上网行为管理方案完整篇doc.docx

1、上网行为管理方案完整篇doc上网行为管理方案1 上网行为管理方案(员工上网控制) 构建安全、稳定、高效的企业网络 行业背景分析 CNNIC最新数据说明：94.8%的中小企业配备了电脑、92.7%的中国中小企业接入互联网；57.2%的中小企业正在利用互联网与客户沟通及为客户提供咨询服务。从企业门户平台的建设到公文、数据的传递，从VPN企业专用信息通道到网络视频会议，网络应用已经成为广大企业提升工作效率，进行实时沟通的有力确保和手段；同时网络也成为企业收集各类信息、与外界沟通以及员工获得专业知识与信息的重要来源。然而，网络也是各种娱乐活动的渠道，是分散员工精力、生产力流失的根源，重要资料的泄漏和不

2、可控的安全隐患也使广大企业面临庞大经济损失和法律风险。 据美国科技调查机构IDC的调查指出：企业员工大约3040对网络的使用是跟工作无关的。中国企业的状况略高于这个比例。中国员工每周花在网上处理私人事务的时间为5.6小时，中国的IT主管认为员工每周会花费至少6.2小时进行网上冲浪，83%的中层管理人员在办公时间内浏览与工作无关的网站。 如果缺乏管理制度和技术手段，员工不加监管、随意使用网络将导致三个重大问题：工作效率低下、网络性能恶化、网络违法隐患。 行业网络必须求分析 多线高速接入 因为拨号接入方式比专线、光纤便宜很多，一般企业多采纳ADSL这类的优待接入。随着网络的应用越来越多，管理难度越

3、来越大，很多企业一条优待不够，再增加一条优待；两条条优待不够，再增加两条优待。但这样就会出现多路接入、多个出口的问题，接入设备多，维护成本增大，给管理带来困难。 因此企业必须要多路优待接入，特别是在业务范围覆盖全国的企业，还必须要电信、联通线路的同时接入访问，消除跨网互通的问题。 网络带宽管理 一般来说，一个2M外网带宽的局域网，只要有2个以上的用户毫无克制地使用BT，所有人的正常网络浏览都将成为不可完成的任务。如果缺乏有效的技术手段，BT、迅雷、电驴、PPLive 等P2P软件和在线影音等行为就会严重吞噬带宽资源，导致正常工作的带宽得不到确保，企业大量投资的优待网络速度一天比一天慢；IT部门

4、常常遭到埋怨，要求提升上网的带宽；而有趣的是埋怨的人中常常包括那些下载音 乐文件或看视频电影的员工。 网络带宽缺乏规划与管理，势必造成网络投资加大，企业成本上升。企业推广信息化建设、建立网络应用环境是为了提升工作效率，降低办公成本。网络资源浪费迫使企业加大网络投资，网络投资导致了成本的上升，利润的下降，这也是企业面临的重 要问题。 抵制不良信息 互联网上信息庞杂多样，既有大量进步、有益的信息，也有不少反动、迷信、黄色等不健康的内容，关于有危害的站点如何去屏蔽？关于色情反动站点如何过滤？ 现在很多企业还缺乏有效的管理监控手段来对企业员工的上网进行必要的限制和记录，关于一些非法站点也没有采用有效手

5、段来过滤。企业将面临违反国家法律法规的风险，反动、黄色的言论通过网络在企业内部传播，直接会导致企业面临国家法律的制裁，企业领导难辞其咎。 在企业内部提供一个绿色安全的上网环境，已经成为迫切的问题。 上网行为管理 互联网上的内容太丰富了，对企业员工有太多的诱惑，很多的员工沉溺其中，无法自拔，常常把自己的本职工作放在一边，导致企业整体工作效率没有提升反而下降。调查数据显示以下为影响工作效率主要的互联网行为，它们与工作无关而且可能导致更多的问题比如网络安全等： 闲逛新闻、娱乐网站，泡论坛“打发时间； 浏览色情网站、赌博网站； 浏览游戏、音乐等娱乐网站，下载大量与工作无关的音乐文 件，在线听音乐，在线

6、看视频等，不仅耽误工作，而且占用大量的网络带宽资源，影响其他人员使用公司的资源；浏览相关财经网站，利用公司的资源在线炒股；浏览“在线购物和拍卖网站； 使用IM软件如、MSN、Skype、飞信等。 个人沉溺于网络或者“出工不出力的现象屡见不鲜。个人工作效率及工作状态的低下，最终会反映到工作业绩上，影响到个人在企业中发展。而且它具有扩散效应，八卦新闻、小道消息一旦成为工作时间的谈资，必定极大破坏办公室的工作氛围。 信息安全风险 任何企业主或管理人员都担心企业内部的机密信息流露出去，而互联网偏偏又是最便捷的信息交流传递途径。企业商业机密、重要文献可以通过网络以MSN、邮箱等多种方式快速、方便的流失出

7、去。不受限制的上网行为将带来更多的安全问题，比如下载的文件中带有病毒或其它有破坏性的程序、MS N等软件的使用有可能招到网络黑客的袭击等。 想到这些问题，每个管理人员都可能坐立不安。如何解决这些问题呢 网络稳定安全 企业内网PC终端众多，网络应用也较复杂，因误触恶意网站、下载等原因，木马、蠕虫、钓鱼等网络陷阱可以轻易冲垮企业的网络环境，甚至导致企业整体IT系统的瘫痪，泛滥的P2P 软件迅雷、BT、电驴等都可能造成内网的安全隐患。最典 型的就是不少企业网络都饱受ARP病毒攻击，网络要么频繁掉线、乱弹广告，要么上网速度巨慢！ XX网络解决方案 XX上网行为管理路由器布暑为企业的网关，提供网络接入、

8、上网行为管理等功能；内网采纳上网行为管理交换机，提供千兆内网传输速率。 方案特点： 多条优待接入，提升网速又省钱 提供24个W AN口，可以使用多条ADSL取代光纤，或增加ADSL提升带宽，节省费用并且降低“单线故障的风险。智能实现“电信数据走电信线路，联通数据走联通线路，并支持在线升级策略库，实现多网的高速接入。 它还具有领先的通断检测技术，能智能推断线路状态，如果某条线路出现故障，会自动将相关应用调 度到正常线路，确保网络永远在线。支持线路按时切换的数据平滑过渡，减少线路切换时卡机、掉线等现象。 合理分配带宽，网络不卡不掉线 免配置智能流控Smart QoS 通过对各类应用的深度识别、分类

9、管理、分级处理，始终让企业关键业务走优先通道，其余流量都给他们让路，确保关键应用如：视频会议、OA系统等永远都不卡！同时还能把剩余带宽分配给其他用户或应用例如文件下载、在线视频，实现带宽合理化、最大化的利用！ 针对不同应用设置不同的带宽、连接数以及不同的数据优先级，确保您的核心业务能得到有力的确保。提升带宽使用率，真正做到物尽其用！ P2P软件过滤，防止带宽被暴力占用 P2P技术的发展给互联网带来了极大的促进，给用户带来便利的同时也给网络应用带来了严重隐患。首先P2P软件对带宽暴力占用使企业网络带宽面临严峻挑战。其次P2P软件本身现在也成为众多安全攻击者的目标，利用P2P传播病毒或者隐藏木马成

10、为一种新的攻击趋势。 通过上网行为管理路由器的P2P软件过滤，轻松过滤主流的P2P软件，使企业网络的带宽资源得到最合理的使用。 抵制不良信息 通过黑白名单可以管理企业网络内用户的网页访问。通过白名单来指定企业员工只能浏览的网站例如工作相关网站；或者通过名单屏蔽恶意网站或不良网站；结合域名过滤功能，优化关键字，能强化对低俗不良信息的过滤和拦截，大大降低内网用户对不良Web页面的访问。 上网行为管理，杜绝网络“旷工缺课 上网行为管理路由器能阻止对色情、反动、病毒等高风险网站的访问，限制工作无关的网络应用，能有效减少恶意软件的侵扰，使得IT设备修理率下降，企业员工的工作效率大幅提升， 工作质量越来越

11、好。通过限制BT、Emule等P2P下载应用的带宽，确保主要业务畅通无阻，强化了对Email、BBS等外发信息的管理，减少了单位信息外泄的可能，从而大大提升了企业员工的工作效率，降低网络泄密的风险。 网址分类管理，轻松过滤与工作无关的网站 能监控所有用户浏览网址的记录，并可禁止访问最热门的10大类网站，它们包括：休闲娱乐、新闻资讯、聊天交友、网络游戏、电子购物、论坛博客、证券基金、电子邮件、网上银行和不良网址等。支持网址分类库自动升级。配合禁止通过IP访问网页、黑白名单以及跳转页面设置，全面管好企业内部的网站访问。能有效的避免在上班时间浏览与工作学习无关网站的现象。 在用户浏览网页的时候，上网

12、行为管理路由器可以提示监管信息，让大家知道哪些操作是被禁止或记录的。这类似公布道路上电子眼位置，公开监管会让企业员工的抵触情绪显然降低。 聊天软件过滤，提升工作效率 很多企业对、MSN等及时通讯软件是又爱又恨，一方面它们是必不可少的信息沟通工具，一方面又最容易让企业员工因私聊耽误工作学习。通过上网行为管理路由器的聊天软件过滤，可轻松管制M SN飞信SKYPE阿里旺旺等聊天软件，而且可以设置例外的IP地址组例如让领导不受限制。更有 号码的精细化管理，仅同意使用单位指定的工作，而其他私人无法使用。 股票软件过滤，规范工作行为 不少企业都有部分企业员工利用上班时间炒股的现象，这种行为极大地占用了工作

13、时间，降低了工作效率，而且运行炒股软件还占用了大量的带宽，导致其他企业员工无法很好地利用网络进行工作。 通过上网行为管理路由器的股票软件过滤，可以轻松过滤主流的炒股软件，可以在很大程度上杜绝上班炒股行为，确保带宽资源能够被合理高效地使用。 游戏过滤，防止沉迷网游 企业员工在上班时间玩网络游戏，一方面占用工作时间，严重违反了相关纪律，造成不良影响；另一方面，这些网络游戏又极大的消耗着网络带宽，造成其他企业员工上网堵塞；同时，网络游戏里面常常充斥着色情、暴力、反动等信息，有损企业形象。 通过上网行为管理路由器的游戏过滤，可以轻松过滤主流的网络游戏，规范企业员工上网行为，净化企业的网络环境。 邮件监

14、控，防止网络泄密 对内网用户使用邮件客户端例如OUTLOOK、FAXMAIL 等通过POP3/SMTP协议收发邮件时，进行收发邮件的镜像和监控。 WEB安全管理，减少网络风险 能有效减少内网用户访问网页时被各类木马病毒文件感染 的几率。通过禁止WEB页面提交，还能防止用户在网络论坛上发言发帖，避免给企业带来法律风险。 外防攻击，内防病毒 防攻击抗病毒：拥有网络自防御功能，支持内外网攻击防御，提供扫描类、DoS类、可疑包和含有I P选项的包等攻击保护，能侦测及阻挡IP 地址欺骗、源路由攻击、IP/端口扫描、DoS等网络攻击，有效 上网行为管理方案1 XX机构上网行为管理解决方案 杭州天网电子 X

15、XX上网行为管理解决方案 一、必须求概述 11 背景介绍 XX机构内部网络已搭建完毕:200台PC.四个网段.100M带宽出口. 12 必须求分析 随着Internet接入的普及和带宽的增加，一方面员工上网条件得到改善，另一方面也给机构带来更高的网络使用危险性、复杂性和混乱性。据IDC调查发现，在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。IDC的数据统计显示，员工30%-40%的上网活动与工作无关；而来自色情网站访问统计的分析说明：70%的色情网站访问量发生在工作时间。而中国员工比其它地区的员工每周多花7.6

16、小时使用IM、玩游戏、P2P软件或流媒体。互联网乱用，给中国企业、政府、高校、行业用户等各行业带来了庞大的损失。 员工随意使用网络将主要导致五个问题：(1)工作效率低下、(2)网速越来越慢、(3)安全隐患不断、(4)信息和机密外泄、(5)网络违法行为。 为获取外部信息和资源、及与第三方合作伙伴、投资方等坚持联系和沟通，机构内部网络必定与互联网连通。IT管理者如何及时了解网络运行状况，并对网络整体状况作出基本 的分析，发现可能存在的问题如访问违规网页、玩网页游戏、资源乱用、泄密、ARP欺骗等，并进行快速的故障定位，这一切都是对机构内网安全管理的挑战，这些问题包括：IT管理者如何对网络效能和行为进

17、行统计、分析、评估？ IT管理者如何控制上班时间聊天、游戏、无关网站浏览等非工作网络访问行为？ IT管理者如何管控BT、PPLive等P2P行为，避免其严重占用带宽，同时如何为业务系统和关键用户确保带宽资源的分配，提升带宽利用率？ IT管理者如何防范用户“主动下载含有病毒、木马、恶意软件的文件？ IT管理者如何杜绝通过Email、MSN等途径潜在的泄密行为？ IT管理者如何避免网络造谣、恶意言论和发贴等法律问题，并在发生问题时有据可查？ 因此，如何有效地提升工作效率，提升带宽资源使用效率、改善内网安全环境、杜绝泄密行为、避免法律风险，已经成为各行业信息化建设中的首要任务。当前内网安全管理也随之

18、提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如访问控制、访问跟踪、流量限制、监控、审计等问题也日益凸现。越来越多的企事业单位必须要对内网员工上网行为进行管理以实现网络资源的合理利用。 13 客户具体必须求分析 XX机构网络访问控制具体必须求分析： 随着业务的发展和信息化建设步伐的加快，XX机构的网络安全和内网员工的互联网访问行为管控等问题日益严峻，虽然在网络出口处已布暑了专门的防火墙设备，但无孔不入的病毒尤其是木马、ARP欺骗等、恶意软件、DOS攻击等仍然大肆泛滥，严重影响了本机构应用系统的运行和业务的正常运作；另外，在针对内网安全方面尤其是PC客户端准入安

19、全检查，由于缺少专门的客户端安全检查设备，无法查找和修复内网的安全短 板，从而无法有效的保护整个内部网络的安全性。 更为重要的是上班时间内部员工的网络访问行为没有很好的管理、控制方法，上班时间长时间使用聊天、收发私人邮件、浏览无关网页、在BBS、论坛上发帖等，不仅导致员工工作效率低下，还潜在可能向公网泄露机构内部机密信息，并可能因访问非法网站或发别非法言论而违反法律。另外员工肆意使用BT、PPLive等P2P工具下载电影等、在线看电视、看电影、听歌等，严重吞噬了有限的带宽资源，影响了机构内部关键应用和业务的展开。 通过对本机构内部网络目前存在的问题，我们看到XX机构在内网员工的互联网访问行为管

20、控方面必须要解决几个问题。 1.3.1 缺乏有效的统计方法，无法得知网络使用状况 关于机构网络的使用状况，有限的公网出口带宽的占用状况，用户最常发生的网络访问行为，TOP 10用户最常访问的网站等，IT管理者当前都无法掌握真实状况，而只能靠部分员工反映或埋怨，通常只能简单记录的一些IP访问状况，查询、审计非常不便。 1.3.2 无法做到细致的访问控制 机构因为必须要获取外部信息和资源而与Internet实现互联，通过Email等IT应用系统，内网员工不仅可以与合作伙伴、第三方单位坚持沟通，而且外网用户也可以方便的通过Internet访问机构内部的网站、FTP下载服务器等。 但是如果没有完善的互

21、联网访问权限控制手段，而仅仅依靠 传统的防火墙等设备，将无法有效管控内网员工的各种网络访问行为；内网员工在上班时间使用、MSN等聊天，浏览各种网站甚至色情、反动网站，BBS、论坛发贴包括不负责任的反动言论等，在线炒股、网络游戏娱乐等，不仅降低了工作效率，甚至通过Email泄漏机构机密信息，给机构带来直接经济损失，还可能引起不必要的法律纠纷。 1.3.3 无法有效管理带宽流量，无法确保业务系统的带宽必须求 机构现有的公网出口带宽通常都比较有限。一个带宽2M的Internet出口，即使有两个内部用户全速下载BT、eMule等，其他用户和业务系统的访问与展开都会及其缓慢，甚至完全不可用。而IT管理者

22、一方面无法有效的获知机构现有带宽资源的使用状况和利用率，同时关于各种P2P等非业务相关的网络访问行为也无法有效管控。 业务部门收发Email缓慢，领导的视频会议系统无法正常运作，制定部的CAD文件传输速度极慢等，都必须要IT管理者优化机构有限带宽资源的使用状况，有效的限制非业务系统对带宽的占用，合理的划分和分配更多的带宽供业务系统所使用。 1.3.4 无法确保客户端的端点安全性 类似于木桶理论，内网网络安全的等级取决于安全最薄弱环节。如果有内网员工的终端设备使用陈旧的操作系统、不更新操作系统补丁、不安装指定的杀毒/防火墙软件、甚至不更新，反而使用和安装机构不同意的软件，这都将造成该终端设备成为

23、内网的安全短板。如果用户使用该终端设备肆意访问互联网，来自 Internet的病毒、木马、恶意程序等极易感染和侵害该终端，从而进一步感染和泛滥到整个内网，影响更多用户的网络使用和业务的展开。 1.3.5 无法对用户网络行为进行有效监控和审计 提到网络安全问题，大多数用户都只关注外网安全。但其实机构内部的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。所以虽然机构已经布暑了防火墙等安全设备，但是无法对内网员工的网络行为进行有效的监控和审计。 内网员工可能通过MSN聊天马上机构的机密信息无意间泄露出去，而更典型的是通过Email邮件，将机构的信息资产通过邮件及附件发送到公网；还可能通过向公网BB

24、S、论坛发贴的方式，不仅泄露机构信息，也可能发表不良言论、网络造谣等，不仅泄露机构的信息资产，还不免招致法律问题；这就必须要有别于传统防火墙的解决方案，对用户的网络访问行为进行有效的监控和审计，做到有据可查。 14 客户网络现状分析 XX机构目前使用内部设备： 结构图： 通过以上机构的内网拓扑简图可见，机构内部众多用户和各种应用系统，通过位于外网接口的防火墙进行了防护和确保，关于来自外网的安全风险和威胁提供了一定的防御能力，但是关于来自内网的肆意的互联网访问行为、带宽乱用、潜在的泄密、法律违规等无法进行有效地管控，同时内网员工的各种互联网访问 行为也无法有效的监控和审计。 二、解决方案 21

25、AC上网行为管理设备功能介绍 2.1.1 控制功能：细致的访问控制，有效管理用户上网 关于内网员工访问各种网页的行为，AC通过内置URL库，关键字过滤等方式进行管控。关于采纳SSL方式加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。AC安全网关不仅可以对员工使用WEB、FTP、EMAIL等常用服务进行控制，通过深度内容检测技术，依据应用数据包四层到七层的特征码，实现对、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、Live等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。SINFOR AC 具有国内最全的应用协议识别库，例如对I

26、M聊天工具、炒股软件的识别库如下： 针对目前P2P行为泛滥和P2P工具版本泛滥的趋势、SINFOR AC的P2P智能识别技术能够对不常用的、将来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。 基于Web与LDAP/Radius集成的用户认证功能，又支持LocalDB设备自建帐户、支持POP3、PROXY等认证方式，使得对上网用户的管理变得十分灵活方便。通过对基于LDAP、POP3、PROXY的单点登录功能，简化用户的操作，方便用户的使用。 AC所具备的各种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制，实现人

27、性化要求。 表3.1：访问控制功能一览表 功能模块功能性能指标 身份认证用户认证方式 支持触发式WEB认证；支持用户名/密码方式认证；支持 USB-Key认证；支持IP认证；支持IP-MAC绑定认证等IP MAC绑定支持跨三层交换机的IP-MAC绑定功能 第三方认证 不仅支持将用户账号/密码信息内建设备本身，亦支持与 第三方LDAP、微软AD、Radius、POP3、PROXY服务器联动WEB认证 WEB认证的用户名和密码可以使用本地用户密码也可以和 LDAP服务器、微软AD域控服务器、Radius服务器，POP3 服务器联动 单点登录 支持基于LDAP、微软AD域控服务器、POP3、PROX

28、Y服务 器的单点登陆；用户只要通过以上验证，则无必须再次在WEB 认证页面输入密码 未创建用户认证 AC支持将未创建用户自动创建并加入设备，并同时赋予该用户指定权限和用户分组 网页访问控制URL网址过滤 AC内置超过800万条预分类的URL库，同意用户输入新URL地址和创建新分类； 关键字过滤 可限制通过搜索引擎搜索某些关键字关键字可定义， 可针对网页正文关键字进行网页过滤，可限制用户通过 BBS、Webmail、Blog等方式发送带有敏感字样的言论 反钓鱼网站功能支持对SSL加密网站的识别和过滤 文件类型限制可限制和管理通过HTTP、FTP下载、上传指定类型的文件 邮件控制邮件地址限制可限制指定后缀的邮件地址通过SMTP发送邮件