1、XXX单位互联网管理 项目立项报告XXX 信息管理部200X 年 X 月 X 日项目立项报告 第 2 页 共 12 页目 录1. 项目综述 .31.1 背景说明 .31.2 需求分析 .41.3 项目预期 .51.4 效益分析 .62. 设备选型 .72.1 测试产品功能实现 .72.1.1 身份权限控制功能 .72.1.2 内容过滤功能 .82.1.3 应用控制功能 .92.1.4 统计查询功能 .92.1.5 违规行为报告 .102.1.6 设备管理 .102.2 测试产品评估报告 .102.3 选型建议 .11项目立项报告 第 3 页 共 12 页1. 项目综述1.1 背景 阐述经过一定
2、时间的积累,我单位的 IT 体系架构已经得到了逐步的完善。局域网的有效布局,安全体系的不断加固,软件规范的不断强化使我单位的 IT 架构逐步成为了重要的基础支撑。我单位的业务也随着 IT 架构的完善也得到和一定程度上的优化和提高。IT 部门在不断总结和自我优化的过程中逐步发现了一些利用现有架构无法有效解决的问题,这些问题给 IT 系统的有效运行带来的潜在的隐患。我单位开通了互联网专线,目的是为了让员工可以便捷,高效的在互联网上查询资料,传递信息。但随着互联网的不断自我变迁,互联网的一些负面的因素已经成为了目前较为重大的信息系统隐患。从国家层面来说,目前政府加大了对互联网网页访问内容,言论发布内
3、容的控制力度,并且互联网上披露的多个“门事件”更说明了政府要加大互联网内容发布的严格控制。如果有员工利用我单位互联网访问政府不允许的网站,发布不良言论将对我单位造成较为严重的影响。据了解公安部曾经颁布过 82号法令,要求互联网接入单位能够保留 60 天的内网人员上网日志。从我单位的互联网业务体系来说,目前的互联网带宽很紧张,原因是很多和工作无关的 P2P 下载,在线上视频,IM 传输文件等软件严重占用了出口带宽。而正常办公的员工访问互联网却很慢。IT 部门曾经考虑过增加带宽,但是经过调研,很多比我单位出口还大的单位一样存在这个问题。从我单位的性质来说,有部分信息是需要保密的,信息泄密虽然途径多
4、样,但是互联网泄密的风险很高,木马,邮件,IM 都可以把一些涉密文件发送到外网,有可能给我单位业务造成较严重的影响从我单位的核心竞争力来看,目前一些部门的人员反馈,在线游戏“开心网,开平娱乐”在员工中较为普及,员工在上班时间应该是办公的,但是现在看来一部分员工是在上班时间玩网络游戏,炒股。这种时间占用势必会影响员工的工作效率,是很不好的一种风气。项目立项报告 第 4 页 共 12 页针对以上问题 IT 部门曾经考虑过用路由器/防火墙,免费的旁路控制软件来进行管理,但都无法实现,主要原因是互联网的软件很复杂,变化太快,通过 IP,端口等基础元素来控制根本无法实现或跟进,内容审计就更无法实现了1.
5、2 我单位 IT 部门需要达到的效果经过IT部门的仔细分析,总结出了一些对我单位来说很重要的互联网管理要求,说明如下:1- 用户接入互联网的身份权限需要控制:目前任何人进入我单位后,只要能够连上网线,配置IP地址就可以访问互联网。如果非我单位的人使用我单位的互联网导致了病毒的引入,非法网站的访问,非法言论的发布,将会是我单位的IT管理很被动.为此互联网的访问必须要能够进行灵活的身份识别,例如通过邮件服务器联动,AD服务器联动,并配置一些混合的简单本地认证,从而实现任何人要访问互联网必须可明确身份,没有合法权限的人不能访问互联网。并且认证方式要能够充分灵活,认证应可以和网段结合,并且同一网段内的
6、认证应该实现混合化。2- 对接入互联网的人员要能够有效的控制非法网站的访问,并且控制非法的言论发布目前我单位的人员接入互联网后任何网站都可以访问,病毒类的,色情类的,政治类的访问无法控制,并且网页发帖方式的言论控制也没有办法。为此,需要能够从专业的机构获得当前中文网站的非法网站类,进行屏蔽,并且能够有效的阻断违法的网页发帖。考虑到中文网站的量很大,因此需要找一个能够最大限度识别中文网站分类的方法来最大限度的控制非法网站。并且网站库要能够每天更新。3- 对接入互联网的的人员要能够有效的控制大带宽软件的使用目前,P2P,视频,IM、电影,游戏等应用IT部门不能控制,也不能进行流量管理,导致带宽占用
7、率过大。为此,需要能够从专业机构获得傻瓜式的应用协议控制方法,不通过端项目立项报告 第 5 页 共 12 页口,IP方式识别,要能通过向迅雷,BT,QQ,这样的名称进行控制,或者限流。同时可以考虑在非工作时间进行一定的宽松政策。考虑到这些应用的变化也很快,因此需要能够持续的获得最新的应用控制能力,考虑到应用的更新没有网页快,因此可以做到每周进行更新即可4- 对非工作性的互联网访问要能够根据时间灵活的进行上下班的控制。例如在上班时间游戏,娱乐类的站点,应用不能够访问,在下班时间可以受限的访问。但所有访问都要能够被记录,并且要记录访问的次数和流量,便于今后查询,分析。5- 以上的控制行为,尤其是阻
8、塞的行为IT部门需要及时的发现.这样IT部门就可以根据违规行为进行部门告知,让部门领导了解该部门员工的办公行为动向。6- 在引入互联网管理后,设备应该易用性高,可以被多种方式管理,要有异常保护。设备的操作要简便,配置一个策略最好2-3步就可以全面实现。同时要管理方式多样,向我单位的路由器一样可以命令行,也可以网页方式管理,便于快速诊断.同时不能影响原有业务,在互联网管理设备出现问题时,哪怕是带电的情况下,设备也要立刻物理导通.1.3 如果事实项目后可预见的效果通过这个项目的实施,在目前阶段,IT 部门可以看到以下效果预期1- 我单位的政治风险可以被最大程度的规避,无论是外单位,还是我单位的员工
9、上网都不能访问非法站点,发表不良言论。同时如果出现了政治风险,也可以快速的定位是谁做的,把单位风险转嫁为个人风险2- 不花钱扩带宽也可以良好满足业务带宽需求,并且业务的速度还可以得到保障。3- 员工工作效率会无负面效果的提升,非工作性的互联网访问被有效控制,部门领导会是最大的受益者,而且还不会有强制罚款带来的反面抵触。项目立项报告 第 6 页 共 12 页4- 所有人上网都是实名的,但是可以有 VIP 人员被免控制,免识别。保证公司领导的隐私权5- 信息的泄密将被减少到最小程度,保护我单位信息的安全通过上网行为管理项目的实施解决了我单位用户访问互联网的行为是否有效合规,事前能否控制、事后是否有
10、据可查的问题,建立了符合中国国情并遵循相关法律法规的互联网访问行为管控措施。1.4 本项目给单位带来的效益分析以下是我部门根据一些顾问机构提供的算法,估算了一些财务的收效预期1、降低政策性违规风险公安部 82 号令中有强调:对违反计算机信息网络国际联网安全保护管理办法的个人、单位由公安机关责令限期改正,给予警告,有违法所得的,没收违法所得;在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款,对单位可以并处一万五千元以下的罚款;情节严重的,并可以给予六个月以内的停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。因此有了较为
11、完善的互联网管理体系,减少一次违规就可能避免 2 万元的损失,并且如果避免了单位名誉的损失,互联网业务中断应该是比资金损失更重要的2、降低安全风险带来的效益由于访问一些含有病毒或恶意插件的网站可能导致网络瘫痪,计算机瘫痪。如果能够控制这些站点的访问可以降低由此带来的直接或间接经济损失达 1-5 万元/年。3、提高工作效率员工的工作时间被娱乐占用,对公司的核心竞争力影响很大,以每位员工平均每天工作无关的互联网访问行为花费 1 小时保守估计,该项目可提升工作效率可达 15。如果以人均工资 3500 元计算,每人节省费用3500*15%=525 元 ,一年 12 月就是 6300 元,我单位共计 X
12、X 人 合计节省:项目立项报告 第 7 页 共 12 页XXXX 元我们看到IDC统计显示,中国员工上班时间从事工作网关的网络行为所占用的时间,平均每天超过1个小时以上。4、提升带宽资源利用效率 目前带宽已经不足,如果项目实施后,即可避免追加一条10M带宽,可4万元每年。 5、信息泄密的效益分析如果能够有效的防治信息泄密,给单位带来的效益更是巨大的。综上:可以看到,本项目实施后可以有效的节省费用每年至少10-50万元,投入产出还是很有效的2. 设备选型效果评估2.1 测试产品功能的需求满足效果2.1.1身份权限控制功能本功能测试对网内不同的测试用户分别采用了 IP 用户(IP/MAC 绑定)、
13、本地 Web 认证用户、AD 域认证用户、邮件账号认证用户、第三方认证用户、免监控用户,测试各产品在用户身份识别中的功能实现。测试产品网康 NI:1、在设备中建立用户列表较为方便,支持 Execl 文件导入、自动扫描、自动发现等多种用户导入方式,并在不安装客户端的方式下实现了跨三层的IP/MAC 绑定,很好的解决了用户端私自更改分配 IP 及私自接入小路由使无权限用户的上网问题。2、用户认证方式很灵活,可以自由组合,IT 部门觉得很实用,并且认证传输都是加密的,安全。测试产品深信服 AC:1、导入用户过程比较烦琐,只能拷贝粘贴实现批量处理,不能直接将现有组织结构文件导入。实施 IP/MAC 绑
14、定需安装客户端,增加了管理维护成本。项目立项报告 第 8 页 共 12 页2、不是很好的能够实现邮件帐户,本地认证,网段认证的自由组合。IT部门操作起来比较麻烦。并且没有扩展认证接口,不便于今后的扩展。并且不能强制用户更改密码。2.1.2内容过滤功能此功能测试是在相同的条件下,测试产品在网页内容识别、过滤、搜索关键字方面的功能实现。测试产品网康 NI:1、以在百度上搜索某一关键字,逐一打开搜索结果中的网页,在网页识别方面网康设备识别率达到了 98%以上并分类准确。2、网页过滤功能分别测试了工作相关网站、娱乐类网站、非法类网站(色情、暴力、赌博、病毒等网站)的过滤与封堵情况。3、网康有一个特点就
15、是可以把 IP 为网址的站点封闭,这点很有用,因为IP 站点基本都是没有在国家政策的站点,风险很高。4、实现了利用搜索引擎搜索非法网站的封堵,并且当用户输入的搜索字符中间使用逃逸字符时也可被设备智能识别封堵。5、提供在线更新功能,经验证每日均有更新。测试产品深信服 AC:1、在网页识别方面识别率仅有 60%并分类模糊不清。2、在网页过滤方面由于其 URL 库内容少、分类模糊,为了弥补该缺陷,厂商技术人员设置了网页内容文字审计方式实现网页过滤功能时,产品处理性能下降严重,封堵效果还是基本没有。3、所有输入 IP 访问网址的行为无法控制,造成病毒、木马等感染风险。4、搜索关键字过滤功能经验证并非真
16、正意义的搜索关键字过滤,而是简单的 URL 后缀过滤,说明技术不专业.并且对”疆.独”这中逃逸搜索方式无效5、数据库更没有定期,测试时没有一次更新。项目立项报告 第 9 页 共 12 页2.1.3应用控制功能此功能测试是在相同的条件下,测试产品在 P2P 协议、 IM 协议、游戏、股票、流媒体、外发信息的控制功能实现。测试产品网康 NI:1、网康设备的呈现方式很好,采用了和 Windows 样的树状结构,所见即所得,控制灵活、简便。2、对 Http、Ftp、IM 、邮件的外发尤其是文件可以基于多种条件的阻断与审计。3、提供在线更新,及时准确,每周更新一次。测试产品深信服 AC:1、AC 的应用
17、协议很多,但重复较多,QQ 不同的版本就有 10 多个,需要管理员逐一勾选,无法分辨具体含义,管理维护会比较困难。2、对外发文件的阻断与审计条件有限,IM 的文件内容更无法留存,存在泄密风险。3、更新缓慢,在测试期间由于迅雷版本升级,而设备无协议更新,造成迅雷封堵失败。后开启 AC 的智能控制,效果也不佳。2.1.4统计查询功能此功能测试对设备的实施监控,历史日志进行查看,看是否有效的呈现数据。测试产品网康 NI:1、有实时监控,并且都是超链接,很方便的就可以根据一个现象深入的查到一个问题的根源。2、查询可以 设置 2 个时段,上午上班,下午上班。很人性测试产品深信服 AC:无图形化展示,不能
18、超链接深入定位,并且没有实时监控,知识最上面查询结果说是实时监控,无法导出,不支持递进式查询,不专业。项目立项报告 第 10 页 共 12 页2.1.5违规行为报告主要是希望能够看到违背 IT 部门制定的策略的行为。测试产品网康 NI:违规策略的命中行为可以清晰地查到,可对各种互联网违规行为进行查询并生成报告。测试产品深信服 AC:有违规内容记录,但内容分散,并且不能生成违规报告。2.1.6设备管理此功能测试主要检验设备的易用性、可靠性、稳定性。测试产品网康 NI:网康的设备操作很简单,每个策略在 2-3 步就可以实现。支持命令行管理,和路由器很象,支持带点的 2 层回退,支持双主控系统,比较
19、专业,应该可以较好的保证业务不受影响。测试产品深信服 AC:深信服不具有独立的串口管理、不支持命令行管理、无双主控系统,设备出现异常无法工作时无 Bypass 功能,在专业性上差了不少。2.2 具体测试产品评估项对比评估项 评估要点 网康达成效果 深信服达成效果1用户导入 支持 Execl 文件导入、自动扫描、自动发现导入用户过程比较烦琐,只能拷贝粘贴实现批量处理,不能直接将现有组织结构文件导入2 IP/MAC 绑定 支持 跨三层绑定需安装客户端3混合认证 支持本地 Web 认证用户、AD域认证用户、邮件账号认证用户、第三方认证用户、免认证用户的混合认证无扩展认证接口、不支持免认证网段身份权限控制4认证密码安全用户认证密码设置可采用全局及临时密码,并可以强制用户密码只有全局密码且无强制用户更改密码的功能