上网行为管理解决方案.docx
《上网行为管理解决方案.docx》由会员分享,可在线阅读,更多相关《上网行为管理解决方案.docx(8页珍藏版)》请在冰豆网上搜索。
上网行为管理解决方案
XX公司
上网行为管理解决方案
文档编号
文档版本
V1.0
撰写
文档状态
发布
发起时间
发布时间
一、应用背景
随着信息技术、特别是网络技术的普及,互联网已经渗透到工作和生活的各方面。
公司员工使用QQ聊天、网上购物、在线欣赏音乐和电影,通过BT等P2P工具下载互联网资源、收发个人邮件、在论坛上舞文弄墨……只要员工有兴趣,他们就能在上班时间尽情享受互联网带来的乐趣。
互联网一方面能够帮助企业提高生产力、促进企业发展;另一方面也在企业管理、工作效率、信息安全、法律遵从、IT投资等方面给企业提出了严峻的问题及挑战。
针对用户互联网访问行为的管控,为贵公司带来了全面而灵活的上网行为管理解决方案。
帮助企业有选择的禁止、监控BT,炒股,聊天,MSN,管理QQ,监控邮件,带宽流量等,减少病毒,对员工上网进行正确引导。
二、网络架构概述
XX公司现有网络拓扑结构
WAN:
一条6M ADSL,两条4MADSL
路由器:
一台飞鱼星VE900
交换机:
一台D-LINKDES1024A,一台TP-LINKTL-SF1024D,全部不带网管功能8K报表
计算机:
现用44台
三、XX公司在上网行为及计算机管理需求
就员工的非工作上网行为而言,可为分为四大类行为:
一类是获取及工作无关的资讯活动,如浏览新闻、看小说、看图片等;
二类是从网络上下载及工作内容无关的数据流,如下载音乐、电影等,以及利用可移动存储设备带走公司相关资料;
三类是从事获取个人收益的活动,如网上购物、炒股、兼职、发布广告等活动;
四类是进行虚拟世界的沟通活动,如上网聊天、BBS论坛、撰写博客、收发私人邮件等。
;
另外据反映,有员工突破网络限制,进行非工作上网行为。
这些举动无疑影响了公司正常运营,降低了员工工作效率,还会造成带宽紧张,影响到整个企业的运营,也可能随之给企业带来的严重信息安全隐患。
对于现代企业而言,网络无疑是一把棘手的双刃剑,如何改变员工滥用网络的难题,如何对员工上网行为进行有效的管理和控制,使员工上网行为朝着有利于企业大方向发展?
四、上网行为管理的解决方案
对于员工在公司的非工作上网行为,提供以下两个阶段的解决方案:
第一阶段:
宽松自觉管理模式
经实地调研网络架构和所有设备后总结,在不改变现有所有设备的状态下,先根据公司的要求在现有的路由器上(飞鱼星路由器:
VE900SERIES),进行网页访问过滤、网络应用控制、带宽流量管理和过滤聊天软件,限制非法下载等工具。
经查询,该路由器已经具有上述功能,但需要进行更进一步的调整,添加策略以及加强安全控制。
然后在正在使用并指定的员工机上进行进一步的网络限制及绑定,于此同时,利用安装软件或调整每台计算机的策略及权限,进一步限制员工的上网行为以及利用可移动存储设备带走公司相关资料等非工作行为。
此阶段实施后,已可以基本杜绝员工的非工作上网行为,如需再进一步监控员工的上网行为,可实施第二阶段的工作。
第二阶段:
实时监控行为模式
可在现有的路由器(飞鱼星路由器:
VE900SERIES)之后,交换机(D-LINKDES1024A和 TP-LINKTL-SF1024D)之前,加装上网行为管理设备。
其最主要的几个关键的系统功能:
1、实时监测上网行为
提供实时的上网行为监测,可根据用户上网情况,不停刷新上网监控屏幕。
企业网络内的所有上网情况,都会及时显现在监控屏幕中。
管理人员也可以随时查看本网络某时段哪些组或哪些用户在上网,及每个用户历史上网记录。
由此,管理人员可以实时了解企业内员工的上网情况,公司员工主要访问的站点,以及常有的网络活动行为,如是否经常有下载游戏、在线看网络电视等耗用网络资源、影响OA、ERP、CRM、视频会议等关键应用的上网行为发生。
实时查看网络流量
2、控制管理上网行为
可以帮助用户选择性地控制IP终端上网情况。
对于一些不允许上网的机器,管理人员可以直接远程操作,禁止其连接Internet网。
也可以提供用户上网策略,如上网时段、上网IP、上网地址等。
同时,可禁止和屏蔽网上地址,譬如互联网上游戏IP地址、不良信息的IP地址等。
3、过滤游戏和流媒体
可以实时控制和限制游戏和流媒体程序,帮助用户减少带宽占用,并解决工作时间因游戏、电影等网络娱乐而导致的“工作效率低下”问题。
过滤游戏、电影等网络娱乐活动,其真正目的是为了保障企业关键核心业务的正常运转,而不是单一为了限制员工上班时间“开小差”。
众所周知,越来越多的企业业务已经离不开整个网络的支持,视频会议、网上定单、在线交流、网上交易系统等等,无一不需网络高效、稳定运行做保障。
而员工无意间的“开小差”行为,已经严重挤占了企业关键业务正常运转的空间,也导致网络管理人员会因“网络速度过慢、系统太差、网络出现运行故障”等问题坐立不安、四处查探问题原因。
4、IP-MAC地址绑定
通过对IP-MAC地址进行绑定,网络管理人员就可以对网络内的机器按照级别、职务、部门等类别进行权限划分和功能设定,从而确保每个IP在充分使用网络资源的同时,尽量保持网络资源的均衡分配和合理使用。
同时防止局域网内IP源地址欺骗,欺骗可允许防火墙后面XX的用户获取受保护的信息,也可以使计算资源参及对网络外的受害者进行毁灭性的拒绝服务攻击
5、IP流量分析
IP流量分析功能可以实时的查看每个IP通过的流量。
该流量分析可以提供流量统计、服务器流量统计和记录查询。
对于系统的流量统计,SiteView EIM按照日期分别提供流入/流出统计图、内部/外部统计图、本地主机连接数统计(大量流进问题主机分析)
以上两阶段的方案实施后,将彻底控制员工的上网行为,同时也能实时地监控到员工的日常使用网络情况以及现有环境的网络运行状况。
公司的网络在无人值守的情况下,依然顺畅,只需定时查看文件日志,即可达到管理目的。
附件1:
上网行为管理设备和本地数据服务器需求
上网行为管理设备:
推荐:
深信服AC系列上网行为管理产品
深信服M5000-AC
适用范围
内网用户数在100人以下的小型网络
适用软件环境
Windows操作系统
适用硬件环境
标准1U机架式结构,重量:
3.5Kg,尺寸(cm):
42.7×22.9×4.45;标准接口:
100BASE-T(RJ-45)*4,串口:
RS232*1
本地数据服务器
推荐:
IBMSystemx3620 M3(7376I03)
基本参数
产品类别
机架式
产品结构
2U
处理器
CPU类型
Intel 至强5600
CPU型号
XeonE5606
CPU频率
2.13GHz
标配CPU数量
1颗
最大CPU数量
2颗
制程工艺
32nm
三级缓存
8MB
总线规格
QPI4.8GT/s
CPU核心
四核
CPU线程数
四核
主板
主板芯片组
Intel 5500
扩展槽
2×PCI-E x8(二代插槽)ﻫ1×PCI-Ex4(二代插槽)
内存
内存类型
DDR3
内存容量
4GB
内存描述
1×4GB1.35V DDR3RDIMM内存
内存插槽数量
12
最大内存容量
96GB
存储
标配硬盘容量
标配不提供
内部硬盘架数
最大支持8块3.5英寸热插拔硬盘
热插拔盘位
支持热插拔
RAID模式
RAID 0,1
网络
网络控制器
集成双端口千兆网卡
管理及其他
系统管理
集成IMM,选的VirtualMediaKey用于远程呈现支持
系统支持
Windows Server2008R2,2008,2003R2,2003 SBS R2ﻫRedHatEnterprise LinuxﻫSUSELinuxEnterprise Server ﻫVMwareESXi 4.0 嵌入式虚拟机管理程序
电源性能
电源类型
热插拔电源
电源功率
纠错460W
附件2:
项目实施执行报价
序号
名称
单位
数量
单价
金额(元)
1
路由器综合实施
台
1
300
300
2
企业计算机策略及权限实施
台
44
50
2200
合计
2500
可选购产品
序号
名称
单位
数量
单价
金额(元)
1
IBMSystemx3620M3服务器
台
1
14800
14800
2
深信服M5000-AC
台
1
需订购
3
McAfee企业版杀毒软件
套
1
500
500
4
服务器安装
台/次
1
300
300
5
上网行为管理设备实施
台/次
1
500
500
备注:
1.路由器综合实施仅限于现有设备设置,如发生设备更换,则另行收费
2.企业计算机策略及权限实施仅限于一台计算机一次服务,如同一计算机发生系统软件或硬件变更,则另行收费
3.企业计算机策略及权限实施只对客户计算机现有系统内进行策略及权限修改,不涉及客户计算机其他数据的任何操作,实施时需IT人员监督
3.所有款项完工后三日内验收合格后付清
4.实施质量保修一年
升级会员 