上网行为管理方案建议书
目录
第1章需求概述 (1)
1.1 背景介绍 (1)
1.2 上网行为管理需求 (1)
1.2.1 用户和终端多样化,管理复杂 (1)
1.2.2 应用和内容不可视,存在风险 (2)
1.2.3 网络流量识不全,控不住 (3)
第2章可视可控、感知风险的上网管理方案 (5)
2.1 全面的上网可视可控 (5)
2.2 用户的可视与可控 (5)
2.2.1 安全便捷的身份识别 (6)
2.2.2 安全可视的用户管理 (7)
2.3 行为的可视与可控 (8)
2.3.1 全面精准的应用识别 (8)
2.3.2 应用标签化管控 (8)
2.3.3 灵活细致的权限控制 (8)
2.3.4 非法的内容识别与管控 (9)
2.3.5 全面完整的行为审计 (10)
2.4 流量的可视与可控 (16)
2.4.1 网络流量可视化 (16)
2.4.2 合理有效的流量控制 (17)
第3章方案优势 (20)
3.1 全面完整 (20)
3.2 细致精准 (20)
3.3 灵活有效 (20)
3.4 简单便捷 (21)
-2-
第1章需求概述
1.1背景介绍
随着互联网技术的发展,组织的业务模式和员工的工作模式、行为习惯都在不断发生改变:
?网上业务:组织建设了更多的网上业务平台,通过互联网来开展业务;
?沟通桥梁:内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟
通和交流,提升工作效率,获取资讯和知识,维系人脉关系;
?移动互联网:移动互联网的消费化趋势也逐渐影响到组织内部的IT系统,
员工更喜欢通过WLAN、移动终端类开展工作;
?新的法规要求:2017年6月1日,网络安全法正式推出,其中对组织明
确提出上网行为审计的要求,并且要求至少留存上网日志6个月。
因此,在员工的日常工作中,#XX客户#需要针对互联网出口平台的如下上
网行为管理、上网安全防护需求进行改造,提供一个更安全、更高效的上网环境。
1.2上网行为管理需求
互联网已经成为重要的生产资料,越来越多组织的业务在向互联网迁移,然而互联网却是一把“双刃剑”,管理得好可以让办公效率大增,促进业务的发展;而缺乏管理的互联网将带来诸多问题,不仅降低工作效率,还给组织带来各种业务风险。
而且互联网也在不断发生变化,从最早使用PC、有线局域网,到更多使用
移动终端、WLAN来进行办公,从早期的网页、PC应用,到移动APP的广泛发展,愈加复杂的上网环境,“看不见管不住”,使得上网管理困难重重。由于互联网应用的多样化,一些看似正常的上网行为,也可能隐藏着巨大的风险。
1.2.1用户和终端多样化,管理复杂
1.2.1.1BYOD上网难管理
随着移动终端的普及,员工往往会采用PC、智能手机、Pad等多种终端,通
过有线和无线网络,在不同的位置(办公座位、会议室等),接入企业IT系统。这种使用场景的多样化,让传统上网管理的手段,难以应对内部资料的泄密、移动终端设备的盗用、移动APP难以管控等管理问题。
所以,IT部门需要基于用户角色、终端类别、使用位置、应用类别、时间等更多的元素,为员工不同的上网情景,制定更精细的网络管理策略,提升办公效率的同时,降低安全风险。
1.2.1.2访客上网认证繁琐
企业组建WLan后,当有来宾访客需要上网时,要么直接开放,安全风险高,人员随意接入,无法定位身份;要么需要提前申请临时账号,管理复杂。
所以,组织需要一套使用便捷,即来即用,同时又能满足安全合规要求的来宾访客认证系统。
1.2.1.3私接无线,引入安全隐患
在一些没有提供Wlan的单位,员工为了便捷性,往往会通过360随身WiFi、家用WiFi路由器等方式私自建立个人Wlan,让自己的移动终端可以随意使用单位的上网资源。这给企业的安全策略管理带来的很多的管理漏洞。
所以,IT部门需要针对私接的非法无线热点、非法代理等威胁进行有效的识别、管控。
1.2.2应用和内容不可视,存在风险
大量新应用和老应用的新版本,给应用识别与管控以及后续的运维带来巨大的挑战,让网络难管控,难运维。另外,即使是同一个应用也可能具有两面性,他们有“好”的功能,也可能有“坏”的功能,“好”功能具有实用性,而“坏”功能具有风险性,因此,此类应用的管控成了一个两难的问题。
1.2.2.1工作效率低下
网络的普及改变了传统的办公方式,而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购等,而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。这
严重影响工作效率,从而导致企业竞争力的下降。
所以,组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。
1.2.2.2网络违法风险
企业内网用户在日常办公中拥有访问互联网的权限,可通过QQ、MSN、论坛或微博等方式外发信息,如果包含了色情、赌博、反动等不良内容,都属于网络违规违法行为,企业或个人将承担法律责任。
所以,组织需要根据82令的相关要求,建立全面、完善的上网行为的合规审查机制,并建立严格的审查权限管理机制。
1.2.2.3数据泄密风险
伴随着网盘、社交媒体、流量加密等应用/技术的广泛使用,企业重要数据泄密的方式越来越多样,风险越来越高。在有意无意间,一个员工就可以轻易的把企业内部的敏感信息、高价值信息资产,外发的互联网上,给组织的公众形象、业务开展带来严重的风险。
所以,组织需要对员工制定严格、细粒度的互联网数据传输控制策略、合规审查策略,防止重要数据的泄密行为发生。
1.2.3网络流量识不全,控不住
由于P2P流量没有明显的协议特征,再加上其带宽侵蚀性的特性,造成P2P 流量的全流量识别困难。而且传统缓存丢包的方式,无法真正抑制P2P流量,因此就不能很好的保障带宽。大量客户反馈已经有传统流控设备,业务却依然卡顿,也是这个原因。
1.2.3.1带宽滥用和浪费
互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用,用户在使用这些应用的过程中必然会占用大量的带宽,而关键的业务应用、关键人员角色则得不到足够的资源。而且近年来P2P协议应用更广泛,比如常见的在线流媒体等,P2P流量往往识别不全,难以管控,给带宽管理带来很
大挑战。
此外,传统的带宽管理策略都是静态的,当带宽空闲时,依然会限制用户的流量,带宽价值被大大浪费。
所以,IT部门需要能看清网络流量,针对各种应用类型、用户角色、带宽占用情况等,提供更加灵活、细致、动态的带宽管理策略,提升用户上网体验。
第2章可视可控、感知风险的上网管理方案结合上述的用户需求以及IT系统的现状,深信服可以为#XX客户#提供一套完整、可视的互联网出口安全解决方案,帮助用户实现上网的可视可控,感知上网的行为风险。即能轻松满足安全合规管理的要求,又能提升IT运维效率和IT 价值,还提升了用户上网的操作体验。
2.1全面的上网可视可控
针对网络管理问题的各类上网行为,从逻辑上可以分为用户、终端、应用、内容、流量5个要素,而从业务管理的角度可以合并为“用户”、“行为”、“流量”三个元素,其中“用户”包含用户身份和用户终端,“行为”包含网络应用和网络内容。
深信服上网行为管理AC一直坚持上网的可视与可控,可以实现“用户”的可视可控、“行为”的可视可控以及“流量”的可视与可控。深信服AC通过深入识别技术,全面识别网络中的用户、行为和流量,并通过分析和可视化的展现,帮助管理者看清网络状况;并且,可以对“用户”、“行为”、“流量”进行精准灵活的管控,让用户上网高效,管理更省心。
2.2用户的可视与可控
深信服上网行为管理可以根据不同的场景提供不同的认证方式,以此识别用户身份;可以识别用户的上网终端类型,并对移动终端进行管控,防止非法用户通过私接Wi-Fi接入网络。
2.2.1安全便捷的身份识别
为了针对不用角色身份的用户,避免身份冒充、权限滥用等出现,提供即安全又便捷的认证方式,深信服上网行为管理可以提供如下多种身份认证。
2.2.1.1内部员工身份认证
深信服AC支持本地认证功能,包括Web认证、用户名/密码认证、
IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后,AC能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
2.2.1.2外来访客身份认证
为了省去复杂的临时账号申请机制,让外来访客便捷的接入网络,但又满足合规要求。深信服上网行为管理AC提供了短信认证、微信认证、二维码认证等多种方式,当来宾接入网络后,系统会自动推送出专门针对来宾访客认证界面。
短信认证,来宾只需要输入手机号码,获得并输入短信验证码后,就可以获得上网权限。而且为了简化用户操作,与传统的短信验证相比,用户只需要点击3次既可完成,十分便捷,不需要在浏览器和短信界面来回切换。
微信认证,访客认证页面会自动提醒来宾需要关注组织的“官方微信公众账号”,并发送上网请求,才能获得上网权限。这可以帮助组织推广社交媒体的粉丝数量,更好的帮助组织推广品牌宣传。
二维码认证,访客认证页面会自动弹出一个二维码,只有内部接待人员用自己的移动终端扫描二维码,确认同意后,访客才能获得上网权限。而且,为了满足合规要求,接待人员,可以在页面上备注来宾身份信息,便于后续查找。
2.2.1.3网络虚拟账号识别
深信服AC支持识别各种网络应用的虚拟账号,包括微信、QQ、百度贴吧、人人网、网易邮箱、熊猫TV、美团、京东、链家网等100多种常见应用的账号情况,据此可以确认用户的网络身份,也方便后续进行针对性的管控。
2.2.2安全可视的用户管理
2.2.2.1用户状况可视
深信服AC支持用户状况的可视化呈现,能够实时展示上网总人数,以及上网用户的终端类型分布(PC或移动端)、认证方式,并在首页动态展示各种类型终端的上网人数。
2.2.2.2终端安全管理
深信服AC拥有专业的终端识别和管控功能,能够识别上网终端类型并进行管控,帮助组织发现非法接入的终端,避免带来安全漏洞。
2.3行为的可视与可控
深信服AC通过四个方面来实现“行为”的可视可控:首先全面精准识别应用,然后基于业务视角管控应用,其次对应用进行灵活细致的权限控制,最后对于特殊应用内容进行定向精准识别与管控。
2.3.1全面精准的应用识别
深信服上网行为管理系统具有千万级URL库和国内最大的应用识别规则库,包含2800多种应用、6000多种规则,以及1000多种移动应用,可识别目前网络中各种主流应用和APP软件,如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。
而且,深信服上网行为管理保持每半个月更新一次的快速迭代,不仅新增常用应用,还及时淘汰老旧应用,避免识别库的臃肿。
2.3.2应用标签化管控
管理员可通过深信服AC对应用或具体细分动作进行标签化,例如,迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时,可通过标签来选择相应的应用或细分动作,不用逐个选择,从而避免错选漏选,提高管理效率。
2.3.3灵活细致的权限控制
2.3.3.1多维度的灵活策略
为了针对一个用户有多台BYOD终端进行灵活、细致的策略管控,深信服AC 可以识别各种终端类型,包括windows、IOS、安卓、phone、pad等类型,还可以识别出用户接入网络的位置,包括有线、无线、办公位、会议室等等。
从而制定用户的上网策略时,可以从用户角色、使用终端类型、所在区域位置等维度进行组合,来制定精细的控制策略。比如用户角色A,在办公位置上使用PC接入,可以访问权限较多;但在接待区通过无线网络,使用iPad接入网络时,只有上网权限,不能访问内部安全界别较高的应用系统等。
2.3.3.2应用细分功能管控
针对具有多面性的应用,比如网盘,其上传功能有泄密风险,而其下载具有实用性,因此,应该精细管控网盘的不同动作,如:封堵网盘上传,放通网盘下载。通过精细化的管控,兼顾安全和实用性。
2.3.3.3移动APP管控
为了满足移动终端的管理需要,深信服上网行为管理可以针对1000多种移动终端的APP进行管控,防止员工通过移动终端来进行和工作无关的应用,避免工作效率的下降。
2.3.4非法的内容识别与管控
2.3.4.1加密内容识别
越来越多的网页使用SSL加密,如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站,而因为采用了加密技术,普通的管理产品无法对其内容进行识别管理,别有用心的用户可以利用这一缺陷绕过管理,通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息,导致管理漏洞。
深信服AC能精准识别SSL加密的网页和邮箱等,如百度、360、Foxmail邮箱等,并能够基于关键字对加密内容进行有效过滤。
2.3.4.2私接Wi-Fi和代理管控
深信服上网行为管理系统通过技术创新,可以精准的识别出,当前网络中员工私自架设的无线AP,私接的Wi-Fi,以及代理上网应用,从而防止带宽资源的滥用,防止黑客通过非法AP接入企业网络入侵。
2.3.5全面完整的行为审计
深信服上网行为管理系统不仅记录内网用户访问了哪些网站,使用了哪些应用,还能对用户的上网行为内容进行深入审计,如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时,还支持SSL加密网页和应用的内容审计,避免错审漏审,帮助企业深入的了解员工上网行为。
2.3.5.1上网状况实时监控
AC支持实时监控功能,可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况,简单快捷。
运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。
在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。此外AC还支持实时连接监控,显示用户的所有会话连接状况。2.3.5.2全面、灵活的应用审计
AC实时监控和完善的应用审计功能,支持对网页内容、邮件收发、IM聊天、微博论坛等应用的全面审计,帮助网络管理员了解内网用户的上网行为,同时也作为追查依据。
网页审计:内网用户访问的URL地址、网页标题、时间等内容,AC能够完全监控与记录。
同时,通过网页快照功能,直观展现网页内容,便于管理人员快速查看。
邮件收发:对于Webmail或邮件客户端收发邮件,AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等,附件内容可提供下载做进一步审核。
IM聊天:对于QQ、MSN、Gtalk等聊天应用,无论是Web版或是桌面版,AC
均能详细记录其聊天内容。
微博论坛:对于微博、社交论坛发帖不仅能够根据关键字进行过滤,发布的内容也能全面记录,准确还原发帖内容,提高可读性。
2.3.5.3SSL加密应用审计
同时,对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3,AC 可以基于关键字过滤和内容审计记录。针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能。
2.3.5.4数据中心及报表
大型机构每天产生数十G日志数据,通过深信服AC独立数据中心实现日志海量存储,而且提供了图形化的日志查询、统计、审计、报表中心等功能。
通过统计报表功能,将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果,并且支持导出PDF等文档、Email投递等功能,方便IT部门将统计结果向高层汇报。
通过AC数据中心的内容检索工具,可以实现类似Google一样的内容搜索,从海量日志中查询需要的日志记录,并且支持高级搜索,支持订阅和自动Email 投递功能,极大的方便了管理者的使用。
2.3.5.5免审计Key
机构的总裁、高层领导网络访问行为,财务部收发的邮件,关乎机构机密信息,对其记录审计反而成为泄密风险。因此AC支持免审计Key功能。在AC上为总裁、财务部相关人员生成免审计Key。当使用该免审计Key认证后,AC从底层免除对该人员的一切记录。一旦免审计功能被恶意取消后,当再插入该免审计Key后会自动弹出警告,且禁止该人员访问网络,彻底保障信息安全。
2.3.5.6日志审查Key
企业内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中心中,这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用,领导的Email、MSN聊天内容等被肆意传播、私自张贴到互联网上必将给组织造成不良影响、甚至经济损失。
因此AC提供日志审查Key技术。数据中心管理员只有插入该Key后才能以审计、查询权限接入数据中心,从而对行为日志进行详细查询。对于没有该Key 的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看,无权限对行为日志进行审计、查询,从而保障行为日志记录不被滥用。
2.4流量的可视与可控
深信服上网行为管理系统通过多级父子通道技术,能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后,管理员能够给不同通道分配不同带宽。同时,带宽的分配并不是一成不变的。深信服上网行为管理系统具有动态流控功能,在总体带宽利用率偏低时自动调整策略,有效提升带宽利用率,避免资源浪费。
在P2P应用流量控制方面,通过深信服P2P智能流控技术,能够有效的抑制P2P流量,使得核心业务应用有足够的带宽资源。
2.4.1网络流量可视化
深信服AC为管理员提供了网络流量可视化方案,管理员可以实时查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况(包括DOS攻击、ARP欺骗等)等信息,直观了解当前网络运行状况。
2.4.2合理有效的流量控制
2.4.2.1多层父子通道
通过部署深信服AC,可对网络出口链路总带宽进行细分,采用“基于队列的流控技术”,即建立通道,将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用,在通道中可以限制或保障其带宽,控制灵活。深信服AC支持多级父子通道,即在父通道中嵌套子通道,最大可支持8级父子通道。通过多级父子通道技术,能够完全匹配公司的组织架构,针对不同级别的通道进行带宽调整,为用户提供细致的流量管理手段,使得带宽分配更灵活、更合理。
2.4.2.2P2P智能流控
目前,通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借P2P 智能识别技术,不仅识别和管控常用P2P、加密P2P,还能对不常见和未来将出现的P2P应用加以控制。
目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性,传统流控手段是通过缓存和丢包手段来实现流量控制的目的,但是某些
P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制,即使被丢包依然不会主动降低速率,仍抢占大量的带宽资源。同时对于下行的接收流量来说,被丢弃的数据包已经占用了线路带宽,关键业务的带宽依然得不到提升,流控达不到预期的效果。
针对这些问题, AC通过智能流控功能,能有效解决P2P应用的问题。虽然基于UDP协议的P2P应用对丢包不敏感,但是下行流量与上行流量有显著的相关性,只要控制住上行流量,下行流量就能得到控制。当开启AC的智能流控功能时,系统会根据下行流量的设定值对上行流量进行自动调整,从而达到控制和减少下行流量的效果,从源头处有效限制P2P流量。
2.4.2.3动态流量控制
当带宽有限时,企业希望通过限制P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略,根据应用的重要性分配相应的带宽。无论网络情况如何变动,分配的带宽都是固定的,不能自动调整,这样的流控策略往往造成带宽资源的浪费。比如某些业务应用带
深信服上网行为管理-管理员手册 深信服电子科技有限公司
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 第1章前言 ..................................................................................................................... 错误!未定义书签。第2章系统管理 ............................................................................................................. 错误!未定义书签。 设备登录 ............................................................................................................... 错误!未定义书签。 管理员配置............................................................................................................ 错误!未定义书签。 修改管理员密码............................................................................................ 错误!未定义书签。 创建二级管理员............................................................................................ 错误!未定义书签。 系统基本信息配置................................................................................................ 错误!未定义书签。 序列号............................................................................................................ 错误!未定义书签。 系统时间........................................................................................................ 错误!未定义书签。 规则库升级.................................................................................................... 错误!未定义书签。 全局排除地址................................................................................................ 错误!未定义书签。 设备配置备份与恢复.................................................................................... 错误!未定义书签。 WEBUI选项 .................................................................................................... 错误!未定义书签。 远程维护........................................................................................................ 错误!未定义书签。第3章网络配置 ............................................................................................................. 错误!未定义书签。 部署模式 ............................................................................................................... 错误!未定义书签。 静态路由 ............................................................................................................... 错误!未定义书签。第4章策略管理 ............................................................................................................. 错误!未定义书签。 用户认证与管理.................................................................................................... 错误!未定义书签。 用户组管理.................................................................................................... 错误!未定义书签。 认证策略........................................................................................................ 错误!未定义书签。 不需要认证.................................................................................................... 错误!未定义书签。 IP/MAC绑定 ................................................................................................... 错误!未定义书签。 不允许认证.................................................................................................... 错误!未定义书签。 策略管理 ............................................................................................................... 错误!未定义书签。 购物娱乐类网站............................................................................................ 错误!未定义书签。 P2P及P2P流媒体封堵 ................................................................................... 错误!未定义书签。 外发文件封堵................................................................................................ 错误!未定义书签。 上网审计........................................................................................................ 错误!未定义书签。 流量管理 ............................................................................................................... 错误!未定义书签。 线路带宽配置................................................................................................ 错误!未定义书签。 保证通道........................................................................................................ 错误!未定义书签。 限制通道........................................................................................................ 错误!未定义书签。 终端接入管理........................................................................................................ 错误!未定义书签。 共享接入管理................................................................................................ 错误!未定义书签。第5章日志中心管理...................................................................................................... 错误!未定义书签。 日志中心配置........................................................................................................ 错误!未定义书签。 准备工作........................................................................................................ 错误!未定义书签。 外置日志中心安装过程................................................................................ 错误!未定义书签。 日志中心登录................................................................................................ 错误!未定义书签。 同步策略设置................................................................................................ 错误!未定义书签。 AC同步配置 ................................................................................................... 错误!未定义书签。 日志中心登录........................................................................................................ 错误!未定义书签。 内置日志中心登录........................................................................................ 错误!未定义书签。 外置日志中心登录........................................................................................ 错误!未定义书签。 日志查询 ............................................................................................................... 错误!未定义书签。 所有行为日志................................................................................................ 错误!未定义书签。 网站访问日志................................................................................................ 错误!未定义书签。 邮件收发日志................................................................................................ 错误!未定义书签。
深信服上网行为管理 解决方案 深信服科技有限公司 2014年5月5日 目录
一、项目概况 随着信息技术的快速发展,网络应用更新换代频繁,新兴应用不断涌现。互联网在给生活和工作带来便捷的同时也对上网行为审计带来了新的挑战。随着互联网的普及,单位业务几乎都依托于互联网进行。ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施,共同构成业务信息化平台。但是在内部网络中,除了这些关键业务系统外,还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用,形成了复杂的网络应用“脉络”。 由于单位职工拥有访问互联网的全部权限,在日常工作中对职工的上网行为难以实行有效管理。一些职工上班时间玩游戏、看网络视频、长时间进行I聊天,不仅违反了《公务员管理条例》,而且挤占有限的带宽资源,造成大量基于网络的办公应用受到影响,极大地降低了办公效率;同时无法管控的信息渠道可能导致机密信息的泄漏,导致内部局域网感染病毒而瘫痪。如果工作人员通过QQ、MSN、论坛、微博等方式对外发布了包含、色情、赌博、反动等不良信息单位或个人还将承担法律责任。 在复杂的互联网环境下,如何管理好单位内部职工的日常上网行为呢?深信服上网行为管理系统(以下简称AC)将彻底解决这些问题。 二、深信服上网行为管理产品介绍 深信服上网行为管理产品可以阻止人员访问无关的网络,杜绝带宽资源滥用,加快上网速率,提升工作效率;记录上网轨迹,管控外
发信息,规避泄密和法规风险;防止PC中毒,防止组织机密外泄,保障内部数据安全;智能数据分析提供可视化报表和详细报告,为网络管理和优化提供决策依据。可以帮助用户管理员工使用互联网行为的管理,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。 深信服是上网行为管理产品品类的创始者,在2005年最早开创了上网行为管理的市场;深信服上网行为管理获得了多项产品专利技术和媒体奖项,已服务于1万多多家客户,受到了市场的一致认可;自2009年以来在其市场占有率一直排在第一的位置。 三、具体功能介绍 (一)对内网具有安全防控功能 深信服上网行为管理在提高用户的上网安全方面提供了大量的 技术保证。既能保障AC网关自身的稳定可靠,又能提升组织内网的可用性和安全性。 一是,可以过滤恶意网页,防范恶意攻击。AC内置了庞大的恶意网址库,并且实时更新。它通过检测恶意脚本的写注册表、写文件、系统调用等危险行为,以此过滤恶意脚本。独有专利根据插件签名合法性、有效期、插件名称等校验来自网站的插件并过滤,避免无安全防护的终端染毒、被劫持,提升内网安全。二是,可以监测出异常
上网行为管理技术方案4 (1)项目目标 建立信息安全等级保护体系,增强网络接入准入认证,对上网行为进行管理。增强网络及电脑等终端设备安全性,防止信息泄露,病毒感染。 为了实现实用、易用的网络管理功能,在网络资源的集中管理基础上,实现拓扑、故障、性能、配置、安全等管理功能,不仅实现功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。对于设备数量较多、分布地域较广并且又相对较为集中的网络,故需要一套管理平台提供分级管理的功能,有利于对整个网络进行清晰分权管理和负载分担。管理平台除了涵盖网络管理功能外,还是其他业务管理组件的承载平台,共同实现了管理的深入融合联动。 可以帮助组织管理者透彻了解组织当前、历史带宽资源使用情况,并据此制定带宽管理策略,验证策略有效性。不但可以在工作时间保障核心用户、核心业务所需带宽,限制无关业务对资源的占用,亦可以在带宽空闲时实现动态分配,以实现资源的充分利用。基于不同时间段、不同对象、不同应用的管道式流控,能有效保障用户的上网体验,保障网络的稳定性。 互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为,而如果又没有证据,无法找到直接责任人,IT部门将成为该事件压力的承担者。本项目
需要事先帮助管理员实现基于内容的外发信息过滤,管控文件、邮件发送行为,对网络中的异常流量、用户异常行为及时发起告警,更有数据中心保留相关日志,风险智能报表发现潜在的泄密用户,实现“事前预防、事发拦截、事后追查”。 并保证安全可靠,保证环保及其他上传数据安全稳定运行,不会因此系统原因造成中断。 (2)项目范围 本次招标范围限于***************。 本项目建设范围主要是对网络管理涉及软件、硬件进行选型及采购、硬件上架调试及验收、数据整理、实施配置、最终验收。 投标方的主要工作范围如下: 1.硬件设备安装调试 1)负责信息设备的拆箱及上架工作。 2)负责项目内所包含信息设备的机柜、设备之间的供电、信号、通讯电缆的铺设实施工作。 3)负责网络设备的配置调试工作,达到可以正常稳定运行条件。 4)负责项目的具体实施工作。 2.实施测试 1) 负责网络设备及网络使用等相关配置和故障测试等工
关于印发《XX公司互联网上网行为管理办法》的通知 为加强XX公司互联网上网行为管理,保障各网络用户正常访问互联网,依据国家有关法律法规、海南省公安机关和公司对管理互联网方面的有关规定,现制定《XX公司互联网上网行为管理办法》,请遵照执行。 二○XX年十月二十九日 XX公司互联网上网行为管理办法 第一章总则 第一条为加强XX公司互联网上网行为管理,依据国家有关法律法规和公司有关规定,制定本办法。 第二条本办法适用于通过XX公司综合业务数据网和生活小区网络(以下简称公司网络)登陆访问互联网(Internet)的所有行为(以下简称互联网上网行为) ,包括但不限于发布、查阅、下载、上传、交易等行为。 第三条省公司信息中心是公司互联网上网行为管理部门,负责对互联网上网行为进行监控、检查、记录、通报,并配合政府有关部门和公司提供违反国家法规及公司有关规定的证据。 第二章上网行为准则 第四条不得利用互联网制作、下载、复制、查阅、发布、传播或者以其他方式使用含有下列内容的信息: (一)反对宪法确定的基本原则的; (二)危害国家统一、主权和领土完整的; (三)泄露国家秘密,危害国家安全或者损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗、习惯的; (五)破坏国家宗教政策,宣扬邪教、迷信的; (六)散布谣言,扰乱社会秩序,破坏社会稳定的; (七)宣传淫秽、赌博、暴力或者教唆犯罪的; (八)侮辱或者诽谤他人,侵害他人合法权益的; (九)危害社会公德或者民族优秀文化传统的; (十)含有法律、行政法规禁止的其他内容的。 第五条不得进行下列危害信息网络安全的活动: (一)故意制作或者传播计算机病毒以及其他破坏性程序的; (二)非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序的; (三)进行法律、行政法规禁止的其他活动的。 第六条不得通过互联网泄露公司秘密,损害公司荣誉和利益。 第三章上网行为管理 第七条凡公司综合业务数据网络所到达的各分公司(单位)及所辖办公场所,必须统一通过公司本部互联网出口登陆互联网,禁止另外开通互联网出口(含数字专线、ADSL、无线接入等)。 第八条公司网络连接互联网的出口必须按照政府规定安装符合国家法规要求 的上网行为管理设备。 第九条凡通过公司网络登陆互联网的电脑终端必须安装“上网行为准入客户 端软件”,未安装该软件的电脑不准许登陆互联网。 第十条上网行为管理设备必须由信息安全管理员负责管理,管理员必须严格 遵守有关保密管理条例或文件。 第十一条上网行为管理设备的安全策略必须通过信息中心负责人审核并报公 司保密办公室批准后才能部署实施。
企业上网行为管理解决方案4 问题描述 利用公司宽带下载影响办公、上班时间娱乐、网络设备老旧,这些是企业网络经常面临的问题,然而有限的预算能否解决这些问题呢? 1、P2P应用泛滥,网络拥堵 企业网的带宽资源通常都比较紧张,即使条件非常好的企业也时常遇到网络拥堵的问题。有80人的企业,仅仅使用2M专线接入,加上网内使用P2P下载的人数很多,连开网页都非常困难。 2、网络娱乐降低工作效率 企业对于员工在工作时间玩游戏非常头疼,诸如,QQ农场,MSN游戏平台,导致工作效率低下,但是又不能对QQ、MSN 等即时通信工具作出限制,因此公司需对员工的上网行为进行精确的控制。 3、行政管理手段引起员工情绪不满 针对以上问题,企业会制定上网行为规范,强制执行约束员工的上网行为。但大多数情况是,不仅没有有效地控制员工的上网行为,反而引起员工的情绪不满。对此,管理人员头疼不已,单一的管理手段,无法解决问题。 4、网络设备老旧,产生种种问题
一些廉价的网络设备在使用一段时间以后,便不能满足企业需要了,比如有些企业防火墙不支持第七层的协议分析,有些企业路由器支持并发连接数有限等等。如果有基于第七层网络流量控制的设备,则可以对以上旧设备进行保护,延长其使用寿命,从而降低成本。 解决方案 1、全局划分,控制P2P 网络掌门其流控功能可以有效控制P2P等应用层协议,把P2P应用限制到一定的带宽范围内,并将其他各项网络应用做了一个合理的流量划分,保障浏览网页、收发邮件等关键应用的顺利开展。划分过程中,研发基地在国内、拥有全部自主知识产权的网络掌门对于本土协议97%的识别率优势尽显,网络掌门能对需要解密的协议予以破解,对无需解密的,根据其流量特性模糊识别,合理分类,从而确保带宽划分可靠且实用。 2、通过流控实现对上网行为的管理 网络掌门可以识别HTTP协议,同时对各种网络应用协议的也能够实现精确识别。针对员工的不良上网行为,网络掌门可以对不允许使用的网络协议进行限制,比如在保证QQ、MSN即时通讯工具应用流畅的同时,对QQ网页游戏、MSN游戏平台等应用作出限制。而且,根据每个用户或用户组的不同情况,应用不同的控制策略,精细灵活。 3、可自定义的警告页面 当用户打开这些受限制的应用的时候,桌面将会弹出警告页
上网行为管理方案建议书 一、引言 根据Dynamic Markets Limited对全球办公室上网情况的调查:在上班时间,中国员工每周比其他国家的员工多花7.6小时来使用即时通讯(Instant Messenger)工具、玩游戏、P2P下载或在线媒体。中国员工上网下载音乐的时间比拉美国家高16%,进入聊天室和玩在线游戏花费的时间分别比其他国家高约8%和12%。在互联网发达的印度,只有26% 员工在工作场合浏览个人信件,而在中国,这个数字则是60%! 办公网中的办公效率问题 日益发达的互联网让员工有了更多的选择,网上聊天、网上购物、在线视频、论坛灌水、BT电影……上班时间,员工很难不受众多网络娱乐的诱惑,大家在或多或少地利用工作时间进行非业务操作。以上行为实实在在地存在于我们的办公网中。事实上,我们很多企业员工打开电脑的第一件事便是开迅雷,下载电影、视频、游戏;也有为数不少的员工痴迷股海,一心扑在大盘上面;而我们的员工在在线视频、在线小游戏、娱乐网站、热门论坛上花费的时间更是惊人。凡此种种,无不给我们有限的带宽资源带来了巨大的流量压力,给员工的办公效率打了一个大大的问号。 二、上网行为管理解决方案介绍——合理封堵非业务网络应用 随着现代企业管理理念和信息技术水平的提升,如何有效管理与利用互联网资源,这已成为现代企业管理的重要衡量标准。与此同时,上网行为管理的理念愈发深入人心,提升员工网络业务的办公效率,这已经成为企业IT管理者关心的首要问题。
如上图,企业通过以网关、网桥、或旁路模式部署上网行为管理设备,可以有效对内网员工的各种网络应用行为进行管理。上班时间,封掉影响业务效率的非业务应用及相关网站;对挤占公司带宽资源的应用进行流量控制,确保主流的办公应用带宽资源,以提高业务应用的办公效率……具体而言,上网行为管理系统封堵非业务网络应用解决方案,将给我们带来下述价值: 1、全方位封堵p2p ,确保正常办公业务带宽 P2P应用给用户带来了前所未有的速度体验与资源共享,但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题,其所带来的负作用日渐凸显。鉴于此,上网行为管理设备通过检测网络软件数据包特征码,可以对常用软件进行彻底封堵,包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的P2P软件,上网行为管理系统独有的网络行为智能分析技术使其同样难逃法网。 有些部门和领导因业务需要使用P2P,在全面封堵的同时,上网行为管理设备还可以提供P2P流控功能,即允许指定用户使用P2P,但对其占用的带宽进行控制。对不同用户,按时间段进行P2P应用封堵、带宽分配与流量控制,上网行为管理设备可有效平衡公司内部架构要求、提升核心业务办公效率。 2、针对性应用管控,对事张驰有度 现在,网络应用不断推陈出新,IT管理人员难以及时收集网络及软件版本,并制定相应管理策略;他们即使花费了大量的精力实现了收集工作,也很难实现对其全面的识别和管理。 为此,上网行为管理系统针对不断更新的网络应用软件来收集软件类型与版本,不断更新自己的应用规则识别库。
通程泛华网络信息管理制度 目的: 为加强公司网络管理,规范员工上网行为、提高工作效率,进行控制上网流量;合理分配带宽,提升网络资源利用率,保障公司信息安全,防范网络风险。 特制定下列管理办法: 一、计算机,网络设备与使用者管理 1.1严格落实办公计算机、IP 地址、电脑账号使用人负责制。 按照“一机一址、谁使用谁负责”的原则,登记计算机信息、IP 地址、电脑账号。登记人使用该计算机、IP 地址、电脑账号的直接责任人,对该计算机和IP 地址、电脑账号的信息安全、网络行为负责。使用人发生变动后报网络信息部进行信息修改及更新。 1.2责任人不得擅自拆卸、改变计算机内部配件。 不得修改计算机的软硬件设置、IP地址、DNS等。严格禁止盗用他人计算机、IP地址、电脑账号、0A等各类信息系统的登录账号,否则,一经查出,罚款50 元。进入公司文化建设基金。 1.3严禁私拉网线,严禁私用路由器及所有影响网络正常运行的设备。 网络资源、IP 地址、电脑账号由网络信息部统一分配,严禁私拉网线,严禁私用路由器及所有影响网络正常运行的设备。如因办公需要增加路由器等设备,需在向网络部信息部报备,填写设备申请单。 1.4保护计算机及周边设备,不要在计算机及周边设备旁摆放有碍计算机 散热的物品,以免损伤,烧毁计算机。使用者每隔一季度须自行 清理计算机灰尘一次。保持计算机及周边设备的卫生清洁,减少灰尘二、网络信息访问管理
2.1 上网权限与分配 为了有限管理公司网络安全和保密文件,对于特定电脑进行禁止上网规范。对于申请开网和临时开网需通过网络申请表,申请审批过方可开通上网权限。网络信息部负责对公司电脑用户上网行为通过防火墙进行控制,对公司内部网络环境进行监控。主要包括访问网站、即时通讯、P2P行为、流媒体软件等。以规范员工的网络权限。 22禁止安装和使用非公司指定即时通信工具,如yy、pp、MSN ICQ Skype、UC和POPO等。如果有特定业务需求,须向网络信息部申请安装,禁止私自安装。 2.3禁止利用公司网络,访问BBS博客和网络游戏,如QQ游戏、等游戏。 2.4禁止利用公司网络,发布、浏览或散播娱乐、购物、反动、邪 教、色情、赌博、交友、证券和暴力等一切与工作无关的网络信息。 2.5禁止浏览在线视频,如优酷、土豆、PPLive 和Qiyi 等。 2.6 禁止使用在线炒股软件、游戏客户端软件、挂机练级、外挂软件 2.7 禁止在网上下载破解软件、辅助外挂等软件 三、网络流量管理 3.1禁止安装和使用P2P 及其它影响网速的上传下载软件,如BT、
上网行为管理方案建议书
目录 第1章需求概述 (1) 1.1 背景介绍 (1) 1.2 上网行为管理需求 (1) 1.2.1 用户和终端多样化,管理复杂 (1) 1.2.2 应用和内容不可视,存在风险 (2) 1.2.3 网络流量识不全,控不住 (3) 第2章可视可控、感知风险的上网管理方案 (5) 2.1 全面的上网可视可控 (5) 2.2 用户的可视与可控 (5) 2.2.1 安全便捷的身份识别 (6) 2.2.2 安全可视的用户管理 (7) 2.3 行为的可视与可控 (8) 2.3.1 全面精准的应用识别 (8) 2.3.2 应用标签化管控 (8) 2.3.3 灵活细致的权限控制 (8) 2.3.4 非法的内容识别与管控 (9) 2.3.5 全面完整的行为审计 (10) 2.4 流量的可视与可控 (16) 2.4.1 网络流量可视化 (16) 2.4.2 合理有效的流量控制 (17) 第3章方案优势 (20) 3.1 全面完整 (20) 3.2 细致精准 (20) 3.3 灵活有效 (20) 3.4 简单便捷 (21) -2-
第1章需求概述 1.1背景介绍 随着互联网技术的发展,组织的业务模式和员工的工作模式、行为习惯都在不断发生改变: ?网上业务:组织建设了更多的网上业务平台,通过互联网来开展业务; ?沟通桥梁:内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟 通和交流,提升工作效率,获取资讯和知识,维系人脉关系; ?移动互联网:移动互联网的消费化趋势也逐渐影响到组织内部的IT系统, 员工更喜欢通过WLAN、移动终端类开展工作; ?新的法规要求:2017年6月1日,网络安全法正式推出,其中对组织明 确提出上网行为审计的要求,并且要求至少留存上网日志6个月。 因此,在员工的日常工作中,#XX客户#需要针对互联网出口平台的如下上 网行为管理、上网安全防护需求进行改造,提供一个更安全、更高效的上网环境。 1.2上网行为管理需求 互联网已经成为重要的生产资料,越来越多组织的业务在向互联网迁移,然而互联网却是一把“双刃剑”,管理得好可以让办公效率大增,促进业务的发展;而缺乏管理的互联网将带来诸多问题,不仅降低工作效率,还给组织带来各种业务风险。 而且互联网也在不断发生变化,从最早使用PC、有线局域网,到更多使用 移动终端、WLAN来进行办公,从早期的网页、PC应用,到移动APP的广泛发展,愈加复杂的上网环境,“看不见管不住”,使得上网管理困难重重。由于互联网应用的多样化,一些看似正常的上网行为,也可能隐藏着巨大的风险。 1.2.1用户和终端多样化,管理复杂 1.2.1.1BYOD上网难管理 随着移动终端的普及,员工往往会采用PC、智能手机、Pad等多种终端,通
欧意德动力集团文件欧意德动力[ 2009 ]1221号签发人:梁嘉迅 关于发布办公室各项管理制度及流程的通知 各单位: 为规范办公室各项管理工作,提高办公室工作效率,特制定并发布办公室各项管理制度及流程,详见附件。 附件: 《档案管理制度》、《车辆管理制度》、《员工胸卡管理规定》、《员工上网行为管理规定》、《接待管理制度》、《卫生管理制度》、《办公用品管理规定》、《欧意德动力集团会议管理制度》、《欧意德动力集团发文审批流程》、《欧意德动力集团EMS 发件审批流程》、《欧意德动力集团宴请审批流程》、《欧意德动力集团突发事件报告处理流程》 二〇〇九年十二月二十九日 主题词:发布 制度 流程 通知 主 送:华泰汽车控股集团董事长、总裁;欧意德动力集团总裁、副总裁、总监、总裁助理 抄 送:华泰汽车控股集团董事长办公室、集团办公室;欧意德动力集团销售公司市场开发部、应用工程部、客户服务部、综合管理部;发动机研发中心产品开发部、 技术管理部、试验标定部、综合管理部;变速箱研发中心产品开发部、试验标 定部、技术管理部;质量部、计量室;工艺技术部;生产管理部、设备动力部、 总装车间、机加车间、变速箱车间、采购部;人力资源部、办公室;经营管理 部、财务部 发 文:办公室 拟稿:赵雪丽 共96页 存档:1份 共35份
员工上网行为管理规定 OED/GZ/1.0/BG-007/2009 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1 目的 为了规范欧意德动力集团(以下简称集团)员工上网行为,维护正常的网络办公秩序,特制定本管理规定。 2 适用范围 本规则适用于欧意德动力集团所属各单位、各部门。 3 规范性引用文件 《OED动力集团员工奖惩制度(试行)》 《OED动力集团员工行为规范管理制度》 4 上网权限申请范围 4.1 副经理及以上级别员工(包括总裁助理.高级技术经理等职位)可直接开通上网权限;副经理级以下级别员工因工作需要,需申请开通上网权限者,须由所在部门领导提出申请,经批准后方可开通。 4.2 人力资源部门负责招聘的岗位需要上互联网发布和查看简历,需要用MSN,QQ 等聊天工具和应聘者沟通,可申请批准开通上网权限。 4.3 财务部门网上报税岗位可申请批准开通上网权限。 4.4 采购部门需要利用互联网查询产品信息,可申请批准开通上网权限。 4.5 各部门领导应根据部门内各岗位职责,严格控制互联网访问权限,工作内容与 批准日期:2009-12-29 实施日期:2009-12-29 第 1 页共4页OED/GZ/1.0/JG-001/2009
上网行为管理规范 第一章、总则: 为了规范上网行为,维护网络安全,提高工作效率,充分发挥网络信息服务于工作需要的重要作用,结合我公司实际,特制定本规定。 第二章、范围: 第三章、内容: 第一条所有用户不得通过网络制作、复制、查阅和传播下列信息: (1)、煽动抗拒、破坏宪法和法律、行政法规实施的; (2)、煽动颠覆国家政权、推翻社会主义制度的; (3)、煽动分裂国家,破坏国家统一的; (4)、煽动民族仇恨,民族歧视、破坏民族团结的; ((5))、捏造或歪曲事实,散布谣言,扰乱社会秩序的; (6)、宣传封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的; (7)、公然侮辱他人或者捏造事实诽谤他人的; (8)、损害国家机关或本公司信誉的; (9)、其他违反宪法和法律、行政法规的。 第二条严禁通过网络共享和泄露公司机密,如:经营数据、业务资料、技术资料等; 第三条上网行为规定: (1)、不得在上班时间浏览与工作无关的网站,如:新闻娱乐类网站、购物类网站、视频网站、BBS、博客等,如确有工作需要查阅相关信息,必须提前以书面申请形式,告知公司IT部门,IT部门做好记录及监督; (2)、不得在上班时间利用QQ等即时通讯工具进行与工作无关的网络聊天; (3)、不得安装一切与工作无关的软件,不得在上班期间利用电脑进行涉及私人事务的活动,如:炒股、网上购物等,除工作原因的网上购物除外; (4)、禁止在公司办公电脑上安装、运行各类游戏软件,在公司任何时间禁止进行各种形式的电脑游戏、看电影或者听音乐等活动; (5)、一切流媒体网站如:土豆网、博客网、优酷网等一律禁止访问; (6)、;严禁利用迅雷、BT、电驴等基于P(2)P协议的下载工具下载与工作无关的资料,员工私自下载安装软件将视为违反公司规章制度,公司将根据造成的后果不同
深信服上网行为管理 主要作用: 能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为 封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P应用 杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等 独特的敏感内容拦截和安全审计功能,防止机密泄露 全面记录网络行为日志,避免法律风险,并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表 再辅以SANGFOR M5X00-AC的其他安全扩展功能,全方位保障您的网络安全 通过采用SANGFOR M5X00-AC上网行为管理解决方案,可以保障组织管理者实现完善的网络访问行为管控和行为审计,并达到如下效果: 1.规范员工上网行为(如禁止上班时间QQ聊天、炒股、网络游戏等),提升工作效率 上班时间从事私人活动,是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为,员工工作效率的下降将直接影响组织的竞争力。而通过SANGFOR AC可以把与工作无关的上网行为降低到最低,去除员工的分心,让他们专注于工作中。 2.流量控制、带宽管理,提升带宽利用率 对严重吞噬带宽的P2P行为,SANGFOR AC不仅能彻底封堵,还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分,结合智能QoS,既保证了业务应用对带宽的需求,又避免了对带宽的滥用,提升带宽使用效率。 3.修补安全漏洞、提升内网安全级别 色情、反动网站的浏览和未知文件的下载安装,导致病毒、木马等被员工主动“邀请”进入内网,SANGFOR AC将过滤该行为,并提供网关杀毒功能从源头消除威胁;源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御;而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户,SANGFOR AC亦能侦测发现,从而修复内网安全短板。 4.防范信息机密外泄、保护组织信息资产安全 员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手,SANGFOR AC特有的“邮件延迟审计”专利技术,将彻底防范该泄密行为;员工的网络发帖、webmail行为,SANGFOR AC同样可以过滤和记录;而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计,将警示通过IM聊天工具泄密的行为。 5.规范员工网络行为、避免法律风险 员工利用组织的Internet连接,访问反动、邪教等不良网站,发表非法言论,收集和发布色情图片等非法网络活动,将导致组织违反法律法规、承受法律诉讼等。SANGFOR AC上网行为管理设备可以管控和过滤员工的此类行为,并详细记录和审计员工的各种网络行为日志,做到有据可查,使组织避免法律风险。
XX公司 上网行为管理解决方案 XXXXXXXXXXX有限公司 2020年
目录 目录 (2) 一、XX介绍 (4) 1.1公司简介 (4) 1.2产品简介 (4) 1.3资质认证 (5) 1.4产品荣誉 (5) 二、上网行为管理– XX行业信息安全新视角 (5) 2.1XX行业信息安全建设面临的问题 (5) 2.2对员工上网行为进行规范管理势在必行 (7) 三、XX集团公司互联网访问管理需求分析 (7) 3.1 项目背景 (7) 3.2需求分析 (7) 四、 XX集团互联网访问管理方案设计理论依据 (9) 4.1基于ISO/IEC 17799信息安全管理标准 (9) 4.2主体管理技术理念 (9) 4.3 主体管理构架于真实的组织结构之上 (9) 4.4 基于行为后果的搜索引擎技术分类网址库 (10) 4.5 细粒度树形协议分类库 (10) 4.6 流行的五元组方式的策略定义 (10) 4.7 DPT,DST技术 (10) 4.8 持续的、可学习的本地更新技术 (10) 4.9 安全基础的PPDR理念 (11) 五、 XX集团上网行为管理解决方案和技术实现 (11) 5.1 整体解决方案 (11) 5.1 总部ICG部署的网络拓扑 (12) 5.2 分公司ICG部署的网络拓扑 (12) 5.3 NSICG的技术实现介绍 (12)
5.3.1可靠高效的硬件系统和智能容错旁路技术 (12) 5.3.2灵活安全的设备管理方式 (13) 5.3.3专业级的应用识别和分类,层次清晰的结构化管理 (13) 5.2.4迅速准确的协议跟踪识别 (13) 5.3.5细致的用户组织结构管理 (13) 5.3.6XX灵活精细的带宽管理策略 (14) 5.3.7异常流量防护报警,保障出口线路的稳定 (14) 5.3.8先进的内容过滤技术,构建文明健康的企业网络 (15) 5.3.9外发信息控制管理 (16) 5.3.10强大的内置流量分析和行为统计报告 (16) 六、产品规范 (16) 6.1产品指标规范 (16) 6.2系统结构图: (16) 七、项目实施管理 (17) 八、产品部署方案 (18) 8.1设备上线安装步骤 (18) 8.2 设备IP、路由说明,地址分配说明 (18) 8.3互联网访问管理部署 (18) 8.4设备可用性测试 (19) 8.5风险分析及回退 (19) 8.6变更实施人员工作分工 (19) 8.7使用期间的维护 (19) 8.8部署完毕后守局并制作使用报告 (19) 九、重点功能实现方案细则 (19) 9.1用户身份鉴别及帐户的管理 (19) 9.2互联网访问提速方案 (20) 十、典型客户 (21) 10.1、典型客户案例 (21) 10.2、典型客户列表 (24)
上网行为管理 解决方案
2011 年 11 月
上网行为管理解决方案
1.项目背景
随着信息时代的到来,国际互联网的普遍应用已日益渗透到我国社会政治、经济、
文化生活的各个角落。互联网是一个连接全世界的、开放的、自由的信息网络,涉及到
社会各个领域,它带来的是其开放性、兼容性、高效性与跨国性的信息传播,人们因此
而受益颇多。在信息化推进的同时,不可避免的伴随着计算机犯罪的增加、网上黑客的
猖獗、色情信息的泛滥、信息间谋的潜入。
XX 集团,重视 IT 基础架构的建设,从而助推业务系统综合实力的提升。但是有必
要在现有 IT 基础架构的基础上建设上网行为管理系统,通过下属的行政效能监察室来记
录或者管理市直属单位以及各二级单位的上网行为。其必要性在于:
第一:从遵守国家政策角度,每个联网单位有义务建设行为、内容管理系统。
第二:作为能源类单位,必须遵守萨班斯法案或者类似法案,该法案要求企业的内
控活动,不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录,对审计
过程也有存档的要求。同时《公安部互联网安全保护技术措施规定(公安部令第 82 号)》
第十三条,互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应
当具有至少保存六十天记录备份的功能。
第三:通过互联网传递信息已经成为企业的关键应用,然而信息的机密性、健康性、
政治性等问题也随之而来。需通过上网行为管理设备制定精细化的信息收发监控策略,
有效控制关键信息的传播范围,以及避免可能引起的法律风险,并且保护企业的信息资
产,尤其是勘探信息、经营信息等。
第四:可以通过管理上网用户的行为,提高企业的运作效率,避免与工作无关的信
息的干扰。
--------------------------------------------------------------------------------------------------------------------------------------------------------
北京网康科技有限公司
第 2 页 共 28 页