深信服上网行为管理系统

某单位员工访问非法网站统计 访问存在安全隐患网站 195万
次 其中：黄色网站 73万次
赌博类网站 17万次 恶意网站 2.9万 次
数据记录日期：2009年9月30日至2009年11月30日
根据《中国移动上网行为管理系统技术规范v1.0》的定义，上网行为控制 需达到如下目标：
➢ 提高工作效率，有效降低非工作上网行为，保障网络资源合理使用； ➢ 减少安全风险，避免上网导致的病毒、恶意代码给企业带来的潜在风险； ➢ 提高网络可管理性，便于网络与行政管理。
避免无安全防护的终端染毒、被劫持，提升内网安全
上网行为安全-危险流量识别
识别异常流量，阻断网络攻击与异常外发行为
深信服公司介绍 上网行为管理系统
需求分析 方案规划 解决方案 方案总结 深信典服型公客司户简介
方案优势总结
1
上网行为管理第一品牌（规模最大、成长最快、份额最高、创新最强）
2
高可靠性（多重BYPASS、支出主备模式）
方案：
通过基于时间段、人员的网络流量分析报表的反馈， 经过多次优化及调整后的贵州移动出口利用率已经大 幅度下降； 在流控策略的下，办公应用等正常上网应用速度有明 显的提升，达到了较好的网络应用效果。
广西移动部署深信服上网行为管理系统
客户：
中国移动通信集团广西有限公司（简称“中国移动广 西公司”）是中国移动有限公司的全资子公司，其移 动通信网络信号覆盖广西所有城镇，行政村覆盖率达 100%，目前客户总数突破2000万户。
9
上网安全（危险插件与恶意脚本过滤、危险流量识别）
10 服务能力最强（33个本地技术支持、60 CTI客户呼叫中心、7×24热线）
深信服公司介绍 上网行为管理系统
需求分析 方案规划 解决方案 方案总结 深信典服型公客司户简介
中国移动通信集团设计院部署深信服 上网行为管理系统
客户：
中国移动通信集团设计院有限公司 (China Mobile Group Design Institute Co., Ltd.) 是中国移动通信 集团公司直属设计院，创建于1952 年，是国家甲级 咨询勘察设计单位。
流量识别
识别网络应用，了解用户行为，是管控措施的基础和对象
应用 规则库
SSL 内容识别
P2P 智能识别
URL 识别
流量识别-应用识别
深度内容识别
智能识别
弱特征识别
国内最大的应用识别库 超过360种主流应用
15人应用规则研发团队 保证库处于最新状态
流量识别-SSL内容识别
防止恶意用户使用SSL加密应用绕过管理，全面防范web风险
➢ SANGFOR SG同时集成缓存功能，能加速网络访问体验
深信服公司介绍 上网行为管理系统
需求分析 方案规划 解决方案 方案总结 深信典服型公客司户简介
功能框架
用户认证
基于 DPI/DFI 流量识别
终端准入
用户管理
上网行为控制
流量管理
审计
报表 上网行为安全
报警
用户认证
用户身份识别
未通过认证的用户： 控制上网权限
邮件过滤 1 延迟审计
• 基于关键字、收发地址、附件类型/个数/大小过滤外发邮件
• 基于关键字、收件地址、附件个数/大小、抄送人等拦截外发 邮件，提交人工审核
管理SSL 2
加密邮件
• 过滤/审计Foxmail等外发的加密邮件（使用SSL加密邮箱） • 过滤/审计SSL加密Webmail邮箱外发的邮件
“在安全内容管理硬件市场，有 超过17家主流安全厂商可以提 供该产品；排在第一位是深信
服，市场占比为33.8%。”
来源: Frost & Sullivan
深信服科技：技术投入
持续将总收入的15％投入产品研发 7000 平方米研发中心
产品规划期6次 评审 产品设计期10次 评审 产品编码期4次 评审
自2005年IPSec VPN获市场第一
2002 2005 2006 2007
2008
2009 2010 …
深信服科技：市场份额
“能够提供VPN硬件的厂商不 在少数，从数量对比上看仍然以 国际厂商居多，但是从市场份额 上看，国内厂商深信服一枝独秀，
以30.5%的市场占比排在第一
位”
来源: IDC
挑战：
技术人员工作效率较低，P2P的滥用导致带宽不足
方案：
• 网络行为的规范，内容安全审计过滤，违规警慑； • 上网权限管理，流量管理； • 用户上网行为的日志、报表分析功能
广东移动部署深信服上网行为管理系统
客户：
广东移动是中国移动的最大分公司之一，其业务量、 利润量都位居中国移动各分公司前列。
挑战：
中国移动通信 深信服上网行为管理系统
深信服公司介绍 上网行为管理系统
需求分析 方案规划 解决方案 方案总结 深信典服型公客司户简介
深信服科技
• 中国规模最大，创新能力最强的前沿网络设备供应商
成立时间 公司规模
2000年12月25日
员工总数 900+ 人 研发人员比例 40%，其中，AC研发团队 180+ 人 客服人员比例 20%
客户：
中国移动通信集团湖南有限公司(简称湖南移动)隶属 于中国移动通信集团公司，湖南移动构建具有完备的 内部网络，网关处已经部署了专用防火墙等网络安全 设备。
挑战：
无孔不入的病毒（尤其是木马、ARP 欺骗等）、恶意 软件、DOS 攻击等仍然大肆泛滥，严重影响机构应 用系统的运行
方案：
通过旁路方式部署上网行为管理提供访问安全过滤 • 终端内网准入，降低安全风险； • 危险流量识别，防DOS攻击，防ARP欺骗； • 网络行为管理与分析，提供工作效率
某用户使用SSL加密的gmail发送邮件 AACC数数据据中中心心审审计计到到该该用用户户行发为帖行为
某用户在加密论坛发表帖子
流量识别-P2P智能识别
常见的P2P 不常见的下吧
基于统计学的智能分析系统
传统技术只能封堵常见的P2P； 基于统计学的智能分析技术能识别不常见的、 未知的、加密的P2P
加密P2P工具 未来将出现的P2P
深信服科技：快速成长
成绩 荣誉
连续9年高速成长，年复合成长率超过400% 2005-2009连续5年入选“德勤高科技高成长50强”
Frost&Sullivan“亚太地区 2009年度新兴厂商”(业界唯一）
深信服科技：产品系列
自2007年上网行为管理获市场第一 自2008年SSL VPN获市场第一
贵州移动部署深信服上网行为管理系统
客户：
贵州移动通信有限责任公司于1999 年8 月1 日独立 运营。公司下设9 个地、州、市级分公司， 76 个县 级分公司。网络已覆盖到全省100%的乡镇、主要风 景旅游区和公路、铁路沿线。
挑战：
网络流量不透明，缺乏有效管控手段； 带宽不可控，网络拥塞却束手无策
3
兼做代理（可替代代理服务器及NAT设备兼做代理）
4 终端准入（提供终端安全）
5
最大应用识别库（国内最大的应用识别库，超过360种主流应用）
6
网页智能识别（千万级静态URL库、智能识别、SSL加密识别、代理识别）
7
精细流控（基于用户/时间/应用/网站/文件流控、虚拟线路）
8
全面审计（网页/IM/Email/外发文件/论坛发帖审计、免审计KEY）
P2P对带宽的占用率
流量识别-URL智能识别
融合中科院人工智能技术
自动提取未知网页URL特征、内容特征、代码特 征等信息后自动识别和分类
基于智能分类，实现未知网页的管控（封堵、审 计、流控）
允许管理员手工训练AC，通过学习提升AC的识 别能力
用户管理
属性用户组织结构：
– 与组织的行政架构保持一致； – 支持组内套组、父组子组等；
通过认证的用户： 定向至指定网页
本地认证
第三方认证
• 内建帐号密码 • Web认证 • USB-Key认证
• AD 域 • LDAP • Radius • 其他
手动认证
• Web认证 • 第三方认证 • USB-Key认证
透明认证
新用户认证
• IP/MAC认证 • POP3/Proxy/AD 单点登录 • Web单点登录
产品测试实验室设备超600台 测试人员与开发人员比例1：2，国内最高标准 8轮 软件测试,确保产品交付的高品质
深信服科技：专利资质
公安部信息安全产品检测中心 检验报告
深信服科技：服务体系
35 个城市，设立直
属办事处
8 个大区备品备件库 60 坐席的CTI呼叫
中心
深信服科技：客户满意
服务理念
客户至上 满意第一
对象化的上网策略：
– 上网策略对象与用户无关联； – 上网策略对象支持复用、重用、继承、强制继承； – 强制继承的上网策略，子组无法删除、修改、绕过；
灵活的权限管控：
– 基于用户、用户组、应用、行为、内容、时间、目标IP等提供差 异化的授权策略；
与Novell eDirectory（ED）进行无缝集成，支持 细致的管理员分级管理功能，方便各部门、地市公 司自行调整各自的上网权限
•自动分组 •自动认证 •自动授权
与Novell eDirectory（ED）进行交互，同步ED中LDAP域的OU组织 架构及用户信息
终端准入
鉴定终端安全等级，修补安全短板，隔离安全等级不同的终端
防病毒软件 安装/运行/更新
硬盘文件 系统进程
桌面管理等 要求安装的软件
管理员自编 脚本和程序
操作系统 版本/补丁情况
了解应用现状，验证管理效果，是制定、调整策略的依据
报表-全面报表
了解应用现状，验证管理效果，是制定、调整策略的依据
报表-快速检索
基于多关键字快速检索海量日志（支持附件正文检索），精确定位事 件源和责任人
上网行为安全-危险插件与恶意脚本过滤
避免无安全防护的终端染毒、被劫持，提升内网安全
上网行为安全-危险插件与恶意脚本过滤
挑战：
P2P 行为占用大量带宽资源； 过滤非法网站的访问行为，及含有指定关键字的网络 发贴行为，避免法律风险
SANGFOR AC/SG ED
上网行为控制
流量管理
限制无关应用，保障核心业务、核心用户的带宽 优化带宽利用率，保障访问稳定性，减少无谓的扩容成本
审计
保留行为日志，响应公安部相关要求，防止舆论与法律风险 定位违规行为，发现潜在的不良用户，追踪泄密事件
审计-邮件审计
过滤、拦截可疑邮件，防止机密文件通过邮件外发引起泄密
识别篡改、删除、压缩、加密外发文件行为，全面保护信息安全
报警-智能提醒
自动提醒违规行为，敦促用户自觉规范，减少管理带来的摩擦
管！
不管？
员工网事不断
管？不管？
AC：用户使用指定应 用的时长、速度超限后，
自动弹出提醒窗口
报警-智能提醒
自动提醒违规行为，敦促用户自觉规范，减少管理带来的摩擦
报表-实时信息
避免垃圾 3 邮件风险
• 过滤垃圾邮件，避免病毒、木马、钓鱼等威胁 • 拦截外发垃圾邮件，避免被运营商追查和邮件骚扰
审计-免审计KEY
免除对特定人员的审计，避免过度监控，减少来自高层的管理压力
审计-日志审查KEY
KEY+PIN码，控制对日志的查看权限，避免日志泄密，减少来自 基层的舆论压力
报警-外发文件告警
深信服公司介绍 上网行为管理系统
需求分析 方案规划 解决方案 方案总结 深信典服型公客司户简介
移动典型网络现状
地市公司
专线
核心交换机 NAT
Firewall
Internet
终端
代理服务器
网桥模式部署
地市公司
专线
核心交换机
NAT
Firewall
Internet
终端Байду номын сангаас
SANGFOR AC/SG
代理服务器
➢ 不会改变移动的现有网络拓扑结构，类似于连接在核心交换机和前置NAT设备之间的一根 智能网线，实现对所有内网人员上网行为的认证、管理、控制和审计
旁路模式部署
地市公司
专线
核心交换机
Firewall
Internet
终端
SANGFOR SG
➢ 部署SANGFOR SG设备替代目前移动网络正在使用的代理服务器及核心交换机后端的 NAT设备，降低网络投资
“深信服”在‘满足用 户需求’和‘ROI’两项 均获得突出得分，说明深 信服在安全市场的努力获 得了中国企业用户的认可。
此外，深信服提供的 服务也得到了用户肯定。
深信服公司介绍 上网行为管理系统
需求分析 方案规划 解决方案 方案总结 深信典服型公客司户简介
需求分析
中国移动内部员工访问互联网行为 缺乏有效的控制手段。部分已建系 统的分公司，目前仅对员工上网行 为加以记录，不做策略控制，无法 避免因违规上网带来的安全风险。
广东移动互联网出口处已经部署了流控、代理等设备， 唯独上网行为审计存在缺失。
方案：
通过旁路方式部署上网行为管理提供网络审计 • 过滤非法网址访问行为及含有指定关键字的网络发
贴行为； • 独立数据中心每天存储一千万条海量日志 • 通过内容检索工具，方便管理者快速查找关键日志
湖南移动部署深信服上网行为管理系统