iDste嵌入式网络中控物联解决方案(集控-LED-空调)
Dste
XXXX)学校
多媒体平台物联集控系统本方案包含
深圳市康信达电子技术有限公司
2013年4月
目录
第一章、公司简介 (03)
第二章、项目趋势 (04)
第三章、系统概述 (05)
第四章、系统核心设备 (07)
第五章、系统整体拓扑图 (15)
第六章、方案详细参数及报价 (16)
第七章、售后服务 (19)
第八章、部分成功案例 (20)
第一章公司简介
深圳市康信达电子技术有限公司成立于1995年,是一家集研发、生产、销售和服务为一体的高科技企业,主要从事iDste品牌系列产品的生产和销售。公司总部位于深圳,产品研发中心在四川成都。
康信达iDste以“坚持融合理念、创新应用模式”为企业创新理念,公司依托强大的研发和创新能力,为市场推出了嵌入式网络中控、IP数字广播融合集
控系统、高清音视频播出系统、LED发布系统、远程空调管理系统网络信息产品及解决方案。公司产品通过国家3C认证及IS09001、IS014001体系认证,iDste 品牌系列产品目前广泛应用于教育、政府、酒店、企业工厂、大型超市、住宅小区、公园等场所,并且在全国各地得到行内业界的认可和良好的口碑,奠定了行
业的领先。
康信达将继续坚持自主研发,以更专业的行业经验,持续不断的为市场提供高质、领先的高科技产品,iDste专注成就精彩!
公司网址:https://www.360docs.net/doc/8112105310.html,
Tel:0755- Fax:0755--805
WebAC -- Web访问控制方案
WEBAC & 网站访问控制方案
目录 1 概述 (3) 1.1 前言 (3) 1.2 WEBAC简介 (4) 1.3 WEBAC实现方式 (4) 1.4 WEBAC特点 (5) 2 WEBAC开发与实现 (6) 2.1 基本原理 (6) 2.2 开发前准备 (7) 2.3 模块开发 (9) 发行管理模块 (9) 用户认证模块 (12) UKEY操作状态 (14) UKey硬件的状态 (16) 3 常见问题 (17) 3.1 页面基本元素 (17) 3.2 PIN码的问题 (18)
1概述 1.1 前言 许多收费网站都需要一个比传统“账号+密码”更有效的身份认证方式来认证用户的身份。道理很简单:在“账号+密码”的认证方式中,用户很容易将账号和密码与他人分享,即使网站加上同一时间一个账号只允许一人登录的限制也无济于事,因为用户可以与他人分时分享网站提供的各种收费服务。分享用户账号对用户来说是很方便的,但是对于网络公司来说却意味着潜在收入的减少,这无疑是网络公司不愿意看到的。 智能卡或类似USB电子钥匙的硬件认证方式可以满足收费网站的认证需求。这种认证方式要求用户需要同时提供硬件和账号密码才能登录访问网页,有效的
避免了用户共享账号带来的问题。Passbay也提供基于硬件UKey的SecureWeb 解决方案,但是在许多场合这种解决方案也有其不足之处:首先,硬件具有专用性。也就是说,一个硬件只能应用于某个特定的网站登录认证,而不具有其他的功能或用途,这难免让用户觉得其实用价值较低;此外,这种解决方案需要用户在终端安装驱动程序和客户端程序,给用户的使用带来不便,同时也给网络公司增加了额外的与网站运营无关的售后服务。 总的来说,目前普遍采用的基于智能卡或USB电子钥匙的硬件认证方式虽然可以满足收费网站控制用户登录访问的需求,但仍然具有较大的缺陷,不管是对于网络公司还是对于用户来说,这种方案都不能算是一个完美的解决方案。 1.2WEBAC简介 为满足收费网站控制用户登录和访问的需求,Passbay结合自身的优势推出WebAC网站访问控制方案,WebAC网站访问控制方案由硬件UKey、Passbay 安全管理软件和面向网站开发者的开发接口三个部分组成。方案允许网站拥有者在UKey中创建并管理用户登录账户,用户进入指定页面之后必须插入UKey才能完成登录或访问。这一方案保证只有合法持有UKey的用户才能享受到网站提供的服务,避免用户分享账号给网络公司带来的损失。 1.3WEBAC实现方式 Passbay? UKey WebAC网站访问控制方案通过随机数单向认证方式来验证用户身份和对用户账户进行管理。这一方案的实现原理如下: 网站在创建用户账户时,将用户账号和用于认证的一个字符串(SaltValue)写入UKey(由接口写入),并将上述两项值与PSA的序列号(SerialNumber)写入数据库(由开发者写入)。用户进入登录页面后,服务器端生成一随机数据(Random),通过网络传输至客户端。这一数据在客户端通过MD5算法进行计算,计算结果MD5Result = MD5(SerialNumber + AdminPass + Random + SaltValue)(由接口计算),计算完毕后,客户端将计算结果(MD5Result -c)与UKey的序列号(SerialNumber)和之前存入的用户账号通过Form提交给服务器
计算机网络报告中小型企业内部网络访问控制解决方案
课程设计报告课程设计题目:中小型企业内部网络访问控制解决方案 专业: 班级: 姓名: 学号: 指导教师: 2013年 12 月 21日
目录 一、实验题目 (1) 二、实验时间 (1) 三、实验地点 (1) 四、实验目的 (1) 五、实验要求 (1) 六、需求分析 (1) 七、总体设计 (1) 八、详细设计 (2) 九、编码 (3) 十、结果验证 (5) 十一、总结 (7) 十二、参考资料 (7)
一、实验题目:中小型企业内部网络访问控制解决方案 二、实验时间:2013-12-17至2013-12-20 三、实验地点:软件楼 304 四、实验目的: 通过本次课程设计让学生能够综合运用所学的计算机网络知识解决并能设计一个实际问题,进一步掌握计算机网络的相关理论和计算机网络的设计实现过程,进一步提高学生的分析问题和解决问题的能力以及学生的动手能力 五、实验要求: 要求:某单位的办公室、人事处和财务处分别属于不同的网段,这3个部门之间通过路由器实现数据的交换,但处于安全考虑,单位要求办公室的网络可以访问财务处的网络,而人事处无法访问财物处的网络,其他网络之间都可以实现互访。 要求: a.画出网络拓扑图。 b.给出每个网段的IP范围,子网掩码,默认网关。(IP可以自己设置) c. 采用路由器实现各机房之间的路由,做好路由器之间的路由设计(可使用 静态路由和RIP) 六、需求分析: 同大型企业相比,中小企业的规模较小,应用的类型少而且比较简单,因此其网络的基础架构相对简单,实现起来比较容易一些,投资也会少的多,从目前的网络技术和应用的发展趋势来看,企业作为一个特殊的网络应用环境,它的建设与使用都有其自身的特点,在选择的局域网的网络技术时要体现开放式,分布式,安全可靠,维护简单的原则,对于中小型企业,采用TCP/IP协议组的以太交换网模式是最适合的,对于中小型企业内部网,主要实现资源共享功能,通信服务功能等等,但要考虑到其财务部的安全性,所以要阻止人事处访问财务部 七、总体设计 中小型企业一般分为人事处,办公室,财务处三个部门,而这三部门需要处于不同的网段,也就是说每个部门分配一个局域网,这三个部门之间通过路由器实现数据的交换,基于路由器和交换机的局域网间的互联是最好的解决方案,网络协议方面(IP)作为中小型企业网络系统的公用网协议实行标准化,使用IP
中小企业员工互联网访问控制解决实施方案
TONDNET 中小型企业员工网络经管解决方案 一、需求概述 1.1 背景需求分析 随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在IDC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络经管者头疼不已。据IDC的数据统计,企业中员工30%至40%的上网活动
与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。尤其值得注意的是,中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。互联网滥用,给中国企业带来了巨大的损失。 这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络泄密和违法行为。 企业网作为一个开放的网络系统,运行状况愈来愈复杂。企业的IT经管者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全经管的挑战,这些问题包括: ●IT经管员如何对企业网络效能行为进行统计、分析和评估? ●IT经管员如何限制一些非工作上网行为和非正常上网行为(如色情网站), 如何监控、控制和引导员工正确使用网络? ●IT经管员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料? ●IT经管员如何在万一发生问题时有一个证据或依据? 因此,如何有效地解决这些问题,以便提高员工的工作效率,降低企业的安全风险,减少企业的损失,已经成为中国企业迫在眉睫的紧要任务。当前内网安全经管也随之提升到一个新的高度,在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时,从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。越来越多的企事业单位需要对内网进行统一经管以调整网络资源的合理利用。 1.2 具体需求分析 某某有限公司访问控制详细需求分析: 随着业务的发展,信息化建设步伐的加快,某公司网络安全问题也日益严峻。虽然在网络出口处已部署了专门的防火墙设备,但无孔不入的病毒(尤其是木马病毒)、垃圾邮件仍然大肆泛滥,严重影响了企业应用系统的运行和公司业务的正常运作;另外,在针对内网的安全方面(尤其是PC客户端准入安全检查),由于缺少专门的客户端安全检查设备,无法有效的保护整个局域网的安全性。 最为重要的是企业对员工的网络使用方面没有很好的限制方法,导致员工的工作效率低下,而且BT下载严重影响了企业内部关键应用的使用。 通过对某公司需求的了解,在内网行为方面在以下几个方面需要解决。
Juniper_UAC_网络准入控制解决方案
需求分析 随着企业信息化程度的提高,数量众多的桌面PC管理成为系统管理员越来越重要的工作,目前企业拥有上百台PC机及终端。系统管理员在日常维护过程中主要面临以下问题,而这些问题,既给系统管理员带来沉重的工作负担,也会严重影响企业的业务运作。 数量众多 在信息系统中桌面系统(PC)的数量往往是最多的,这些桌面系统往往很分散,分布于不同的楼层,甚至分布于不同的大楼,加上使用这些桌面系统的用户技能水准差异很大,使得管理维护工作很困难; 病毒和安全攻击 病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱、生产率和机会。与此同时,移动计算的普及进一步加剧了威胁。移动用户能够从家里或公共热点连接互联网或办公室网络—常在无意中轻易地感染病毒并将其带进企业环境,进而感染网络。 频繁的病毒和安全攻击使得桌面系统的维护工作量剧增。据IDG对病毒统计报告显示,每年新出现的的病毒种类大多数是针对Windows操作系统的病毒。由于未及时打操作系统补丁、未及时升级防病毒软件、绕过网络安全设施随意上Internet网、外来机器的接入、外来程序的拷贝等原因,组织内部的PC机很容易被攻击和被病毒感染; 软件升级与补丁安装: 为解决安全问题,管理员经常需要在多台机器上安装同一个软件或补丁,如操作系统补丁包,传统的手工安装要花费系统管理员大量时间;
远程监控与维护 为提高效率,系统管理员经常需要做远程支持,帮助用户快速及时解决PC 机问题。系统管理员与PC机用户仅依靠电话很难远程解决问题。 网络接入控制 随着企业日益严重依赖网络业务,日益迫切需要为所有用户提供轻松的网络接入,并且企业对网络的依赖性越来越严重,因此网络变得空前关键且更易遭受攻击。因此,支持用户接入任何资源,无论是分类文档中的数据、病人健康信息、还是知识资产,始终需要在接入价值与安全风险之间找到最佳平衡点。 事实上,仅靠网络边缘的外围设备已无法保证安全性。边缘安全措施无法保护内部网络段,也无法替代主机安全措施。即便企业运行着防火墙等网络周边安全机制,病毒和电子邮件蠕虫、特洛伊木马、拒绝服务攻击和其他恶意行为仍频繁利用最终用户设备渗入企业环境。即时消息传递(IM)或对等间应用(P2P)等新技术也带来了新型威胁,新型威胁可以完全绕过网络周边的安全设备。企业力求通过策略控制这些技术的使用,但此类策略在传统网络中几乎无法执行。如果您使用电子邮件并拥有Web内容、面向公众的服务器或者移动用户,那么您的网络必定会频繁遭受各种类型的攻击。而且,这些威胁和安全漏洞比想象的更难以觉察、更加危险——移动代码可以通过安全的(但可移动的)PC进入网络。 目前大部分终端在接入网络的时候,都没有经过严格的身份认证,对终端也没有有效的验证手段。无法对终端接入网络之前,进行有效的合法性,安全性的检查。受病毒感染的终端,未打补丁的终端如果随意接入网络,势必给整个网络的安全带来重大的隐患。
网络安全设计方案
1.1 某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统
某市政府中心网络安全方案设计 1.2 安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2) 通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1 防火墙系统设计方案 1.2.1.1 防火墙对服务器的安全保护 网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。 如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着"黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。 1.2.1.2 防火墙对内部非法用户的防范 网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。 对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安
基于代理重加密的云端多要素访问控制方案
第39卷第2期通信学报V ol.39No.2 2018年2月Journal on Communications February 2018 基于代理重加密的云端多要素访问控制方案 苏铓1,史国振2,付安民1,俞研1,金伟3 (1. 南京理工大学计算机科学与工程学院,江苏南京 210094; 2. 北京电子科技学院信息安全系,北京 100070; 3. 中国科学院信息工程研究所,北京 100093) 摘 要:云服务是天地一体化信息网络的重要应用形式之一,用户可以通过云快捷、方便地获取信息和服务。云端数据的机密性、完整性直接关系到天地一体化信息网络的数据安全,所以云端数据多以密文形式进行流通。云端访问控制技术的研究则需要面向密文数据,同时兼顾复杂环境下的多要素描述需求。以此为背景,结合代理重加密技术,提出一种云端多要素访问控制(PRE-MFAC, proxy re-encryption based multi-factor access control)方案,首先,明确设计目标和前提假设;其次,构造具体方案,描述PRE-MFAC系统模型和相关算法;最后,对PRE-MFAC 的安全性、特点进行比较分析。PRE-MFAC通过将代理重加密技术和多要素访问控制融合,实现云端密文数据的多要素化授权管理,同时,充分发挥云端服务器的运算和存储能力,降低个人用户加解密运算量和密钥管理难度。 关键词:代理重加密;多要素;访问控制;云计算;天地一体化信息网络 中图分类号:TP393 文献标识码:A doi: 10.11959/j.issn.1000-436x.2018028 Proxy re-encryption based multi-factor access control scheme in cloud SU Mang1, SHI Guozhen2, FU Anmin1, YU Yan1, JIN Wei3 1. School of Computer Science and Engineering, Nanjing University of Science and Technology, Nanjing 210094, China 2. School of Information Security, Beijing Electronic Science and Technology Institute, Beijing 100070, China 3. Institute of Information Engineering, CAS, Beijing 100093, China Abstract: Cloud computing is one of the space-ground integration information network applications. Users can access data and retrieve service easily and quickly in cloud. The confidentiality and integrity of the data cloud have a direct cor-respondence to data security of the space-ground integration information network. Thus the data in cloud is transferred with encrypted form to protect the information. As an important technology of cloud security, access control should take ac-count of multi-factor and cipher text to satisfy the complex requirement for cloud data protection. Based on this, a proxy re-encryption based multi-factor access control (PRE-MFAC) scheme was proposed. Firstly, the aims and assumptions of PRE-MFAC were given. Secondly, the system model and algorithm was defined. Finally, the security and properties of PRE-MFAC were analyzed. The proposed scheme has combined the PRE and multi-factor access control together and real-ized the multi-factor permission management of cipher text in cloud. Meanwhile, it can make the best possible use of cloud in computing and storing, then reduce the difficulty of personal user in cryptographic computing and key managing. Key words: proxy re-encryption, multi-factor, access control, cloud computing, space-ground integration information network 收稿日期:2017-11-08;修回日期:2018-01-10 通信作者:史国振,sgz@https://www.360docs.net/doc/8112105310.html, 基金项目:国家重点研发计划基金资助项目(No.2016YFB0800303);国家自然科学基金资助项目(No.61702266, No.61572255);江苏省自然科学基金资助项目(No.BK20150787, No.BK20141404);北京市自然科学基金资助项目(No.4152048)Foundation Items: The National Key Research and Development Program of China (No.2016YFB0800303), The National Natural Science Foundation of China (No.61702266, No.61572255), The Natural Science Foundation of Jiangsu Province (No.BK20150787, No.BK20141404), The Natural Science Foundation of Beijing (No.4152048) 2018028-1
网络访问控制(NAC)详解手册
网络访问控制(NAC)详解手册
网络访问控制(NAC)详解手册 在一些网络专业人士之间,仍然有这样的困惑,NAC技术可以做什么。如今,NAC 已不是扫描和拦截了。相反,它更多的关注于为网络中受管理的和未受管理的设备做来客访问网络控制和基线安全状态的建立。现今的企业对于客户网络性能上的需求增加了许多,雇员们也正在逐渐开始需要连接他们的私人设备到(企业)网络的能力。这即是NAC可以为企业解决的问题所在。 在本手册中,我们讲述了服务器虚拟化与NAC安全,整合NAC与网络安全工具,以及将NAC措施扩展到网络安全设备等用户最为关心的技术,希望本手册能对您有所帮助。 市场前景分析 Infonetics询问过许多企业,经济危机(不景气)是否会迫使他们缩减2009年及2010年的NAC开支。将近60%的企业表示不会。如今,NAC已不是扫描和拦截了。相反,它更多的关注于为网络中受管理的和未受管理的设备做来客访问网络控制和基线安全状态的建立。 NAC设备供应商:值得信赖吗? 网络访问控制(NAC)市场前途依旧甚好 服务器虚拟化与NAC安全 网络安全尤其是网络准入控制(NAC)可以说是服务器虚拟化的死穴。随着虚拟服务器在数据中心的广泛应用,传统的接入控制很难再继续顺利实施。尤其当企业需要遵守严格的数据控制标准时,这将更具挑战性。虚拟化架构为NAC创造了特别的挑战。物理安全系统无法看到虚拟LAN中流量的运行情况,这些流量会随着虚拟机在物理机中运行而改变。再者,由于虚拟机的安装是如此的容易,当部署新的服务器或恢复旧服务器时员工会违反审计需求。 服务器虚拟化与NAC安全(上) 服务器虚拟化与NAC安全(下)
网络访问控制案例
案例一:国家某信息中心采用冠群金辰eTrust Access Control加固核心服务器 国家某信息中心的应用服务器包括WWW服务器、邮件服务器、全文检索服务器、数据库服务器、目录服务器、DNS服务器、Radius服务器、OA服务器、Proxy服务器等数十台。服务器操作系统为Sun Solaris、HP-UX、SGI IRIX、IBM AIX以及Windows 2000等。为了提高安全管理水平,该信息中心计划在现有的安全管理设施的基础上建设一套网络安全管理系统,其中包括重点服务器的访问控制。 冠群金辰在该信息中心需要进行重点保护的10台服务器上安装了eTrust Access Control软件。对于其他的业务服务器,冠群金辰建议在下一阶段将其纳入到主机防护系统来。 采用冠群金辰的方案后,该信息中心提高了对关键资源的控制力度,从根本上杜绝了资源的非法和恶意访问和篡改。而且eTrust Access Control的跨平台能力使得管理员能够从一个中央控制台集中管理IBM、HP、Sun、SGI以及Microsoft等多种操作系统的访问许可,大大降低了管理难度。 案例二:某商业银行采用安软访问控制解决方案 随着业务的拓展,某市商业银行在全市已经建立起8个支行和多家储蓄所,相应的安全问题也被提到了日程上。通过调研分析,安软公司将用户的安全需求划分为:确保机密信息在租用通信线路上传输时的安全性;确认柜台操作员身份的真实性;确保使用者操作的不可否认性;对于所有的操作有详细日志记录。针对该用户的安全需求,安软提供了以下解决方案。
一、在中央机房安装EverLink SRAC服务器作为管理端,通过详细的控制策略设置实现对下端EverLink DSAE产品的管理。经过基于数字证书的身份验证后,实现对用户的身份确认和访问权限的控制。 二、在储蓄所中配备C01A型号的EverLink DSAE。C01A型号的EverLink DSAE与EverLink SRAC服务器结合使用,可以完成基于数字证书的身份认证以及细粒度的权限控制;通过身份认证后可以建立起从EverLink DSAE到EverLink SRAC服务器之间的安全数据传输通道,完成储蓄所与中心机房的通信数据的密文传输。 三、在支行安装C01M08/16型号的EverLink DSAE。该型号产品集成了终端服务器功能,可以直接与EverLink DSAE产品连接,可以对终端设备提交的信息进行加密。 通过实施以上方案,该商业银行在不改动现有的应用系统和网络结构的前提下,解决应用系统中身份伪造、信息在传输过程被恶意截获、中断和篡改等安全问题。
互联网访问控制解决方案 - 中人网7.doc
互联网访问控制解决方案- 中人网7 上网行为管理及网络安全解决方案 *****公司 FOR ****公司 一、需求概述 1.1 背景需求分析 随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在IDC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT 下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。据IDC的数据统计,企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。尤其值得注意的是,中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。互联网滥用,给中国企业带来了巨大的损失。 这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络泄密和违法行为。 企业网作为一个开放的网络系统,运行状况愈来愈复杂。企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成
的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括: IT管理员如何对企业网络效能行为进行统计、分析和评估? IT管理员如何限制一些非工作上网行为和非正常上网行为(如色情网站),如何监控、控制和引导员工正确使用网络? IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料? IT管理员如何在万一发生问题时有一个证据或依据? 因此,如何有效地解决这些问题,以便提高员工的工作效率,降低企业的安全风险,减少企业的损失,已经成为中国企业迫在眉睫的紧要任务。当前内网安全管理也随之提升到一个新的高度,在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时,从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。越来越多的企事业单位需要对内网进行统一管理以调整网络资源的合理利用。 1.2 具体需求分析 某某有限公司访问控制详细需求分析: 随着业务的发展,信息化建设步伐的加快,某公司网络安全问题也日益严峻。虽然在网络出口处已部署了专门的防火墙设备,但无孔不入的病毒(尤其是木马病毒)、垃圾邮件仍 然大肆泛滥,严重影响了企业应用系统的运行和公司业务的
网络行为管理方案
网络行为管理系统 (一)产品功能 网络行为网关是员工上网行为管理的产品。该产品可以在不影响网络运行效率和不改变现 有网络配置的条件下,对内部人员使用互联网的情况进行有效的管理和控制, 网络行为网 关是软、硬一体化专业网络设备,无需安装客户端软件,使用非常简单方便,单位管理人 员一看就会。网关主要功能如下: 访问控制 提供完整的访问控制管理策略,可灵活地按用户角色或者分组对用户上网行为进行有效地控制,可以根据日期、时间段、服务类型、网址、流量、IP地址、端口范围等手段设置控制策略,并提供百万级的有害信息过滤网址库防堵不良网站,从而实现单位上网管理控制,规范员工上网行为。 访问外网控制:可以控制所有人或指定的人能否上Internet。 日期时间控制:可以按照日期类型(如:工作日、非工作日)和时间段(如:上午9:00到下午 6:00)使用各种控制策略。 网址关键字控制:可以按网址、通配符控制访问的网站(如:禁止网址中包含news 的网站)。 应用服务控制:可以根据Internet的服务类型控制能否使用相关的服务(如:能否使用邮件、QQ、P2P下载、www 服务等)。 IP 及端口控制:可以控制用户可以访问的IP地址或端口号(如:可以封掉某些IP地址及端口)。 分级控制:可以针对某个人、某个部门或所有人进行控制,每个部门或个人均可使用不同 的访问策略。 网址库类别控制:可以基于网址库的网址分类确定访问策略,而且用户可以自己维护网址 库(如:用户可以将不能访问的网站作为网址库的一类,然后可以通过禁止这一类网址, 就达到了禁止访问对应类别的网站的功能) 应用服务分类控制:可以基于网络应用的分类确定访问策略,系统默认把应用分为“即时 通信”、“P2P下载”、“网络游戏”等九大类,而且用户可以自定义网络应用类别(如:用 户可以根据IP 地址或端口来定义某些在线游戏服务,然后通过选择禁止或允许来控制最终 用户对这些服务的使用)。 带宽管理 网络行为网关可以对用户上网占用的带宽进行管控,可以按网络地址段、用户组、个人或服 务类型来制定策略对带宽进行管理。可将带宽划分成若干个虚拟通道,设定每个通道的带宽,上、下载速度的限制,优先级和管理策略等,保证关键应用或重要人员的上网带宽,对有限 的带宽进行优化使用、合理分配,将网络资源使用发挥到最大。管理方式如下:用户带宽 管理:为不同身份的用户分配不同的带宽权限,有效保障真正有带宽需求的用户的业务畅通。应用带宽管理:为不同的网络应用分配不同的带宽权限,有效抑制或封堵非正常业务对带 宽的占用,如BT、eMule、在线视频、在线音乐等。 网段带宽管理:为不同的用户网段分配不同的带宽权限,保障业务网段的上网通畅。带 宽通道管理:可以把基于不同类别的用户和网络应用划分到不同的业务通道里,不同的业 务通道拥有不同的带宽,这样可以有效保障正常业务的畅通运营。 带宽报表:提供灵活详细的带宽使用报表,以便充分掌握互联网使用情况,及时对带宽分 配策略做出正确的调整。
XX大学上网行为管理集中管控方案
XX大学 上网行为集中管控解 决方案
上网行为集中管控解决方案 目录 第1章概述——需求分析 (1) 第2章解决方案 (1) 2.1组网拓扑 (2) 第3章方案价值 (3) 3.1控制功能:细致的访问控制,有效管理用户上网 (3) 3.2带宽及流量管理功能:强大流量分析及带宽划分与分配 (4) 3.3方便高效的集中管理 (4) 3.3.1集中管理 (4) 3.3.2实时监控 (5) 3.3.3智能升级 (5) 第4章典型客户...................................................................... 错误!未定义书签。
第1章概述——需求分析 随着互联网行业的逐渐发展,网络已经发展成为XX大学不可或缺的办公依托,然而校园网内用户肆意的上网行为也带来挑战。网络中心的监管压力,内部的管理压力,这一切都要求XX大学对各个分校区的互联网进行有效的管理,具体问题如下: 1)大量的非业务资源的访问(P2P/BT/在线影音)、超大文件的传输、上传、下载吞噬出口带宽资源,造成关键业务应用访问速度严重降低,带宽出口的瓶颈日益显现出来。 2)互联网的开放性带来了资源的传播和共享,同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷,如何在日常工作中过滤这些不良网页,为学校创造一个健康的绿色的网络环境。 3)网络的开放性给网民带来更多的言论自由,但互联网上部分不负责任人士发表一些类似色情、反动、迷信或者暴力的信息,影响其他人士,造成了不必要的影响。 第2章解决方案 充分考虑XX大学的实际网络状况,建议采用上网行为管理的集中部署解决方案。 上网行为管理策略: 1)通过强大的流量管理系统轻实现基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制,进行带宽划分和分配,实现带宽资源利用率的最大化。 2)内置千万级URL库,具备URL智能识别功能,对反人类、反政府、色情、赌博、毒品等包含不良信息的网页进行过滤。 3)可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站,可设置看帖看不允许发帖,或者实行发帖关键字过滤,避免发表不良言论给学校带来法律追究责任的风险。 4)对所有日志进行报表呈现、数据分析,做到全网网络的透明化管理。 整套网络由XX大学总部及4个分校区组成,由总部集中管理设备实现统一管理: 1)方便快速部署:通过总部的集中管理平台,实现对各校区上网行为管理的配置、选
(整理)局域网介质访问控制方法
5.3.1 信道分配问题 通常,可将信道分配方法划分为两类:静态分配方法和动态分配方法. 1.静态分配方法 所谓静态分配方法,也是传统的分配方法,它采用频分多路复用或时分多路复用的办法将单个信道划分后静态地分配给多个用户. 当用户站数较多或使用信道的站数在不断变化或者通信量的变化具有突发性时,静态频分多路复用方法的性能较差,因此,传统的静态分配方法,不完全适合计算机网络. 2.动态分配方法 所谓动态分配方法就是动态地为每个用户站点分配信道使用权.动态分配方法通常有3种:轮转,预约和争用. ①轮转:使每个用户站点轮流获得发送的机会,这种技术称为轮转.它适合于交互式终端对主机的通信. ②预约:预约是指将传输介质上的时间分隔成时间片,网上用户站点若要发送,必须事先预约能占用的时间片.这种技术适用于数据流的通信. ③争用:若所有用户站点都能争用介质,这种技术称为争用.它实现起来简单,对轻负载或中等负载的系统比较有效,适合于突发式通信. 争用方法属于随机访问技术,而轮转和预约的方法则属于控制访问技术. 5.3.2 介质访问控制方法 介质访问控制( MAC )方法是在局域网中对数据传输介质进行访问管理的方法。介质访问控制方法的主要内容有两个方面:一是要确定网络上每一个结点能够将信息发送到介质上去的特定时刻;二是要解决如何
对共享介质访问和利用加以控制.传统局域网采用共享介质方式的载波监听多路访问/冲突检测(CSMA/CD)、标记环传递或FDDI等方法,但随着LAN应用的扩展,这种共享介质方式对任何端口上的数据帧都不加区别地进行传送时,经常会引起网络冲突,甚至阻塞,所以采用网桥、交换机等方法将网络分段,去减少甚至取消网络冲突是目前经常采用的方法。 一、共享介质方式中最常用的为CSMA/CD和标记环传递方法。 1.带冲突检测的载波监听多路访问CSMA/CD CSMA/CD (Carrier Sense Multiple Access/Collision Detection)是采用争用技术的一种介质访问控制方法.CSMA/CD通常用于总线形拓扑结构和星形拓扑结构的局域网中. CSMA/CD是以太网中采用的MAC方法。CSMA/CD的工作原理可概括成四句话,即先听后发,边发边听,冲突停止,随机延迟后重发.具体过程如下: 当一个站点想要发送数据的时候,它检测网络查看是否有其他站点正在传输,即监听信道是否空闲. 如果信道忙,则等待,直到信道空闲. 如果信道闲,站点就传输数据. 在发送数据的同时,站点继续监听网络确信没有其他站点在同时传输数据.因为有可能两个或多个站点都同时检测到网络空闲然后几乎在同一时刻开始传输数据.如果两个或多个站点同时发送数据,就会产生冲突. 当一个传输结点识别出一个冲突,它就发送一个拥塞信号,这个信号使得冲突的时间足够长,让其他的结点都有能发现. 其他结点收到拥塞信号后,都停止传输,等待一个随机产生的时间间隙(回退时间,Backoff Time)后重发. 总之,CSMA/CD采用的是一种"有空就发"的竞争型访问策略,因而不可避免地会出现信道空闲时多个站点同时争发的现象,无法完全消除冲突,只能是采取一些措施减少冲突,并对产生的冲突进行处理.因此采用这种协议的局域网环境不适合对实时性要求较强的网络应用. 2.令牌环(Token Ring)访问控制 Token Ring是令牌传输环(Token Passing Ring)的简写.标记传递是标记环网中采用的MAC方法。标记是一个专用的控制帧,它不停地在环上各站点间传递着,用其标志环路是否空闲以便站点用来发送数据帧。若某个站点有数据要发送,它就在环路上等待标记帧的到来,进一步占用这个标记帧去发送数据,并当这次
网络信息访问控制制度
网络信息访问控制制度 10.1 访问控制要求 10.1.1 访问控制管理办法 第165条所有系统和应用都必须有访问控制列表,由系统管理者明确定义访问控制规则、用户和用户组的权限以及访问控制机制。访问控制列表应该进行周期性的检查以保证授权正确。 第166条访问权限必须根据工作完成的最少需求而定,不能超过其工作实际所需的范围。必须按照“除非明确允许,否则一律禁止”的原则来设臵访问控制规则。 第167条所有访问控制必须建立相应的审批程序,以确保访问授权的合理性和有效性。必须禁用或关闭任何具有越权访问的功能。员工的职责发生变化或离职时,其访问权限必须作相应调整或撤销。 第168条系统自带的默认帐号应该禁用或配臵密码进行保护。 10.2 用户访问管理 10.2.1 用户注册 第169条开放给用户访问的信息系统,必须建立正式的用户注册和注销程序。 第170条所有用户的注册都必须通过用户注册程序进行申请,并得到部门领导或其委托者的批准。系统管理者对用户具有最终的授权决定权。必须保留和维护所有用户的注册信息的正式用户记录。 第171条负责用户注册的管理员必须验证用户注册和注销请求的合法性。 第172条每个用户必须被分配唯一的帐号,不允许共享用户帐号。用户一旦发现其帐号异常,必须立即通知负责用户注册的管理员进行处理。如果用户帐号连续120天没有使用,必须禁用该帐号。 第173条帐号名不能透露用户的权限信息,比如管理员帐号不能带有Admin字样。 10.2.2 特权管理 第174条必须建立正式的授权程序,以确保授权得到严格的评估和审批,并保证没有与系统和应用的安全相违背。 第175条必须建立授权清单,记录和维护已分配的特权和其相对的用户信息。 10.2.3 用户密码管理
XX公司网络访问控制管理办法汇编--模板
《XX公司网络访问控制管理办法汇编--模板》 《XX公司网络与信息安全《远程接入安全管理办法》 《XX公司网络与信息安全《网络互联安全管理办法》 《XX公司网络与信息安全《数字证书使用管理办法》 《XX公司网络与信息安全《帐号、口令及权限管理办法》
远程接入安全管理办法 第一章总则 第一条为加强XX公司总部及各成员单位对远程接入的管理,保障在安全可控的前提下实现远程维护、使用业务、获取数据等目的,根据国家要求及《XX公司网络与 信息安全总纲》等公司相关规定,制定本办法。 第二条远程接入应符合“谁主管、谁负责,谁接入、谁负责”总体原则,遵从“基于需求”、“集中化”及“可控”等具体原则,并与维保方式改革相一致。通过规范 申请、审批等过程,实现安全接入。 第三条本办法由XX公司办公厅制定、监督实施和解释。 第四条本办法自发布之日起执行,各成员单位应制定具体实施细则。 第二章适用范围 第五条本办法适用于总部及各成员单位内部网/广域网维护部门,使用相关系统的一般员工以及所有由于特定目的、需要短期访问的人员与单位,如代维公司、设备供 应商的支持人员等等。 第六条“远程接入”特指从XX公司内部网/广域网之外的其它场所,如家庭、酒店、交通途中、第三方办公场所等,在逐次审批的前提下通过国家核电部署的拨号、 CMNet、VPN或者综合维护接入平台等方式,访问内部网/广域网的情形。其它两 个网络之间的互联管理要求参见《网络互联管理办法》。 第三章组织及职责 第七条总体原则 (一)“谁主管、谁负责,谁接入、谁负责”原则。内部网/广域网的维护部门作 为第一责任人,分别直接负责所辖网络的远程接入管理工作; (二)“基于需求”原则。所有远程接入需求应符合国家核电业务发展、运维管理