ProVisa内网安全管理系统技术白皮书.docVIP

ProVisa内网安全管理系统 技术白皮书 一切尽在掌握 All in Control 北京友网纵横科技有限公司 2010年3月1日目录 一、应用背景 1 二、当前安全建设所面临的挑战 1 2.1 传统安全解决方案的局限性 1 三、产品介绍 2 3.1 产品概述 2 3.2功能简介 3 四、系统组成 3 4.1基本组成部件介绍 3 五、系统功能 5 5.1 账户管理 5 5.2 用户管理 6 5.3 资产管理 7 5.4 带宽管理 8 5.5 安全管理 9 5.6 屏幕监控 12 5.7 访问管理 12 5.8 桌面管理 13 5.9 系统日志 14 5.10 外联管理 15 5.11 外发管理 15 5.12 管理工具 15 5.13 报表统计 16 5.14 文件操作 18 5.15网络拓扑管理 18 六、系统独特优势 19 优势一：内网安全与管理有机结合，建立一体化解决方案 19 优势二：国际先进的网络安全准入控制理念，无需借助第三方产品的配合 19 优势三：基于硬件体系构架，真正实现全线速转发。 20 优势四：基于用户网卡级别的带宽控制和基于进程的流量控制 20 优势五：自防御联动系统SPAS（Self Protection Association System） 20 优势六：独一无二的网络拓扑管理 20 七、方案部署 21 7.1串联集中式部署 21 7.2双机热备式部署 21 7.3分布式部署 22 八、ProVisa安全网关参数 22 九、典型案例 23 应用背景 随着网络负载的数据量与日俱增，终端承载的业务日益庞大复杂，各种应用服务对网络和终端的管理要求正在不断提高，网络和系统的问题从没有像今天一样，面临如此多的挑战。当前，只有做到由内至外整体统一的管理防护体系，才能保证业务不间断的运转。从事故发生根源看，内网安全先于网络边界安全，大多数网络安全事件都是先由内网爆发引起，后影响到网关。但一直以来，大部分人的网络安全防护理念还停留在网关处，如：防火墙，IPS，防毒墙，这些重要的安全设备集中于机房，网络出口，但在这些设备的监控下，互联网的威胁非但没有减少，相反却日渐频繁与复杂。究其原因，是网络内部的安全一直没有得到重视。如今，网络管理员每日的工作量大多都集中在终端的维护上，如不对这些终端的系统安全，网络安全进行严密的管理和控制，不对终端的操作行为、网络行为进行严格规范与审计，这样网络中的安全隐患将完全不可预知和控制。若要使问题能够从根本上得到解决，减少安全隐患，降低各种不可控的安全意外，这需要对内部员工进行必要的管理规范和严格的安全检查，对外来人员实现严格的准入控制。为此我们必须在边界防护之前做好准备，防御在边界防护之前。 实现内网安全的防护，需要按阶段、系统化的设计与实践，需要从终端入网到应用服务的使用一一考虑周全，每一步都需要进行严格的把控和策略规范。ProVisa内网安全管理系统对此进行多年的设计和研发，从系统和网络的基本特性，安全事件频发原理，网管员问题疑难点汇总等用户的实际情况出发，在各种威胁进入网络之前做好充分的准备，形成主动的防御体系，使各种网络威胁在内网毫无可乘之机。 当前，影响业务系统稳定运行的因素不像以前那样单一，其不仅包含传统的安全因素，如ARP欺骗、蠕虫、网络攻击等，同时也需要考虑终端使用者的行为因素。越来越多的事实证明，终端系统与网络的可靠运行，只强调机器设备因素，而不考虑人的因素是不可能达到良好效果的。 二、当前安全建设所面临的挑战 现在的安全产品和技术、既成熟又不成熟，成熟是相对独立的几个方面，如防火墙，不成熟表现在缺乏整体安全解决方案。这种整体的不成熟给用户造成困扰，尽管部署了防火墙，防病毒和IDS等安全产品，但是面临严重的网络攻击时依然损失惨重。因为每一种安全产品和技术看到的只是一个相对独立安全信息，缺乏安全管理和集中调整，永远只是看到了问题的一面，而没有看到问题的全部。 企业面临的挑战： 缺乏网络实名制管理，没有网络接入的许可验证机制。任何人都可以随意接入网络，总是意外的断网，感染病毒。 难于实现内网之间，终端中间的防护。无法解决网络干扰工具影响网络的问题，无法解决ARP病毒，蠕虫，广播风暴，异常流量等内网病毒爆发的问题。 无法控制和审计网络流量和行为。各种的P2P应用，QQ，MSN，在线视频，邮件，WEB等上网行为对企业网络带宽带来拥塞和法律风险。 低效的终端管理。缺乏一个有效的内网综合管理工具或平台去处理繁杂终端软硬件资产维护，系统维护，接口管理，远程管理，消息通知，软件分发，统一安装等工作。 网络运维混乱。没有准确网络拓扑图，不能实时监控网络设备的使用情况，IP子网规划不清。 因此，为了适应不断变化的内网管理与安全新环境，完成不断增加