网络行为监测与审计服务方案
招标编号:****
投标单位名称:****
授权代表:****
投标日期:****
一、关于XXX科技公司的详细介绍
在美国,由一群美国风险投资家、资深金融管理专家以及具有丰富经验的世界知名高科技公司技术专家携手创建的高科技企业——XXX科技有限公司(NetentSec,Inc.),坐落在享有盛誉的中关村高科技园区。作为北京市政府及国家科技部的重点扶持有力企业,XXX有限公司彰显其在科技创新领域的领先地位。
自2004年公司成立以来,我们专注于网络安全技术的研发与产品创新。依托坚实的信息安全保障,运用互联网资源访问控制技术,并融合其他智能信息技术,我们提供多元化的互联网信息安全管理和控制服务,覆盖多个行业和领域。我们的愿景是引领互联网信息安全控制行业,研发具有国际先进水准的产品,致力于为客户提供技术前沿、功能完备、品质卓越且服务贴心的互联网信息安全管理与控制解决方案。
XXX有着健康的哑铃型管理模式,100多人的研发团队和50多人的市场团队,高效的行政平台给企业提供了良好的服务保障。研发团队本科比例65%,硕士比例25%,博士比例5%,管理层由曾经服务于知名IT公司(微软,IBM,赛门铁克,Intel,华为)多年的精英组成,使XXX随时能跟上信息化高速发展的步伐。
自创立以来,XXX科技即定位于打造中国乃至全球领先的科技企业,专注于研发高端创新产品。在公司飞速发展的历程中,我们始终坚持依托国际领先的核心技术与完备的产品服务体系,秉持‘回馈社会,服务用户,惠及员工’的宗旨,积极探索更为广阔的市场疆域。
作为互联网管控领域的创新引领者,XXX有限公司的上网行为管理系统独具以下特性:
1.产品具备便捷且稳定的部署特性,支持交换式Bypass功能。在设备过滤引擎遭遇异常时,系统会自动启用报文绕行(bypass)模式,切换至直通状态,确保用户始终能正常使用网络服务,不会受到任何中断影响。
2.我们拥有的是全球领先的中国特色URL数据库,其优势体现在先进的URL特征库更新机制与完善的维护系统上。
3.作为国内行业的佼佼者,我们的应用协议数据库已经涵盖了广泛的领域,累计支持超过百种应用程序。依托XXX公司专业精湛的团队,他们致力于应用协议的识别与深度分析,紧跟互联网应用的潮流动态,不断将研发创新融入到产品之中,以保持领先地位。
4.目前国内性能最优的串接部署产品。
作为业界领先的上网行为管理系统,XXX ICG全面支持EIM产品所涵盖的各项功能。
1、一种全面且透明的用户认证机制,专为支持AD域用户设计,其灵活性得以充分发挥。
的访问接入
2、实施用户差异化管理策略,依据时间灵活调整上网行为,旨在满足企业的个性化需求。
3、通过高效利用高速Cache缓存技术,显著提升对常用站点静态页面的访问速度。
4、XXXICG作为一款功能强大的解决方案,致力于精细管理/操控员工对互联网网站的访问行为。依托于XXX公司全球领先的中文URL行为分类数据库,该数据库凭借其广泛的600余万条URL和深度的41类基于行为结果的细分,确保了高效且精确的管控措施。
XXXURL数据库在中文网址领域以其庞大的规模和无可比拟的精确性独占鳌头。
依托自主知识产权,该URL数据库稳固保持领先地位。
每日自动执行的智能分类系统,持续进行信息的智能搜集与实时更新。
通过实施100%的人工复审流程,我们严格确保了管理人员专用网站的精准无误
点访问的准确性。
5、严谨管理网络用户的主要应用程序访问权限,同时实施有效的带宽管控。XXXICG凭借自主研发的庞大且针对国内主流应用的动态数据库见长,该数据库经由XXX应用分析团队深度内容检测和智能模糊匹配技术驱动,能精确识别当前网络上广泛存在的各类应用,如P2P、P2SP、IM和视频流媒体。得益于智能模糊匹配算法,即使面对加密的P2P应用,也能精准识别。此外,系统还赋予用户自定义选择所需应用程序的灵活性。
6、ICG通过实施严格的敏感信息管控机制,对诸如电子邮件(E-mail)、Webmail、网页剪切与即时通讯(IM)等可能引发企业机密泄露的渠道进行实时监控与审计。一旦发现异常,系统会立即生成警报,以便及时通知安全专员处理。
7、ICG的 Quality of Service (QoS) 功能,整合至XXX的应用数据库,能有效防止企业信息资源的过度利用,确保关键业务流程的顺畅运行。QoS的统计报告为管理层提供了实时的网络资源使用情况,支持IT部门据此明智地判断网络扩展或调整的时间点。此外,自定义协议的灵活性使得XX集团能够轻松定制针对自身独特应用的QoS策略。
8、依托先进的查询功能与定制化的统计模版,灵活的报表系统能够促使企业信息部门迅速识别并追踪网络故障的根源。生成的详尽数据报告将为信息管理部门、人力资源部门及公司高层提供清晰的决策依据,从而支持管理层根据这些数据对网络策略、人力资源配置等进行适时的调整。
9、数据留存与查询系统的高效运作为信息安全审计提供了坚实的数据支持,使得审计工作不仅能流于形式,更能揭示企业实际存在的信息安全漏洞,并据此制定针对性的管理策略。同时,员工的网络行为数据留存也符合公安部门对企业互联网使用行为的监管需求,能实时协同安全部门的行动。
10、ICG支持便捷的部署流程,无需用户改动网络结构或配置即可无缝接入,显著节省了IT团队的资源投入。此外,它具备卓越的高可用性特性,当ICG发生问题时,能启用强制交换旁路功能,直接连接进出接口,从而有效防止单一故障点的影响。
11、ICG的优势在于其卓越的可扩展性,伴随产品版本的迭代,性能得以持续增强。对于追求更高性能的用户,XXX公司特别承诺,能够优惠供应相应的高性能硬件平台以满足需求。
12、XXX公司致力于提供全天候(7x24小时)的客户服务,一旦发生重大问题,将立即派遣技术专家奔赴现场进行故障排除,确保客户网络的迅速恢复。
13、界面设计简洁直观,使得操作易于理解。平台支持本地Console接口,便于在后台处理各类问题。
14、每日数据库在线自动刷新,系统支持预设常规更新周期,同时允许用户自定义更新频率。协议解析模块实施定期更新,确保对流行应用的识别能力始终保持时效性。
15、我们提供全方位的数据备份服务,包括智能化的备份策略设计,致力于简化设备版本升级的操作流程,以提升效率和便利性。
ICG产品部署通用架构图:
产品数据库支持示意图:
二、高效员工网络行为管理系统
前言:
在中共中央政治局XXX年度的第三十八次集体学习会议上,于XX年1月23日,胡XXXX着重指出:"应当秉持创新的理念,积极促进和推广健康向上的网络文化,切实提升互联网的建设、运用与管理效能。"
2005年12月23日,中华人民共和国公安部颁发了第82号令,明确规定了《互联网安全保护技术措施规定》,规定互联网服务提供者和联网使用单位必须实施相应的安全保护技术措施。
2002年,美国实施了萨班斯-奥克斯利法案,明确规定上市公司必须严谨构建企业的内部控制体系,确保所有运营活动,无论涉及人员职责还是信息系统流程,均需明确界定并留存相应的记录档案。
在2022年4月25日至5月25日期间,IT168企业上网行为调研结果显示:有58.4%的企业反映,员工因下载不安全文件导致病毒感染,从而对企业的网络安全产生了负面影响。
2006年据<财富>杂志,500强企业因公司机密被盗而遭受的损失共计超过了450亿美元。其中所发生的经济损失超过50万美元的泄密案平均为2.45起。
......
企业亟待解决的安全问题防范策略
1、项目概述
随着信息时代的深化,互联网作为全球互联的开放平台,已深入我国社会政治、经济、文化生活的各个方面。作为一种包容性极强、运作高效且跨国界的通信网络,互联网的特性——开放性、兼容性和高效信息传递,极大地便利了人们的日常生活。然而,伴随信息化进程的推进,也带来了不容忽视的问题,如计算机犯罪的增长、网络黑客的活跃、色情内容的泛滥以及信息安全威胁的潜在风险。
作为国内制造业信息数字化的翘楚,XX集团尤为注重IT基础设施的构建,此举旨在强化企业的整体实力。然而,鉴于当前状况,XX集团有鉴于此,亟需在既有的IT架构基础上增设上网行为管理系统,其实施的必要性尤为显著:
第一:根据国家政策的要求,联网单位负有建立行为与内容管理系统的重要职责。
第二:对于上市公司而言,其运营必须契合萨班斯法案或其他同类法规的要求。这些法规强调了企业内部控制系统各个环节的明确规定,包括人员操作流程的清晰界定和相关记录的严谨保存,同时涵盖对审计过程的完整档案管理。
第三:互联网信息传输在企业运营中扮演核心角色,但随之而来的是数据机密性、完整性与政治敏感性的考量。为此,必须借助上网行为管理设备实施精细的信息管控策略,以限制关键信息的扩散,防范可能引发的法律纠纷,并确保企业信息安全,特别是涉及勘探数据和商业运营资料的保护。
第四:有效管理上网用户的活动行为,能够提升企业运营效率,防止非工作相关资讯的干扰。
第五:致力于优化业务流程,确保最大程度地保护已投入的信息资产(例如带宽等)得以有效利用。
2、xx集团的数字化现状与进展
xx集团的信息化进程揭示了其对于提升企业核心竞争力的坚定决心,旨在通过信息化平台实现与国际先进水平的接轨,致力于塑造一个数字化的中国典范,从而驱动xx集团在全球范围内的持续发展。
早在1996年,xx集团作为国内首批拥抱互联网的家电企业,引领了行业的数字化转型潮流。
IntraNet与0A:1997年,建立xx集团的OA平台(Notes)把电子化的日清管理纳入到信息化应用当中
1998年至2004年间,xx集团的客户服务体系历经四阶段规划,打造了国内独一无二的全国性服务体系。该体系集电话服务中心与售后服务管理于一体,管理着逾600个服务台席和超过1万家服务网点,致力于卓越的售后服务体验。
1999-2000年间,我们成功构建了xx集团与供应商间的电子商务合作体系,凭借国际前沿的技术支持,实现了双方的高效协同运作。
2000年4月,xx集团率先在国内树立了电子商务新标杆,通过构建企业网站与电子商务平台,提升了其品牌形象。作为国内首个启用B2C电子商务模式并实现在线支付的企业,xx集团在当年即获得了显著的认可。2000年CNNIC评选中,荣获企业类第一名的殊荣,而到了2001年12月,更是荣膺中国百佳电子商务平台颁奖大会颁发的‘电子商务最高成就奖’。
2000年,我们构建了xx集团的综合性销售平台,旨在实现国内外业务的集中管理。
xx集团广泛的骨干网络体系:包括遍布全国的12个工业园区、50家销售分公司、50个成品仓储中心及30个客服电话中心,致力于实现数据、视频与IP电话的三网融合服务。
借助ARIS工具,我们遵循国际标杆(SCOR模型)及行业最佳实践,对集团的端到端业务流程进行系统化的管理,构建丰富的流程知识库。
商业智能报告:构建面向市场链的商业分析体系,旨在为集团高级管理层提供决策支持服务。
3、根据ISC标准的安全评估关键要素,我们对xx集团的信息架构进行了深入剖析。
根据ISC的划分,图示明确了安全威胁主要分为针对主体和客体的两个类别。
|
客体威胁的评估 |
现有防控手段 |
效果 |
优化可能 |
优化手段 |
|
病毒 |
桌面杀毒产品 |
★★★☆☆ |
有 |
需完善NAC系统。部署防病毒网关 |
|
|
|
|
|
部署SMS操作系统升级系统限制病毒资源访问 |
|
拒绝服务 |
2TiresFire Wall |
★★★★★ |
暂无 |
目前完美 |
|
系统入侵 |
IDS设备 |
★★★★☆ |
有 |
部署蜜罐 |
|
垃圾邮件 |
邮件安全网关 |
★★★★☆ |
有 |
仅开放企业自己的POP3服务屏蔽webmail, |
|
恶意代码 |
邮件安全网关 |
★★★★☆ |
有 |
限制恶意代码资源访问准确定位恶意代码资源站点分类●防病毒网关 |
|
主体威胁的评估 |
现有防控手段 |
效果 |
优化可能 |
优化手段 |
|
合规管理 |
无 |
★☆☆☆☆ |
有 |
需完善NAC系统分级设置上网管理/控制策略 |
|
未授权使用 |
0A平台口令 |
★★☆☆☆ |
有 |
控制未授权人员访问互联网NAC |
|
上网行为安全 |
防火墙 |
★☆☆☆☆ |
有 |
控制管理非安全的上网行为增加上网行为控管,审计机制 |
|
信息外泄 |
无 |
☆☆☆☆☆ |
有 |
仅开通企业POP3的使用监控/审计/限制webmail监控/审计企业SMTP外发信息监控,审计网页信息上传限制网页附件粘贴大小监控/审计IM信息控管P2P软件的使用 |
|
业务连续性 |
多冗余线路冗余网络架构 |
★★★★☆ |
有 |
可快速查询出导致故障的行为互联网带宽资源合理分配 |
|
法律遵从 |
防火墙 |
★☆☆☆☆ |
有 |
限制非法站点的访问控制盗版信息共享的应 |
|
|
|
|
|
用●实现互联网访问证据留存审计 |
|
资源滥用 |
防火墙 |
★★★☆☆ |
有 |
限制导致资源滥用的网络应用 |
根据评估数据,xx集团在客体威胁管理方面表现出高度完善性,其专业安全产品的部署成功抵御了众多应用程序的风险。然而,仍有提升的空间,但这并非仅凭现有IT团队的设备和人力资源所能覆盖。问题的核心在于对外部威胁资源的识别与分类,因此,这需要借助专业安全产品的支持来达成优化。
在针对主体威胁的深度安全审查中,xx集团显示出明显的改进空间。当前实施的安全设备主要侧重于被动防护,主要防御来自外部的威胁,然而对内部威胁、网络行为管控、带宽管理、数据存档、审计及分析功能等方面,存在显著的不足和漏洞。
总结:
尽管xx集团在被动安全措施上已具备相当的完备性,然而为了构建更为全面的安全体系,他们亟需引入专用的主动安全技术产品,从而提升其在网络安全领域的综合表现,实现卓越标准。
4、xx集团的上网行为管理实施探讨:
上网行为管理定义:
在信息安全领域的行为管理层面,依据ISC的界定,员工上网行为管理(EIM)着重于防范源自企业内部员工、PC及软件的网络活动所构成的潜在威胁。
当前行业内公认的EIM功能成熟度主要体现在以下几个核心领域:
1、人员主体的互联网站点访问管理/控制
2、人员主体的互联网应用访问的管理/控制
3、人员主体外发信息的管理/控制
4、网络内部信息滥用的管理/控制
5、管理层致力于实施对员工网络行为的识别、审计与深入分析。
6、管理层依据统计数据对现有管理策略进行深入审查与调整
安全金字塔以及PPDR模型:
根据CISSP和PPDR安全框架中的指导原则,管理层的策略实施需借助强大的访问控制(防护)机制。在这一基础之上,有效的管理和审计不可或缺,同时还需要不断衍生出适应更高防护要求的新策略。唯有如此,主体安全才能实现持续优化,直至达到理想的安全状态。因此,采用知名上网行为管理系统能显著提升企业网络信息的安全级别。
需求迫切性的可行性分析:
根据风险评估对xx集团的揭示,其当前面临的诸多关键安全挑战主要集中在上网行为管理的范畴内。从分析数据的各个要点出发,如网络站点与应用的管控、带宽管理、用户行为识别与报警机制、问题来源追踪、行为数据保留与审计以及策略分析优化,这些威胁表明现有的安全工具不足以有效防御。尤其显著的是,这些威胁导致IT部门在故障定位和人力分配上耗费了大量的资源,例如故障源查找耗时长,人力投入较大。因此,实施上网行为管理系统的迫切需求不容忽视。
技术可行性分析:
xx集团近期将完成的园区网拓扑:
根据xx集团当前的网络架构,仅需在主干线路的外层防火墙内部嵌入一台上网行为管理设备,即可实现对内网与互联网间上网行为的有效管控。若xx集团追求上网行为管理服务的可用性达到与现有网络相同的服务水平协议(SLA),则可在备份线路中增设EIM设备来确保这一目标的实现。
三、xx集团的上网行为管理系统部署策略
1、项目背景与设计概述
xx集团信息事业部现致力于提升企业信息安全级别,以契合政府部门对企业上网行为的管理要求。目标是实施对内部员工互联网活动的有效监管,以便在遭遇网络问题时迅速识别问题源头,并确保六个月的行为记录档案完整,支持后续行为审计。同时,集团需获取详尽且多样的报表,以便管理部门能即时调整各项管理制度,实现高效管理。
2、当前网络架构概览
xx集团的网络体系已采用先进的冗余技术并配备大量安全设备,从而实现对客体应用威胁的有效防护。其详细的网络拓扑结构如下所示:
3、网络行为管理系统部署后的拓扑结构
4、分析网络稳定性和高效运行
尽管这些情况发生的可能性较低,但我们依然强调,出于保障客户对网络认知的全面信赖,有必要对此进行详尽阐述。
XXX设备具备交换式Bypass功能,旨在应对突发的超大流量攻击。在确保用户网络畅通的前提下,它会自动执行报文绕行策略,并通过告警机制,协助客户迅速识别问题源头。
5、详述的网络割接策略
在原有防火墙与DMZ交换机之间的连接中,我们选用多模千兆光接口以实现高效互联。为了确保割接过程中的最低影响,我们采取了如下的实施方案。
步骤一:安装并稳固XXXICG设备,接通电源,随后进行必要的配置核查。
第二步操作:移除1stTire防火墙的光纤连接,确保光纤端口保持在原安装位置附近,不进行位移。
第三步:通过XXX公司提供的光纤,将防火墙的光口与XXXICG的出口接口进行连接。
在第四步操作中,需将DMZ交换机的光纤拔除,但请确保光纤接口保持在原位置附近,无需移动。
第五步:通过XXX公司提供的光纤,实现DMZ交换机光接口与XXXICG光接口之间的连接。
第六步:核实网络流量是否依循既定主干线路进行路由转发。
步骤七:测试内部上网的稳定性。
6、 设备网络配置详情与地址规划
用户需提供一个普通客户的网络地址,用于配置ICG自身的网管端口连接设置。
为了实现对所需审计信息的高效流量过滤,我们推荐为ICG配置一个专用的合法网络端口地址。若实际情况下无法提供合法地址,仍有其他替代策略可供选择,确保ICG功能的正常运行。
配置默认路由:将ICG的路由设置调整为xx骨干网出口网络中作为负载均衡设备的指定IP地址
在ICG的静态路由表中,我们将实施对xx内部子网聚合网段的配置,旨在提升数据传输的效率与速度。
7、设备效能评估
针对xx集团的现有网络应用进行逐一的测试
HTTP的访问发帖测试
FTP, telnet常用应用。
IM即时通信测试。
Email发送测试。
xx集团特有互联网应用测试。
8、风险管理与应对策略
风险可能性:
在设备部署并完成测试后,若遇到案例无法正常使用且现场问题无法即时排除,允许实施变更回退措施。具体步骤如下:首先,移除ICG的光纤连接,然后将原备用的防火墙和交换机光纤重新插入其对应接口。
9、人员职责调整
信息部门的XX集团网络工程师向XXX工程师提供所需资料,随后由XXX工程师负责配置ICG任务。
线路连接的割接工作,需在XX集团信息主管部门工程师的协助下,由XXX工程师主导进行。
本次测试任务将利用xx集团提供的联网计算机设备,或者授权XXX工程师的个人笔记本接入指定的测试网络区域。
|2
XXX公司承诺全天候(7x24小时)热线服务,应对测试过程中任何非远程指导所能解决的突发情况。我们的专业工程师将立即响应,亲临现场提供及时协助,以确保XX集团部署任务的顺利实施。
11、项目部署完成后的值守与使用报告生成
项目部署完毕后,XXX公司将协同xx集团的信息管理部门共同确定报告的核心内容。随后,由XXX公司的工程师负责生成监控报告,并确保与xx集团的技术团队就报告的制作方法进行充分交流,旨在为xx集团提供更具实用价值的数据支持。
四、详述的功能实施细节
详细的功能构建指南文档说明
|
1 |
本文档主要针对xx集团提供功能实现指导方案用,并指导用户对配置的有效性进行测试。 |
|
2 |
本文中将对所有ICG的功能配置进行解释描述以及给出简要的配置和测试步骤指导,针对客户具体客户关注的功能点将用红色字体标注,用户审阅自己关注的功能点后还可以查看其他的功能点,以体现ICG更多的产品功能 |
|
3 |
斜体字体为操作步骤的简单说明 |
1、构建用户管理体系
XXXICG产品支持灵活的客户组织架构构建,可通过多种途径实现。
1)XXXICG产品支持通过内置的用户名/密码界面进行录入操作。
支持通过文本文件导入用户凭证,或者手动输入的方式进行用户信息录入。在用户资料创建完成后,用户可自主设置所属部门,并将用户分配至相应的部门中。
2)当用户选择采用Microsoft Active Directory(AD)域模式时,可便捷地实现从AD域控制器向ICG产品的用户信息导入功能。
3)导出通过轻量级目录访问协议(LDAP)的其他类型用户信息
4)用户自动建立基于IP扫描的方式,其用户名直观反映网络中的IP地址标识。
完成IP地址扫描后,用户可自主配置部门信息,并将个人账户整合至相应的部门中。
使用限制:
当用户网络采用固定IP地址配置时,这种方法能有效实施用户管理。然而,若用户通过DHCP动态获取地址,此策略将难以对用户进行有效控制。
若ICG处于与防火墙共用的网络段落,且防火墙针对IP地址扫描(SYNC扫描)设置了限制策略,这可能导致ICG无法有效探测用户地址,甚至可能使ICG遭到防火墙设备的阻隔。
各类用户组织架构的实施策略如下所述:
在ICG管理界面的用户管理页面中,依次操作为:首先点击'用户管理'页签,然后进入数据导入环节,最后选择合适的用户组织架构构建方法。
2、用户认证后才能访问互联网
XXXICG产品支持多元化的用户网络访问认证方式。
1)身份识别依托于IP地址机制,主要适用于构建以IP地址为基础的用户管理体系。
2)身份识别依托MAC地址机制,特别适用于依据用户设备MAC地址构建的组织架构,但在应用时需留意其使用规定与限制。
3)身份验证方法采用域用户导入的形式,主要聚焦于AD域用户的管理方式。
4)用户身份验证手段的多样性:包括用户自主输入用户名和密码,以及支持文件导入凭据。这些认证方法的配置流程如下:在ICG管理界面内,依次进入"用户管理"模块 -> "认证管理"选项,然后选择适用的认证策略进行设置。
3、高效宽带资源管控
XXX的ICG产品具备出色的灵活性,能针对网络中各类应用进行精细的流量管理和整形,从而帮助客户高效利用现有带宽,实现流量配比的最大化效益。其支持控制的协议种类包括:
|
协议主分类 |
应用软件 |
软件子协议 |
备注 |
|
互联网协议 |
|
|
|
|
|
FTP |
|
|
|
DNS |
|
|
|
|
HTTPS |
|
|
|
|
HTTP PROXY |
|
|
|
|
HTTP |
|
|
|
|
SOCKS |
|
|
|
|
StreamingMedia |
|
|
|
|
|
RealMedia |
|
|
|
WinMedia |
|
|
|
|
|
SMTP, SMTPS |
|
|
|
|
IMAP4, IMAP4S |
|
|
|
submission |
|
|
|
|
POP3, POP3S |
|
|
|
|
Session协议 |
|
|
|
|
|
Telnet |
|
|
|
SSH |
|
|
|
|
远程桌面-RDP |
|
|
|
|
PC ANYWHERE. |
|
|
|
|
IM-即时通信 |
|
|
|
|
|
|
文件传输,音视频,网 |
|
|
|
|
络硬盘,游戏,远程协助 |
|
|
MSN |
聊天,文件传输,音视频 |
|
|
|
YAHOO |
文件传输,视频 |
|
|
|
ICQ |
文件传输,音视频,游戏 |
|
|
|
Skype(只可封堵,不可流控) |
|
|
|
|
联系客服
关注公众号:
|
京公网安备 11010802045440号
