互联网出口检查系统方案.doc

. . . . 学习.参考 1互联网出口检查概述 1.1背景 Internet互联网被称为“信息高速公路”，是一个对外宣传、获取外部信息和对外交流的重要途径。特别是近几年随着信息化建设的成熟，政府、企业都相继推出了网上业务系统，互联网已成为重要的业务处理渠道。 互联网应用已经渗透到社会生活的每一个角落，成为人们学习、工作、生活不可或缺的工具，和政府、企业运营的基础平台。互联网为社会带来了巨大变革，但也产生了副作用。局域网内的成员能够在工作时间使用 IM 聊天、网上购物、在线欣赏音乐和电影，通过 BT 等 P2P 工具下载互联网资源、收发个人邮件等，除了员工或成员无心工作带来的直接损失，这些不良的上网行为还严重挤占了网络带宽，使得有限的带宽资源被滥用，业务无法得到高效运行。同时还让单位或企业面临泄密风险。 针对用户互联网访问行为的管控，美国于 2002 年颁布实施《萨班斯-奥克斯利法案》对内控和行为日志记录率先提出了要求；而中国于 2006 年 3 月 1 日实施《互联网安全保护技术措施规定》-简称公安部 82 号令，也对互联网访问行为及访问日志等提出了具体而严格的要求，例如82号令规定网络服务提供者或使用者保留登录和退出时间、账号、互联网地址或域名等上网行为信息。 网络出口工作在网络的边缘，是内部网络与Internet之间的桥梁。作为桥梁，出口的重要性是不言而喻的。出口如果断了，内部网络将成为信息孤岛；出口如果慢了，将造成用户体验下降，甚至影响整个办公业务。 1.2安全风险 网络出口的安全风险基本上可以分为三大类。 第一类是攻击类安全。 Internet网络中的恶意入侵者可能因为政治、商业目的或随机目的对企业网络发起恶意扫描和渗透式入侵，通过渗透或绕过防火墙，进入企业网络，获取、篡改甚至破坏敏感的数据，乃至破坏企业的正常业务和生产运行。Internet网络上大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力，他们可以穿透防火墙进入企业网络;一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感数据造成严重的威胁，甚至造成网络拥塞，导致业务和生产的中断。 10年前出现DDoS攻击是一种简单的、效果显著的攻击。由于近些年僵尸网络的发展，DDoS攻击重新成为恶意入侵者的新宠，直接威胁单位和企业网络的可用性。一些新的病毒以IM、P2P软件为传播通道，对企业网络的安全带来严重威胁。防范网页被篡改、防范网站被挂马等都是必要的网络安全措施。 第二类是日志审计安全。 重大政治事件、安全事件频发的大背景下，全国都在开展安全大检查，公安部82号令所要求的日志如何满足？如何避免公安网监日志检查带来的麻烦？ 企业和单位网络中，由于安全技能和安全意识存在差异，员工可能通过访问挂马网站、下载包含病毒的恶意程序，从而无意识的通过互联网络将Internet上 危险的、恶意的木马程序和恶意代码下载到内部网络执行，甚至将Internet上的蠕虫、网络病毒传播进入内部网络，这将对企业网络的安全带来严重威胁。员工因为各种IM即时通讯软件、网络在线游戏、P2P下载软件、在线视频、浏览工作无关网站导致企业网络资源滥用、网络性能下降，严重影响正常工作，形成新的威胁。随着我国互联网相关法规以及版权保护的重视，企业员工非法下载盗版影视、图书等资料，或外发反动言论等行为，将给企业带来合规性问题，使企业陷入法律纠纷。 完整的审计不仅是应对安全检查的必要内容，同时能够极大的降低由员工违规行为带来的安全风险，避免以上问题的发生。 第三类是实名制安全。 不光接入网络要认证，访问Internet也要做准出认证，可以简单理解为网关认证。并在准出认证基础上，针对不同用户身份进行相应策略部署。 1.3目标 针对以上问题，WINFUN万方盈科技有限公司推出新一代WINFUN互联网出口检查系统，该系统可以进行网络数据包检查，识别应用层信息，并根据应用的特征码等信息来判断应用类别，同时也可以依照经验数据，采用数理统计方法分析数据流并以此来判断那些难以识别的网络应用。这些特性和技术使得IT管理人员可以很容易地控制如即时通信信息传输、P2P多线程下载、Skype语音通信等网络的应用。只需通过Web页面的简单设置，即可完成对这些网络应用的管理，并可根据实际需要来设置对这些网络应用的审计或记录，以避免因不当网络应用所引起的法律风险。结合我国网络特点及用户需求，WINFUN互联网出口检查系统明确了以下三个目标： 防御来自外部的威胁，阻止蠕虫、网络病毒、间谍软件和黑客攻击对内部网络造成的安全损失，提高内部网络的整体抗攻击能力; 防御来自内部的威胁，阻止蠕虫、网络病毒爆发对内