AC19上网行为管理方案模版-简单版.

XX机构网

上网行为管理解决方案

深信服科技

1. 前言

1.1深信服科技简介

深信服科技有限公司是一家长期致力于提升用户带宽价值的高科技、高成长型企业。从2000年底成立至今，深信服公司以每年销售收入增长2－3倍、人员增长1倍的速度高速发展，从2005到2008连续四年入选德勤中国高科技、高成长50强，亚太区500强。深信服科技坚持自主研发、每年将销售收入的15％投入产品研发，目前已申请近30项网络及安全领域发明专利。现有产品包括AC 上网行为管理、IPSEC VPN、SSL VPN、广域网加速等全系列产品线。

深信服科技现有员工近600人，平均年龄26岁，95％具有大学本科及以上学历。其中41％从事研发、40％从事市场和客户服务工作。在国内三十余大中城市设立直属办事处，在香港设有海外办事处，在迪拜、孟买、新加坡等具有全球销售和服务网络。

自2005年深信服与业界第一个提出上网行为管理理念并推出成熟产品，目前已经部署于超过5000家客户网络中，是国内上网行为管理领域当之无愧的第一品牌。深信服通过SINFOR AC网关为客户提供业界最领先的上网行为管理解决方案，全面灵活的帮助客户实现带宽与流量管理、外发信息管理、上网行为审计、网络访问控制、内网与终端安全增强等，从而有效解决互联网使用带来的带

宽效率降低、网络泄密风险、法律违规问题、工作效率影响、网络安全性降低等各种问题。

深信服立足自主研发、自主创新，SINFOR AC上网行管理产品具有7项发明专利，并获得高交会自主知识产权认证、国家信息安全产品评测中心认证等资质。深信服持续研究上网行为前沿技术与趋势，完全遵从“以精准用户识别、终端识别、应用识别为基础，实现封堵、流控、审计等管理手段，集合安全增强功能”的业界标准，为客户提供完善的方案及服务。

2. 项目概述

2.1网络现状描述

XX机构不仅部署有OA、Email等丰富的业务系统，并且组织内网Intranet、互联网Internet的应用也十分普及。信息技术、特别是网络技术为XX机构持续创造价值。

XX机构内部网络按照行政架构和部门将网络分为多个功能区，内网连接互联网的用户数已达XX个，当前XX机构的互联网出口带宽达XXM，整个网络结构程三层架构模式。

2.2应用现状描述

XX机构内网由于不同部门的职责与业务决定其对互联网的依赖度不同。

领导及办公室：由于高层领导需要及时获取互联网讯息，且频繁需要通过视频会议、VOIP等系统与分支机构进行交流，所以对网络带宽需求强烈且要求较高。

市场部：日常工作内容包括通过互联网与客户、合作伙伴保持日常的有效沟通，并及时获取互联网最新行业信息等，工作任务与性质决定了市场部同事需要一定的Internet访问权限。

研发部：等互联网上存在诸多研发、IT相关技术论坛与网站，这些资源为研发人员的日常工作提供了有效的帮助和支撑。同时研发内网存在关乎XX机构发展命运的诸多核心机密。

从XX机构的整个互联网使用情况看，现有的Internet出口带宽资源紧张，IT技术部时常接到内网用户关于网速太慢的抱怨与投诉；内网用户的网络发贴、外发Email、访问的网站等行为也缺乏有效的审计记录手段，一旦发生泄密、法律违规问题将面临无据可查的尴尬；上班时间从事工作无关的网络行为已经成为办公室公开的秘密，生产效率无法保障；而由于不受控的上网行为泛滥，导致内网病毒、ARP欺骗等问题品频频发生。

3. 需求分析

结合XX机构的网络和应用现状可见，有以下问题需要解决：

1、精准识别内网不同用户身份，按照行政架构将用户分配到不同用户

组，并与XX机构现存的AD服务器配合，为不同用户授予不同的上

网权限。

2、对全网用户的BT、迅雷等P2P行为进行管控，包括封堵研发部门的

P2P行为，对市场部的P2P所占用的带宽进行流控等；同时要保障关

键业务系统的带宽需求。

3、领导及办公室：为领导用户组分配充足的带宽资源，保证领导的视频

会议、VOIP的带宽要求，并且通过硬件USB-Key的方式实现领导身

份的防冒充、防破解、以及上网行为免审计功能。

4、市场部：管控上班时间的非业务上网行为，如QQ语音、视频、游戏，

网络炒股、网络游戏等；另外为业务行为如访问行业网站等提供充足

的带宽资源保障。

5、研发部：不仅严格控制研发部的网络访问权限，同时对外发信息进行

过滤和审计，包括过滤外发文件、外发Email、先拦截Email人工审

核后在外发等。

6、IT信息技术部同时希望能够强制内网客户端都安装已购买的某杀毒

软件，并且再部署网关杀毒措施；另外需要海量存储行为日志和快速

的日志检索定位工具，以满足公安部82号令的要求，并且通过硬件

USB-Key识别接入日志中心的管理员身份，防止日志的滥用。

4.方案设计原则

4.1设计原则

⏹标准化、一致性原则

设备设置的所有策略都满足国家对于信息审计的要求，遵循国家安全标

准体系。所选择设备要具有公安部销售许可证、国家信息安全评测中心

的认证、公安部信息安全产品监测中心检验报告等。

⏹全面、灵活性原则

能够基于用户、用户组、时间段、应用行为等进行灵活的上网权限控制；

全面记录各种上网行为日志，并能通过硬件USB-Key避免高层领导行为

日志的记录；支持通过硬件USB-Key认证接入日志中心的管理员身份

等。

⏹安全及前瞻性原则

如果设备被攻击、内网DOS流量、ARP欺骗等导致网络中断将严重影

响网络可用性，所以设备不仅能够通过防火墙等安全模块保障自身安全，同时能够防御DOS攻击、ARP欺骗等，提升整个网络的可靠性、可用

性。

⏹技术和管理相结合原则

上网行为的各种控制与审计策略应该与XX机构的管理机制、人员思想

教育与技术培训、安全规章制度建设相结合，从技术和行政两方面全面

管理内网用户的上网行为。

4.2参考标准

1)公安部计算机信息系统安全产品质量监督检验中心《信息技术网络通讯安全

产品检验规范》

2)国家标准GB/T18336.2-2001《信息技术安全技术信息技术安全性评估准