技术方案本方案包含两个部分,上网行为管理技术方案和负载均衡技术方案一、上网行为管理技术方案1、需求概述背景介绍随着互联网技术的发展,组织的业务模式和员工的工作模式、行为习惯都在不断发生改变:网上业务:组织建设了更多的网上业务平台,通过互联网来开展业务;沟通桥梁:内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流,提升工作效率,获取资讯和知识,维系人脉关系;移动互联网:移动互联网的消费化趋势也逐渐影响到组织内部的IT系统,员工更喜欢通过WLAN、移动终端类开展工作;因此,在员工的日常工作中,ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造,提供一个更安全、更高效的上网环境。上网行为管理需求员工访问互联网的习惯正在发生变化,从最早使用PC、有线局域网,到更多使用移动终端、WLAN来进行办公,如果过度开放的上网环境会带来以下问题:工作效率低下网络的普及改变了传统的办公方式,而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购等,而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。这严重影响工作效率,从而导致企业竞争力的下降。所以,组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。带宽滥用和浪费互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用,用户在使用这些应用的过程中必然会占用大量的带宽,而关键的业务应用、关键人员角色则得不到足够的资源。此外,传统的带宽管理策略都是静态的,当带宽空闲时,依然会限制用户的流量,带宽价值被大大浪费。所以,IT部门需要针对各种应用类型、用户角色、带宽占用情况等,提供更加灵活、细致、动态的带宽管理策略,提升用户上网体验。BYOD难管理随着移动终端的普及,员工往往会采用PC、智能手机、Pad等多种终端,通过有线和无线网络,在不同的位置(办公座位、会议室等),接入企业IT系统。这种使用场景的多样化,让传统上网管理的手段,难以应对内部资料的泄密、移动终端设备的盗用、移动APP难以管控等管理问题。所以,IT部门需要基于用户角色、终端类别、使用位置、应用类别、时间等更多的元素,为员工不同的上网情景,制定更精细的网络管理策略,提升办公效率的同时,降低安全风险。WLAN安全隐患在一些没有提供Wlan的单位,员工为了便捷性,往往会通过360随身WiFi、家用WiFi路由器等方式私自建立个人Wlan,让自己的移动终端可以随意使用单位的上网资源。这给企业的安全策略管理带来的很多的管理漏洞。所以,IT部门需要针对私接的非法无线热点、非法代理等威胁进行有效的识别、管控。访客接入繁琐企业组建WLan后,当有来宾访客需要上网时,要么直接开放,安全风险高,人员随意接入,无法定位身份;要么需要提前申请临时账号,管理复杂。所以,组织需要一套使用便捷,即来即用,同时又能满足安全合规要求的来宾访客认证系统。数据泄密伴随着网盘、社交媒体、流量加密等应用/技术的广泛使用,企业重要数据泄密的方式越来越多样,风险越来越高。在有意无意间,一个员工就可以轻易的把企业内部的敏感信息、高价值信息资产,外发的互联网上,给组织的公众形象、业务开展带来严重的风险。所以,组织需要对员工制定严格、细粒度的互联网数据传输控制策略、合规审查策略,防止重要数据的泄密行为发生。网络违规违法企业内网用户在日常办公中拥有访问互联网的权限,可通过QQ、MSN、论坛或微博等方式外发信息,如果包含了色情、赌博、反动等不良内容,都属于网络违规违法行为,企业或个人将承担法律责任。所以,组织需要根据82令的相关要求,建立全面、完善的上网行为的合规审查机制,并建立严格的审查权限管理机制。2、有线无线网络统一行为管理方案结合上述的用户需求以及IT系统的现状,深信服可以为ISD提供一套完整、可视、智能联动的互联网出口安全解决方案。方案整体概述互联网出口上网行为管理:部署深信服AC于互联网出口,针对有线网络终端和用户提供接入认证、权限控制、合规审计;此外,还针对有线/无线的全部用户、关键应用...
