二级等保建设方案
篇一：等保实施方案 浙等保[2007]3号
关于印发《浙江省信息安全等级保护 工作实施方案》的通知
各市公安局、保密局、机要局、信息化工作领导小组办公室，省级各有关单位： 现将省公安厅、省保密局、省国家密码管理局、省信息化工作领导小组办公室联合制定的《浙江省信息安全等级保护工作实施方案》印发你们，请认真贯彻执行。 实行信息安全等级保护制度，是提高信息安全保障能力和防护水平，保障和促进信息化建设健康发展，维护国家安全、社会稳定和公共利益的迫切需要。各级各部门必须进一步增强信息安全意识，在党委、政府的统一领导下，依据国家标准、要求和《浙江省信息安全等级保护工作实施方案》，认真组织实施。工作中遇到问题，请及时与我们联系。 省公安厅联系人：蔡林、张亮，联系电话：286360； ― 1 ―省保密局联系人：沈剑霞, 联系电话：； 省国家密码管理局联系人：徐力，联系电话：； 省信息化工作领导小组办公室联系人：姜华 ,联系电话：。
浙江省信息安全等级保护工作协调小组办公室（印） 二七年八月二十日
― 2 ―浙江省信息安全等级保护工作实施方案
为贯彻落实国家信息化领导小组《关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》以及《浙江省信息安全等级保护管理办法》，根据国家信息安全等级保护工作协调小组的部署，结合我省实际，制订本方案。 一、指导思想 以中央和省委、省政府有关加强信息安全保障工作的意见为指导，通过全面推行信息安全等级保护工作，提高我省信息安全的保障能力和防护水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设的健康发展。 二、工作目标 通过实行等级保护工作，使基础信息网络和重要信息系统的核心要害部位得到有效保护，涉及国家安全、社会稳定和公共利益的基础信息网络和重要信息系统的保护状况有较大改善。 通过全面推行信息安全等级保护制度，逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节，使我省信息安全保障状况得到基本改善。 通过加强和规范信息安全等级保护管理，不断提高我省信息安全保障能力，为维护信息网络的安全稳定，促进信息 ― 3 ―化发展服务。 三、组织管理 为加强信息安全等级保护工作的领导，成立由省公安厅牵头，省保密局、省国家密码管理局和省信息办等有关部门参加的浙江省信息安全等级保护工作协调小组，负责我省信息安全等级保护工作的组织协调，并下设办公室在省公安厅。设区市的公安机关、保密部门、密码管理部门和信息化行政主管部门也要联合成立由公安机关牵头的信息安全等级保护工作协调小组，建立相应办事机构，负责本地信息安全等级保护工作。 信息系统的建设、运营、使用单位应成立由主管领导参加的信息安全等级保护工作领导小组，并确定职能部门负责本系统、本单位的信息安全等级保护工作。 省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组，并分别负责对涉及全省和全市的基础信息网络和重要信息系统的信息安全保护等级进行审定。 为保证信息安全等级测评工作正常、有效开展，成立由省公安厅牵头，省保密局、省国家密码管理局、省信息办和省国家安全厅等单位有关专家参加的测评机构审查小组，对在我省基础信息网络和重要信息系统中开展测评工作的测评机构及其主要业务、技术人员的资质，以及安全保密测评资格进行专门审查，审查后公布推荐目录，供我省基础信息网络和重要信息系统使用单位选择使用。 ― 4 ―四、工作内容 （一）系统定级 信息系统运营、使用单位应按照国家有关规定，确定信息系统的安全保护等级，有主管部门的，应当经主管部门审核批准。系统涉及国家秘密的部分，应当按照《涉密信息系统分级保护管理办法》(国保发[2005]16号)和《涉及国家秘密的信息系统分级保护技术要求》（国家保密标准BMBl7-2006）确定信息系统的安全保护等级。跨市或者全省统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 （二）定级评审 属于基础信息网络和重要信息的系统运营、使用单位初步确定安全保护等级后，应聘请省或市信息系统保护等级专家评审组的专家进行评审。对拟确定为第四级、第五级信息系统的，运营、使用单位或主管部门应经省信息化行政主管部门初审后，请国家信息安全等级保护专家评审委员会评审。其它定级评审，依照《浙江省信息安全等级评审实施细则》执行。 （三）系统备案 安全保护等级为二级以上的信息系统，其运营、使用单位需在等级确定后的三十天内，向设区的市级以上公安机关备案。安全保护等级为五级的，由国家指定的专门部门进行备案。系统涉及国家秘密的，向设区的市级以上保密工作部门备案。系统中使用密码设备的，密码设备要向设区的市级 ― 5 ―篇二：二级等保机房建设项目 5.1 概述 非常感谢xx能够给我们这次机会，使我们有幸为xx安全等保机房改造项目提供设计说明。我们将通过业界最佳性能的多厂家产品，设计经过实践验证的、高性能的机房解决方案。 经过对据等保机房建设要求的深刻理解，本次机房建设遵从信息安全等级保护二级的要求和规范进行详细设计，本方案采用的新材料、设备、工艺和技术，其目的是为了更好地保证机房的温度、湿度、洁净度、照度、防静电、防干扰、防震动、防雷电、及时监控等，能充分满足计算机设备的安全可靠地运行，延长计算机系统使用寿命的要求，同时又要给系统管理员创造一个舒适、典雅的环境。因此，在设计上要求充分考虑设备布局、功能划分、整体效果、装饰风格，体现现代机房的特点和风貌。 5.2 机房设计原则 xx安全等保机房改造的设计必须满足当前各项业务需求应用，又面向未来快速增长的发展需求，因此必须是高质量的、灵活的、开放的。我们在进行xx安全等保机房改造设计时，遵循以下设计原则： 实用性和先进性 采用先进成熟的技术和设备，满足当前xx安全网站的业务要求，兼顾未来的业务要求，尽可能采用先进技术、设备和材料，以适应高速的数据传输需要，使整个系统在一段时间内保持技术的先进性，并具有良好的发展潜力，以适应未来业务的发展和技术上升的需要。 安全可靠性 为保证各项业务的应用，网络必须具有高可靠性，决不能出现单点故障。要对xx安全等保机房改造的布局、结构设计、设备选型、日常维护等各方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控与安全保密等技术措施提高电脑机房的安全可靠性。 灵活性和扩展性 xx安全等保机房改造项目必须具有良好的灵活性和可扩展性，能够根据业务不断深入发展的需要，扩大设备容量和提高办公化质量的功能。 标准化 xx安全等保机房改造系统的结构设计，基于国标标准和国家颁布的有关标准，包括各种建设、机房设计标准，电力电气保障标准，坚持统一规范的原则，从而为未来的业务的发展，设备增容奠定基础。 经济性/投资保护 应以较高的性能价格比构建机房改造，使资金的产出投入比达到最大值。能以较低的成本、较少的投入来维持系统运转，提供高效能与高效益。尽可能保留并延长已有系统的投资，充分利用以往在资金与技术方面的投入。 可管理性 由于xx安全等保机房改造项目具有一定的复杂性，随着业务的不断发展，管理的任务必定会日益繁重。所选用的设备应具有智能化，可管理的功能，可以迅速确定故障，提高的运行性能、可靠性，简化机房管理人员的维护工作，从而为xx安全等保机房改造安全、可靠的运行提供最有力的保障。 在这份项目设计说明中，我们希望与xx安全网站项目部多多交流，利用我们对机房改造的实施经验和观点，以便在短期内完成机房改造的建设工作。我们的设计原则是着重于高扩充性，高可靠性。 5.3机房功能区划分 依据与客户沟通的结果，结合信息安全等级保护二级要求建设不同功能区实现物理隔离的要求，本次机房规划功能区如下： 机房总面积XX平方米，划分成2个功能区：网络机房区和动力控制区。 1、网络机房区面积约XXm2，用于摆放网络服务器机柜、及计算机网络设备 等。 ，2、动力控制区面积XX m2，用于摆放电源配电柜、UPS机头、空调等设备。5.4机房工程范围 依据信信息安全等级保护二级要求建设对机房装修环境、电源环境、照明环境、电磁接地环境、温湿度、机房洁净程度的要求。本次项目包括：机房装修系统、机房供配电及UPS系统、机房布线系统、机房消防系统、空调新风系统、门禁系统、环境动力监测系统、视频监控及报警系统，共8个系统。 本机房设计说明书是依据客户提供的机房平面图纸完成的。 5.5二级等保机房装修系统 5.5.1二级等保机房环境要求及设计指标 物理安全（G2） 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 物理访问控制（G2） 本项要求包括： a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员； b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其 活动范围。 防盗窃和防破坏（G2） 本项要求包括： a) 应将主要设备放置在机房内； b) 应将设备或主要部件进行固定，并设置明显的不易除去的标记； c) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； d) 应对介质分类标识，存储在介质库或室中； e) 主机房应安装必要的防盗报警设施。 防雷击（G2） 本项要求包括： f) 机房建筑应设置避雷装置； g) 机房应设置交流电源地线。防火（G2） 机房应设置灭火设备和火灾自动报警系统。 防水和防潮（G2） 本项要求包括： a) 水管安装，不得穿过机房屋顶和活动地板下； b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 防静电（G2） d) 关键设备应采用必要的接地防静电措施。 温湿度控制（G2） 机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 电力供应（A2） 本项要求包括： a) 应在机房供电线路上配置稳压器和过电压防护设备； b) 应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运 行要求。 电磁防护（S2） c) 电源线和通信线缆应隔离铺设，避免互相干扰。 5.5.2设计、施工及验收标准规范 ? 《信息系统安全等级保护基本要求》 ? 《智能建筑标准规范汇编》 ? 《计算机房的建设与管理》 ? 《计算机场地技术条件》（GB） ? 《计算机场地安全条件》（GB9361-88） ? 《电子计算机房设计规范》（GB50174-93） ? 《建筑设计防火规范》（GBJ45-87） ? 《建筑内部装修设计防火规范》（GB50222-95） ? 《计算机机房施工及验收规范》（SJ/ 30003-93） ? 《低压配电装置及线路设计规范》（GBJ54-83）? 《火灾自动报警系统设计规范》（GBJ工程16-87） ? 《电子设备雷击保护导则》（GB7450-87） ? 《计算机机房用活动地板技术条件》(GB6650－86) ? 《建筑内部装修设计防火规范》(GB 50222－95) ? 《计算机信息系统安全法规汇编》 ? 《通风与空调工程施工及验收规范》（GB50243-97） ? 《建筑物防雷设计规范》（GB50057-94） ? 《建筑与建筑群综合布线系统工程设计规范》 ? 《商用建筑综合布线标准》（EIA/TIA－568B） ? 《工业自动化仪表工程施工及验收规范》（GBJ-93-86） ? 《采暖、通风与空气调节设计规范》 ( GBJ19-87) ? 《民用闭路电视监视电视系统技术规范》（GB50198―94） ? 《电磁兼容性标准》（IEC 801） ? 现场环境及机房建筑图纸 ? 机房工程设计原则 5.5.3对土建结构的要求 根据电子计算机机房的特点现对本工程机房主体结构提出以下要求： 电子计算机机房的地面（楼板）荷载按250Kg/ m2设计。根据本工程的实际特点。敷设防静电地板，对服务器机柜和空调等设备摆放处，甲方与土建方确认相关区域承重是否符合上述要求，如果未达到本设计承重要求，甲方需进行上述区域地面加固工作。 电子计算机机房主体结构具有耐久、抗震、防火、防止不均匀沉陷等性能。 电子计算机机房围护结构的构造和材料要满足保温、隔热、防火等要求。机房设单独出入口，当与其它部门共用出入口时，应避免人流、物流的交叉。建筑的入口至主机房应设通道，通道净宽不应小于1.5m。 5.5.4系统设计说明 篇三：医院信息化安全等保解决方案(二级)医院信息化安全等保解决方案 一、行业背景与需求 为贯彻落实国家信息安全等级保护制度，规范和指导全国卫生行业信息安全等级保护工作，卫生部办公厅于2011年12月下发卫生部《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号）（以下简称《指导意见》）。为贯彻《指导意见》，办公厅同时下发《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔号）（以下简称《通知》），对卫生行业各单位提出如下要求： ■ 日前完成本单位信息系统的定级备案工作； ■ 根据信息系统定级备案情况开展等级测评工作，查找安全差距和风险隐患，并结合自身安全需求，制订安全建设整改方案； ■ 日前完成信息安全等级保护建设整改工作，并通过等级测评。 《指导意见》根据《信息安全技术信息系统安全等级保护定级指南》（以下简称《定级指南》）、《信息安全技术信息系统安全等级保护基本要求》（以下简称《基本要求》），建议县区级医院的核心业务信息系统安全保护等级原则上不低于二级。各省卫生厅根据《指导意见》、《定级指南》、《基本要求》等相关规定，并结合本区域现状提出本区域内县区级医院定级要求，大部分省（市）定级要求如下：
二、迪普解决之道 为帮助县区医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求，迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为县区医院提供全方位的等级保护解决方案。 ■ 整体思路 县级医院网络一般分为两张物理网络：内网（业务网）和外网（办公网）。内网主要承载着HIS、LIS、PACS等医院信息系统，外网主要承载医院OA、网站、mail等信息系统。《基本要求》中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力，应满足相应的基本安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个层面。本方案针对医院内外两张物理网络及其承载的信息系统，分别从网络安全、主机安全、应用安全、数据安全四个层面进行设计。
网络安全、主机安全、应用安全、数据安全均包含多个控制点，而每个控制点又包含多个具体的技术要求项，本方案针对其中具体项要求提出以下的安全措施，如下表所示：
■ 方案描述 医院内网信息安全等级保护方案设计，如下图所示： 图1 首先，将医院内网分为多个安全区域，数据中心区、终端接入区、安全管理区与外联区域。根据不同的业务系统与安全区域划分VLAN，在数据中心与外联区域边界部署DPtech FW1000防火墙，根据访问需求配置安全访问控制策略。对于重要区域边界部署（数据中心前端）IPS2000入侵防御系统，对应用层攻击进行检测与在线防御，并在线过滤网络病毒、恶意代码在安全管理区部署DPtech UMC统一管理中心与DPtech Scanner1000漏洞扫描系统，为安全管理提供必要的技术手段，并集中收集、防火墙与IPS业务日志等。 医院外网信息安全等级保护方案计设，如下图所示： 图2 医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。 对外服务器区前端部署DPtech WAF3000 Web应用防火墙，对医院门户网站进行重点防护，针对WEB攻击漏洞进行全面检测和加固，防止网站被攻击与篡改；互联网边界部署DPtech FW1000防火墙，根据访问需求配置安全访问控制策略；部署DPtech UAG3000
审计及流控网关，对外网用户的上网行为进行控制，合理分配带宽，并对上网行为进行审计；在安全管理区部署DPtech UMC统一管理中心，对安全设备进行集中管理。 方案设计参考标准 GB/T 信息安全技术信息系统安全等级保护基本要求 GB/T 信息安全技术信息系统安全等级保护实施指南 GB/T
信息安全技术信息系统安全通用技术要求 GA/T 708-2007 信息安全技术信息系统安全等级保护体系框架 GA/T 709-2007 信息安全技术信息系统安全等级保护基本模型 GA/T 709-2007信息安全技术信息系统安全等级保护基本配置 信息安全技术信息系统等级保护安全建设技术方案设计规范 信息安全技术信息系统等级保护安全设计技术要求 信息安全技术信息系统安全等级保护测评要求 …… 三、为什么选择迪普 迪普科技“医院信息系统等级保护解决方案”依据国家信息安全等级保护相关政策标准与卫生行业的相关标准与要求，结合医院信息化安全实际需求进行设计，可全面提升医院信息安全防护能力与安全管理能力。主要具备以下特点： ■ 合规性 本方案全面依据《定级指南》、《基本要求》等相关标准，结合迪普科技丰富的等级保护建设经验，充分理解《信息系统安全等级保护测评要求》，对其中的每一项要求均有相关的产品功能、安全策略与之对应（除非网络产品涉及的要求外），采用本方案的医院信息化系统可充分满足国家与医疗行业等保建设要求。114网址导航迪普科技产品技术架构
安全咨询服务
基础安全产品
应用安全产品
应用交付产品
工业交换机产品
应用网络产品
上网行为管理及流控
DPtech UAG3000上网行为管理及流控技术白皮书
图1 应用流量识别流程图■&IP+PORT快速识别流程对于提供服务比较固定的协议，如游戏类，其很少变化，在第一次学习到为游戏协议后，记录对应的IP+PORT，当后续流量经过设备，在第一时间就可以正确识别协议，这种技术将应用识别和快速匹配相结合，最大化的提升处理性能。如果报文没有命中对应IP+PORT对应表，将进入DPI识别方式。在DPI和FPI处理流程，如果有新的IP+PORT表项生产，将会刷新到“IP+PORT快速识别”流程，确保系统高效识别。■&DPI识别流程对于存在明确特征的协议，采取DPI方式识别。采取此方式需要对协议进行详细的分析，充分的理解，才能准确的提取特征，避免漏报及误报。下面以天涯发表博客为例介绍DPI识别流程。迪普科技的协议识别采取逐层推导的方式，例如只能在TCP的基础上推导出HTTP协议，如果在UDP报文中假使命中HTTP的特征，就直接将此特征过滤掉。天涯发表博客协议是基于HTTP协议，所以先介绍下HTTP的协议识别。传统意义上，HTTP可以采用固定端口方式，但HTTP协议可以修改端口，如果使用固定端口方式识别会存在漏报误报问题。因此，HTTP的准确识别需要利用RFC中定义的HTTP请求格式特征。HTTP请求由三部分组成，分别是：请求行、消息报头、请求正文。请求行格式如下： &&& & &图2 HTTP报文主要组成Method请求方法如下：迪普科技把上表“Method”定义为识别HTTP的协议特征，在确保特征出现在报文开始位置的同时，检测在CRLF之前的HTTP-Version协议版本是否为HTTP 1.1、HTTP 1.0、HTTP 0.9中的一种。如条件全部满足则确认为HTTP协议。确认HTTP协议后，再进行天涯博客协议的推导。天涯博客发表博文的请求中设备针对以下三个核心内容进行识别、判断：■&POST■“/myblog/post_process.asp?idWriter=&Key=&BlogID=4102837 HTTP/1.1”■“Host: ”设备将URI中 “/myblog/post_process.asp”定义为天涯博客的协议特征，同时检测域名，如全部符合，则确认为天涯博客协议。识别后可以对天涯博客进行精确处理，如禁止发表天涯博客(通过阻断POST　/myblog/post_process.asp)但不妨碍访问天涯博客。如果报文无法通过DPI进行识别，将进入FPI识别方式。■&FPI识别流程对于FTP、RTSP、P2P等协商协议，采取FPI方式识别。下面以P2P为例介绍FPI识别流程。P2P技术是指网络主机在充当客户端获取资源的同时也充当服务器向其它客户端提供服务。传统的P2P识别主要有如下三类：第一类技术：利用端口进行P2P流量识别即对各种P2P软件的相应流量进行研究，并归纳出常用的一个或多个固定端口。第二类技术：归纳出各种P2P软件流量所有数据包中都含有的或者出现频率最高的特征字符串即关键字，一般关键字的出现位置也是有严格要求的。第三类技术：利用IP地址连接的通信对端IP地址的数量进行P2P识别的技术，也就是FPI技术。迪普P2P智能识别技术提供一种“多重行为关联规则分类分析模型”的方法，对网络中的每一个IP地址的会话进行关联规则分析。■&采集该IP地址会话所连接的对端IP地址分布。用户使用P2P下载文件时，从用户所在的P2P节点或种子服务器获取种子信息，提供的都是此P2P节点或种子服务器获取的地址，所以P2P对端的地址网段相对收敛。■&采集对端IP地址的TCP/UDP端口分布。P2P大多使用端口都大于4000，当使用P2P时对端IP地址的TCP/UDP端口存在大量的大于4000的端口，并且对端IP地址的TCP/UDP端口扩散度较大，不符合已知协议的端口分布。■&采集会话的连接状态、连接时间、传输速率和报文负载等信息。P2P传输除尝试连接外，数据传输都为长链接，传输速率较快，并且都采用双向流下载，即P2P下载的同时还在上传。P2P报文负载都比较大，平均至少要512字节以上。对于以上采集的数据分别进行规则分类分析，如果三类数据均符合预定的P2P特征，就可判断为P2P协议。存在任一类数据与P2P特征一致时，结合其他类数据模型进行多重行为分析，再进一步判断。相对于传统P2P识别技术，此技术排除了传统P2P识别对报文内容关键字或固定端口的依赖，从而实现了对加密的P2P和未知的新出现的P2P流量的识别。此外，为适应用户的特殊需求，设备具有自定义协议功能，可通过固定IP、PORT端口以及自定义协议特征识别新协议。2. 流量管控2.1 流量控制DPtech UAG3000应用流控管理，采用队列管理机制。当对应流量经过设备，创建相应的队列（可按照接口、IP、应用等组合），队列的带宽大小采用动态分配的机制。当实际使用的带宽低于配置的带宽时，将队列带宽相应减小，空闲的带宽与其他队列共享。每个队列按照配置的速率匀速的发送缓存的报文，达到限速的目的。多维度组合流量控制DPtech UAG3000可以基于接口、用户、实名帐号、应用和时间等进行组合流量控制。用户按需求动态控制自己的网络，提高有限的带宽的使用率，提高工作效率。带宽预留带宽预留确保队列独享带宽，为指定业务或通道提供有效保障。因预留带宽不与其他队列共享带宽，当此带宽空闲时，会造成带宽的浪费，配置时需谨慎。链路带宽动态管控当链路的带宽很少有人使用时，对链路进行限速是对带宽的一种浪费。管理员通常都是按照时间配置不同的策略，从而进行调节。但由于时间限制，不能适应流量的动态变化，可能导致带宽的浪费。DPtech UAG3000提供链路带宽动态管控功能。当链路带宽超出管理员配置的最高带宽阀值时，限速策略自动生效。当链路带宽低于管理员配置的最低带宽阀值，且流量稳定时，限速策略自动失效，从而动态的调节带宽，最大效率的利用带宽，又不影响用户的体验感知。零带宽损耗DPtech UAG3000创新的零带宽损耗技术，率先采用“提前”限速的技术理念，解决传统带宽管理“丢包而导致损耗”的难题。通过识别应用协议（如BT、迅雷、网络视频、HTTP等）确认协议传输模型，从而确认与服务器之间交互方式，动态与服务器协商，调整服务器的发送速率，达到控制带宽的效果。这个过程需要消耗大量系统和内存资源，迪普科技通过基于“多核CPU+FPGA+分布式转发”的APP-X硬件平台很好的承接上述资源消耗，在不影响网络应用的情况下，有效解决传统流量管理损耗不能低于30%的难题，启用流量控制后整体带宽几乎无损耗（5%以内），真正实现对应用流量的合理、有效、有序的管理。&图3 零带宽损耗技术流量限额管理员可以通过配置用户的日、周、月的流量，从而限制用户对带宽的使用情况，如果用户使用超过了管理员针对其设置的流量，DPtech UAG3000将阻断用户的上网行为，从而有效提高对用户流量的管理。2.2 访问控制DPtech UAG3000支持按照流量所属的应用层协议或服务，为不同用户的不同服务定义响应的控制策略，实现了基于服务对网络流量进行细分管理。访问控制针对不同的应用流量进行阻断控制，即所有指定的应用流量都被丢弃。在阻断之后，用户不能进行访问，或只能访问管理员指定的不受限制的应用。3. 上网行为管理DPtech UAG3000支持Web应用、Web搜索、Web下载、论坛、邮件、FTP应用、IM应用、远程控制等应用的上网行为管理。&图4 上网行为管理3.1 HTTP审计设备审计详细记录访问的网站URL、网页标题、网页内容等信息，但目前HTTP访问量过大，打开一个网页往往包含多个链接，产生很多用户不需要的审计信息。DPtech UAG3000根据不同用户的需求，提供四种日志级别：仅主链接、主链接与首链接、主链接与次链接、全连接。用户可以按照自己的需要配置不同级别，从而过滤掉多余的日志。支持HTTP智能识别功能，即按照用户的行为方式与HTTP协议的规则相结合，达到只审计用户点击的链接，其他非用户手动点击的链接自动过滤的功能。3.2 邮件审计邮件审计包括Webmail审计和客户端邮件审计。Webmail即Web邮箱审计，是针对用户通过Web邮箱发送邮件的用户上网管理的功能。&图5 Email行为管理客户端邮件审计可对SMTP、POP3、IMAP4协议的邮件审计。DPtech UAG3000可以监控邮件的发件人、收件人、抄送、密送、主题、内容、附件名、附件内容等信息，并且可以通过邮箱过滤规则配置设置用户需要进行过滤的发件人、收件人、关键字、附件名等信息，一旦发现用户发送的邮件中包含用户的过滤信息，或者邮件被识别为垃圾邮件、邮件炸弹，会立即终止邮件的发送，为用户的信息安全提供了保障。DPtech UAG3000 针对客户端邮件审计使用词法分析器及语法分析器相结合生成的技术，从而使客户端邮件的解析速度比传统技术提高一倍以上。3.3 论坛审计设备详细记录用户名、终端信息（主要包括：终端类型、系统类型、浏览器类型等）和发帖的URL以及发帖内容。迪普科技对多种论坛架构进行细致的分析和总结，归类为几种论坛模型（如discuz和phpwind等），对每一种论坛进行独立的处理。DPtech UAG3000采取多模匹配技术，精确定位论坛模型，并按照其模型进行处理，既提升效率又减少日志的误报。目前地方论坛过多，且各个地方关心的论坛不一致，如果所有论坛都覆盖难度很大不说，并且也会对处理是一种浪费。DPtech UAG3000论坛审计针对此情况，开发了自定义论坛审计。用户只需在设备中添加论坛的域名即可，设备会将所有论坛的相关信息保存并过滤，展示给用户。即使添加的论坛有大的变化（部分关键字或整体框架），DPtech UAG3000依然会正常记录论坛信息，做到所有数据全记录，不遗漏。3.4 IM审计DPtech UAG3000可以审计聊天内容、传输文件（包括QQ、飞信、MSN、雅虎通等），这样就可以有效杜绝聊天过程中病毒的引入，并监控员工是否在做与工作无关的事、是否泄露了公司机密等。同时可以设置账号过滤和关键字过滤，使只有特定的账号才能登录以及对言论进行控制。3.5 数据库审计DPtech UAG3000可以实现对数据库的查询、新增、删除、修改、授权等各种操作和行为进行深入分析，支持对SQL命令按数据查询语言DQL、数据操纵语言DML、数据定义语言DDL和数据控制语言DCL进行分类。并提供多种对审计结果的灵活方便的查询方法、审计报表，供数据管理者取证、查询、分析、决策。3.6 关键字过滤对于各种可能造成信息泄漏和法律风险的应用，DPtech UAG3000选用先进的识别算法，精确识别其中包含的关键字，主要技术特点如下：(1) 应用范围广泛，Email、论坛发帖、IM传送文件和搜索引擎搜索关键字等行为均可以识别是否包含预定义的关键字。(2) 应用范围精确灵活，可以指定位置进行关键字，如对论坛的发帖内容进行关键字过滤，但搜索的内容不进行控制。(3) 响应方式灵活，匹配到关键字后，可以选择阻断或者告警提示，还可以推送告警通知，及时反馈用户。如为阻断搜索关键字，还可以设定阻断后重定向的URL。三、典型应用/组网DPtech UAG3000支持多种部署方式，可适应不同的网络环境和用户需求。1.&网关模式DPtech UAG3000采用网关模式串接在用户网络链路中，所有流量都通过DPtech UAG3000处理，对内网用户上网行为和数据包实施所有的审计、控制、拦截、流量管理等功能。&图6 网关模式组网2.&透明模式透明模式部署的DPtech UAG3000串接在用户网络链路中，如同连接在出口网关和内网交换机之间的“智能网线”，对流经DPtech UAG3000的所有数据进行审计、控制、拦截、流量管理等操作。透明模式主要适用于不希望更改网络结构、路由配置、IP配置的网络。&图7 透明模式组网3.&旁路模式采用旁路模式部署的DPtech UAG3000将与交换机的分光/镜像端口相连，部署实施简单，完全不影响原有的网络结构，降低了网络单点故障的发生概率。主要用于监听、审计网络中的数据流及用户的网络行为。&图8 旁路模式组网}