防泄密解决方案

一需求分析

1 总体需求

通过信息安全管理软件及管理规定的实施，从信息安全——防止单位重要信息的泄漏保证单位信息资产安全；行为管理——停止“网络旷工”营造健康工作氛围提高工作效率；系统管理——便捷的系统管理保证IT系统时刻运行于巅峰状态，这三个方面全面部署实施内网安全管理系统，使单位得以专注核心事业，更加稳健的大步向前。

2进一步加强对内网行为的有效审计

目前单位内缺乏对各种内网行为的系统化审计工具和流程，通过内网安全管理系统的应用，建立起完整的信息使用及防泄漏的评估审计体系，使得在企业内部，与工作相关的各种内网行为处于企业的审计和管控之中。

3加强对信息流动（外发和外带）的管理和控制

对员工的网络使用设置了一定的限制，但是限制不够全面，信息有可能通过以下途径被带走：

文件可能通过USB口拷贝到U盘、移动硬盘等移动存储介质带离公司；

可通过3G上网卡等连接网络，把信息通过网络带走；

可将文件通过邮件（NOTES、WEB）发送给外部人员；

能通过打印把电子文档转换成纸质资料带走；

……

4 员工行为管理缺乏有效技术手段

目前公司不能从技术上规范员工的行为，部分员工可能在上班时间从事一些如玩游戏、炒股票、看在线试听等与工作无关的事情，不仅降低工作效率，甚至会影响公司带宽，导致公司的正常业务无法顺畅运行。

5 内部文件缺乏有效的安全保护机制

公司拥有大量的机密、敏感信息，关系到客户的资料，方案，投标文件、设计图纸等等，如果发生泄密情况，不仅对公司的财产造成损失，同时也影响公司的对外形象，给客户带来

不良影响。所以公司迫切需求解决技术部分敏感信息由于员工或者其它人员外泄做一个全面的安全管理，做到事前可防，事中预警，事后可查；不仅对公司负责，更要对客户负责。

二解决方案

针对当前xxx公司的需求，如要解决，主要通过以下三个角度来实现：

上网行为管理解决方案

用户认证

为了有效区分用户和用户组，针对不同用户实施不同的上网行为管理策略，因此，在网络访问过程中，必须具备身份认证机制，避免身份冒充、权限滥用等出现。

内部用户

对于有线用户AC通过（Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key）本地认证功能，能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

同时，AC支持与（LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS、城市热点、深澜等认证计费系统结合）进行身份认证。当用户在认证服务器上进行认证后，AC 能够获取用户认证信息，用户不用在AC上进行第二次身份认证，形成单点登录，避免重复认证所带来的麻烦。通过身份认证功能，AC能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

无线临时用户

对于无线临时用户，通过（短信认证、微信认证）方式，快速接入无线网络，无需专门人员进行开户操作，提高管理效率。

上网行为控制

网络应用极其丰富，尤其随着大量社交型网络应用的出现，用户将个人网络行为带入办公场所，由此引发各种管理和安全问题。因此，全面的应用控制帮助管理员掌控网络应用现

状和用户行为，保障管理效果。

应用控制

深信服上网行为管理AC内置庞大应用特征识别库，包含2000多种应用，4500种规则，600种移动应用。可识别目前网络中各种主流应用，如微博、社区论坛、网盘、在线视频和移动APP等。对于未知应用，AC支持自定义功能，用户可通过协议、IP、端口等元素定义内网系统应用，从而对不同用户进行控制。

网页过滤

企业员工在日常需要使用网络的工作中，需要搜索访问互联网。互联网的开放性带来了资源的传播和共享，同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷，因此，需要网页分类、搜索引擎关键字过滤等技术来控制网页访问行为。

深信服AC内置千万级URL库，将互联网网页分成60多个类别，同时每半个月实时更新和维护URL库。

AC提供自行添加URL的功能，在查询URL库中没有此URL地址时，用户可自行在设备界面进行添加，也可自定义URL类型，对企业内部网页进行管理。

发帖过滤

网络的开放性给人们带来更多的言论自由，但发表一些类似色情、反动、迷信或者暴力的信息，影响社会安定，造成了不必要的影响，企业或个人也要承担法律责任。

AC可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站，AC可设置只允许登陆、看帖，但不允许发帖，或者实行发帖关键字过滤，灵活避免企业中出现泄密或者发表不良言论带来法律追究责任的风险。

邮件过滤

Email不仅是组织重要的沟通方式之一，同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件，对于将文件修改后缀名、删除后缀名，或者压缩、加密后作为Email附件外发，试图躲过拦截与审查的行为，AC能够识别并进行报警。同时，对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件，并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。

文件传输过滤

利用网络来进行文件传输在日常办公中普遍出现，而在文件传输过程中存在种种管理和安全隐患，如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知，有意泄密者甚至会将外发文件的后缀名修改、删除，或者加密、压缩该文件，然后通过HTTP、FTP、Email附件等形式外发。

AC支持管控文件外发行为，如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点，基于关键字、文件类型控制上传/下载行为，封堵QQ/MSN等IM传文件，允许使用Webmail收邮件而禁止发送邮件等。其中，仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给企业造成的损失，单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型，即便存在修改、删除外发文件后缀名，或者加密、压缩文件文件外发的行为，AC也能发现并且告警，保护企业的信息资产安全。

加密应用识别

SSL (Secure Socket Layer)协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此，一方面，越来越多的网页使用SSL加密，如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站，而因为采用了加密技术，普通的管理产品无法对其内容进行识别管理，别有用心的用户可以利用这一缺陷绕过管理，通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息，导致管理漏洞。

AC可以对SSL网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等，防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户，此功能亦应用于过滤SSL加密的色情、反动站点，证券炒股站点等。此外，AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”（专利号）具有对SSL 加密内容的完全管控能力，支持识别、管控、审计经由SSL加密的内容，如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为，审计SSL加密行为如邮件发送行为，为组织打造坚固无漏洞的管理。

流量控制

企业的出口带宽有限，随着网络应用的丰富，出现各种吞噬带宽的应用，如P2P应用，若不对这些应用加以限制管理，企业的带宽资源必会被抢占，而核心业务却得不到带宽，从而导致整体网络速度变慢，影响正常的邮件发送和网络访问。因此，企业需要一种流量管理工具，识别应用流量，对现有的带宽进行合理的分配。

多线路复用和智能选路

企业网络出口有多条运营商提供的互联网线路，在进行数据传输的过程中，往往因为跨