【IT168 信息化】

    再好的解决方案，如果使用不当或服务不到位也不会发挥出好的效果。同样的网关管理解决方案，在不同的用户那里会收到不同的效果。借用上海移动负责网络及安全系统管理的负责人顾经理的话说，在宝创科技专家的指导下，金盾强大的功能、卓越的稳定性、有效的技术手段和管理制度，加上个性化的定制开发，就会收到事半功倍的网络管理效果。

    曾经吃过苦头

    上海移动的网关管理之路，也不是一帆风顺的。这家隶属中国移动通信集团公司，是中国移动的全资内地运营子公司，公司于1999年8月1日成立，主要经营上海地区的数字蜂窝移动电话、IP电话、互联网接入业务及相关的信息服务、技术开发、技术服务等业务。目前，公司客户总数已突破1000万户，网络容量超过1600万门。就是这样一家网络规模和客户总数连续多年位居全国前列的电信运营商，在网关过滤和管理方面也曾经遇到许多波折。 

    上海移动建网周期比较长，网络的发展也日新月异，在这个发展过程中，上海移动的网络规模和复杂性使得管理变得复杂，他们先后引入了AD的域服务管理模式，cid作内容指向，bluecoat作web过滤等，并采用了多出口，多路热备的方式来实现冗余。承载着内部办公，计费、审计、账务、客服、办公等职能，内部用户达接近万人之多。顾伟所在的部门承担着系统开发管理维护与支持、公司内部信息安全建设等重任。可以想象，在这样庞大、异构的网络中，如果没有有效的身份认证、网络过滤，权限管理，网络审计等，网络将多么混乱，后果将是多么严重。

    在采用宝创科技产品之前，上海移动已经安装部署访问控制设备，主要是通过防火墙和bluecoad实现的。网络复杂后，他们遇到几个问题：一是缺乏统一的身份管理机制；二是不能实现统一的网络权限管理；三是现有产品使用复杂；四是报表和审计功能不强。最后在长期测试了数家产品后选择了宝创科技的解决方案。

    双方在意识和意见上的统一

    随着Internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在全世界网络使用情况的调查中发现，非法使用邮件、浏览非法Web网站、下载音乐、电影等数字文件，或者在线观看收听流媒体的员工正在增加，令网络管理者头疼不已。这些员工随意使用网络将导致三个问题：

    (1)工作效率低下

    (2)网络性能恶化

    (3)网络违法行为

    作为一个开放的网络系统，运行状况愈来愈复杂。IT管理者如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题（如病毒，木马造成的网络异常）快速的故障定位，这一切都是网信息安全管理的挑战。
 
    经过双方的沟通，双方一致同意我们工作的重点在于身份的识别和权限的管理，构建一个立体化的体系，我们把网络安全划分了不同的层次，从主机安全到内容安全，以前我们在谈到网络安全主要在谈物理安全、网络运行安全、存储安全或者传输安全（加密）等技术层面的概念。但是金盾更偏重于促进行为的安全、信息本身以及桌面的安全。因为我们认为：随着公司基于网络的核心应用的增加，在传统安全外，应用层和知识本身的安全会更加重要。
 
    
    图示：我们认为安全的层次

    我们认为方案的重点应该从信息内容、人员管理出发，把安全看作是一种管理。在做到物理防御的同时，提出了网络行为安全的理论，通过产品层面来规范网络使用者的行为与网络使用内容，实现网络安全与高效的应用。

    上海移动的实施简介

    针对上海移动的实际情况，宝创科技推荐了两台电信级产品T1作热备的解决方案，在核心交换上作端口映射采用旁路的方式实现身份验证、管理、审计和过滤。

    

    在上海移动的拓扑图中可以看出，该局域网的数据流有两条，局域网数据流经过带宽管理到CID，CID是一个负载均衡、重定向的设备，它把http的数据包重定向到www代理服务器，经代理服务器到外网；而其他的数据包则经交换机直接到了外网。金盾实施后，凡是访问金盾的数据包直接到金盾设备，而不需要经过www代理服务器。这时候在内网中的数据流就成了三条了，一条访问金盾的直接到金盾，一条访问http的经www代理服务器出去，一条其他数据包经交换机直接出去，三条数据流采用统一的身份认证方式。
 
    上海移动的典型应用

    在上海移动，通过部署双机热备的金盾，实现和达到了以下目的，大大简化了上海移动网络管理的复杂性，增加了透明性，增强了安全性、减少了问题爆发的几率，并且满足了国家有关部门和企业对上网审计的要求。

    网络身份的统一验证

    在上海移动，金盾采用了同AD结合的办法来实现网络身份的统一验证，每人上网自动同域身份结合，保证了网络接入的实名性，并且方便实用。

    分权管理

    金盾网络行为管理系统支持分级多用户管理和集中式管理，金盾设备在总行互联网出口采用集中管理，各分行（或不同网段）可以通过建立自己的管理帐号，对本分行员工的网络行为进行察看。

    金盾还支持多权限管理，不同的管理帐号具备不同的管理权限，比如监视、设置、报告、规则等。

    网络权限的管理

    通过按部门、策略等分配不同的权限和上网时间的管理，实现了网络接入的有效管理，保证了网络的安全有序，保证了网络的访问的管理性。

    系统需要内置有害网站URL地址库并分类（色情、暴力、毒品、游戏、不良言论等类），且能够通过网络自动升级。

    用户管理可以自定义分组和策略组，将同一类别或者同一组织架构的用户分为一组，方便管理。

    可以方便的定义规则，控制用户访问互联网，包括：邮件规则、WEB表单规则、web访问规则、服务访问规则、图形化的时间表策略，支持多级别过滤，比如系统级别、部门级别、策略级别、IP地址段级别等

    能够禁止.exe、.zip等文件类型的通过http下载，防止特定病毒的传播和用户无限制下载占用大量网络带宽。

    具有流量控制功能。包括：员工上网时间控制、上网数据包控制、上网速度控制、上网流量控制和阀值。

    典型应用三：内容和记录审计功能

    完全满足国家有关部门和企业对上网审计的要求。

? 典型应用四：实用和强大的报表功能

    金盾本身提供了十几个主线的报表功能，后来同客户沟通后，上海移动提出了几个定制的报表，这样对每个部门、人员和时间段的网络访问更加实用。报告可以使整体网络报告，也可以细化到部门报告、员工个人报告。对于特定用户，还可以订制报告模版。通过各种报表，管理人员对内部每个员工使用互联网的情况了如指掌，针对上述网络资源管理中的每个问题都能得到数据依据，做相关决策时更准确。包括出口流量报告、协议使用报告、协议连接报告、网络流量报告、网络连接报告、端口访问报告、用户使用报告、Web使用报告、目标连接报告等。并且所有报告都提供HTML格式和PDF格式。

    上海移动成功的经验

    作为宝创科技的典型客户，我们回头看上海移动成功的经验，我们觉得以下几条很关键：

    用上海移动顾经理的话说，好的产品是成功的第一关键。

    宝创科技作为一个国内主要致力于高端客户的专业网络管理公司，其金盾产品是网络行为监控产品中唯一的全系列品牌，覆盖了从30用户到十万级用户的不同规模，覆盖网络从十兆到万兆，我们在产品和技术上的不断投入与升级有效地保护我们客户在不同规模的发展与功能扩展。 宝创专注于网络行为的监控与管理,三年时间,数千家不同类型客户的选择.这些客户遍布于政府、教育、大型国企、上市公司、外资企业、私营企业、电信、烟草、交通、石油、电力等各个领域。这些都保证了金盾能很好地适应上海移动的需求。

    获得BCES专家支持服务，个性化定制开发 

    宝创科技认为计算机网络信息安全是一种服务行业，因而特别注重面向企业提供系统的、全面的、规范的网络信息安全服务。在为客户设计和实施网络行为管理系统方案的同时，保证在系统规划、安装、维护、管理、问题处理、人员培训和技术交流等方面，都提供规范化、制度化和专业化的专家支持服务。同时针对上海移动这样的典型客户，宝创科技允许客户提出部分定制化的要求，这样充分满足实际要求。

    BCES（BaoChuang Expert Service）是宝创科技“可信赖的金盾品牌”产品体系中的重要组成。专门针对网关级管理和过滤的演化和特性，提出了规范网络所需的完整生命周期，并对应整个周期提出了完整的服务体系。目标是帮助企业在网络行为规范过程中，无论是安全风险、管理投入、损失，还是成本投入，都进入到可控的、平缓的范围之内，帮助客户建立一个高效，安全的网络环境，从而获得“绿色”的网络环境。