| |
金融保险行业全网行为管理TPN产品应用 |
|
| |
中英人寿保险有限公司由英国英杰华集团和中国中粮集团合资组建,经过多年的经营和拓展,已经将业务延伸至全国,稳居外资寿险公司第一梯队。
中英人寿总部规模较大,联网计算机较多,内网情况较为复杂,再加上带宽资源有限,经常会出现因P2P下载,视频播放等应用占用带宽的情况,严重的影响了正常的办公是网络使用。同时还有不少员工在工作期间聊天、炒股、玩游戏,也降低了工作效率,影响了公司的工作风气。
安达通TPN全网行为管理网关能够合理分配网络带宽资源、拦截审核敏感信息和邮件、屏蔽过滤不良网站和信息、防范外来侵扰及攻击保障单位网络安全,同时极大提高员工工作效率,并且还带有安达通VPN模块,能够实现目前主流VPN设备的一切功能。
智能流控技术。为了防止有限的网络带宽资源被滥用,保证关键业务带宽,必须对上网用户进行合理的带宽限制。TPN安全网关采用了多种流控技术,合理配合使用,使管理员可以方便灵活地进行用户的带宽设置。
动态流控:动态流控功能通过动态限制大量下载用户的带宽,保证正常上网用户的带宽,从而实现不会因为有个别计算机大量下载而导致其他用户无法正常上网,达到一个上网流量的均衡。
用户流控:TPN系统可针对每个用户,严格限制其使用互联网的带宽资源,这样可以保证某些用户的对带宽的特殊需要。
策略流控:策略流控主要是针对某些应用策略做全局的带宽调配,从而确保一些企业关键应用带宽得到合理的保证。
上网程序管控。TPN系统支持对P2P下载、代理软件、股票分析软件、聊天软件、网络游戏、远程控制等多种上网程序的精确管控。
TPN系统采用精准的主机端进程检测控制技术,有别与其他上网行为管理设备在网关位置基于协议识别的管理方式;采用这种方式系统可管控主机端任何需要管控软件,且不会为此消耗网关的性能;这就是在TPN系统构架设计中常用到的集中管控、分布计算的思想。
实时动态访问控制。“动态访问控制”主要是相对传统防火墙设备的静态访问控制方法而言的。之所以叫做“动态”,主要是TPN系统对主机按照访问控制策略进行访问控制时,需要评估主机的安全状况,在主机安全状况发生变化时,该主机的访问权限也会相应发生变化。如:在主机上网时,发现主机上存在安全威胁或未达到相应的安全级别(如:没有启用防火墙、杀毒软件等),则断开改主机网络,禁止其访问外网的权限。
上网行为审计。TPN全网行为审计系统能报告和记录全网的所有日志,审计和分析全网行为(包括:网络和主机违反安全规则的行为),使网管员获得更直接和更清晰的网络状况,便于他制定更有针对性的策略。
TPN行为审计系统包括审计服务器和审计客户端2个组件,可以同时安装也可分别单独安装。TPN审计服务器有数据库、服务监控和信息解析三大功能,用以接收并整理来自网关的审计数据;TPN审计客户端则主要进行审计数据的分析查询和报表生成,同时也能对审计服务器进行管理和监控。
强制实名认证。传统的防火墙只能基于IP地址/端口进行策略管理,除了增加网管员的操作复杂度之外,也难以适应灵活多变的网络管理需求。在TPN系统中,由于强制角色认证的存在,使安全网关能对“人和资源”进行直接的访问策略管理,而非针对IP和端口。在TPN安全网关中,完全采用“用户—角色—资源”的访问控制方法。角色是系统中用户和服务之间沟通的枢纽,利用角色避免了用户和资源访问权限之间的直接关联关系,减少了配置任务量,并提高系统策略的可维护性。针对每一个服务,可设定可以访问该服务的各种角色。
主机风险评估。TPN对全网接入主机进行全方位的安全评估:如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别(如:没有启用防火墙、杀毒软件等),则不允许该主机从外网接入或访问外网。通过该技术可以确保那些疏于防范的内网主机不能轻易上网,避免将Internet上的木马、病毒等风险带进内网;也不会使带有安全风险的主机将风险通过VPN隧道带进公司内网,从而确保整个网络平台的安全可信。
TPN的“程序管控”功能和和传统的UTM防火墙有着本质的区别,TPN依靠主机威胁引擎(CTE)实时检测用户主机端的各种程序的运行状态,直接从主机端控制用户程序的使用权限,可以很好避免UTM防火墙在网关上处理此类作业而消耗大量性能,而且TPN的处理方式更灵活,几乎可以管控任何程序。
TPN的程序检测包含对进程文件名、内部名称、源文件名和MD4校验码等特征的检测,针对不同软件,安达通灵活地使用了上述组合进行特征判定,安达通公司也会定期发布“管控程序”特征的升级包;此外,用户还可根据上述特征自定义需管控的程序。
虚拟VLAN。虚拟VLAN功能支持在局域网中划分逻辑VLAN,在不投入其他硬件设备(如:支持VLAN的交换机)的前提下,满足不同安全等级或不同组的用户进行逻辑隔离的需求。
外设控制。TPN外设控制支持对移动存储外设(U盘、移动存储卡)的读写权限控制,对1394接口、蓝牙、MODEM、串并口、光驱和红外线等外设的启禁控制。
支持特定流通U盘,即只有经过授权的U盘才可以在启用了外设管理的PC上使用,使用其它的U盘或在未启用外设管理的PC上使用,都将受到限制。
|
| |
![]() |
|
