TopGateACM上网行为管理系统白皮书v60.docx
《TopGateACM上网行为管理系统白皮书v60.docx》由会员分享,可在线阅读,更多相关《TopGateACM上网行为管理系统白皮书v60.docx(11页珍藏版)》请在冰豆网上搜索。
TopGateACM上网行为管理系统白皮书v60
1.互联网的负面影响
1.1降低工作效率,增加投资成本
根据中国社会科学院社会发展研究中心2005年中国5城市互联网使用状况及影响调查报告的结果显示,被访网民使用最多的网络资源是网络新闻(65.9%),而真正用于学习和工作的比例还不到40%。
图2显示网络资源使用的分布图:
图2.互联网使用情况
由此我们根据用户上网时间和人力成本计算,如下表:
(此表假设员工上班为8小时工作日,每月20个工作日)
图3.工作效率减低损失计算
1.2机密信息外泄,组织蒙受损失
组织内部重要资料和秘密资料通过网络的Web、Email、QQ和MSN等途径向外散发,或被别有用心的人截获而加以利用,或是进行不当互联网访问而引起组织内部计算机感染木马病毒,加大了组织重要及秘密信息的曝光率,给组织信息安全带来隐患:
对于政府、事业单位以及其他公共服务单位,如果互联网管理的不够完善,将会带来极大信息安全隐患,例如经济等类型的重要的信息被通过非法渠道泄漏,此举必然会有损组织的权威及名誉,并导致组织的公信力下降;
对于公司企业,互联网管理的缺失会有可能导致企业重要及机密信息外泄,一旦发生企业机密信息外泄的情况,企业因此而投入了的大量人力物力将会付诸东流,此类案例在互联网广泛使用的今天是屡见不鲜的;
对于网吧和酒店等公共场所,由于浏览非法网页和信息,也给网吧和酒店等场所的管理者带来潜在的法律、道德等经营风险。
对于运营商或网络服务提供商而言,屏蔽非法言论以及不良信息是对社会应尽的义务,而且政府对此有明确要求。
1.3滥用带宽资源,影响正常业务
当前的互联网存在种类众多的应用,基于前面的分析我们会发现,组织成员在使用互联网时更多的是进行娱乐活动,如网络电视、P2P下载等;诸如此类的使用会严重消耗组织的网络带宽,正常业务通讯得不到保障,只能通过增加办公成本来增加带宽,但是网速和带宽没有得到根本的改善。
1.4病毒木马肆行,安全问题凸显
高风险网站导致病毒、木马、流氓软件在内网散播,造成无法正常的使用网络。
研究发现:
众多的互联网访问都存在被恶意软件入侵的可能,BT、MSN等已成为病毒、蠕虫、间谍软件的重要传播渠道。
病毒、木马及流氓软件轻者会给使用目标计算机及网络时带来一些麻烦;严重者会在组织网络中传播木马病毒,导致组织信息外泄;更严重者不仅会导致信息外泄,更能导致组织网络瘫痪,无法正常使用互联网。
1.5存在不当应用,潜藏法律风险
调查发现,在日常互联网的使用中,存在以下较为普遍的现象:
黄赌毒是非法互联网使用的主要方面:
P2P搜索、非法网站访问、非法传播不健康的信息等,非法的信息传播极大的恶化了互联网环境;
不当言论的发表,会给组织带来不必要的法律风险。
很多互联网使用者在自觉与不自觉中会在互联网上发表诸如反动言论、色情、反政府、邪教等,给所在的互联网部门带来潜在的法律风险;
员工黑客的存在,也会给组织带来新的法律风险。
我国公安部门严格查禁利用互联网发表反动言论、色情、反政府、邪教等非法活动,详情请参考我国公安部门的相关发文。
以上所述的非法互联网活动如果不加管理,将会给所在的组织带来极大的潜在法律及道德风险。
2.TopGate的价值体现
天融信的TopGate-ACM系列上网行为管理系统是专门针对上网行为而设计开发的网络行为分析和管理工具,帮助管理者全面了解员工上网情况和网络使用情况,提高网络使用效率和工作效率,最大限度地避免不当的上网行为带来的潜在风险和损失。
TopGate-ACM上网行为管理系统是天融信互联网管理解决方案的核心,作为完全拥有自主知识产权的上网行为管理系统,集成先进的软硬件体系构架,配以先进的行为分析,控制引擎、灵活多样的管理控制策略,实时分析网络活动,匹配管控策略,并生成丰富的统计报表。
能够满足企事业单位、政府机关、金融电信、石油能源、学校教育行业等各种Internet互联网使用单位的网络行为监控需求。
2.1提高工作效率,提高网络使用效率
TopGate-ACM上网行为管理,可以对所有与工作无关的应用进行设置,例如阻断QQ,网络游戏,网络电视,炒股软件等应用软件,上班时间只能开展与工作相关的业务。
而且,天融信提供了针对网络站点的分类,在经过严格、准确的站点分类的基础上,天融信-ACM能够准确的识别各种分类站点,并能够根据用户的策略对不允许访问的站点进行屏蔽,从而保障工作效率。
2.2避免机密外泄以及法律风险
为避免内部人员将单位的机密信息泄露以及在互联网上发表不法言论,TopGate-ACM对所有外发信息进行详细地监控和记录,监控的外发信息包括BBS发帖、邮件、MSN聊天,博客等,如果外发信息中包括非法内容,则进行阻断。
同时用户所有的外发信息都会一一记录,保存在本地磁盘,以供管理者在需要时提供必要的司法依据。
TopGate-ACM提供了对非法事件的报警功能。
根据用户设置的非法事件定义,TopGate-ACM能够第一时间针对用户的非法事件产生报警信息,并可根据设置将报警信息发送给相关责任人。
2.3网络带宽管理,防止网络资源滥用
针对网络资源滥用的问题,TopGate-ACM可以通过多种策略方式的设置,对P2P下载工具,在线视频,网络电视等进行流量限制,对ERP,视频会议,邮件等关键业务和正常业务进行带宽保障。
2.4丰富的统计报表,实现上网行为审计
TopGate-ACM提供了对上网用户使用信息的分时段、分应用等查询,通过自动生成的TOP-N排名报表、上网时间统计报表、上网时间高峰段报表等数据统计报表(图),以便网络管理员能够确切的知道每个局域网用户使用网络的时间、流量、排名,并据此制定相应的管理策略,提高互联网使用效率,更好的管理网络。
3.功能实现
3.1基础模块
网络行为管理系统采用数据包过滤的方式,对内外网络的交换数据进行必要的审查和过滤,能够有效的减低网络内部的安全风险。
其中包括路由功能、轻型防火墙功能和防DDoS攻击功能。
3.1.1路由功能
产品内置静态与动态路由功能,在网络接入环境中可以实现路由,从而协助用户达到节省投资简化管理的目的。
3.1.2防火墙功能
通过建立访问控制列表(ACL),限制和管理内网用户和外网的访问请求,同时能够禁止外网用户到内部网络的病毒和黑客攻击。
3.1.3防DDOS攻击
采用了数理分析统计的概率和随机过程概念,不基于特定规则的防DDOS攻击能够可防御各类DOS和DDOS攻击及其变种,如SYNFlood、UDPFlood、(M)StreamFlood和ICMPFlood、PingofDeath、Land、TearDrop、WinNuke等。
保护内部主机和网络的安全和服务的连续性。
另外,通过网络地址转换(NAT)功能,能够有效地隐藏内部的网络结构和内部网络地址,从而也提高了网络的安全性。
3.2接入管理
3.2.1认证/授权/计费
网络的使用是基于账号和密码的认证方式,用户只需在web页面中输入用户账号和密码通过网关的认证,便可使用网络资源。
为确保用户能够查询使用网络资源的情况,还提供一些附加功能,如即时查询使用时间、流量等费用信息。
认证:
网关把用户的账号、IP、VLANID、MAC地址进行三层绑定,以此确保了用户的唯一性,避免了账号的盗用。
网络行为管理综合网关提供了简单方便的认证方式便于用户的接入网络:
1)用户上网前的认证采用Web页面登陆的方式,用户上网只需要三步:
连接网线、启动计算机和打开浏览器,网络行为管理综合网关将用户强制连接到设定的访问页面,输入用户名和密码进行用户身份认证,无需下载客户端软件和更改用户端设置,即插即用,非常方便用户的使用。
2)当用户通过系统认证后,在一段时间内无需再次认证,插上网线就可以继续使用网络,同时网关也对该用户进行计费,不需要硬件的支持。
3)用户还可以通过网页来查看上网的时间和流量等网络使用的信息。
4)方便的退出机制,用户可以直接在Web页面上Logout、关闭驻留页面、关机、拔掉网线方式来退出和停止使用网络资源。
授权:
用户通过输入用户名和密码之后,用户的认证信息将通过加密的方式发送到多功能网关,在与数据库的数据进行匹配之后,网关将根据系统已经设置完成的用户权限返回对应的用户或用户组,用户将根据得到的授权使用网络资源。
根据不同的用户和用户组,设定用户的上网权限,包括用户上网使用的计算机,用户接入网络的IP地址,用户的上网时间段,用户禁止浏览的网站,用户上网的每天或每月能够上网的总计时长。
计费:
对用户的计费是基于多种策略的,包括时间段、流量、时长优惠、流量优惠、包时包月等等。
可以根据用户的需要选择基于时间、流量、包时、费用封顶等多种灵活的计费方式,并可打印完善的收费账单,或者提供与其它管理系统的接口数据以形成整体的计费管理系统。
3.2.2即插即用
网络行为管理综合网关是真正的即插即用设备,能够实现用户端即插即用,不论用户采用的是自动分配IP地址的方式还是用户已经设定好了网络适配器的网络IP地址等参数,都无需修改这些参数(如IP、Mask、Gateway、DNS和DHCP等任何参数)即可上网。
极大的简化了网络的管理,提高了网络的可靠性。
3.2.3IP/MAC/VLANID绑定
系统支持地址和端口绑定,采用用户账号和VLAN编号、IP地址以及MAC地址绑定的方式,能够防止用户的账号被盗用,同时也保证用户使用网络的统计信息更加准确。
3.3流量管理
TopGate-ACM上网行为管理系统是以应用为基础,以优先级为条件,辅以连接数、连接速率以及传输方向进行带宽管理策略设置。
合理的策略设置能够使当前的网络为更多的网络用户和应用服务,并可以通过优先级设置、权限设置等多种带宽管理方式来管理或限制网络娱乐或其它非业务应用对网络的占用,保证关键业务和正常业务的畅通。
网络应用能够通过系统的多种管理形式来设定和控制用户的网络使用带宽。
3.3.1基于应用类型的带宽策略
TopGate-ACM上网行为管理系统可以基于应用对带宽进行管理策略设置。
系统可以准确分析数据的协议类型以及应用类型,通过带宽策略的设置,准确限制各业务、各应用的带宽使用权限。
使得网络使用者能够根据需要,区分主要业务与次要业务等网络应用,有效保证对关键业务的网络带宽的需求,使得网络资源使用更加合理,有效提升网络使用效率。
3.3.2基于用户或用户组的带宽策略
TopGate-ACM上网行为管理系统既可以针对不同的用户组设置带宽,亦可针对单独的用户进行带宽设置;从而实现不同属性的互联网使用者按需使用网络资源,保障网络资源得到合理的使用。
比如,保证领导视频会议、邮件等应用的带宽而限制员工P2P下载、在线视频等应用的带宽等等。
3.3.3基于不同优先级的带宽管理策略
通过设置不同的优先级,优先保障关键业务的带宽占用,使得每组用户中的非关键应用在保障核心关键业务顺畅运转的基础上可以使用部分网络带宽,从而最大程度的提升网络利用率。
例如组G1加应用A1中可以将同一个组而不同的应用进行分类,并设定优先级,从而确保关键应用/关键使用人的带宽使用保障。
通过用户及应用的带宽管理优先级设定,还可以将非关键业务纳入到管理范畴之内,使得网络内部各种流量都可管可控。
3.3.4根据数据传输方向控制带宽
考虑到当前一些上传、下载量及不均衡的应用,TopGate-ACM能够分别制定组内或者全局的上传带宽控制、保障策略和下载带宽控制、保障策略,从而既保障了网络用户使用网络的基础接入能力,还能通过对非关键应用的控制来保障核心业务不受干扰。
3.3.5通过控制连接速率控制带宽
TopGate-ACM上网行为管理系统的带宽管理中还可以通过连接速率的限制来进行带
升级会员 