UAG建设方案建议（模板）

1、上网行为审计及流量管理解决方案上网行为审计及流量管理解决方案 （行为管控解决方案）（行为管控解决方案） 建议书建议书 一、安全建设一、安全建设 1 1安全现状分析安全现状分析 网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题 也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电 脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在 预测、反应、防范和恢复能力方面存在许多薄弱环节。 互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、 开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服 务创造了理想空间，网络技术的迅

2、速发展和广泛应用，为人类社会的进步提供 了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题，据 国家计算机网络应急协调中心（CNCERT）的调查结果显示：大约大约 76%76%的网络安的网络安 全事件与内部人员的有意或无意的网络行为相关，有近全事件与内部人员的有意或无意的网络行为相关，有近 80%80%的企业存在信息安的企业存在信息安 全威胁与风险：全威胁与风险： 上班时间浏览非法网站、网络聊天、在线影音的员工日益增加，员工 30%-40%的上网活动与工作无关，造成工作效率低下 无节制的 P2P、视频网站，造成巨大的带宽压力并带来网络拥塞，关键 业务经常出现延迟甚至中断 随意通过

3、 EMAIL、IM 等方式发送和拷贝敏感涉密信息，导致企业机密信 息和关键业务数据外泄 内网用户终端的非授权接入，文件的随意下载、拷贝，造成内网病毒泛 滥 互联网的开放也使得企业网络面临各种病毒侵扰和威胁 上述现象，已成为各企业急需解决的系列难题。同时，国家对企业的各 种上网行为有明确的政策和法规，先后发布和进行互联网安全保护技术 措施规定 （公安部第 82 号令） 、 整治互联网低俗之风专项行动等。 中国公安部网监部门根据负责对联网使用单位的互联网安全保护技术措 施的落实情况依法实施监督管理： 联网使用单位负责落实互联网安全保护技术措施，并保障互联网安全保 护技术措施功能的正常使用 能够记录

4、并留存用户使用的网络地址、互联网地址或域名 联网使用单位依照本规定落实的记录留存技术措施，应当具有至少保存 六十天记录备份的功能 防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为 随着网络系统规模的扩大，各种应用系统不断完善，对各类数据的安全 提出了新的要求。面对来自外部与内部的各种安全威胁，业务系统需要按 照纵深防御的思想，逐步构建成完整的信息安全体系。 迪普科技基于 DPtech UAG 审计及流控一体化行为管控解决方案，可为 该系统解决上述难题、落实国家相关法律法规。 2 2迪普科技安全建设理念迪普科技安全建设理念 理念是人们对于不同事物从自身角度出发确定下来的正确看法，并用

5、于指 导人们的行为实践。正确的安全建设理念可以指导用户解决所面临的最主要的 安全问题，将有限的资源投入到最有效的地方。迪普科技公司提出的智能安全 理念，体现了迪普科技在网络信息安全方面专业和独到的见解，使其成为客户 最可信赖的安全建设指导思想。 在应用需求的不断推动下，网络技术得到了飞速发展；而网络技术的进步 则又反过来推动应用的发展，应用与网络之间是相辅相成、相互促进的。而应 用自身的多样化、个性化特性，却与网络的 IP 化、标准化形成了天然难以逾越 的矛盾。特别是随着万兆到核心/千兆到桌面、Web2.0、虚拟化、云计算、物联 网、P2P 等新技术新应用的不断增多，如何在标准化的网络基础设施

6、上，使模 型越来越复杂、流量越来越大的千变万化应用更安全、更快速、更可用，最终 使 IT 战略与企业战略保持一致，是所有 IT 厂商和用户面临的共同课题。 安全：从某种意义上讲安全是叠加于基础网络设施上的一层智能网，它通 过安全域划分、访问控制、入侵防御等技术手段形成一套完整的端到端防护体 系。但受制于技术积累的不足，传统的防护方案只能用于部分对性能、功能、 可靠性要求不高的场景，对大型数据中心、骨干网/城域网、大型园区出口等场 景则束手无策。 快速：P2P、网络游戏等的无节制使用，使企业网络流量呈现爆炸式增长， 宝贵的网络资源被滥用；病毒等威胁的肆意泛滥，不仅会造成网络流量异常， 甚至会导致

7、业务瘫痪。单纯通过扩容网络带宽的方法已无法从根本上解决。 可用：应用服务的不断增多、流量压力的不断增加、访问延迟的不断增大， 如何保证在线业务的持续可用？简单的通过扩容网络带宽和增加服务器的方法 不仅成本大而且收效甚微。 为解决上述问题，迪普科技从“应用超乎想像”角度出发，提供了一系列 保证用户应用更安全、更快速、更可用的产品和解决方案。迪普科技具有一支 业界领先的开发团队，基于多年的研究与积累，拥有自主开发的高性能的内容 识别与加速芯片以及核心软件平台，目前已推出具有自主知识产权的应用防火 墙、UTM 统一威胁管理、IPS 入侵防御系统、防毒墙、UAG 审计及流控、异常流 量清洗、Scann

8、er 漏洞扫描系统、WebShield 网站防护系统、TAC 终端接入控制、 DPX 深度业务交换网关、ADX 应用交付平台、工业交换机及 UMC 统一管理中心等 系列化产品。 迪普科技自主研发的 ConPlat OS 系统平台，是一个可剪裁、可伸缩的基础 软件平台，可以提供丰富的组网能力、强大的数据流处理功能以及完善的虚拟 化功能。迪普科技全系列产品均以高性能多核架构为硬件基础，并结合 FPGA 与 ASIC 技术，全线产品的处理能力都提高到万兆水平，即使在功能扩展的情况 下依然不会影响设备性能，创新性的突破了安全产品受部署场景、功能和可靠 性的限制；流控、WAN 加速等技术的综合使用，从

9、27 层提供差异化、层次化 的应用加速解决方案，为客户提供前所未有的灵敏快捷的应用体验；另外，通 过负载均衡、掉电保护等技术，在大大降低客户总体拥有成本的同时，有效保 证了客户业务的高质量持续可用。 目前，政府制定了网络安全相关的法律法规，促使各行业必须遵循一定的 安全标准，以帮助提高企业的攻击防范能力。为了帮助用户构建等级安全体系， 实现按需防御需要，迪普科技对企业 IT 环境现状进行安全评估，为用户度身定 制一整套闭环的安全建设方案，并通过培训提升企业安全管理人员的素质，保 证安全性的延续。 迪普科技的行为管控解决方案就是在这个安全理念指导下形成。 二、二、 行为管控解决方案行为管控解决方

10、案 1 1建设原则建设原则 通过统一管理平台管理整个网络及业务系统出口，对互联网出口的用户上 网行为进行审计和带宽管理。系统建成应为完整的可扩展的一套系统，实现数 据处理、数据检索、日志存储、策略定制和分组管理等需要。 稳定性：稳定性：系统需具备高度的稳定性，支持软、硬件 Bypass，保障系统的正 常运行。 实用性：实用性：主要技术和产品必须具有成熟、稳定、实用的特点，既要便于用 户使用，又要便于系统管理。 先进性：先进性：系统设计要采用成熟可靠的体系和软件硬件产品，应支持对主流 技术、协议和标准的升级，以及有完备的技术支持团队。 开放性：开放性：系统平台应是一个开放的且符合业界主流技术标准

11、的平台，要适 应学校应用对系统进行定制的要求。 扩展性：扩展性：系统应支持灵活组网和网络改扩建的需要，能够快速部署和随网 络结构进行调整，并无需改动平台主体结构和功能。 安全性：安全性：要对数据库提供备份和恢复机制，对管理权限实行分组管理分组 授权。 2 2方案简述方案简述 在网关处部署 DPtech UAG 网关产品，UAG 具有网络行为审计、流量分析与 控制、访问控制和病毒防护等功能，其强大的行为管控功能，可规范员工上网 行为，保护内部数据安全、防止机密信息泄漏；专用防病毒引擎，可抵御来自 外网的各种恶意威胁；独特的安全助手功能保证终端的安全接入，并通过与 UAG 网关的协作，为用户构建内

12、外网一体化安全防护；基于行为和特征的应用 识别和控制技术，可对网络中 P2P/IM 等各种应用进行有效管理，优化带宽使用 效率。 设备提供日志保持、关键内容过滤等功能，满足国家公安部颁布的互联 网安全保护技术措施规定 （公安部令第 82 令）要求。 3 3主要功能主要功能 上网行为管控，防止机密信息外泄上网行为管控，防止机密信息外泄，规避法律风险，规避法律风险 在互联网出口处，部署 UAG 产品，可对各种内网出入外网的信息与文件进 行安全审计，这样可有效解决网络及业务系统内部泄密的问题。为保证管控效 率，管理员可设置敏感关键字进行自动告警与阻断。 对于员工在上班时间访问网站、网络聊天、网络游戏

13、、炒股、看电影、 P2P、文件上传下载、Email、FTP 等行为，UAG 将记录和分析，并可针对部门或 个人进行策略性控制、屏蔽或免审计。 UAG 设计上采用审计功能和应用特征分离的架构，提供专门的应用协议特 征库，并定时进行特征库的更新。这种方式保证了 UAG 具有全面、准确的网络 流量识别能力，同时能够及时针对网络中新出现的业务进行准确识别，而且， 升级特征库的过程中不会对用户的实际上网造成任何中断。 UAG 基于网络用户组和网络应用组策略，可以灵活控制内部员工、部门以 及组织的上网行为，其中网络用户组可以由管理者根据自身组织结构情况，将 不同的工作组、部门设置成不同网络用户组，然后针对

14、这些网络用户组配置不 同的上网控制策略，同时，对于部门中一些特权用户，如经理等，可以设置成 免审计，从而保证必要信息的保密。 网上的协议类型众多，为了便于对这些协议进行管理，UAG 通过网络应用 组将上千种能够识别的协议进行了分类，如网页浏览、即时通信聊天、BBS 论 坛、网上视频、电子邮件、网络游戏、P2P 等等，管理员可以在制定策略时进 行，直接引用网络应用组中的预定义类型。此外，系统还可以由用户根据自身 业务情况，自定义网络应用组。通过网络应用组，可以大大减少管理人员的策 略配置工作量。 通过部署 UAG，可以实现对上互联网用户的行为和内容实现统一审计和管 理，在提高工作效率的同时避免业

15、务系统敏感信息的泄露。 此外，UAG 还支持基于时间段的策略控制，控制用户或者用户组，在指定 日期和时间段访问互联网服务的权限。 通过灵活的上网控制策略，管理者可以实现对各类上网行为的封堵功能， 如即时通讯类（QQ、MSN 聊天）封堵、网游封堵、股票封堵、p2p 流量封堵、 BBS 发帖封堵、以及按照网址/关键字封堵等等。 3.23.2 P2PP2P 全面管控，优化带宽资源，保护关键应用全面管控，优化带宽资源，保护关键应用 P2P 应用极大吞噬着网络及业务系统的网络资源，P2P 的带宽占用问题已经 成为 IT 管理者头痛的普遍问题 。目前绝大多数 P2P 软件都不使用固定端口， 因此基于传统的

16、端口识别技术已无法有效识别和控制 P2P。 UAG 采用先进的深度包检测和行为检测技术，可全面封堵如迅雷、 BT、eMule、PPLive、QQLive 等 P2P 应用，对于加密和未知版本的 P2P 软件， 则通过网络行为智能学习技术对其封堵。同时，为满足带宽的按需使用，UAG 可对指定用户或部门，按时间段进行 P2P 控制。 通过部署 UAG，可以实现对现有网络带宽进行分析和管理，提高有限的带宽的 使用率，提高工作效率。 3.33.3 安全边界保障企业业务的安心运行安全边界保障企业业务的安心运行 UAG 内置的专业防病毒引擎，采用新一代虚拟脱壳和行为判断技术，能准确 查杀各种变种病毒、未知

17、病毒，部署在网络及业务系统的互联网出口构建绿色 的 IT 环境。 通过在互联网出口处部署网关防病毒，可以将病毒威胁抵御在外网，避免 病毒对内部网络的困扰，同时与网络及业务系统现有的防病毒体系形成二重防 护，进一步增强对病毒的防护能力。 3.43.4 便捷、直观的统计，降低使用和维护成本便捷、直观的统计，降低使用和维护成本 UAG 提供设备本地日志管理和信息集中管理两种方式。可以按照严重程度、 时间、用户名/用户组、地址等维度，进行系统日志、操作日志和业务日志管理。 通过 UAG 提供的管理平台，可以对整个网络的产品进行配置、版本、特征 库和日志管理，通过图形化和报表化的展现，可以让网络应用变得

18、清晰化，从 而降低设备管理和维护陈本。 三、三、 上网行为监控技术说明上网行为监控技术说明 1 1用户管理用户管理 对上网行为的监控需要对用户身份进行有效的管理，没有严格的认证就无 法有效区分用户，也就无法部署差异化授权策略，自然无法有效防御身份冒充、 权限扩散与滥用等。 UAG 产品支持持丰富的身份认证方式：Web 认证、用户名/密码认证、IP 认 证、MAC 认证、IP-MAC 绑定认证，同时支持与第三方认证服务器 AD、LDAP、Radius 等联动进行用户身份认证，确保合法用户才可以正常接入网 络； 下图是用户名/密码认证的流程图，其他认证方式与该流程图类似 用户上网 向用户推送认证界

19、面 (该认证界面可以自定 义) 用户在认证界面中 输入合法的用户名 和密码，提交UAG 进行认证 通过IP判断用 户是否通过认 证 已经通过认证 用户正常上网 没有通过认证 UAG提取用户 输入的用户名 和密码进行认 证 合法用户 非法用户 2 2流量分析和控制流量分析和控制 UAG 采用特征分析和行为模型相结合的独有引擎设计，在不影响报文网络 延迟的情况，精确识别各种网络应用； UAG 一共可以识别几百种网络应用，如下图所示，可以全面有效的对网络 流量进行监控和管理，并且通过定期的协议库规则的升级，可以支持最新的网 络应用流量； UAG 可以识别的主流应用如下： 1、迅雷、电骡、BT 等多种

20、 P2P 流量 2、PPTV、PPStream、优酷网、土豆网等各种网络视频流量 3、QQ、MSN、新浪 UC 等各种聊天软件流量 4、魔兽世界、传奇等各种网络游戏流量 5、同花顺、大智慧等各种股票软件流量 对于普通的网络应用，UAG 使用精确引擎检测技术，通过对网络报文的方 向、网络报文的五元组、网络报文的长度、网络报文的负载部分进行深度扫描， 精确识别该网络报文所属的网络应用； 对于 P2P 的的网络应用，UAG 除了使用精确引擎检测技术进行检测以外， UAG 还使用了行为模式引擎技术，通过对 P2P 软件的流量模型、行为模型和统 计模型的分析，构建 P2P 软件的通用检测技术，可以解决现

21、有的 P2P 和以后新 出现的 P2P 软件的识别和统计，一劳永逸地解决 P2P 的监控和管理； 一旦精确识别了网络应用，就可以对该网络应用进行允许、禁止和限制等 各种管理策略，保证用户正常网络应用的带宽，限制 P2P 的大量流量占用带宽； 下图是流量分析和控制的流程图： UAG收到用户报文 将用户报文送入行为模 式引擎进行识别 识别为网络行为 精确引擎识别（通过 报文的长度、报文的 负载内容、报文的方 向进行识别） 识别为某种网络应用 将该网络应用或者 网路行为以及相关 流量信息进行统计 无法识别为具体的网络应用 按照用户配置的流量 控制策略进行控制， 允许或者禁止用户进 行该网络应用的访问

22、 通过图表等方式展 示当前网络流量发 布情况 3 3行为审计行为审计 各种网络应用日新月异，如何有效的监管上网行为，避免员工频繁地进行 网络聊天、观看在线视频等非工作网络业务，防止员工外发信息泄露公司机密 信息，防止员工发表与法律法规不相符的相关言论，是每一个单位、企业、公 司等面临的问题； UAG 产品通过内容审计引擎对各种网络应用进行扫描，提取各种虚拟帐号 （如 QQ 号码、MSN 帐号、邮件地址等、论坛帐号） ，对外发的各种文件上传、 论坛发帖、新闻回复等内容进行深度检测；具体的实现流程图如下： UAG收到用户报文 识别帐号信息，聊 天对象、聊天内容 精确识别应用协议 聊天应用网页浏览

23、识别网页URL地 址，网页标题 邮件发送 识别邮件地址，收 件人地址，邮件主 题，邮件内容，邮 件附件 论坛发帖 识别帐号信息，发 帖内容 FTP应用 识别FTP登录。退 出，上传下载文件 名、文件内容过滤 4 4防病毒功能防病毒功能 UAG 内置的专业防病毒引擎，采用新一代虚拟脱壳和行为判断技术，能准 确查杀各种变种病毒、未知病毒，为企业构建绿色的 IT 环境。 防病毒检测流程图如下： UAG收到用户报文 精确识别应用协议 将协议的负载部分 进行提取 采用防病毒引擎对 负载进行扫描 发现病毒给出告警 信息和对应的策略 四、四、综合安全管理中心（综合安全管理中心（UMCUMC）技术说明书）技术

24、说明书 1 1产品概述产品概述 随着互联网技术的发展提高，大多数企业都部署了或即将部署局域网（甚 至是大型广域网络） 。随着互联网技术的广泛部署，互联网上承载的信息越来越 丰富，通讯越来越便捷，企业对互联网的依赖也越来越严重。相应的企业内的 信息安全问题也就越来越突出，随着互联网接入的普及，互联网包含的丰富应 用和便捷的通讯，为企业机密信息的外泄提供了更便捷更隐蔽的通道。同时来 自互联网的满怀恶意的攻击、漫无目的的扫描以及同样功能丰富的病毒木马， 对企业的内网构成了严重的威胁。 为应对日益多元化和复杂化的安全威胁，传统的桌面安全软件已经无法完 全有效的防御来自互联网的攻击，在信息安全方面更是无

25、能为力。为了应对日 益严重的威胁，相应的网络安全设备也就应运而生。应对网络攻击和病毒的防 火墙和 IPS 设备，对内网提供网络安全和信息管理的 UAG 设备等，安全设备的 部署大大的增强了企业网络的安全性，提供了应对网络威胁的保护。 随着网络规模的扩大，安全设备在网络中得到大量的部署，同时在整个网 络上不断对多个安全设备管理，更新和维护也变成了一项日益复杂和耗时的工 作。对于安全管理员来说，分别管理每个安全设备是一个复杂又低效的过程， 同时这还将给网络安全带来新的风险。分别的安全信息管理设备更为安全管理 员的审计、整理和分析安全事件，保护信息安全产生了严重的挑战。并且随着 网络带宽的不断提升，

26、对网络安全设备的性能产生了更高的挑战。由于网络性 能的压力，导致网络安全设备在更丰富更深入更加自动化的安全事件统计分析 上止步不前。同时随着网络规模的扩大分布式部署使这些特性的应用受到了限 制。 为了应对这些新的安全问题，UMC 综合安全管理中心被设计和开发出来。 目的将原本分布在网络中，各自独立的安全点进行统一的管理和监控，形成一 个集统计分析和管理配置于一体的安全解决方案。UMC 综合安全管理中心能够 对来源自不同类型的不同设备的网络事件进行集中的管理，进行专业的深入的 统计分析，并通过丰富的报表展示网络的各方面的安全状态。通过自动的分析、 管理产生告警通知管理员或自动联动安全设备进行防御

27、。通过集中的配置对各 安全设备进行管理。UMC 综合安全管理中心作为安全解决方案的中心将原本一 盘散沙的各安全设备整合为一个完整的安全解决方案，以提供对整个网络的安 全监控和管理。满足大型企业网络的安全管理需求。 2 2产品特性产品特性 支持对 UAG（还包括应用防火墙、IPS、网站防护、漏洞管理等网络安全设备） 的原始安全事件的统一接收存储。 支持对网络安全事件的统计和分析，并生成各种专业报表。提供网络流量、 状态分析，用户行为审计的业务功能。 支持对安全事件的自动分析和告警联动 支持对 UAG（还包括应用防火墙、IPS、网站防护、漏洞管理等网络安全设备） 的集中配置管理 采用 B/S 架构

28、，支持远程管理 3 3在网络中的位置：在网络中的位置： 根据不同的网络环境和要求可以灵活的部署到不同的网络位置，只需要保 证与被管理的网络设备间的通信即可，可以采用专用链路或公用链路。同时 UMC 综合安全管理中心也支持分级部署。 4 4技术简介技术简介 UMC 综合安全管理中心可以作为独立的软件组件进行部署也可以与专用的 UMC 硬件设备配合部署。 软件采用 BS 架构，内建 HTTP 服务器，使管理员可以在任意地方通过 Web 方式对 UMC 综合安全管理中心进行查看和管理。支持 HTTP 和 HTTPS。 内建数据库可以对海量的数据进行存储分析和管理。 日志接收器将设备发送的 Syslog 和私有格式日志进行接收和格式化后存入 数据库。 配置下发通过 WebService 和 SNMP 方式进行远程配置。 主要优势主要优势 BS 架构提供方便快捷的使用体验，美观专业的界面展示 独立软件部署 将软件部署和硬件部署分开，可以根据实际的网络规模调整硬件 性能。 易于安装使用 快速完成安装；提供直观熟悉的安装界面； 高效的统计分析通过优秀的统计分析算法，为海量事件的统计分析提供了高效的 保证，为管理员查