上海XXXX行为管理方案.docx
《上海XXXX行为管理方案.docx》由会员分享,可在线阅读,更多相关《上海XXXX行为管理方案.docx(23页珍藏版)》请在冰豆网上搜索。
上海XXXX行为管理方案
上海XXXX有限公司
上网行为管理建议方案
上海新网程信息技术有限公司
网址:
2009年03月
目录
前言3
一.实施背景4
二.实施目的4
三.需求分析5
3.1网络情况分析5
3.2上网行为管理需求分析5
四.实施地点6
五.实施方案7
5.1网络情况说明7
5.2设备选型7
5.2.1产品选型7
5.2.2产品清单及价格7
5.3设备部署情况8
5.4建议管理模式8
5.4.1分时段管理9
5.4.2分级别管理方式9
5.4.3使用效果10
六.系统功能10
6.1网络督察功能10
6.2管理中心功能14
6.3技术特色16
6.3.1独创技术16
6.3.2系统特色17
七.实施和服务18
7.1项目实施流程18
7.2项目的质量控制18
7.3技术支持与维护18
7.4系统安装19
7.5系统试运行、测试19
7.6系统验收19
八.总结20
前言
如果要评选20世纪90年代以来最有影响力的事物,毫无疑问我们会选择互联网。
互联网的发展让我们始料不及,他改变了人们的交流方式甚至工作习惯。
如果从企业经营的角度来思考,网络带来的正面好处是企业竞争力的提升,有效率的信息传递和与客户沟通的方便。
但是,不容否认的是,互联网如果使用不当,会对公司对企业产生极大的负面影响。
我们经常听到公司老板的抱怨:
“花钱买电脑、装宽带。
本想凭此提高员工工作效率。
但却因此发觉员工上班期间常有滥用网络现象,如上班时间利用网络聊天、看新闻、通过互联网把公司敏感信息轻易传播出去……”。
诸如此类问题,令企业的管理者叫苦不迭。
所以我们不得不承认:
互联网是一把“双刃剑”,一方面,它使得企业具有更强的竞争力、沟通力、适应力;另一方面,对互联网使用不当完全有可能给企业自身带来很大的伤害。
如何对互联网行为进行有效的管理和利用,使Internet真正为企业的生产和经营活动服务,相信是很多公司企业管理者越来越重视的问题。
如何应对互联网带来的负面作用?
难道是拒绝使用?
这恐怕是不可能的,网络已经成为绝大部分部企业的必要工作手段,害怕互联网的负面影响而隔离于互联世界之外无异于“闭关自守”。
那么,在使用互联网的前提下,怎样使公司企业的网络资源更好地发挥作用就摆在了所有公司企业管理者的面前了。
●如何保证员工的上网行为是合理的、有效的?
●如何限制员工滥用企业的网络资源?
●如何合理分配利用企业的上网带宽?
●如何避免员工通过邮件或互联网泄漏企业的保密信息?
●如何保证员工所发送的信息都是符合法律法规?
应该说互联网的广泛应用和迅速发展给我们带来了挑战,管理得好可以维护社会稳定,提高企事业单位的工作和生产效率,反之则可能激化社会矛盾,影响正常工作次序。
作为国内“网络行为管理”产品最早的研发单位之一,上海新网程信息技术有限公司(简称新网程)一直致力于各种上网行为管理、监控技术的研究。
推出的“网络督察”系列产品就是为了满足管理部门对各种网络行为的管理和监控的需要。
目前“网络督察”已广泛地在政府机关、企事业单位、酒店宾馆、学校等投入使用,该产品以灵活而又贴近用户的设计理念深受企事业单位的喜爱。
本方案主要针对上海XXXXX有限公司的上网行为管理方面的需求介绍新网程推出的“网络督察”解决方案。
一.实施背景
随着业务发展和用户的需要,网络日趋复杂,应用日益增多。
面临的问题也日益增多。
因此,全面监控这复杂的网络系统,确保网络和应用之性能已成为迫在眉睫的任务。
上海XXXX有限公司的员工在上班时间做一些与工作无关的事情,具体表现如下:
浏览网页、MSN、QQ聊天、在线看视频、BBS发帖、网络游戏、BT、迅雷下载等,导致员工工作效率下降,同时BT、迅雷、在线视频等应用使XXXXX公司网络堵塞,导致带宽没有正真为企业的运行而服务。
员工的工作效率下降、带宽资源的浪费、BBS上面发帖有可能给企业带来法律风险、MSN、QQ聊天可能导致一些机密信息的泄露。
都给企业带来了巨大的损失。
为了更好的解决网络中出现的问题,加强对互联网络的管理,有必要对公司员工的上网行为进行监控和控制同时对带宽流量的分配。
从而大大提高公司员工的工作效率以及使带宽资源得到最大化利用,同时减少管理成本。
实施方:
上海新网程(Pronetway)
上海新网程信息技术有限公司成立于1998年8月,由清华学子和数位资深互联网及网络安全技术专家创立,专门从事互联网应用及信息网络安全产品研发的高新技术企业。
新网程是上海市首批获得“软件企业认定证书”,也是国内首家从事上网行为管理研究、并将研究成果转化为生产力的企业,拥有多项自主产权技术和产品的创新型企业,并得到了政府有关部门的大力支持。
同时,公司利用自身强大的技术实力积极配合各级政府及公安网监部门参与了国家有关行业标准的制定与多项保障互联网安全、净化互联网环境的工作,在业界享有很高的声誉。
07年网络督察顺利通过国家保密局涉密信息系统安全测评中心测试,获得了“涉密信息系统产品检测证书”。
同年网络督察7.0顺利通过由公安部计算机系统安全产品质量监督检验中心的严格测试。
测试依据的标准为公安部颁布的《互联网安全保护技术措施规定》(即公安部第82号令)的配套技术标准。
二.实施目的
•制定和实施一套被员工所接受的互联网使用政策。
•平衡因公、因私上网需求,提高员工工作效率。
•顺应时代潮流,文明上网!
•降低企业的法律责任。
•为企业节约管理成本,加强工作效能、净化网络环境!
三.需求分析
3.1网络情况分析
3.2上网行为管理需求分析
通过与上海XXXXX有限公司管理人员交流和新网程类似项目的实施经验,我们认为上海XXXXX有限公司对于上网行为管理需求主要集中在以下几个方面:
a)实时监控
可以实现实时监控当前网络的使用情况,即时查看用户访问互联网各类应用的信息,包括访问的时间、访问的协议、IP地址、访问的内容、数据的流量和所占带宽等。
b)访问控制
提供完整的访问控制管理策略,可灵活地按用户角色或者按员工、部门以及整个航天航空单位对上网行为进行控制,可以根据时间段、服务、网址、流量等手段进行控制。
c)内容监控
可对上网内容进行监控,包括邮件内容、WebMail、即时通信内容(QQ、MSN、ICQ、雅虎通等)、BBS发贴、FTP和Telnet会话内容等。
系统自动按选择条件对监控的内容进行记录分类,。
d)上网统计分析
提供数十种统计报表对上网流量、时间等进行统计,可生成各类排行榜,并可以图表的方式从各个角度对员工上网情况进行分析。
灵活的条件输入和结果选择,几乎涵盖管理者的各种要求。
统计结果可导出到Excel表格,方便进行二次处理。
e)带宽管理
可以按部门、个人以及服务类型等来制定策略对带宽进行管理。
可将带宽划分成若干个虚拟通道,设定每个通道的带宽,上、下载速度的限制,优先级和管理策略,可以灵活控制每个人的上网带宽。
f)用户定位
系统支持以单位、部门、组、用户多级管理,根据用户单位的实际情况支持以IP地址、MAC地址、域认证、VLANID等多种模式来定位用户。
g)日志备份
详细记录用户所有上网的日志,包括HTTP、SMTP、POP3、网络游戏、股票、视频等近百种上网日志,包括邮件收发内容、BBS发帖内容、WebMail内容,日志可以保留90天(国家要求60天)。
归档的日志可以通过各种组合条件灵活的查询。
也可以备份到异地进行离线查看。
总之,上海XXXXX有限公司需要一套能安装简单、满足需求、方便使用的上网行为管理系统,新网程所推荐的“网络督察”解决方案能满足上海XXXXX有限公司的上述管理需求。
四.实施地点
各节点机房
五.实施方案
5.1网络情况说明
仓库需要管理电脑数目10台
楼需要管理的电话数目30人
总部需要管理的电脑数目40人
5.2设备选型
基于目前上海XXXXX有限公司的实际需求,建议采用ProEIM-R6000系类两台、ProEIM-R6000A一台以及网络督察管理中心一个。
5.2.1产品选型
产品型号
参数
ProEIM-R6000
3个百兆电口,40G硬盘、数据包转发能力20M/S、深度信息分析能力5M/S、1U19寸机架式
ProEIM-R6000A
3个百兆电口、60G硬盘、数据包转发能力30M/S、深度信息分析能力8M/S、1U19寸机架式
ProEIM-SRV-5
适用于管理5个以内的网络督察。
适用规模:
ProEIMR-6000:
适用于带宽流量小于5M,内网管理的用户30个。
ProEIMR-6000A:
适用于带宽流量小于8M,内网管理的用户50个
ProEIM-SRV-5:
适用于管理各节点的网络督察数目5个以内
5.2.2产品清单及价格
序号
货物名称
型号
数量
单价
金额¥
1
ProEIM-R系列
ProEIM-R6000
2
13,500.00
27,000.00
ProEIM-R6000A
1
14,500.00
14,500.00
2
网络督察管理中心
ProEIM-SRV-5
1
58,000.00
58,000.00
5.3设备部署情况
根据上海XXXXX有限公司的需求和以往系统实施的经验,我们设计了一套适应当前需要和兼顾对未来业务扩展进行有效支持的系统架构。
结构如下图所示:
网络督察作为上网行为管理设备部署网络出口干路,以透明网桥连接的方式串接在核心交换与防火墙之间,进行网络行为管理、安全审计、信息过滤和带宽管理。
具体连接方式是:
将网络督察的二个网口配置成网桥模式,ETH0外网口连接到防火墙,ETH1连接到核心交换机。
这种网桥的部署方式可以对访问Internet的用户进行有效的管理,并且安装简单,对原有网络拓扑结构不需要做大的改动,对网络传输性能也基本没有影响。
同时在总部的服务器上安装一个网络督察管理中心,通过管理中心将3节点的网络督察连接在一起,这样就可以很方便的统一来管理整个公司的员工的网络行为
5.4建议管理模式
根据上海XXXXX有限公司的需求和以往大公司、大用户系统实施的经验,我们建议用户采用的管理方式有:
5.4.1分时段管理
●工作时间:
记录所有用户互联网访问记录;
备份用户收发邮件、提交表单内容;
阻断不良应用如:
阻断QQ、游戏网站、成人网站等。
●非工作时间
不做限制上网。
记录所有用户上网情况。
5.4.2分级别管理方式
●高层管理人员策略
采用免监控策略。
记录用户的上网日志
●中层管理人员策略
纪录统计上网情况;
记录用户的上网日志
在工作时间部分控制、禁止访问不良网站,色情网站等。
●一般员工管理策略
实时监控上网情况如:
访问网站、流量、带宽比例等;
详细记录用户的上网的各类日志,包括HTTP、SMTP、POP3、Telnet、FTP、QQ、MSN、游戏等数十种日志;
制定控制管理策略,杜绝访问不良网站、色情网站及游戏网站等,阻断QQ等影响工作网络服务;
对在网上传送的数据内容进行监控,包括邮件的收发、BBS发贴、通过Web上传的文件、MSN发送的信息内容,敏感信息通知。
在网络督察的使用过程中,我们可以和用户一起讨论,根据贵单位具体情况制定一套更合适的网络管理策略。
5.4.3使用效果
●制定和实施一套被员工所接受的互联网使用政策。
●平衡因公、因私上网需求,提高员工工作效率。
●顺应时代潮流,文明上网!
●降低企业的法律责任。
●为企业节约管理成本,加强工作效能、净化网络环境!
六.系统功能
网络督察是一个功能强大的网络行为管理系统,其所有功能都是面向管理人员而设计的,其目的是为了解决内部局域网人员的上网管理。
6.1网络督察功能
●用户管理
系统支持以IP地址、MAC地址、验证帐号等为参照的用户管理模式,并可对用户分组多层管理。
对不同人员可以设置免监控、不监控邮件内容等不同的监控级别。
●实时监控
可以通过浏览器实时查看用户当前的上网情况,包括其访问的IP地址、网址、服务类型、流量等等,了解网络目前应用状况,及时进行控制和调整,保障网络正常运行。
●日志记录
详细记录用户的上网的各类日志,包括HTTP、SMTP、POP3、Telnet、FTP、QQ、MSN、游戏等数十种日志,同时记录了访问时间、IP地址、MAC地址、流量等重要信息,日志可以按照要求保留90天以上并可组合查询。
●访问控制
提供完整的访问控制管理策略,可灵活地按用户角色或者分组对用户上网行为进行控制,可以根据时间段、服务、网址、流量等手段进行控制,可以封堵常用的聊天软件、炒股软件等服务。
并提供百万级的有害信息过滤网址库防堵不良网站。
●异常管理
根据用户上网状态,如IP连接数、数据包特征、流量等情况,及时发现用户上网电脑是否异常,自动告警或采取相应的控制措施,保障网络通畅。
●带宽管理
可以按组和服务类型等来制定策略对带宽进行管理。
可将带宽划分成若干个虚拟通道,设定每个通道的带宽,上、下载速度的限制,优先级和管理策略,保证等关键应用或重要人员的上网带宽。
●统计分析
提供数十种统计报表对上网流量、时间等进行统计,可生成各类排行榜,并可以图表的方式从各个角度对用户上网情况进行分析。
统计结果可导出到Excel表格,方便进行二次处理。
●自动整理和备份
对用户数据和系统数据进行自动备份和整理。
系统将根据设定的各种数据的保存时间定时自动整理,删除不必要的数据,从而保证系统可以长期稳定地运行。
系统还可以按要求对关键数据和存档数据进行本地或异地备份,备份的信息可以离线查看。
●日志内容审计
能够对HTTP、SMTP、POP3、WebMail、Telnet、FTP、QQ、MSN等常见应用记录其访问日志并对其内容进行还原,可根据进行实时分析、匹配。
6.2管理中心功能
●监控单位管理
对所辖的单位进行管理,查看其连接情况和工作状态。
若下属单位为下级管理中心,系统还可以自动搜集下级管理中心所辖的单位情况,可以对其所辖的所有单位进行全面管理。
●实时监控
可以远程实时监控某一下属单位的网络使用状况,包括其在线用户、实时IP和HTTP连接情况、流量分布等,不需要监控单位提供公网IP地址。
●敏感信息归档
可以设定一些敏感条件下发所辖单位,发现符合条件的敏感信息进行记录、上传以备查询,如聊天内容、收发的邮件内容、访问的网站内容、发送的表单内容等等。
●日志分析审核
能够对归档的日志和信息内容进行分析和比较,查找有害信息和相关线索,对用户上网情况进行统计分析,及时发现问题。
●策略分发
对所辖单位进行集中控制,下发统一控制策略,升级有害信息库,封堵不良访问和过滤有害信息。
●分布查询
可以根据要求发送查询指令,分布式查询各下属节点及监控单位的各种数据,如访问日志、信息内容、统计数据等。
●实时告警
可以针对特定人员和特定内容设置告警,告警信息下发到各节点,当发现有关人员或特定信息时,立即通过系统告警。
●网络轨迹查询
系统可以针对某个特定的用户或网络虚拟身份查询其网络使用的情况,包括上网时间、地点、IP地址及详细的上网记录等。
●告警管理
对系统所产生的告警处置,如邮件通知、手机短信通知等,并对各类告警进行统计分析。
6.3技术特色
6.3.1独创技术
新网程公司在Linux核心技术上有八年的研发经历,在网络行为管理领域也有近五年的研发历史,网络督察是新网程公司技术上不断创新的结果,独有的技术涵盖了网络行为管理产品各个方面。
●旁路侦听
网络督察对流经的数据并不截留而是直接转发,同时将数据镜像到内存进行分析处理,发现有违规行为再对相关数据进行截留,数据经过网络督察的延迟小于0.2ms,因此完全不影响原有网络传输效率。
●网络零拷贝
为在大流量的状态上保证抓包效率,采用网络零拷贝技术直接将流经网卡的数据映射到内存区间,而不通过内核透传,减少系统资源消耗,使丢包率为零。
●连线跟踪
网络督察对所有IP连接记录其状态变化信息,一方面增强实时监控效果,另一方面可简化同一连接数据分析处理过程,极大降低系统资源消耗,提高系统吞吐能力。
●PAS中间件
通过中间件技术,合理分配系统资源,协调进程间通信,标准化数据库和WEB服务接口,自动清理系统废弃资源和重启僵死进程,大大加强系统的可靠性、功能的可扩性、性能的更大化。
●协议分析和数据还原
支持绝大部分常见互联网应用的协议分析和信息内容的数据还原,可以对动态端口变化的协议进行跟踪识别,可自动识别通过HTTP或SOCKS代理做跳板的数据包。
●访问控制
基于协议分析的动态控制,可在旁路安装方式下控制所有TCP应用和QQ的UDP应用,在串接方式下通过NetFilter技术控制所有互联网应用。
●系统自维护
系统内置完善的自动维护系统,可以自动检测进程运行情况,自动清理废弃资源,自动整理磁盘空间,自动检测和修复文件和数据系统等等,保障系统可靠稳定地运行。
6.3.2系统特色
网络督察吸收目前同类产品成功的经验,分析同类产品在功能和结构上的不足,在设计上充分考虑了用户的实际需求,并在性能、功能、使用等各个方面充分利用了当前最先进和成熟的计算机和网络技术,体现了许多独到的地方。
●专业软硬一体的监控设备
采用专门定制的并经严格测试硬件设备,符合工业控制标准,保证了网络督察可以长期、稳定运行。
●不影响原有网络效率
网络督察通过监控以太网上流动的数据包来实现对整个局域网的监控,采用旁路侦听技术,所以并不影响整个网络的效率,也不需要对网络进行特殊的配置。
●运行效率高
网络督察是一个基于Linux系统开发的设备,在设计时我们采用了多进程和共享内存技术等多种技术来提高运行效率,并将数据采集和处理分离,一方面保证采集的数据的高效性和完整性,同时也可充分使用系统的资源对采集的数据进行更复杂的处理,使系统在超大用户量和超大流量下都能高效运行。
●长时间可靠运行
网络督察的核心采用了新网程中间件产品PAS的进程管理技术,可以自动对进程进行管理和监控,定时清理进程中的废弃资源,从而使系统可以长时间运行而不会降低系统的效率。
●B/S系统结构
借助于新网程PAS软件的技术,整个系统的管理和设置全部基于Web方式,在浏览器上就可以直接管理网络督察的运行,监控整个网络的运行状况,不需要额外的客户端软件。
●方便易用
网络督察的使用主要面向管理人员,没有非常深奥的技术词汇,界面使用按照平常工作习惯,细腻且人性化。
并在设计时我们尽量避免日后维护的工作量,网络督察在安装和初始设置好以后,可以不需任何维护系统就能长时间运行。
●实施经济
网络督察采用黑匣子硬件设计,性能高效外降低用户的维护成本。
另外,根据特定客户提供客户确实有用的功能,保护客户的投资。
●安全保密
系统针对Linux内核进行优化剪裁,屏蔽不需要的服务来减少安全漏洞,专注于网络安全方面的功能实现。
数据传输都采用128位密钥加密通信技术,管理中心对网络督察节点的管理和操作都是隐秘的
七.实施和服务
7.1项目实施流程
按照新网程的系统实施方法,本项目将经历以下几个过程:
1)项目方案。
主要是技术方案的制订和合同洽谈等前期工作。
2)信息采集。
在该阶段进一步了解客户的具体需求,采集各节点的网络信息,并根据需求来确定系统的实施方案。
经用户确认后进入具体实施阶段。
3)参数定制。
根本阶段的任务系统参数预设到设备。
5)安装调试。
各节点安装设备,并进行配置,使系统能够正常工作。
6)试运行。
系统经过测试之后上线试运行,时间通常根据项目的复杂程度而定。
7)验收。
经试运行用户满意后,对系统进行验收,通过验收后就进入系统的正常运行和维护阶段了。
为了保证项目的实施进度和质量,我们将制订项目的实施计划,同时针对每个具体的阶段,制订相应的详细计划,保证工程按计划完成。
为了保证项目实施的质量,我们将对各个阶段的成果比较严格的测试。
7.2项目的质量控制
为了保证项目的质量,项目的实施过程将严格按照公司项目质量保证体系的要求进行。
质量管理将贯穿整个项目的开发过程。
7.3技术支持与维护
在经过系统验收后,系统进入正式运行期。
新网程对产品提供自系统验收之日起一年的免费技术支持和硬件维修服务,和终生免费电话支持服务。
超过免费服务期限,如需系统升级或是上门维护。
则须缴纳合同金额的15%的费用作为一年的服务费用。
在以上维护期内,新网程公司提供免费热线咨询服务,系统若出现故障,用户方正常工作时内,新网程人员将在接到用户方通知后2小时内做出响应,若远程解决不了问题则使用备机,工程师在一个工作日以内赶到现场为用户方排除故障恢复正常工作。
7.4系统安装
我方负责整个系统的安装调试的协调工作,网管人员负责系统的现场安装工作。
在安装调试前,我方提前一个星期向用户提供安装调试计划。
安装调试碰到问题需现场解决的,我方会派工程师到现场解决。
安装调试完成后,我方将向用户方提供安装调试报告,安装调试报告包括以下内容:
(1)系统安装调试结果
(2)安装调试中出现的问题及解决办法
7.5系统试运行、测试
系统安装后进行为期一周的试运行,测试各项功能,期间发生问题及时进行测试和修正,测试完成和运行稳定后正式投入运行。
程序如下:
1)在系统准备正式投入使用前,我方将向用户方提交测试说明文件。
2)若在测试期间发现有任何不符合要求,或由于设计、开发、技术、安装等原因造成失败,而导致测试工作不能完成的,我方将分析原因,提出改正方案,并尽快安排下一次测试。
3)测试完成和运行稳定后,系统正式投入使用。
7.6系统验收
系统正式投入使用后,进行系统验收,程序如下:
1)我方提交有关系统的验收申请报告。
2)用户方在一周之内响应我方的验收请求并组织进行验收。
八.总结
网络的迅猛发展,使“信息高速公路”已经成为现实,人们可以很轻松的从互联网获得世界各地的信息,通过互联网生活和工作,互联网的发展前景充满光明。
但与此同时,网络上的应用也越来越多,比如聊天、购物、炒股、游戏、在线电影等等,分散很多员工的精力,造成工作效率低下和网络资源紧张,另外网络上一小部分黄色、反动、暴力、迷信等信息也通过互联网四处散布,对使用互联网的人们,造成了极坏的影响,因此必须及时的加以监控。
新网程公司作为一个高速发展的高新科技企业,拥有国内外领先的技术和一流的研究开发和项目实施人才。
新网程公司重点研制开发的“网络督察企业版”与目前同类产品相比,在性能和功能方面有着明显的优势。
并且实际使用效果明显,加强了客户内部的网络管理、及时知道网络运行情况、遇到网络故障可以定位并采取措施控制,提供员工的工作效率,净化了网络使用环境。
另外,新网程公司不断听取客户的建议,吸收同类产品的长处,总结自己的经验教训,不断推陈出新,创造更符合市场需要和时代发展的产品。
因此,只要选择新网程公司的“网络督察”产品,就能构筑一道网络安全的坚固长城,让网络为企业发展创造更大的价值。
附录网络督察部分典型客户名单
上海信息化委员会
上海社会保障卡中心
上海市公安局
国家旅游局
北京奥运会指挥中心
国家计算机反病毒中心
厦门教育局
安徽电力局
杭州保密局
上海大学
上海宝钢股份有限公司
升级会员 