6.7.3　网络安全

本系统的网络安全设计主要从防火墙过滤、隔离区设置、VPN安全登录平台等方面进行安全控制，具体如下。

1.防火墙过滤

对于接口数据的安全，IP接口通过正确的系统配置和防火墙过滤机制来抵御非法入侵和数据修改。

防火墙、内部IP网络、DHCP和DNS均由网络管理员进行管理和配置，用来为内部网络用户提供访问外部网络的服务并限制外部网络对内部网络的某些操作，保证网络系统的安全性。

2.设置隔离区

DMZ是英文“Demilitarized Zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为JY市政府设立的一个非安全系统（这里的“非安全系统”指的是JY市政府至其他运营商的网络连接，因为运营商至JY市政府网络间采用的是专线连接，因此“非安全”只是相对于JY市政府内部办公网络而言）与安全系统之间的缓冲区，这个缓冲区位于JY市政府内部办公网络（以下简称“内网”）和移动侧网络（以下简称“外网”）之间的小网络区域内，在该网络区域内放置各类移动化办公服务器，如应用服务器、WAP服务器等。通过DMZ区，可以更加有效地保护JY市政府内部办公网络。

3.SSL　VPN安全登录平台

在VPN模式下，所有的数据交换都是组织机构的私密信息，不允许为无关人员所知，同时VPN网络相当于构建了一个虚拟的局域网络，保证了没有获得授权的用户无法接入VPN网络。

综合考虑用户的具体应用和需求，VPN网络的安全性有五层含义:数据传输的安全；用户身份的安全；接入终端的安全；内网资源的权限访问安全；审计的安全。

以上五大安全全面保障接入方案的安全性。

依据以上的原则，本方案认真挑选了国内外多家VPN厂商的产品，通过对功能、性能、安全性、厂家实力、市场定位、报价等方面进行对比，最终决定选取深信服的SSL VPN。

本系统方案具有如下特点。

（1）集成多种认证方式。在SINFOR SSL VPN安全网关支持LocalDB、LDAP/AD、Radius、第三CA、自建CA、USBDkey、Secur ID、短信认证（短信猫和短信网关）、硬件特征码、动态令牌多种安全认证方式，最大限度地保证了接入用户的合法性。

（2）混合认证。针对目前日益严重威胁网络安全的间谍软件、木马以及钓鱼软件等，SINFOR SSL　VPN基于短信认证多种认证方式，有效地抵御了这类可能对企业重要资源造成的威胁。即使终端用户的机器被黑客攻击，控制了用户的机器，或者一些间谍软件、钓鱼软件泄漏了用户名、密码等访问口令，由于采用了手机短信认证的动态身份认证系统，因此也无法威胁到企业的内部资源。对于昂贵的动态令牌认证系统来说，基于手机短信的身份认证是动态令牌的完美替代品，为用户提供了更加安全可靠和方便实用的动态身份认证服务。

多种认证方式、完善的认证体系，使得企业在选择的时候，可以根据相应的安全级别，对客户端的认证方式进行组合，最大限度地保证了接入用户的合法性和企业内网资源的高度安全。

单一的认证方式易被窃取，为了进一步提高身份认证的安全性，深信服提出混合认证，针对上面提到的用户名和密码、CA数字证书、LDAP、Radius、AD、USBKey、硬件特征码、短信认证，可以进行五个因素以上的捆绑认证，只有这几种认证方式同时满足才能够接入SSL　VPN系统。

（3）免驱动USBDKey认证。一般的USBDKEY在使用的过程中跟U盘一样需要安装该USBDkey的驱动，且往往驱动的兼容性问题导致无法正常登录SSL　VPN而致业务无法开展。针对这种情况，深信服提出免驱动DKey认证，当您首次使用USBDKey进行登录的时候，不需要安装USBDKey也能够正常登录SSL　VPN，无需担心驱动的兼容性问题，提高业务访问效率。

（4）短信认证。无线技术的突飞猛进给网络世界又带来一次巨大的革命，其灵活可靠的特点吸引了所有人的视线，因此，依靠无线通讯技术的短信认证技术也应运而生。短信认证技术是一种革新型认证解决方案，此认证系统分为手机短信终端和短信认证服务器两部分。终端用户在既有移动电话和PDA的基础上，通过手机短信获得双因素用户认证访问代码，就能够安全地访问网络资源。深信服支持与短信猫进行互动来进行短信认证。

（5）短信网关。除了通过短信猫方式进行短信认证外，深信服还支持运营商的短信网关，如果您的网络中已经部署了短信网关（移动短信网关），深信服可以和您的短信网关结合，实现短信认证。

针对可能由于网络的延时或者网络运营商的问题导致短信未及时发出，影响了使用者的使用，而导致业务无法正常使用的情况出现时，深信服为您提供短信重发功能，让您能够方便快捷使用短信认证。

（6）硬件绑定。传统的用户名和密码或者CA证书认证方式都存在证书或密码被盗用的问题。为避免传统方案的泄密缺陷，SIN-FOR　SSL　VPN使用了深信服公司的专利技术（专利号:031141803）——基于PC硬件特征的证书认证系统（HARDCA）来实现基于硬件的认证。该认证原理是将用户账号与其所在计算机硬件信息（如CPU、硬盘、网卡等）进行绑定，即便用户账号意外泄露，由于非法用户无法使用与此账号事先绑定的那台计算机，因而也不会造成非法用户接入。

（7）第三方认证。为了建立更加完善的认证体制，部分组织引进了CA中心，通过CA中心来建立更加完善的认证体制。为了更好的实现与CA中心这样的认证体制的结合，需要与现有的CA中心进行完美结合，但是不同的CA中心可能编码格式不一，支持的证书类型也不一，要完美的进行结合必须要支持各种编码格式以及对应的证书类型。

目前深信服支持UCS-2，GBK，UTF-8，GB2312，BIG5编码格式，支持der、crt、cer、p12、pfx、p7b格式证书，从而能够与第三方CA进行完美的结合，满足大规模用户对于认证的要求。具体功能参数如表6-9所示。

表6-9　深信服M5600-S-YL SSL VPN设备功能性能参数表

4.统一监管平台

监管平台设计的内容如下。

（1）终端保护

①网络接入控制。能够按照指定的策略控制设备对网络的接入，保证只有通过认证的设备才能与网络连接，防止存在安全隐患或者未经授权的设备接入网络；在网络接入层控制非法终端连接，支持IEEE802.1x端口认证的工业标准。对于不支持IEEE802.1x交换环境，采用软件控制的方式实现对终端设备的安全接入控制。根据网络环境，用户可以选择在不同网段分别启用802.1x认证、非802.1x认证、不启用网络准入认证组合。

②网关强制。网关强制的目的是实现在网关出口建立一个未安装代理软件终端对外网的连接限制，并将一个代理安装网页强制定向到终端，从而阻止未安装代理的非法终端通过网关出口泄露内网机密信息，从而加快矩阵客户端的安装部署。

③病毒库同步。通过与防病毒软件的互联，实现及时可靠的病毒库分发、强制病毒库升级、统一更新终端的防病毒策略，有效防止各类网络病毒、蠕虫和木马的发作；支持防病毒软件包括:赛门铁克、金山、瑞星、江民、卡巴斯基、McAfee等各大防病毒软件厂商的网络以及单机版防毒产品。

④主机入侵保护。基于绿盟科技强大的研究能力，精选WIN-DOWS主机类入侵保护规则，对进、出机器的流量进行分析检测，防御各种针对主机的黑客攻击行为，具体类型包括:防止扫描、溢出、远程控制、拒绝服务等各种攻击类型。

除了入侵保护规则，还内嵌入Sniffer检测模块与Flood检测模块，能检测内网机器的Sniffer行为以及终端流量异常行为。

⑤主机防火墙。截取网络连接尝试，使用预先定义规则允许和禁止其连接，通过端口、协议、IP、时间等条件限制终端对网络安全访问控制。

⑥异常端口监听。通过设置端口黑白名单，对特定的端口进行监控，并可以在出现异常时告警和限制端口连接。

⑦防ARP欺骗。ARP欺骗防御采用主动防御技术，在系统驱动层实现防ARP欺骗功能，阻断各种类型的ARP欺骗行为，保证终端设备不受ARP欺骗的干扰与攻击；可以定位到哪台终端、什么时间、哪个进程发起ARP欺骗攻击，实时定位ARP欺骗病毒源。

⑧恶评软件查杀。可以手动检测或定时自动检测各个终端是否安装了恶评软件，根据预置的策略将其禁用并生成告警；系统内置有丰富的恶评软件特征库，并能定期更新；能够收集每个终端所安装的IE插件的信息，汇总到服务器统一展示；管理员可以设置哪些IE插件允许使用，哪些IE插件禁止使用。

⑨网页防挂马。针对当前流行的利用IE浏览器解释执行网页脚本时的漏洞来注入木马的攻击方式，矩阵采用了独创的底层检测方法，能够有效地检测并阻断这种攻击方式，防止用户在用IE浏览网页时系统被悄无声息地注入木马。

（2）桌面管理

①资产管理。自动收集计算机的硬件资产信息和软件资产信息，硬件资产信息包括:网卡、内存、硬件、主板等；软件资产信息包括:操作系统、杀毒软件、应用软件信息、计算机系统摘要、终端代理相关信息、当前策略信息、补丁信息；可以自动发现以上各类软硬件资产的变化情况，灵活生成各种告警与图形报表，及时掌握每个终端用户资产最新状态，避免资产流失，方便企业资产的统一管理。

②补丁管理。通过与微软WSUS的联动，完成安全补丁的自动分发，保证机器及时打上最新的安全补丁，防止安全漏洞被利用。

③软件分发。用户可以将应用软件的安装包（EXE/MSI格式）分发到指定的机器上并执行安装操作。

④交换机管理。自动收集交换机端口信息，提供方便的IP/MAC/机器名/交换机端口的互查功能，能够打开或关闭指定的交换机端口，通过Web可以查看网络中的交换机信息，例如端口、流量等。

⑤系统性能监测。实时监测终端CPU、内存、硬盘性能，发现系统超出设置的占用率，及时告警通知。

⑥远程支持。管理员可以通过远程桌面连接到安装代理的终端进行管理和维护操作，支持客户端授权模式，确保系统安全性；支持信息服务功能，管理员可以及时快捷的向终端发送各种通知信息。

（3）行为管理

①外设访问控制。针对常见的设备类型和外设端口类型进行监控，监控类型主要包括:

对违反策略的行为实施告警，防止数据泄密。

管理员可以对外设的USB设备进行授权认证，只有认证过的外设USB才可以在内网使用，这一方法有效地控制了外设USB的滥用行为。

系统可以实时监控外设USB文件传输行为并针对特定文件类型进行审计。

在安全控制方面，系统对Windows的“自动播放”功能进行控制，防止Autorun木马病毒的传播与扩散。

②非法外联检测。针对企业内网可能存在的通过拨号连接外网的行为进行管理；可以对Modem拨号、VPN连接、PPPoE等拨号方式进行控制，根据需要可以自动切断拨号并告警。

③应用软件监控。可以监控指定软件的安装与使用状况，通过软件名称中的关键字对非法安装的软件实行实时监控；可以设置应用软件黑、白名单，禁止黑名单软件或进程运行。

④上网监控。自动记录员工的上网历史，包括HTTP上网URL连接信息以及其他非HTTP上网信息，比如Telnet、Ftp等行为，可发现异常上网行为；另外可以检测出通过代理上网的行为，并能按照预设的关键字对网页内容进行告警。

⑤网络配置强制。可以防止任意修改机器的IP、机器名、MAC等信息，根据安全策略设置自动恢复默认的配置信息；可以针对重点服务器IP采用特殊保护，保证重点服务器IP优先权，避免地址冲突，提高内网管理效率。

⑥强制域登录。强制终端登录到指定的域，可以设置多个登录域；针对登录到其他域、或者不以域身份登录的行为，可以采用告警、强制注销WINDOWS方式响应限制登录。

⑦终端审计。提供丰富的审计功能，终端审计包括:文件审计、账号审计、日志审计三部分。可以设置指定的文件名、文件后缀、文件夹；其中文件审计能够对文件的创建、拷贝、删除、读取、覆盖、移动或重命名进行审计记录；账号审计对系统账号添加、删除、修改情况进行审计；日志审计主要是对系统日志进行审计；系统将全面监控终端审计信息，发现违规操作能及时报警。(www.daowen.com)

（4）综合管理方面

①策略管理。提供分时、分组、分场所策略管理，支持不同机器组在不同时间执行不同的安全策略，支持策略场所自动切换（内网与外网场所）。策略类型可以灵活组合，策略类型包括:网络准入策略、终端审计策略、远程支持策略、防ARP欺骗策略、网页防挂马策略、外设访问控制策略、病毒更新策略、补丁管理策略、入侵保护策略、主机防火墙策略、非法软件控制策略、非法拨号策略、网络配置强制策略、异常端口侦听策略、强制域登录策略等。

②分级分权管理。安全策略中心支持级联管理，没有级数限制；可以灵活设置上下级管理服务器，实现通过上级服务器管理下级服务器。

安全策略中心支持分权管理功能，根据不同的部门分配不同的管理权限，部门管理员只可以管理、查看、编辑管辖区域的终端信息。

③系统自保护。通过多种技术手段（加载项保护、系统隐藏、防篡改保护、防进程删除）防止系统受到非法破坏，保障系统正常稳定运行。支持授权安装功能，注册到服务器的代理只有经过管理员的批准才能成为合法代理，否则只能访问受限的网络。支持在线卸载，授权卸载:在线卸载可以批量卸载客户端，授权卸载生成授权卸载密码，客户端需要填入此授权码才可以卸载。

④查询与报表。可以方便查看各种安全告警事件、网络访问事件；通过报表可以了解最新的补丁、反病毒软件的安装情况；可以根据资产构成、变更、网络告警等条件生成丰富详细的图形报表并支持多种文件格式的下载。

⑤集中升级。安全策略中心可以设置自动升级、手动升级，定期到绿盟科技网站升级最新版本或相关补丁；支持终端安全代理统一升级，可以设置自动升级所有终端或升级部分终端策略，还支持先升级测试终端，确保升级正常后再升级其他终端策略。所有策略都是自动执行，大大减少了部署的工作量。

⑥用户管理。采用B/S浏览器管理方式，管理人员可以方便登录到服务器进行管理，用户可以指定管理机器的IP地址，保证只有授权IP才能访问。

⑦管理审计。系统对管理人员的登录行为、操作行为以及任务的下发情况进行全面的审计。

5.漏洞扫描平台

本方案采用绿盟极光远程安全评估系统，该系统主要有以下几方面的功能。

（1）漏洞预警。绿盟科技有一支专业的安全研究团队（NSFO-CUS安全小组），从公司成立之初到现在，一直从事信息安全服务和信息安全技术的研究，在信息安全领域有着丰富的理论和实践经验。NSFOCUS安全小组致力于对安全前沿技术的研究，其中包含了对系统漏洞发现、验证和提供应急响应服务的能力，目前在国际上已经有相当高的知名度。NSFOCUS安全小组能够对重要漏洞进行及时预警，对重大漏洞的升级在全球首次发现后两天内就可完成。

（2）漏洞检测。依靠业界强劲的底层扫描引擎——NSSE（NSFO-CUS　Scanning　Engine），通过对NSIP（NSFOCUS　Intelligent　Profile）技术、开放端口服务的智能识别、检测规则依赖关系的自动扫描等技术的运用，再加上由NSFOCUS安全小组精心编写的准确漏洞检测规则，极光产品拥有近乎完美的准确性、扫描速度和覆盖度。

（3）风险管理。极光产品采用“风险管理”模块对网络风险进行全方位管理和分析，管理员通过此模块可以对所有信息资产设备进行资产风险管理。对于大规模网络用户，网络资产繁多，IP地址记忆繁琐，通过资产管理与用户组织结构或网络拓扑结构的紧密结合，以规范的命名方式统一对网络资产进行管理。风险管理模块的使用方便用户掌握风险分布情况、定位风险、高效实施风险降低或规避措施。

（4）漏洞修复。极光在产品设计初期就考虑到漏洞修复问题，在产品实现上提供了多种二次开发接口供漏洞修复产品或补丁管理产品使用，方便用户及时集中对资产漏洞进行修复。另外，极光已经实现了与微软WSUS服务器的联动功能。

（5）漏洞审计。用户在实际的漏洞修复过程中往往很难确认自己的漏洞是否真正修复，针对这种情况，极光提供了漏洞审计功能，能够通过发送监督邮件的方式来督促相应的资产管理员对漏洞进行修复，同时启动自动的定时任务对漏洞进行审计，提高了管理人员手工验证漏洞修复的效率。

（6）基于用户行为模式的管理架构。作为用户体验性很强的产品，极光始终秉承“以人为本”的理念，在产品设计过程中充分考虑了实际用户需求和使用习惯，从用户角度完善了很多管理功能，如“一键式”智能任务模式、快速结果报表、智能摘要技术等，最大限度地满足了易用性和高效性的需求。

（7）权威、完备的漏洞知识库。绿盟科技NSFOCUS安全小组的安全研究能力在国内首屈一指，在国际上也有相当大的影响力。在这个部门中，有多位专职的研究员进行漏洞跟踪和漏洞前瞻性研究，到目前为止已经独立发现了40多个关于常见操作系统、数据库和网络设备的漏洞，并且为国际上的知名网络安全厂商提供相关漏洞的规则支持。NSFOCUS安全小组负责极光的漏洞知识库和检测规则的维护，除定期的每两周的升级外，重大漏洞的升级在全球首次发现后两天内就可完成。

依靠专业的NSFOCUS安全小组多年的研究，绿盟科技中文漏洞知识库已包含11　000多条安全漏洞信息，每条漏洞都有详尽的描述和修补建议，其完备性和权威性在国内厂商中首屈一指。绿盟科技中文漏洞知识库是国际上最大的中文漏洞知识库，极光产品的漏洞信息（2　400多条）精选于该漏洞知识库，涵盖了常见操作系统、数据库、网络设备和应用程序的绝大多数可以远程利用的漏洞以及本地安全漏洞，已获得国际权威的CVE兼容性认证。

（8）高效、智能的漏洞识别技术。NSIP（NSFOCUS Intelligent Profile）是绿盟科技智能Profile漏洞识别技术的简称，该技术在国内甚至在国际上都是非常领先的漏洞识别技术，它在提高极光的评估速度和准确率方面都起到了很大的促进作用。NSIP漏洞识别技术采用多种技术通过不同途径收集目标系统的多种信息，这些信息就是目标系统的Profile，在进行漏洞评估过程中，Profile不断地对中间的结果数据进行调整，保证了最后评估结果的准确性。

极光产品具备业界强劲的底层扫描引擎——NSSE（NSFOCUS Scanning　Engine）。通过对NSIP技术、开放端口服务的智能识别、检测规则依赖关系的自动扫描等技术的运用，再加上由NSFOCUS安全小组研究员精心编写的准确的漏洞检测规则，极光在检测速度和检测准确性之间找到了最佳的平衡点。极光加载全部检测规则，对同样的目标系统进行检测时，扫描速度为常见同类产品的3～5倍，同时仍能保证误报率低于1%。

（9）精确的WEB应用安全分析。考虑到目前WEB应用安全漏洞所带来的巨大危害，极光推出了WEB应用安全漏洞检测模块，通过对被检测站点进行深度内容分析，找出可被浏览的ASP、JSP、PHP、CGI等页面，同时极光还在漏洞检测中提供了专用的CGI漏洞检测插件规则类别以及专用的SQL注入和跨站脚本等检测插件，用来发现一些特定、常见的站点隐藏的页面，并发现一些文件路径信息泄露的安全隐患，并能深入的分析一些CGI的漏洞问题。

（10）基于实践的风险管理及展示。单纯的漏洞扫描产品因没有与资产关联，只能扫描出漏洞并不能反映客户环境中资产真实的风险状况。极光远程安全评估系统将资产、漏洞和威胁紧密结合，提供了图形化的资产管理方式，并通过可量化的模型呈现，帮助用户对网络中存在的风险有一个整体、直观的认识，做到真正意义上的风险量化。

6.互联网审计平台

互联网审计平台采用了SINFOR　AC技术，该平台的主要功能如下。

（1）单点登录。SINFOR　AC的单点技术（Single　Sign　On，SSO）避免了用户重复输入账号密码的繁琐操作。AC支持LDAP、POP3、PROXY单点登录，尤其是无需用户安装任何客户端软件即可实现LDAP单点登录，对用户完全透明。内网用户采用域账号登陆Windows系统后，即可自动通过AC认证，而不使用域账号登录Windows系统即禁止其访问互联网。

（2）反钓鱼网站功能。SINFOR　AC可对SSL网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等。由于钓鱼网站采用非可信颁发机构的数字证书，虽能蒙骗用户，但却逃不过AC的识别和过滤。该功能也可以被用于过滤一些使用SSL及证书技术加密的色情、反动站点，证券炒股站点等。

（3）P2P智能识别。P2P（peer-to-peer）应用的兴起直接导致P2P软件及其版本的爆炸性增长，如何对P2P行为进行全面有效的管控成为业界的难题之一。基于IP、端口、种子等封堵方式费时费力且达不到理想效果，AC的深度内容检测技术对常用P2P软件进行识别。AC的P2P智能识别技术实现对加密P2P、不常见和未来将出现的P2P的彻底识别，为管理员提供了全面、高效的P2P行为管控手段。

能够全面识别P2P行为是进一步管控的基础。对P2P的管控包括封堵和流控两方面，既可全面禁止指定用户使用P2P软件，也可允许其使用但对P2P行为占用的带宽资源进行限制和管理，从而既优化带宽资源的使用，又为员工提供了人性化的管理方式。

（4）代理服务器识别。很多组织的内网员工通过Microsoft ISA、Sygate、CCproxy等代理服务器上网，但由于防火墙、内容控制等设备对内网用户的管理是基于目的地址和端口的，这将无法识别通过代理服务器上网的员工流量和行为。

对于通过Proxy　Server代理上网的情况，AC可以很好地适应并发挥其作用。AC的深度内容检测技术识别用户数据中包含代理信息后，通过代理识别模块可以识别从用户端发送到代理服务器之间的应用数据，进而对用户的网络行为进行管控和记录。

（5）网页智能分析系统IWAS。SINFOR　AC融合中科院人工智能技术推出的网页智能分析系统IWAS能够根据网址、正文内容、关键字、代码特征等对网页进行智能分类，并且具备自我学习和自我修正能力。管理者可以自定义个性化URL分类，如“中国足球”类，并在AC中输入数个“中国足球”相关URL地址后，AC将自动分析学习“中国足球”相关网页特征，并在内网用户访问“中国足球”相关的各种网页时实时过滤并自动再学习，帮助组织从容应对泛滥的网页访问行为。

（6）最全面的应用识别。内网用户的上网行为纷繁复杂，且伴随着应用“加密化”和“种类爆发”的趋势，是否具备全面的应用识别能力已成为考量上网行为管理方案的重要标准之一。本方案采用的SINFOR　AC具有多种应用识别技术，全面识别各种应用，进而管控和审计。主要包括以下内容。

①URL识别:千万级静态URL库、搜索引擎输入关键字过滤、基于正文关键字过滤明文网页、SSL证书验证技术过滤加密网页、网页智能分析系统IWAS从容应对互联网上数以万亿的网页。

②文件类型识别:识别并过滤HTTP、FTP方式上传下载的文件，即使恶意用户删除文件扩展名、篡改扩展名、压缩、加密后再上传，AC同样能识别和报警。

③深度内容检测:IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等，基于数据包特征精准识别，且支持管理员自定义新规则以及深信服科技及时更新和快速响应。

④智能识别:种类泛滥的P2P行为，静态“应用识别规则”已经捉襟见肘，通过P2P智能识别，识别不常见、未来可能出现的P2P行为，进而封堵、流控和审计。

通过强大的应用识别技术，无论网页访问行为、文件传输行为、邮件行为，还是应用行为等，AC都能帮助组织实现对上网行为的封堵、流控、审计等管理。

（7）免审计Key功能。对于总裁、高层领导网络访问行为，财务部收发的关乎组织机密信息的邮件等，怎样避免记录此类用户的网络行为？业界多数方案是通过将敏感用户划分到指定用户组，通过设备配置界面的勾选，避免对这些用户网络行为的审计。但如果“非善意”人员私下重新配置设备对敏感用户又进行行为记录，怎么办？

AC正是考虑到用户可能面临的以上风险和威胁，推出了“免审计Key”功能。

在AC上为总裁等重要人员创建账户时使用DKEY认证，并勾选“启用DKEY防监控”选项，为总裁生成“免审计Key”。总裁使用“免审计Key”认证后，AC从底层免除对总裁的所有记录。如果“非善意”人员私下取消AC配置界面上“启用DKEY防监控”选项，总裁再插入“免审计Key”后系统会自动弹出警告，且禁止总裁访问网络，彻底保障信息安全。

（8）网络准入规则。AC的网络准入规则（Network　Admission Rules，NAR）通过对客户端的评估来实现网络访问控制，更好的维护网络安全防线。NAR的设计意义在于以下三个方面。①仅靠网络边缘的外围设备已经无法保证安全性；②边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏；③客户端的安全级别往往难以保证:使用版本陈旧的操作系统、不及时更新补丁、长时间不更新防火墙和杀毒软件等，都成为局域网安全中的“短板”。

鉴于上述情况，AC网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护。不能满足预设要求的接入端点，禁止其访问互联网或允许访问但提交报告给管理员作后续处理。通过AC的网络准入规则，修补内网安全“短板”，避免病毒、木马等轻易感染内网主机，便于组织推行统一的IT政策。该准入规则允许管理者手工添加和定制，从而可以管理几乎所有终端在线状态，使端点安全和网关安全紧密结合，为组织构筑统一的安全防御体系。

（9）加密聊天内容监控。“加密化”的趋势不仅使明文的HTTP网站开始转向加密的HTTPS网站，各种IM聊天工具的聊天内容也被加密，如腾讯QQ、TM、MSNShell、飞信、Skype等。如果不能监控和记录加密IM聊天内容，隐匿其中的安全风险、安全事件就无法防御、无据可查。

目前业界解决方案多数都无法监控和记录QQ、MSNShell、飞信、Skype的聊天内容。AC的聊天内容同步侦听技术实现对QQ、MSNShell、飞信、Skype等加密聊天内容的监督和记录，帮助组织轻松应对应用加密化的影响。

（10）邮件延迟审计。AC的邮件延迟审计（Postponed　Sending after　Audit，PSA）专利技术，将敏感邮件阻挡于内网。内网用户发送Email邮件时，用户认为已经成功发送，实际上符合管理员预定策略的整封Email邮件（包括正文和附件）全部转存至邮件缓冲区。指定的邮件审核人员会获得邮件通知，经人工审核后，才允许符合组织安全规定的Email邮件发送到互联网上，而不符合要求的Email则被截留并作为追究责任的依据，有效实现了对泄密邮件的封堵，保护了组织敏感信息的安全性。

AC的邮件延迟审计技术对内网用户完全透明，邮件的发送过程与日常无异。

（11）外发文件深度识别。存心的泄密者往往会将外发文件的后缀名修改/删除，或者加密/压缩该文件，然后通过HTTP、FTP、Email附件等形式外发。仅仅实现对外发文件的审计和记录显然无法弥补由于泄密而给组织带来的损失，单纯的基于文件扩展名过滤外发文件、过滤外发Email邮件也无法应对以上风险。鉴于此，SIN-FOR　AC的外发文件深度识别技术基于文件特征，能够识别超过一千种以上的文件类型，基于特征而非扩展名彻底遏制存心泄密者的外发泄密文件行为，保护组织信息资产的安全。

（12）智能的流量管理。组织有限的Internet带宽资源，如何避免非业务行为的滥用，同时为业务行为细致智能的划分与分配带宽资源？传统设备根据IP和端口结合QoS实现带宽分配，但类似80端口中会潜藏QQ、BT数据，部分业务系统没有固定的端口，领导的视频会议系统没有固定IP等情况则会让传统设备的带宽管理功能大打折扣。

AC实现了基于用户、用户组、出口链路、应用类型、网站类型、文件类型、目标地址、时间段、优先级等的细致智能的流量管理系统，让组织的带宽资源得到细致的优化和高效的使用。

（13）海量日志快速检索。记录员工网络行为不仅满足法律法规要求，又做到了有据可查。大型组织每天产生数G的日志数据，通过AC的外置数据中心实现了海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。

组织通过AC的外置数据中心保存了上百G的海量日志信息，而一旦发生关键事件或管理者需要从大量日志信息中快速检索获取其感兴趣的内容，却又难以快速从海量日志中发现期望得到的数据时，AC内置了强大的数据中心内容检索系统，利用类似Google的先进搜索技术，从高达几百G的海量数据中通过多个关键字快速搜索指定内容，并且支持对Email附件正文内容的检索、支持高级检索、支持订阅和自动Email投递功能，极大地方便了管理者的使用。

（14）数据中心认证Key。SINFOR　AC管理员分级管理功能可实现A管理员登录数据中心后只能审计、查看A用户组的行为日志，同时配发启用数据中心认证Key功能后，如果没有该“数据中心认证Key”，A管理员登录数据中心后只能查看统计、趋势等概要信息，而只有插入“数据中心认证Key”后A管理员才能审计、查询A用户组的MSN聊天内容、Email正文等详细日志信息。通过将该“数据中心认证Key”锁入领导抽屉可实现行为日志审计查询权限的严格控制。

（15）异常流量感知。随着用户对互联网的访问、移动存储设备的使用，以及局域网内其他终端的感染等，导致用户终端设备往往存在木马、间谍软件、远程控制软件等威胁。此类恶意软件为了藏匿自己的行踪往往通过常用的TCP　80、443、25、110等端口与互联网控制端交互数据，这使得组织的信息安全、资产安全、网络安全等无法得到保障。本系统采用了SINFOR　AC的异常流量感知技术，该技术对异常流量行为能进行识别并报警，帮助IT管理者主动发现组织内网潜藏的安全威胁，提升组织内网可靠性和可用性，具体如表6-10所示。

表6-10　网行为管理设备性能参数表