| 对比项 | 网康 | 深信服 | 对比功能对客户的重要性 |
| 产品资质 | 中国软件评测中心(CSTC)出具的《信息安全产品测试报告》 | 深信服没有此测试报告 | 中国软件评测中心是工信部直属的国家一级科研事业单位,是国内最具权威性的国家级软硬件产品和信息系统测试实验室,依据标准GB/T 18336.2-2008、GB/T 20945-2007、GA/T 698-2007对产品进行严格的测试。 |
| 公司资质 | 产品的设计、开发及服务均通过ISO9001:2008认证 | 深信服仅有供应链体系和客服体系通过ISO9001认证,其产品的开发、设计并未通过该认证 | ISO9001:2008质量管理体系认证代表了一个产品的质量好坏,仅仅是供应链体系和客户体系通过该认证,仅能证明供货和售后服务没有问题,并不能证明产品本身的质量好坏,而只有一个产品的设计、开发经过严格的质量把关,才能确保设备的质量过关。 |
| 网康荣获“北京市网络安全保卫总队通报机制合作单位”称号 | 深信服无此称号 | 该合作称号属于北京地区特有,针对北京的项目或总部在北京的客户,可以考虑将此加上,目前同属于北京市合作单位的大约有30多家北京的安全厂商,包括天融信、江民、网神等 | |
| 硬件指标 | 设备面板提供RJ-45或RS-232硬件串口,可供管理员通过超级终端用串口登陆配置系统 | 深信服提供串口,但用户无法通过串口登陆系统进行管理 | 串口作为一种重要的设备管理方式,在Cisco、Juniper、各种网络设备中都有提供并起到了重要作用。如果无法通过串口进行管理,在设备故障失效的时候,无法通过一个有效的备用管理手段进行故障诊断;甚至当忘记设备的IP地址时就无法对设备进行管理。 |
| 设备必须可以提供于LAN,WAN,DMZ接口的管理口 | 深信服没有专用的管理口,只能从工作口中选一个做管理口 | 对于多链路用户、镜像用户,的管理口更有便于用户对设备进行管理。 | |
| 设备管理方式 | 必须可以做到在修改任何网络配置后均无需重新启动设备 | 深信服在每次修改设备网络配置后都必须重启,对IT部门的运维管理造成很大的不便,同时也会造成网络的短暂中断 | 优化网络结构、调整设备网络配置是网络管理人员经常需要进行的常规工作,如果在修改网络配置时还需要重启设备,会使得网络暂时中断,给业务的正常运行带来不必要的麻烦。 |
| 可靠性保障 | 设备面板提供的硬件bypass按钮(注:不是电源开关),在不关电情况下将设备手动切换到直通状态;启动硬件bypass后,设备依旧可以被管理;bypass按钮需要提供指示灯以呈现当前设备byapss状态。 | 深信服没有面板bypass按钮;注意其可能会用电源开关来蒙混概念,如遇到应予以驳斥 | 巡检bypass按钮对于网络故障排查、故障应急处置有着重要意义。首先,当出现难以定位的网络故障时,可以通过bypass按钮快速将设备带电切换到直通状态,确认是否是由于设备故障导致网络异常,快速定位故障点;其次,当出现错位配置等原因导致的突发设备故障现象时,可快速通过bypass按钮将设备切换为直通以保证网络不受中断影响。 |
| 设备内置硬盘及CF卡灾备双系统,当主系统发生故障时可切换到备份系统,由备份系统执行互联网行为管控功能。 | 深信服没有备份系统;同时其声称具备RAID来提供可靠性,但其设备只带有一块硬盘,不可能执行RAID功能 | 设备的长期可靠性,有效性是采购网络设备的一个重要指标。双主控冗余备份是专业网络设备的很普遍的一个特点,这个在各大网络产品公司是一个普遍的技术。采用CF卡存储备份系统也是一个很常见的方式,例如思科,华为的网络设备都可支持CF卡的系统。CF卡的稳定性也是可以认可的,例如启明星辰,绿盟的很多安全设备都没有硬盘,就是靠CF卡工作也可以很长时间无故障工作。反之硬盘是公认的易损件,由于内容安全产品是不断的读写硬盘,很可能导致硬盘损坏,而在硬盘损坏时如果没有备份方案就只能返场维修,导致长时间的互联网无法管理。据我们了解,目前的上网行为产品都是硬盘,根本无法进行RAID(RAID至少2块硬盘)。考虑到要采购一台长期可靠,有效的上网管理网关,那么双主控备份就是一个完全合理的要求。 | |
| 用户正确性管理 | AD权限组中,如果一个用户同时属于两个权限组,则能够让该用户同时具备两个用户组的权限 | 深信服只能让这样的用户具备其中一个权限组的权限,与真实需求不符 | 对于单用户属于多个权限组的情况,如财务经理应同时属于财务权限组和经理权限组,按照AD权限组的实际要求,应让该用户同时具备这两个组的权限,否则与真实情况是有差距的,设备实际上无法与微软AD完全匹配结合。 |
| 能够在用户属性中添加“电话”、“住址”、“邮箱”等自定义属性字段,字段名称可根据需求灵活定义。 | 深信服不支持自定义字段 | 设备自带的用户属性不足以满足管理需求,实际工作中需要在用户属性中提供邮箱、QQ号、MSN等信息以帮助管理员开展工作。 | |
| 网页浏览精细化管理 | 可以通过两个层面实现搜索引擎控制,首先可以识别搜索内容类型如文字、图片、视频;再针对不同类型进行搜索关键字控制 | 深信服对搜索引擎关键字的控制,无法根据所用户搜索的内容类型进行精细化的控制 | 如果不能区分用户搜索的信息类型,是无法实现对搜索引擎的有效管控的。比如组织要求封堵成人视频,因而设置“三级”作为封堵的搜索关键字,此时必须结合“视频”类型,才能精确实现管控目标。否则很多正常的文字网页都会被封堵,“三级甲等医院”等等。 |
| 能够有效记录用户上网行为的操作,支持仅对用户浏览过的特定违法类的WEB页面进行留存页面快照备查,能够完整保存网页内容,包括文字、图片等,能够在离线状态下还原查看 | 深信服会记录大量非用户主动访问的WEB页面记录,并且网页快照在离线状态下只能保存文字信息 | 大量的无效记录会淹没用户的真实行为,影响网站访问行为统计分析结果的正确性,不完整的网页快照不利于最终取证,特别是对违规图片信息的浏览访问,无法保留证据 | |
| 应用使用精细化管理 | 可以指定的具体网络应用限定用户对该应用的一天的上网时长 必须可以针对不同的网络应用设置不同的上网时长 | 只能对人设置整体的上网时长,不能针对不同应用设置 | 该对比的客户价值说明: 控制上网时长是为了避免员工过多的在网络上耗费时间耽误工作,然而在网络中有合法的应用也有占用时间的不合规的应用,那么作为管理者需要控制的上网时长应该是针对特定的不合规的应用的,而不是全部禁止,例如邮件,IM的工作沟通,远程OA等这些都是对工作有帮助的,所以这些的上网时长不能够控制。如果只能统一控制上网时长,那么这个功能实际上无法起到真正的作用,仅仅是一个摆设。并且每个应用的耗费时间的效果是不同的,管理员有必要灵活的根据不同的情况制定针对不同应用的上网时长,这样才会得到员工的理解,不会引起过强的抵触。因此要求精细化控制上网时长是完全合理的 |
| 外发信息管理与审计 | 可以对常用IM在指定的时间段内进行基于各种IM特征参数的精细化审计并控制管理 必须能够对MSN、飞信发送的文件进行关键字审计与过滤,并提供报警 | 深信服不能审计MSN、飞信传输的文件名称,不能对文件传输行为进行关键字过滤 | IM细分控制审计,关键字告警功能的合理性 业界有一个共识就是对于控制审计如果仅仅采取粗旷的方式来控制,将导致控制行为被极大的抵触,并且审计内容也会泛滥成堆,失去重点。因此仅仅控制自己想控制的,仅仅审计自己需要审计的,是每个IT专业人员的默认准则。购买这个产品是为了起到效果,但不能招致不必要的抵触。更不能审计不该审计的内容避免审计风险,因此灵活的设置控制与审计条件是完全合理的。IM的文件传输已经成为较为普遍的行为,如果不加以审计和过滤,可能成为管理的死角。 |
| 可以基于发信人、收信人、主题、正文、附件名关键字对邮件外发邮件内容进行审计、过滤、报警,并且能够保留阻断邮件原文 | 深信服阻断邮件后不能保留原文留证,阻断邮件不进行报警,只有审计邮件可报警 | 该对比的客户价值说明: 由于管理员不可能实时的盯着设备看,因此当个别违规行为发生后管理员很可并不知道,因此及时的告警通知到管理员是十分必要的。因此这个要求是完全合理的,必要的。对于阻断的邮件原文不留证,一旦发生投诉,无证可查。 | |
| 可以基于发信人、收信人、主题、正文、附件名关键字对webmail外发邮件内容进行审计、过滤、报警 | 深信服对webmail只能基于关键字匹配,不能区分发信人、收信人等多种条件 | webmail作为一个重要的信息外发手段,需要进行精细化的审计和管理,配合不同的条件,可以做到如发给领导的webmail不做审计,避免领导问责,或阻断发给竞争对手的webmail,管理更灵活,单纯的依靠简单的关键字来进行过滤做法过于粗犷。 | |
| 可以对搜索非法关键字的行为进行阻断、报警,并且能够保留阻断的关键字 | 深信服阻断非法关键字搜索行为后不能保留原文留证,阻断不进行报警,只有审计可报警 | 该对比的客户价值说明: 由于管理员不可能实时的盯着设备看,因此当个别违规行为发生后管理员很可并不知道,因此及时的告警通知到管理员是十分必要的。因此这个要求是完全合理的,必要的。对于阻断的原文不留证,一旦发生投诉,无证可查。 | |
| 系统监控 | 对日志内容进行加密,采用HTTPS方式访问 | 深信服内置的日志中心采用HTTP方式访问,内容不加密 | 该对比的客户价值说明: 作为一个网络产品,尤其是一个涉及到很多敏感信息的产品,对于日志内容的保护是必须的,如果对日志内容不加密,那么只要在内网安装嗅探器,即可看到管理员查看的日志记录,可能造成数据泄密,因此这个需求是完全合理的。 |
| 采用三权分立,系统管理员、日志查看员、操作审核员互相制约,保障系统安全 | 深信服不支持三权分立,存在超级管理员 | 作为一个网络设备,尤其是一个涉及到很多敏感信息并对互联网行为进行管控的产品,如果存在“超级管理员”,那么一旦“超级管理员”的信息泄露,则立即丧失全系统控制权,系统可能成为泄密点甚至进一步攻击的跳板,危险性很大,因此这个需求是完全合理的。 | |
| 可以对系统状态、异常流量、违规行为、非法内容进行实时报警,支持多级报警、支持声音报警、邮件报警等多种方式 | 深信服不支持实时报警,不支持多种方式报警 | 该对比的客户价值说明: 由于管理员不可能实时的盯着设备看,因此系统异常、个别违规行为等情况发生后管理员很可并不知道,因此及时的告警通知到管理员是十分必要的,因此这个要求是完全合理的。 |
