终端管理
系统识别
*支持识别终端操作系统版本、系统补丁安装情况;(提供自主知识产权证明,加盖厂商公章);
*可强制指定用户、指定IP段的用户使用单点登录;
强制AD认证
*指定用户用AD域账户登录操作系统,否则禁止上网;
安全组嵌套同步
支持AD安全组嵌套同步;
认证失败
支持为认证失败用户提供基本网络访问权限机制;
认证后页面跳转
认证成功的用户支持页面跳转:
1.跳转到用户原本输入的URL地址;
2.跳转到管理员指定的URL地址;
发帖管理
过滤同时匹配三个以上关键字过滤的网络发帖行为;
*支持允许用户浏览帖子但不准发帖功能;
SSL发帖管理
*支持基于关键字过滤SSL加密的网页、论坛、BBS上的发帖行为;
网页附件管理
支持根据文件类型限制http、FTP方式上传、下载行为;
文件管理
外发文件告警
支持对HTTP、FTP、Email附件等方式外发文件的识别、报警、过滤等管理措施;
文件识别
*支持识别终端硬盘指定目录下的文件情况;
进程识别
*支持识别终端系统后台运行的进程信息,防止间谍软件的运行;(提供自主知识产权证明,加盖厂商公章);
注册表识别
*支持识别终端系统注册表中指定的表项和键值;
自定义识别
*支持终端调用管理员指定脚本/程序以满足个性化检查要求;
终端准入
*支持win 7 64位操作系统,支持在旁路模式部署下准入生效;
Webmail管理
*支持允许用户登录Webmail收邮件,而禁止发送Webmail邮件的功能;
邮件延迟审计
*支持延迟外发问题邮件,人工审核后再外发的邮件处理机制;
*支持根据收件人地址、邮件标题和内容包含关键字、邮件大小、附件个数、抄送人数等条件设置延迟审计的邮件;
*支持当检测到有邮件被延迟审计时,系统自动发送一封通知发送到管理员邮箱;
时间控制
支持基于时间段的带宽划分与分配策略;
目标IP流控
*支持基于访问行为的目标IP/IP组实现带宽划分与分配;
流量配额
支持对单个用户/用户组设置日流量、月流量配额功能;
上网安全管理
上网安全桌面
*支持在默认桌面上虚拟出一个新的桌面,在虚拟桌面中上网,在推出安全桌面后,一切还原到干净的默认桌面,防止PC和内网中毒;
旁路模式
支持旁路模式,无需更改网络配置,实现上网行为审计;
多路桥接
*支持多路桥接功能,最多可支持四进四出四网桥模式;
多主模式
*支持两台及两台以上设备同时做主机的部署模式;
网关管理
管理界面
*支持SSL加密WEB方式、SSH命令行方式管理设备;
分级管理
*不同用户组的管理权限支持分配给不同管理员;
集中管理
端口控制
支持根据端口设定用户不允许访问的目标IP组提供的服务;
代理控制
1、不允许使用外部HTTP代理;
2、不允许使用外部Sock4/5代理;
3、不允许在HTTP,SSL一些的标准端口上使用其他协议;(比如在80端口上传输非HTTP协议数据,在443端口上传输非HTTPS协议数据等)
防共享
1、具有防共享上网功能,可检测到内网共享代理上网行为,并冻结该用户;
*支持管理员配置热点信任列表;
*支持发现信任列表外非法接入的热点和终端,并阻止该热点/终端上网;
*支持将非法热点接入网络的行为通过邮件告警通知管理员,并在数据中心支持行为记录和查询;
(提供产品界面截图)
协议异常行为
*能识别并封堵内网终端感染木马、间谍软件、黑客远程控制的行为及流量,防止内网感染(提供界面证明);
2、在数据中心报表中可查询通过共享上网的IP、用户,并能导出报表;
网页管理
静态URL库
设备内置海量预分类的URL地址库,支持根据URL类别实现URL过滤;
URL智能识别
*支持未知网页的自动识别与分类(提供界面证明);
*支持根据用户训练的关键字、url、自动分类未知网页;
SSL加密网页
*识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等(提供自主知识产权证明,加盖厂商公章);
危险插件管理
*能识别网页中的插件,并过滤含有恶意插件的网页(提供自主知识产权证明,加盖厂商公章);
危险脚本管理
*能识别执行脚本的网页,并过滤脚本中隐藏木马等程序的网页;(提供自主知识产权证明,加盖厂商公章);
防范端口扫描
*能识别并封堵端口扫描行为;
防范DOS攻击
*能识别并封堵来自于内网或外网的DOS攻击;
SSL邮件管理
*能基于关键字、发件人地址等识别和过滤使用邮件客户端外发SSL加密邮件的行为;
加密Webmail管理
*能够基于关键字识别和过滤使用SSL加密的Webmail邮箱外发邮件的行为,比如gmail;
加密SMTP邮件过滤
支持对加密HTTPS、SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客户端的邮件进行关键字过滤;(提供实际测试效果图)