編者按：在一個(gè)已經(jīng)部署了相對(duì)完整安全解決方案的網(wǎng)絡(luò)里，比如專(zhuān)門(mén)的高端防火墻、防病毒軟件甚至專(zhuān)門(mén)的IPS設(shè)備、防垃圾郵件設(shè)備等，為什么還會(huì)發(fā)生這樣那樣的安全事件？我們的網(wǎng)絡(luò)究竟在哪里出現(xiàn)了安全短板？本文所介紹的東風(fēng)日產(chǎn)選擇深信服AC上網(wǎng)行為管理設(shè)備的案例，為我們做了很好的分享。

需求分析：來(lái)自互聯(lián)網(wǎng)資源濫用的威脅

東風(fēng)日產(chǎn)汽車(chē)有限公司是東風(fēng)汽車(chē)公司與日產(chǎn)汽車(chē)公司戰(zhàn)略合作攜手組建的公司，是目前中國(guó)汽車(chē)行業(yè)迄今為止規(guī)模最大、合作層次最深、領(lǐng)域最廣的合資項(xiàng)目。作為一個(gè)擁有上萬(wàn)名員工、信息化程度高的制造型企業(yè)，東風(fēng)日產(chǎn)一直非常重視信息化的建設(shè)，在局域網(wǎng)里部署了比較完整的安全解決方案，如專(zhuān)門(mén)的高端防火墻、防病毒軟件甚至還部署有專(zhuān)門(mén)的IPS設(shè)備、防垃圾郵件設(shè)備等。

隨著近幾年Internet接入的普及和帶寬的增加，互聯(lián)網(wǎng)也暴露出雙刃劍的特性：一方面員工的上網(wǎng)條件得到改善，東風(fēng)日產(chǎn)組織運(yùn)營(yíng)效率也得到了大大提升，但另一方面雖然部署了很多的安全設(shè)備，卻仍然發(fā)現(xiàn)網(wǎng)絡(luò)給企業(yè)帶來(lái)很多的安全威脅，互聯(lián)網(wǎng)資源被濫用的問(wèn)題也日益嚴(yán)峻。如員工在上班時(shí)間的上網(wǎng)聊天、購(gòu)物、游戲等行為也嚴(yán)重影響了工作效率；部分缺乏保密意識(shí)的員工則通過(guò)BBS論壇、外發(fā)郵件等導(dǎo)致組織內(nèi)部機(jī)密信息泄漏；日益流行的BT、電驢等下載軟件非常容易導(dǎo)致關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)帶寬無(wú)法保證，有幾次甚至因?yàn)闊o(wú)法訪問(wèn)服務(wù)器導(dǎo)致MIS生產(chǎn)系統(tǒng)停頓；雖然部署了正版殺毒軟件，但時(shí)不時(shí)還是會(huì)發(fā)生一兩起局域網(wǎng)中毒事件，經(jīng)追蹤發(fā)現(xiàn)很多病毒事件都是因?yàn)橐恍﹩T工訪問(wèn)一些非法網(wǎng)頁(yè)/非法BBS論壇，或通過(guò)FTP下載文件及即時(shí)通訊軟件傳播文件而引發(fā)。

設(shè)備選型：深信服AC落戶(hù)東風(fēng)汽車(chē)

如何在最大利用互聯(lián)網(wǎng)優(yōu)勢(shì)的同時(shí)，避免以上由于互聯(lián)網(wǎng)資源被濫用所引發(fā)的安全威脅及其他各類(lèi)問(wèn)題，東風(fēng)日產(chǎn)IS信息中心就此進(jìn)行了深入討論，最后得出的解決辦法是：通過(guò)技術(shù)設(shè)備和規(guī)章制度的結(jié)合來(lái)指導(dǎo)、規(guī)范員工正確使用單位的網(wǎng)絡(luò)資源，從而對(duì)局域網(wǎng)的上網(wǎng)行為進(jìn)行有效管理。

經(jīng)過(guò)對(duì)不同廠商產(chǎn)品的研究，結(jié)合自身作為大型制造業(yè)集團(tuán)的需求，東風(fēng)日產(chǎn)IS信息中心提出了對(duì)上網(wǎng)行為管理的選型標(biāo)準(zhǔn)：

（1）控制功能：可合理分配不同部門(mén)、員工的上網(wǎng)權(quán)限，比如什么時(shí)間可以上網(wǎng)、什么時(shí)間不能上網(wǎng)，能夠訪問(wèn)那些互聯(lián)網(wǎng)內(nèi)容，那些互聯(lián)網(wǎng)資源是嚴(yán)格禁止使用的；對(duì)代理軟件的封堵，防止不能上外網(wǎng)的員工通過(guò)代理軟件上外網(wǎng)；阻止訪問(wèn)高風(fēng)險(xiǎn)、非法和不健康的互聯(lián)網(wǎng)內(nèi)容，避免法律糾紛等，以增強(qiáng)單位的互聯(lián)網(wǎng)訪問(wèn)管理與控制力度，實(shí)現(xiàn)對(duì)不同權(quán)限的員工對(duì)訪問(wèn)網(wǎng)絡(luò)資源的合理分配；

（2）監(jiān)控與審計(jì)功能：可以將所有跟上網(wǎng)相關(guān)的行為記錄下來(lái)，如對(duì)研發(fā)、財(cái)務(wù)等關(guān)鍵部門(mén)的上網(wǎng)行為、聊天內(nèi)容、郵件內(nèi)容進(jìn)行記錄，以便事后審計(jì)，并在內(nèi)部起到威懾的效果；

（3）報(bào)表分析功能：具備豐富的數(shù)據(jù)中心，可以方便直觀的統(tǒng)計(jì)分析員工的上網(wǎng)情況，據(jù)此掌握單位內(nèi)部互聯(lián)網(wǎng)的使用情況；為避免內(nèi)網(wǎng)用戶(hù)數(shù)量巨大直接查詢(xún)網(wǎng)關(guān)容易造成網(wǎng)關(guān)宕機(jī)的現(xiàn)象，要求設(shè)備支持獨(dú)立的數(shù)據(jù)中心；

（4）流量控制與帶寬管理：支持對(duì)不同員工進(jìn)行分組，通過(guò)一段時(shí)間數(shù)據(jù)統(tǒng)計(jì)，限定每個(gè)組的上網(wǎng)流量；對(duì)BT/電驢等P2P下載軟件進(jìn)行封堵，避免其對(duì)網(wǎng)絡(luò)帶寬資源的消耗；

（5）滿(mǎn)足國(guó)家政策和法律規(guī)定：東風(fēng)日產(chǎn)作為大型國(guó)有控股公司，所部署的設(shè)備需要能滿(mǎn)足國(guó)家相關(guān)的法律法規(guī)（如公安部針對(duì)此的82號(hào)文件規(guī)定）。

在選型初期，根據(jù)大型集團(tuán)信息化穩(wěn)定性、安全性等角度出發(fā)，東風(fēng)日產(chǎn)SI信息中心“網(wǎng)控項(xiàng)目小組”選擇了多家國(guó)內(nèi)產(chǎn)品和國(guó)外產(chǎn)品進(jìn)行了多方面的測(cè)試，結(jié)果卻不甚滿(mǎn)意。由于上網(wǎng)行為管理在國(guó)內(nèi)還是一個(gè)很新的課題，能提供該類(lèi)產(chǎn)品的國(guó)內(nèi)廠商大部分是一些小公司，無(wú)法提供良好的服務(wù)，產(chǎn)品質(zhì)量和功能也有比較大的不足；而國(guó)外廠商則因?yàn)檠邪l(fā)部門(mén)基本不在國(guó)內(nèi)，對(duì)中國(guó)上網(wǎng)行為管理的國(guó)情一知半解（如根本不能對(duì)訊雷BT進(jìn)行封堵），無(wú)法滿(mǎn)足東風(fēng)汽車(chē)一些個(gè)性化的管理需要。

一個(gè)偶然的機(jī)會(huì)，負(fù)責(zé)此次設(shè)備選型的東風(fēng)IS信息中心的宋工從網(wǎng)上看到了一篇關(guān)于深信服AC上網(wǎng)行為管理設(shè)備介紹的文章。在初步的溝通和小組討論后，宋工和他的小組成員把主要精力放在了深信服SINFOR AC上。

經(jīng)過(guò)幾個(gè)月的測(cè)試，無(wú)論從性能上，還是功能上，深信服SINFOR AC專(zhuān)用上網(wǎng)行為管理設(shè)備給宋工和他的小組成員留下了深刻的印象。當(dāng)時(shí)送測(cè)的產(chǎn)品是M5800－AC，該產(chǎn)品是基于硬件Linux架構(gòu)的上網(wǎng)行為管理平臺(tái)，在測(cè)試過(guò)程中，表現(xiàn)出了令人折服的穩(wěn)定性、可靠性和安全性，并且具備豐富直觀易用的數(shù)據(jù)中心報(bào)表報(bào)告功能，能夠?yàn)檎麄€(gè)局域網(wǎng)的上網(wǎng)統(tǒng)計(jì)分析提供可靠的依據(jù)。

東風(fēng)日產(chǎn)IS信息中心的宋工這樣評(píng)價(jià)當(dāng)時(shí)的評(píng)測(cè)狀況：“深信服的M5800-AC支持上萬(wàn)用戶(hù)的大規(guī)模容量，并具備網(wǎng)關(guān)、旁路、透明多種部署模式，在管理、控制、報(bào)表功能都走在所有初選設(shè)備的前列，非常貼近我們東風(fēng)這種大規(guī)模集團(tuán)的需求，是一款超出我們想象的產(chǎn)品。尤其值得一提的是，深信服銷(xiāo)售工程師所提供的服務(wù)水平和響應(yīng)速度，讓我們非常信服和滿(mǎn)意，對(duì)我們提的一些很小的改進(jìn)意見(jiàn)，深信服往往第二天就能予以答復(fù)，對(duì)合理的意見(jiàn)還會(huì)在一周左右提供測(cè)試版本”。

最終，東風(fēng)日產(chǎn)選擇了深信服自主研發(fā)的M5800-AC上網(wǎng)行為管理解決方案，作為公司上網(wǎng)管理的解決方案。

應(yīng)用效果：利用AC搭建一個(gè)可以管理的互聯(lián)網(wǎng)

在深信服科技的幫助下，東風(fēng)日產(chǎn)通過(guò)部署AC上網(wǎng)行為管理設(shè)備逐步制定和實(shí)施了一套適合自己企業(yè)的互聯(lián)網(wǎng)使用政策。

深信服AC網(wǎng)關(guān)采用了嚴(yán)格的身份認(rèn)證和不同的訪問(wèn)權(quán)限策略，并可根據(jù)不同的時(shí)間段做靈活的時(shí)間管理，具有URL過(guò)濾、關(guān)鍵字過(guò)濾、上傳下載限制、深度內(nèi)容檢測(cè)、郵件過(guò)濾功能和獨(dú)特的郵件延遲審計(jì)功能等眾多功能，從而讓東風(fēng)汽車(chē)把與工作無(wú)關(guān)的上網(wǎng)行為降到最低，去除員工的分心，讓他們專(zhuān)注于工作，提高工作效率，并在技術(shù)措施上配合制度管理解決了內(nèi)部機(jī)密可能通過(guò)Internet泄漏的問(wèn)題。

AC網(wǎng)關(guān)的流量控制功能，可以實(shí)現(xiàn)對(duì)東風(fēng)汽車(chē)內(nèi)部上網(wǎng)用戶(hù)按照用戶(hù)組或按用戶(hù)來(lái)做流量限制，使得東風(fēng)汽車(chē)的網(wǎng)絡(luò)帶寬得到最充分有效地利用。

針對(duì)病毒的來(lái)源和傳播途徑，深信服AC上網(wǎng)行為管理設(shè)備可以很好的配合東風(fēng)日產(chǎn)原有的殺毒軟件實(shí)現(xiàn)“治標(biāo)治本”的效果。AC網(wǎng)關(guān)里面的URL過(guò)慮功能，可以對(duì)常見(jiàn)的非常網(wǎng)址/非法BBS論壇直接實(shí)現(xiàn)過(guò)慮，AC網(wǎng)關(guān)提供的對(duì)下載及P2P軟件的封堵和管理功能也可以有效減少因?yàn)槲募螺d而引發(fā)的病毒傳播，尤其值得一提的是AC里面的SSL控制功能，可控制用戶(hù)通過(guò)SSL協(xié)議訪問(wèn)的URL，并可對(duì)SSL協(xié)議的證書(shū)做有效性檢查，允許或拒絕用戶(hù)訪問(wèn)持有指定X.509證書(shū)的網(wǎng)站，以防止用戶(hù)通過(guò)SSL協(xié)議泄密和訪問(wèn)色情、反動(dòng)和釣魚(yú)網(wǎng)站，從而起到“防網(wǎng)絡(luò)釣魚(yú)”的效果，避免客戶(hù)陷入“網(wǎng)絡(luò)釣魚(yú)”陷阱。

此外，深信服AC網(wǎng)關(guān)豐富的數(shù)據(jù)報(bào)表中心還能支持以圖表的方式對(duì)局域網(wǎng)內(nèi)人員的上網(wǎng)行為進(jìn)行分析，如：每天上網(wǎng)情況的分析、訪問(wèn)最頻繁的網(wǎng)站分析、上網(wǎng)最多的人員分析等，并提供時(shí)間、服務(wù)、網(wǎng)站訪問(wèn)、使用網(wǎng)絡(luò)流量等多種分類(lèi)排行榜，為網(wǎng)絡(luò)管理員和決策者提供了最直觀的數(shù)據(jù)統(tǒng)計(jì)。