編者按：在一個(gè)已經(jīng)部署了相對完整安全解決方案的網(wǎng)絡(luò)里，比如專門的高端防火墻、防病毒軟件甚至專門的IPS設(shè)備、防垃圾郵件設(shè)備等，為什么還會發(fā)生這樣那樣的安全事件？我們的網(wǎng)絡(luò)究竟在哪里出現(xiàn)了安全短板？本文所介紹的東風(fēng)日產(chǎn)選擇深信服AC上網(wǎng)行為管理設(shè)備的案例，為我們做了很好的分享。

需求分析：來自互聯(lián)網(wǎng)資源濫用的威脅

東風(fēng)日產(chǎn)汽車有限公司是東風(fēng)汽車公司與日產(chǎn)汽車公司戰(zhàn)略合作攜手組建的公司，是目前中國汽車行業(yè)迄今為止規(guī)模最大、合作層次最深、領(lǐng)域最廣的合資項(xiàng)目。作為一個(gè)擁有上萬名員工、信息化程度高的制造型企業(yè)，東風(fēng)日產(chǎn)一直非常重視信息化的建設(shè)，在局域網(wǎng)里部署了比較完整的安全解決方案，如專門的高端防火墻、防病毒軟件甚至還部署有專門的IPS設(shè)備、防垃圾郵件設(shè)備等。

隨著近幾年Internet接入的普及和帶寬的增加，互聯(lián)網(wǎng)也暴露出雙刃劍的特性：一方面員工的上網(wǎng)條件得到改善，東風(fēng)日產(chǎn)組織運(yùn)營效率也得到了大大提升，但另一方面雖然部署了很多的安全設(shè)備，卻仍然發(fā)現(xiàn)網(wǎng)絡(luò)給企業(yè)帶來很多的安全威脅，互聯(lián)網(wǎng)資源被濫用的問題也日益嚴(yán)峻。如員工在上班時(shí)間的上網(wǎng)聊天、購物、游戲等行為也嚴(yán)重影響了工作效率；部分缺乏保密意識的員工則通過BBS論壇、外發(fā)郵件等導(dǎo)致組織內(nèi)部機(jī)密信息泄漏；日益流行的BT、電驢等下載軟件非常容易導(dǎo)致關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)帶寬無法保證，有幾次甚至因?yàn)闊o法訪問服務(wù)器導(dǎo)致MIS生產(chǎn)系統(tǒng)停頓；雖然部署了正版殺毒軟件，但時(shí)不時(shí)還是會發(fā)生一兩起局域網(wǎng)中毒事件，經(jīng)追蹤發(fā)現(xiàn)很多病毒事件都是因?yàn)橐恍﹩T工訪問一些非法網(wǎng)頁/非法BBS論壇，或通過FTP下載文件及即時(shí)通訊軟件傳播文件而引發(fā)。

設(shè)備選型：深信服AC落戶東風(fēng)汽車

如何在最大利用互聯(lián)網(wǎng)優(yōu)勢的同時(shí)，避免以上由于互聯(lián)網(wǎng)資源被濫用所引發(fā)的安全威脅及其他各類問題，東風(fēng)日產(chǎn)IS信息中心就此進(jìn)行了深入討論，最后得出的解決辦法是：通過技術(shù)設(shè)備和規(guī)章制度的結(jié)合來指導(dǎo)、規(guī)范員工正確使用單位的網(wǎng)絡(luò)資源，從而對局域網(wǎng)的上網(wǎng)行為進(jìn)行有效管理。

經(jīng)過對不同廠商產(chǎn)品的研究，結(jié)合自身作為大型制造業(yè)集團(tuán)的需求，東風(fēng)日產(chǎn)IS信息中心提出了對上網(wǎng)行為管理的選型標(biāo)準(zhǔn)：

（1）控制功能：可合理分配不同部門、員工的上網(wǎng)權(quán)限，比如什么時(shí)間可以上網(wǎng)、什么時(shí)間不能上網(wǎng)，能夠訪問那些互聯(lián)網(wǎng)內(nèi)容，那些互聯(lián)網(wǎng)資源是嚴(yán)格禁止使用的；對代理軟件的封堵，防止不能上外網(wǎng)的員工通過代理軟件上外網(wǎng)；阻止訪問高風(fēng)險(xiǎn)、非法和不健康的互聯(lián)網(wǎng)內(nèi)容，避免法律糾紛等，以增強(qiáng)單位的互聯(lián)網(wǎng)訪問管理與控制力度，實(shí)現(xiàn)對不同權(quán)限的員工對訪問網(wǎng)絡(luò)資源的合理分配；

（2）監(jiān)控與審計(jì)功能：可以將所有跟上網(wǎng)相關(guān)的行為記錄下來，如對研發(fā)、財(cái)務(wù)等關(guān)鍵部門的上網(wǎng)行為、聊天內(nèi)容、郵件內(nèi)容進(jìn)行記錄，以便事后審計(jì)，并在內(nèi)部起到威懾的效果；

（3）報(bào)表分析功能：具備豐富的數(shù)據(jù)中心，可以方便直觀的統(tǒng)計(jì)分析員工的上網(wǎng)情況，據(jù)此掌握單位內(nèi)部互聯(lián)網(wǎng)的使用情況；為避免內(nèi)網(wǎng)用戶數(shù)量巨大直接查詢網(wǎng)關(guān)容易造成網(wǎng)關(guān)宕機(jī)的現(xiàn)象，要求設(shè)備支持獨(dú)立的數(shù)據(jù)中心；

（4）流量控制與帶寬管理：支持對不同員工進(jìn)行分組，通過一段時(shí)間數(shù)據(jù)統(tǒng)計(jì)，限定每個(gè)組的上網(wǎng)流量；對BT/電驢等P2P下載軟件進(jìn)行封堵，避免其對網(wǎng)絡(luò)帶寬資源的消耗；

（5）滿足國家政策和法律規(guī)定：東風(fēng)日產(chǎn)作為大型國有控股公司，所部署的設(shè)備需要能滿足國家相關(guān)的法律法規(guī)（如公安部針對此的82號文件規(guī)定）。

在選型初期，根據(jù)大型集團(tuán)信息化穩(wěn)定性、安全性等角度出發(fā)，東風(fēng)日產(chǎn)SI信息中心“網(wǎng)控項(xiàng)目小組”選擇了多家國內(nèi)產(chǎn)品和國外產(chǎn)品進(jìn)行了多方面的測試，結(jié)果卻不甚滿意。由于上網(wǎng)行為管理在國內(nèi)還是一個(gè)很新的課題，能提供該類產(chǎn)品的國內(nèi)廠商大部分是一些小公司，無法提供良好的服務(wù)，產(chǎn)品質(zhì)量和功能也有比較大的不足；而國外廠商則因?yàn)檠邪l(fā)部門基本不在國內(nèi)，對中國上網(wǎng)行為管理的國情一知半解（如根本不能對訊雷BT進(jìn)行封堵），無法滿足東風(fēng)汽車一些個(gè)性化的管理需要。

一個(gè)偶然的機(jī)會，負(fù)責(zé)此次設(shè)備選型的東風(fēng)IS信息中心的宋工從網(wǎng)上看到了一篇關(guān)于深信服AC上網(wǎng)行為管理設(shè)備介紹的文章。在初步的溝通和小組討論后，宋工和他的小組成員把主要精力放在了深信服SINFOR AC上。

經(jīng)過幾個(gè)月的測試，無論從性能上，還是功能上，深信服SINFOR AC專用上網(wǎng)行為管理設(shè)備給宋工和他的小組成員留下了深刻的印象。當(dāng)時(shí)送測的產(chǎn)品是M5800－AC，該產(chǎn)品是基于硬件Linux架構(gòu)的上網(wǎng)行為管理平臺，在測試過程中，表現(xiàn)出了令人折服的穩(wěn)定性、可靠性和安全性，并且具備豐富直觀易用的數(shù)據(jù)中心報(bào)表報(bào)告功能，能夠?yàn)檎麄€(gè)局域網(wǎng)的上網(wǎng)統(tǒng)計(jì)分析提供可靠的依據(jù)。

東風(fēng)日產(chǎn)IS信息中心的宋工這樣評價(jià)當(dāng)時(shí)的評測狀況：“深信服的M5800-AC支持上萬用戶的大規(guī)模容量，并具備網(wǎng)關(guān)、旁路、透明多種部署模式，在管理、控制、報(bào)表功能都走在所有初選設(shè)備的前列，非常貼近我們東風(fēng)這種大規(guī)模集團(tuán)的需求，是一款超出我們想象的產(chǎn)品。尤其值得一提的是，深信服銷售工程師所提供的服務(wù)水平和響應(yīng)速度，讓我們非常信服和滿意，對我們提的一些很小的改進(jìn)意見，深信服往往第二天就能予以答復(fù)，對合理的意見還會在一周左右提供測試版本”。

最終，東風(fēng)日產(chǎn)選擇了深信服自主研發(fā)的M5800-AC上網(wǎng)行為管理解決方案，作為公司上網(wǎng)管理的解決方案。

應(yīng)用效果：利用AC搭建一個(gè)可以管理的互聯(lián)網(wǎng)

在深信服科技的幫助下，東風(fēng)日產(chǎn)通過部署AC上網(wǎng)行為管理設(shè)備逐步制定和實(shí)施了一套適合自己企業(yè)的互聯(lián)網(wǎng)使用政策。

深信服AC網(wǎng)關(guān)采用了嚴(yán)格的身份認(rèn)證和不同的訪問權(quán)限策略，并可根據(jù)不同的時(shí)間段做靈活的時(shí)間管理，具有URL過濾、關(guān)鍵字過濾、上傳下載限制、深度內(nèi)容檢測、郵件過濾功能和獨(dú)特的郵件延遲審計(jì)功能等眾多功能，從而讓東風(fēng)汽車把與工作無關(guān)的上網(wǎng)行為降到最低，去除員工的分心，讓他們專注于工作，提高工作效率，并在技術(shù)措施上配合制度管理解決了內(nèi)部機(jī)密可能通過Internet泄漏的問題。

AC網(wǎng)關(guān)的流量控制功能，可以實(shí)現(xiàn)對東風(fēng)汽車內(nèi)部上網(wǎng)用戶按照用戶組或按用戶來做流量限制，使得東風(fēng)汽車的網(wǎng)絡(luò)帶寬得到最充分有效地利用。

針對病毒的來源和傳播途徑，深信服AC上網(wǎng)行為管理設(shè)備可以很好的配合東風(fēng)日產(chǎn)原有的殺毒軟件實(shí)現(xiàn)“治標(biāo)治本”的效果。AC網(wǎng)關(guān)里面的URL過慮功能，可以對常見的非常網(wǎng)址/非法BBS論壇直接實(shí)現(xiàn)過慮，AC網(wǎng)關(guān)提供的對下載及P2P軟件的封堵和管理功能也可以有效減少因?yàn)槲募螺d而引發(fā)的病毒傳播，尤其值得一提的是AC里面的SSL控制功能，可控制用戶通過SSL協(xié)議訪問的URL，并可對SSL協(xié)議的證書做有效性檢查，允許或拒絕用戶訪問持有指定X.509證書的網(wǎng)站，以防止用戶通過SSL協(xié)議泄密和訪問色情、反動和釣魚網(wǎng)站，從而起到“防網(wǎng)絡(luò)釣魚”的效果，避免客戶陷入“網(wǎng)絡(luò)釣魚”陷阱。

此外，深信服AC網(wǎng)關(guān)豐富的數(shù)據(jù)報(bào)表中心還能支持以圖表的方式對局域網(wǎng)內(nèi)人員的上網(wǎng)行為進(jìn)行分析，如：每天上網(wǎng)情況的分析、訪問最頻繁的網(wǎng)站分析、上網(wǎng)最多的人員分析等，并提供時(shí)間、服務(wù)、網(wǎng)站訪問、使用網(wǎng)絡(luò)流量等多種分類排行榜，為網(wǎng)絡(luò)管理員和決策者提供了最直觀的數(shù)據(jù)統(tǒng)計(jì)。