上网行为管理
测
试
方
案
测试项目测试分项测试结果备注部署模式3路桥接 满足 不满足
用户认证与
管理三层网络环境中无插件实现IP-MAC绑定 满足 不满足管理员分级管理 满足 不满足
终端识别终端操作系统补丁识别 满足 不满足对注册表键值的识别 满足 不满足对硬盘文件的检查和识别 满足 不满足识别终端的进程 满足 不满足
应用控制SSL加密网址的识别与封堵 满足 不满足非80端口网页访问行为的识别 满足 不满足搜索引擎输入关键字的过滤 满足 不满足网页智能学习与分类 满足 不满足基于特征的外发文件识别和告警 满足 不满足URL地址的动作过滤 满足 不满足网页正文关键字识别和过滤 满足 不满足不常见P2P软件的识别和封堵 满足 不满足语音视频识别 满足 不满足新浪视频的识别与封堵 满足 不满足
上网策略管
理上网时长控制 满足 不满足子组支持继承父组的上网策略 满足 不满足
流量管理基于应用类型的流控 满足 不满足基于文件类型的流控 满足 不满足基于网站类型的流控 满足 不满足用户的带宽划分与分配 满足 不满足
邮件过滤与
审计根据发件人地址进行邮件过滤 满足 不满足仅允许指定后缀的邮件地址发送邮件 满足 不满足过滤含有指定关键字的邮件 满足 不满足过滤含有指定类型附件的邮件 满足 不满足
应用审计与
报表管理员分级审计用户日志 满足 不满足记录被访问网页的网页标题 满足 不满足记录含有指定关键字的网页内容 满足 不满足非TCP 21端口行为的识别和记录 满足 不满足时间审计 满足 不满足Webmail附件的记录和审计 满足 不满足WAN->LAN行为审计 满足 不满足报表功能 满足 不满足
网络可靠、可用的保障能
力防火墙功能 满足 不满足ARP欺骗防护功能 满足 不满足防DOS攻击功能 满足 不满足
1、多路桥接
测试编
号
测试时间
测试项
目
部署模式测试人员
测试分
项
多路桥接
测试目的为了网络更安全,内网段、DMZ段和VPN段全部桥接到上网行为管理设备
测试方法1、1和2口桥接VPN;
2 、3和4口桥接内网;
3、5和6口桥接DMZ
预期结果内网ping 外网成功;内网ping DMZ成功;DMZ ping 外网成功。
测试结果内网ping 外网成功 满足 不满足内网ping DMZ 满足 不满足DMZ ping 外网 满足 不满足
测试结论所测试产品是否满足该项功能要求 满足 不满足
2、三层IP/MAC绑定
测试编号测试时间
测试项目用户认证方式测试人员
测试分项三层IP/MAC绑定
测试目的IP/MAC绑定是高端客户所必须的功能,所以在三层网络环境中实现IP/MAC 绑定将帮助高端客户解决跨网段的IP和MAC绑定问题,便于高端客户的网
络管理、用户识别和认证。
测试方法1、选择内网的任意用户,假如用户名为A;
2、在设备上创建用户帐号,并启用IP/MAC绑定,填写A用户的IP和其对
应的MAC地址;
3、配置设备以确保A用户访问外网资源,且访问成功;
4、更改A用户的IP地址,然后再访问互联网资源,测试是否成功
5、用户B的IP为A的IP,此时用户B访问外网资源,测试访问结果是否成
功。
预期结果用户A和B 改变IP地址上网都不成功
测试结果A用户在更改IP后不能访问Internet 满足 不满足B用户使用A用户的IP地址访问Internet不成功 满足 不满足测试结论所测试产品是否满足该项功能要求
满足 不满足
3、未创建账号用户的认证
测试编号测试时间
测试项目用户认证方式测试人员
测试分项未创建账号用户的认证
测试目的组织单位往往会有第三方合作伙伴、新员工等未及时创建帐号的用户接入网络,这就需要被测设备能够自动添加未创建帐号的用户信息,并且同时能够
将新用户自动分组、自动授权、实现方便性和可控性的统一。
测试方法1、设备具有未创建账号的处理方式,并且此功能可选;
2、未创建帐号的用户至少具有两种以上的处理方式,如以IP为新账号并绑
定IP地址和MAC地址、以计算机名为新账号并绑定IP地址和MAC地址;
3、配置设备将未创建账户的用户自动以IP地址作为新用户名,同时绑定
IP-MAC;
4、配置设备将未创建账号的用户自动添加到设备后可以分配到指定的用户
组,从而继承相应的上网权限:禁止访问https://www.doczj.com/doc/9512286667.html,
5、内网用户A使用终端电脑访问互联网,访问https://www.doczj.com/doc/9512286667.html,是否成功;
6、内网用户A访问www.baidu.cim是否成功;
7、内网新用户B修改自己IP为A的IP,访问外网资源测试是否成功
预期结果被测设备能够以IP地址、计算机名等作为未创建用户的新帐号名,同时绑定IP、MAC等,同时自动分配到指定用户组,继承相应的权限。
测试结果被测设备支持对未创建帐号用户的处理 满足 不满足设备支持以IP地址作为新用户名自动添加帐号 满足 不满足
用户A支持自动创建帐号且支持同时绑定IP、MAC等信息
满足 不满足用户A自动创建的帐号享有指定的网络访问权限 满足 不满足
用户B通过更改IP地址方式不能冒充A的身份 满足 不满足测试结论所测试产品是否满足该项功能要求 满足 不满足
4、冻结用户管理
测试编号测试时间
测试项目用户认证方式测试人员
测试分项冻结用户管理
测试目的为了规范内网用户的互联网访问行为,被测的上网行为管理设备不仅能够预先给不同用户分配上网权限和策略,同时对于IT管理者实时发现的存在异常
网络行为的用户应该能够进行手工干预,包括在指定时间段内阻断该用户的
网络连接,并能够在超时后自动回复该用户的网络访问权限,达到冻结用户
与自动解冻,从而强化IT管理者对用户上网行为的管理。
测试方法1、在设备上配置接入用户的帐号、密码等信息;
2、通过设备可以查看得到当前在线用户名单等信息;
3、选中指定的用户A实施冻结三分钟,验证该用户A是否能访问互联网;
4、三分钟后用户A再次尝试访问互联网;
预期结果被测设备应该支持将指定用户临时冻结,并在超时后自动为给用户解冻,恢复其互联网访问权限。
测试结果实施冻结后,用户A不能访问互联网 满足 不满足超时后用户A自动具有互联网访问权限 满足 不满足测试结论所测试产品是否满足该项功能要求 满足 不满足
5、管理员分级管理
测试编号测试时间
测试项目用户认证方式测试人员
测试分项管理员分级管理
测试目的对于存在多个部门的大中型组织机构,由于不同部门差异化的互联网访问权限,如果为不同部门分配不同的设备管理员,不仅简化了IT部门的工作,同
时让各部门、各用户的访问权限管理更灵活。但必须避免A部门的管理员却
能够对B部门的上网权限、用户组织结构进行编辑、修改等。
测试方法1、在设备上配置配置不同管理员,其中管理员A1可以编辑用户组A的权限、成员等;管理员A2只能够查看用户组A的权限、成员等。
2、通过管理员A1账户登录被测设备,验证是否能够对用户组A的上网权限、
组成员进行编辑和调整;
3、通过管理员A2账户登录被测设备,验证是否能够对用户组A的上网权限、
组成员进行编辑和调整;;
预期结果不同权限管理员登录被测设备后只具有授权的权限,包括针对不同用户组的Read-Only权限、和Read-Write权限。
测试结果管理员A1可以修改用户组A的配置 满足 不满足管理员A2不能修改用户组A的配置 满足 不满足测试结论所测试产品是否满足该项功能要求 满足 不满足
5、终端操作系统补丁识别
测试编号测试时间
测试项目终端识别测试人员
测试分项终端操作系统补丁识别
测试目的内网终端如果没有及时更新操作系统补丁而接入互联网,则极易感染病毒、木马等威胁,进而传染给内网更多终端设备,影响网络的可靠性和可用性,
所以需要通过终端识别功能找出内网没有及时安装操作系统补丁的终端设备测试方法配置设备禁止使用Windows XP操作系统但没有安装SP2补丁的终端访问互联网;
使用安装Windows XP操作系统但没有安装SP2补丁的终端接入互联网,测
试是否可以正常访问互联网。
预期结果被测设备能够识别终端设备的操作系统版本及操作系统补丁,对不符合信息技术部要求的终端将禁止接入互联网
测试结果设备具有识别终端操作系统版本及补丁的功能配置项 满足 不满足使用windows xp操作系统而没有安装SP2补丁的终端不能访问互联网
满足 不满足
测试结论所测试产品是否满足该项功能要求 满足 不满足
6、对注册表键值的识别
测试编号测试时间
测试项目终端识别测试人员
测试分项对注册表键值的识别
测试目的内网终端如果安装了非法软件往往会在注册表中留下指定的键值等痕迹、而
没有安装指定的安全软件则不会在注册表中留下指定的键值等痕迹;所以通
过检查注册表可以保证信息技术部统一IT政策的贯彻和落实,避免风险终端
接入互联网感染病毒,进而传染到内网的问题。
测试方法1、配置设备,通过检测注册表中指定键值是否含有“诺顿杀毒软件”,实现只有安装诺顿杀毒软件的终端才能访问互联网;
2、终端电脑安装诺顿杀毒软件后,测试是否可以成功访问互联网;
3、删除终端电脑上的诺顿杀毒软件后,测试是否可以访问互联网。
预期结果被测设备可以通过检查接入终端的注册表相关键值实现对终端的识别和网络准入功能
测试结果 1. 配置设备,实现对客户端诺顿杀毒软件的检测,终端安装有诺顿杀毒软件,成功访问互联网 满足 不满足
4. 删除终端上的诺顿后,终端不能访问互联网 满足 不满足
测试结论所测试产品是否满足该项功能要求 满足 不满足
7、对硬盘文件的检查和识别
测试编号测试时间
测试项目终端识别测试人员
测试分项对硬盘文件的检查和识别
测试目的内网终端如果安装了非法软件、或没有安装指定的安全软件而接入互联网,是对信息技术部门统一IT政策的违反,同时可能极易感染病毒、木马等威胁,
进而传染给内网更多终端设备,影响网络的可靠性和可用性,所以需要通过
终端识别功能找出内网安装了非法软件、不安装指定软件的终端设备。
测试方法1、完成设备相关配置,禁止安装QQ.exe文件的终端访问互联网;
2、终端电脑安装QQ.exe文件后访问互联网,测试是否可以成功访问;
3、终端电脑删除QQ.exe文件再访问互联网,测试是否可以成功访问;
4、再配置设备,禁止不安装NOD32.exe(NOD32杀毒软件的进程)文件的
终端访问互联网;
5、终端电脑安装NOD32.exe文件后,测试是否可以成功访问互联网;
6、删除终端电脑上的NOD32.exe文件,测试是否可以访问互联网。
预期结果被测设备能够检查接入终端的硬盘文件情况,从而实现终端识别和有效的网络准入控制
测试结果被测设备具有检查终端硬盘文件的功能配置项 满足 不满足终端安装QQ后访问互联网失败 满足 不满足
终端删除QQ后再访问互联网成功 满足 不满足
终端安装NOD32后访问互联网成功 满足 不满足
终端删除NOD32后访问互联网失败 满足 不满足测试结论所测试产品是否满足该项功能要求 满足 不满足
8、识别终端的进程
测试编号测试时间
测试项目终端识别测试人员
测试分项识别终端的进程
测试目的内网终端如果运行了非法软件、或没有运行指定的安全软件而接入互联网,是对信息技术部门统一IT政策的违反,同时可能极易感染病毒、木马等威胁,
进而传染给内网更多终端设备,影响网络的可靠性和可用性,所以需要通过
终端识别功能找出内网运行了非法软件、不运行指定软件的终端设备测试方法1、完成设备相关配置,禁止运行QQ.exe进程的终端访问互联网;
2、终端电脑运行QQ.exe后访问互联网,测试是否可以成功访问;
3、终端电脑关闭QQ.exe再访问互联网,测试是否可以成功访问;
4、再配置设备,禁止不运行NOD32KRN.exe(NOD32杀毒软件的进程)进
程的终端访问互联网;
5、终端电脑运行NOD32KRN.exe进程,测试是否可以成功访问互联网;
6、关闭终端电脑的NOD32KRN.exe进程,测试是否访问互联网。
预期结果被测设备能够检查接入终端的后台进程情况,从而实现终端识别和有效的网络准入控制
测试结果被测设备具有检查终端进程的功能配置项 满足 不满足
终端运行QQ.exe进程后访问互联网失败 满足 不满足
终端停止QQ.exe进程后再访问互联网成功 满足 不满足
终端运行NOD32KRN.exe进程后访问互联网成功 满足 不满足
终端停止NOD32KRN.exe进程后访问互联网失败 满足 不满足测试结论所测试产品是否满足该项功能要求 满足 不满足
9、多条准入规则的与/或
测试编号测试时间
测试项目准入规则测试人员
测试分项多条准入规则的与/或
测试目的传统的设备对于准入规则应用只能进行单一的进行检测,灵活性较差,而要实现对于如必须开启诺顿杀毒软件或者是卡巴斯基软件,不能运行QQ软件
和迅雷软件这样的复杂的组合就无能为力,该项测试可以验证设备对于符合
多项策略的组合检查
测试方法1、新建“必须运行杀毒软件1”准入规则选择用户需运行“卡巴斯基”进程,新建“必须运行杀毒软件2”准入规则选择用户需运行“诺顿杀毒”进程
2、选择“必须运行杀毒软件1”和“必须运行杀毒软件2”进行组合规则,
选择任一条件成立允许用户上网,并命名为“需启用杀毒软件”
3、新建“禁止运行QQ”准入规则选择用户需运行“QQ”进程,“必须运
行杀毒软件1”准入规则选择用户需运行“卡巴斯基”进程
4、选择“禁止运行QQ”和“必须运行杀毒软件1”进行组合规则,选择当
所有条件成立的时候允许用户上网
5、在上网策略对象中新建“准入规则1”项执行有任一杀毒软件即可上网,
并运用到用户A
6、在上网策略对象中新建“准入规则2”项执行必须运行“卡巴斯基”和不
能运行“QQ“才能上网上网,并运用到用户B
预期结果用户“A“启用任何一个杀毒软件”卡巴斯基“或是’诺顿杀毒”即可上网用户B启用“卡巴斯基“和不运行”QQ“才能上网,否则不允许上网测试结果 1. 用户“A“启用任何一个杀毒软件”卡巴斯基“或是’诺顿杀毒”即可上网
满足 不满足
2. 用户B启用“卡巴斯基“和不运行”QQ“才能上网,否则不允许上网
满足 不满足
测试结论所测试产品是否满足该项功能要求 满足 不满足
10、SSL网址识别与封堵
测试编号测试时间
测试项目应用识别测试人员
测试分项SSL网址识别与封堵
测试目的互联网网页正在逐渐由明文形式转化为SSL加密的密文形式,这其中就包括为数众多的假冒网上银行的钓鱼网站、近期假冒地震捐款的网站、网上基金
/证券/炒股/购物/博彩网站等,如果不能对SSL加密网站进行识别和管理,显
然无法实现对用户的网页访问行为的全面管理
测试方法1、完成设备相关配置,禁止用户访问https://https://www.doczj.com/doc/9512286667.html,;
2、内网用户打开IE,尝试访问https://https://www.doczj.com/doc/9512286667.html,站点,测试是否可
以正常访问;
3、再打开https://https://www.doczj.com/doc/9512286667.html,测试是否可以成功访问;
预期结果被测设备能够实现对SSL加密网页的识别,通过非封堵TCP 443端口方式实现对指定SSL加密网站的过滤,同时放开其他SSL加密网页的访问行为测试结果设备支持SSL加密网页识别的配置功能项 满足 不满足内网用户不能访问被封堵的https://https://www.doczj.com/doc/9512286667.html, 满足 不满足
内网用户可以访问没有被封堵的https://https://www.doczj.com/doc/9512286667.html, 满足 不满足测试结论所测试产品是否满足该项功能要求 满足 不满足
11、非80端口网页访问行为的识别
测试编号测试时间
测试项目应用识别测试人员
测试分项非80端口网页访问行为的识别
测试目的通常网页访问通过TCP 80端口实现,但互联网上存在为数众多的非80端口访问的网页、网站等,典型如“碧海银沙”在线聊天室等可以通过随机的端
口提供访问,如果不能对此类非80端口的网页访问行为进行识别和管理,将
无法有效管理用户的网页访问行为
测试方法1、打开IE访问碧海银沙网站:https://www.doczj.com/doc/9512286667.html,/站点,进入任一网络聊天室,记下当前聊天室网址如:http://202.96.140.8:32462/;
2、被测设备配置过滤对http://202.96.140.8网址的访问行为
3、内网用户访问http://202.96.140.8:32462/,验证是否可以访问成功
4、内网用户访问http://202.96.140.8:38611/,验证是否可以访问成功
预期结果被测设备并不以网页访问行为的端口进行行为识别和过滤,从而实现对同一URL地址多个端口都能进行识别和过滤
测试结果设备配置后,用户不能访问http://202.96.140.8:32462/ 满足 不满足用户亦不能访问http://202.96.140.8:38611/ 满足 不满足
测试结论所测试产品是否满足该项功能要求 满足 不满足11、搜索引擎输入关键字的过滤
测试编号测试时间
测试项目应用识别测试人员
测试分项搜索引擎输入关键字的过滤
测试目的网页访问行为通过静态URL库可以实现部分控制功能,但由于互联网URL 地址数十亿条,每天新增近百万,为实现对网页访问行为的全面管理,必须
具备对搜索引擎输入指定关键字的过滤技术,如禁止通过百度、Google搜索
“艳照门”。
测试方法1、完成设备相关配置,禁止通过搜索引擎搜素“艳照门”关键字;
2、通过IE访问百度搜索“艳照门”,验证搜索结果;
3、访问Google、雅虎搜索等,搜索“艳照门”,验证搜索结果;
预期结果被测设备可以实现对百度、Google等搜索引擎中输入的指定关键字的过滤技术,用以弥补静态URL库的缺陷
测试结果被测设备具有搜索引擎输入关键字过滤功能 满足 不满足用户不能通过百度搜索“艳照门” 满足 不满足
用户不能通过Google、雅虎搜索“艳照门” 满足 不满足
测试结论所测试产品是否满足该项功能要求 满足 不满足12、网页正文关键字识别和过滤
测试编号测试时间
测试项目应用识别测试人员
测试分项网页正文关键字识别和过滤
测试目的网页访问行为通过静态URL库可以实现部分控制功能,但由于互联网URL 地址数十亿条,每天新增近百万,为实现对网页访问行为的全面管理,必须
能够识别网页正文含有的指定关键字,根据该关键字实现对网页访问行为的
控制和过滤。
测试方法1、完成设备相关配置,禁止用户访问含有“艳照门”关键字的网页;
2、通过访问百度、Google等寻找含有艳照门内容的网页;
3、点击打开含有“艳照门”关键字的网页,测试是否能够成功访问;
预期结果被测设备可以通过识别网页正文含有的指定关键字实现对网页访问行为的管理
测试结果 1. 内网用户将不能访问含有“艳照门”关键字的网页 满足 不满足
测试结论所测试产品是否满足该项功能要求 满足 不满足13、不常见P2P软件的识别和封堵
测试编号测试时间
测试项目应用识别测试人员
测试分项不常见P2P软件的识别和封堵
测试目的组织在封堵常见的BT、eMule等P2P软件后,却又面临着众多未知P2P、不常见P2P行为的威胁,网络上的P2P软件层出不穷、版本泛滥,不可能通过
被测设备内置的应该识别库实现对所有P2P行为的管理,所以必须具有P2P
智能识别方式,根据P2P的行为特征从根本上识别和封堵P2P行为。
测试方法内网用户通过Google搜索安装不常见的P2P工具
配置设备,启用设备的P2P智能识别功能
再次使用应用协议库没有的、不常见的P2P软件(比如Maze)进行资源下载,
测试下载速度
预期结果内网用户使用不常见的P2P工具滥用带宽资源的情况被识别并封堵,有效的提升了组织单位的带宽使用效率
测试结果被测设备含有P2P智能识别功能 满足 不满足内网用户首先可以通过应用协议识别库中没有的P2P工具下载资源
满足 不满足在配置设备启用智能P2P识别功能后,再次使用以上P2P工具将不能下载资
源 满足 不满足
测试结论所测试产品是否满足该项功能要求 满足 不满足
14、新浪视频的识别与封堵
测试编号测试时间
测试项目应用识别测试人员
测试分项新浪视频的识别与封堵
测试目的随着YouTube的流行,国内的视频网站也越来越多。上班时间访问新浪视频等网站观看视频不仅影响工作效率,同时对带宽的严重占用也不容忽视。如
何实现允许用户访问新浪视频网站但不允许观看在线视频已经成为众多客户
的要求。
测试方法配置被测设备,封堵在线视频的使用
内网用户访问https://www.doczj.com/doc/9512286667.html,/,并尝试观看视频资源
预期结果内网用户尝试观看在线视频的行为被禁止
测试结果用户无法观看新浪视频资源 满足 不满足
测试结论所测试产品是否满足该项功能要求 满足 不满足
15、网页智能学习与分类
测试编号测试时间
测试项目网页识别与过滤测试人员
测试分项网页智能学习与分类
测试目的面对互联网过万亿的URL地址,而且URL地址还在不断的增多,静态的URL 库已经不能完整的解决URL地址的分类与过滤了,那么通过智能的学习与识
别则是URL过滤的最佳解决途径,通过关键字特征来识别网页并进行过滤测试方法在设备中添加关键字“法轮功,共匪,真相,反党”等,启用过滤,然后通过IE访问已知的反动网址
预期结果通过学习以后反动网址被自动过滤,输入的反动网址无法访问
测试结果用户在输入反动网址时无法访问 满足 不满足
测试结论所测试产品是否满足该项功能要求
满足 不满足
16、URL地址的动作过滤
测试编号测试时间
测试项目URL地址过滤测试人员
测试分项URL动作过滤,仅拒绝POST
测试目的传统的设备对于URL地址的过滤方式为一刀切,为防止内网员工的发帖导致的法律风险,从而全面封堵论坛类网站的访问导致员工极大的不满,更人性
化的只能看贴不能发帖的URL动作过滤更灵活的进行内网管理
测试方法配置设备“只许看贴,不准回帖|”
预期结果用户“A“可以访问“https://www.doczj.com/doc/9512286667.html,“但是不能发帖
测试结果用户“A“可以访问“https://www.doczj.com/doc/9512286667.html,“但是不能发帖
满足 不满足
测试结论所测试产品是否满足该项功能要求 满足 不满足
17、部分域名免控制
测试编号测试时间
测试项目免控制规则测试人员
测试分项目标域名免控制(包括控制,流控,审计)
测试目的目前多数的组织机构都有自己的网站,而组织内部人员访问这些网站的时候的频度和流量也是较大,对于这部分网站的控制会浪费较多的设备性能,目
标域名的免控制可以有效的对目标域名免除控制
测试方法1、配置设备,新浪网免控制
预期结果用户访问https://www.doczj.com/doc/9512286667.html,将没有记录
测试结果 1. 用户访问https://www.doczj.com/doc/9512286667.html,将没有记录 满足 不满足
测试结论所测试产品是否满足该项功能要求
满足 不满足
18、语音视频、UuCall语音视频
测试编号测试时间
测试项目应用识别和控制测试人员
测试分项雅虎通语音视频、UuCall语音视频
测试目的对语音和视频聊天软件进行封堵
测试方法设备策略中配置“封堵雅虎通语音视频、UuCall语音视频”项,将该策略运用到用户A
预期结果用户A将无法使用雅虎通语音视频或UuCall语音视频
测试结果用户A将无法使用雅虎通语音视频或UuCall语音视频 满足 不满足
测试结论所测试产品是否满足该项功能要求
满足 不满足
19、上网时长控制
测试编号测试时间
测试项目上网策略管理测试人员
测试分项上网时长控制
测试目的通常组织单位对内网用户的上网行为并不做非常严格的管理,因为管理者深知宽松自由的办公环境有利于员工对组织的忠诚度与依赖感。但上班时间从
事工作无关的网络行为却是不争的事实,如何在管理与放纵之间保持平衡?
通过控制员工一天的总上网时间可以有效的解决该问题。允许员工上网,但
总时间有限制,这样及避免对工作效率的严重影响,同时避免了对员工过分
管控而带来的反弹。
测试方法配置设备,对指定用户一天内的总上网时间限制为10分钟
用户A访问互联网,上网时间控制在10分钟以内,然后注销退出
用户A再次访问互联网,与前一次访问时间总和超过10分钟,测试是否仍然
能够正常访问互联网
预期结果被测设备应该能够限制指定用户一天内的总上网时间,从而实现上网权限的灵活控制。
测试结果步骤2中用户A可以顺利访问互联网 满足 不满足步骤3中用户起初可以访问互联网,但在总上网时间超过10分钟后不能访问
互联网 满足 不满足测试结论所测试产品是否满足该项功能要求
满足 不满足
20、子组支持继承父组的上网策略
测试编号测试时间
测试项目上网策略管理测试人员
测试分项子组支持继承父组的上网策略
测试目的大型组织机构的上网行为管理策略的配置往往复杂度较高。来自父组的上网策略的调整如何简单方便的同步实施到子组上,这是IT部门普遍关心的问题
之一。通过策略继承功能子组将无需配置父组上网策略,直接“copy”父组
的策略即可。
测试方法对指定父组A启用禁止访问https://www.doczj.com/doc/9512286667.html,的策略,父组A的子组继承父组A的策略,子组用户尝试访问https://www.doczj.com/doc/9512286667.html,
预期结果被测设备通过对上网策略的继承功能,子组将自动继承父组上网策略,方便了上网策略的配置和管理
测试结果子组用户无法访问https://www.doczj.com/doc/9512286667.html, 满足 不满足
测试结论所测试产品是否满足该项功能要求
满足 不满足
21、子组从父组强制继承的上网策略将不能修改、删除、绕过
测试编号测试时间
测试项目上网策略管理测试人员
测试分项子组从父组强制继承的上网策略将不能修改、删除、绕过
测试目的组织机构内部往往有指定的互联网访问权限,如通常禁止访问色情网站,并要求整个组织单位贯彻执行,但如何保障不同部门、不同用户分组不会删除、
修改、绕过“禁止访问色情网站”的上网策略呢?这就要求被测设备支持子
组对父组策略的强制继承功能。
测试方法配置设备,对指定父组A启用禁止访问https://www.doczj.com/doc/9512286667.html,的策略B
配置设备要求父组A的所有子组都必须强制继承策略B
父组A的子组用户尝试访问https://www.doczj.com/doc/9512286667.html,
尝试删除子组被强制继承的策略B
为子组添加新策略:允许访问https://www.doczj.com/doc/9512286667.html,,并验证是否能够访问预期结果被测设备通过对上网策略的强制继承功能,子组将被配置指定的上网策略,并且对该策略不能删除、修改、绕过。
测试结果步骤3中子组用户无法访问https://www.doczj.com/doc/9512286667.html, 满足 不满足步骤4中无法删除子组被强制继承的上网策略 满足 不满足
步骤5中子组用户仍然无法访问https://www.doczj.com/doc/9512286667.html, 满足 不满足测试结论所测试产品是否满足该项功能要求
满足 不满足
测试编号测试时间
测试项目流量管理功能测试人员
测试分项基于应用类型的流控
测试目的组织内网用户使用各种网络应用,如BT下载、IM聊天、层视频会议等,由于有限的总带宽资源被BT下载等非业务行为滥用将导致视频会议等其他业
务难以开展。而完全封堵BT等非业务行为可能引起用户抵触,所以需要对
P2P等非业务访问行为进行基于应用类型的带宽划分与分配。
测试方法内网用户使用BT进行文件资源的下载,开启最大速度全速下载
配置设备,对该指定用户的P2P行为进行带宽限制,限制其下载速度低于
5KBps
内网该用户重新连接下载该文件资源,验证下载速度;
配置设备,对该指定用户的FTP文件传输行为进行带宽保证,限制FTP文件
下载的速度不低于50KBps,不高于70KBps;
内网该用户使用FTP工具下载公网文件资源,验证下载速度
预期结果通过被测设备基于应用类型的流量管理功能,内网指定用户的P2P行为所占带宽被限制,而其他正常业务行为的带宽得到保障。
测试结果配置设备前,内网用户使用BT下载速度较快 满足 不满足设备启用对BT的流量限制后,该用户的BT下载速度小于5KBps
满足 不满足设备启用对FTP的流量保证后,文件传输速度不低于50KBps、不高于70KBps
满足 不满足
测试结论所测试产品是否满足该项功能要求
满足 不满足
22、基于文件类型的流控
测试编号测试时间
测试项目流量管理功能测试测试人员
测试分项基于文件类型的流控
测试目的内网员工通过HTTP上传下载指定类型的文件,尤其关键部门上传文件,需要提供带宽保障措施,以提升工作效率。
测试方法配置设备,为上传专业类型文件实施带宽保证策略,并最多划分100KBps的带宽通道
使用内网终端设备,采用HTTP方式上传专用大型文件,查验上传速度
调整设备配置,对上传专用类型文件的行为最多划分10KBps的带宽通道
使用内网终端设备,采用采用HTTP方式上传CAD大型文件,查验上传速度预期结果被测设备能够根据上传下载的文件类型进行带宽划分和分配
测试结果配置设备后,上传CAD文件的速度较快,且最大没有超过100KBps
满足 不满足再次配置设备后,上传CAD文件的速度较快,且最大没有超过10KBps
满足 不满足
测试结论所测试产品是否满足该项功能要求
满足 不满足
测试编号测试时间
测试项目流量管理功能测试测试人员
测试分项基于网站类型的流控
测试目的互联网网站繁多,内网用户访问新闻网站时如何提供带宽保障;而访问新闻、娱乐网站时又如何进行带宽限制,这都是信息技术部需要考虑的问题,此节
即测试被测设备基于网站类型的带宽划分和流量控制功能
测试方法配置设备,对访问行业网站分类的行为提供带宽保障,至少为100KBps,且上限不超过120KBps
配置设备,对访问娱乐类网站的行为提供带宽限制、最多为5KBps
使用终端设备访问行业网站URL地址,并从行业网站上下载文件,验证下载
速度
使用终端设备访问娱乐类网站,并从该网站上下载文件,验证下载速度
预期结果被测设备可以根据被访问网站的网站类型进行带宽划分和分配
测试结果内网用户通过访问行业网站并下载文件,带宽是否能维持在100KBps以上,且不会超过120KBps 满足 不满足
内网用户访问娱乐网站的速度是否较慢,且通过该网站下载文件的速度不超
过5KBps 满足 不满足
测试结论所测试产品是否满足该项功能要求
满足 不满足
24、Wan->lan的流控
测试编号测试时间
测试项目流量管理功能测试测试人员
测试分项Wan->lan的流控
测试目的通常组织单位内网具有对公网开放的WWW服务器等资源,但由于内网员工上网流量挤占了WWW服务器对外提供服务所需的带宽资源,导致外网用户访问
该WWW服务器速度很慢或“该页无法显示”,这就要求被测设备能够对来自互
联网访问内网指定服务器的行为进行带宽划分与分配。
测试方法配置设备,为内网指定的FTP服务器等分配10Mbps带宽资源。
公网口用户终端连接该FTP服务器下载文件,观察下载速度
配置设备,为内网指定的FTP服务器等分配10kbps带宽资源
公网口用户终端连接该FTP服务器下载文件,观察下载速度
预期结果被测设备能够为内网对外提供访问服务的服务器等分配指定的带宽资源,保障来自互联网对内网访问的畅通性
测试结果步骤2中终端的文件下载速度远远超过1Mbps
满足 不满足步骤4中终端的文件下载速度非常慢,维持在10Kbps左右
满足 不满足
测试结论所测试产品是否满足该项功能要求
满足 不满足
25、以公网IP为用户的带宽划分与分配
测试编号测试时间
测试项目流量管理功能测试测试人员
测试分项以公网IP为用户的带宽划分与分配
测试目的组织单位内部的FTP服务器对外提供访问服务,但带宽资源往往并不充裕,尤其在遭遇公网少量用户高速下载时其他用户的访问将变得异常困难,由于
被公网用户的迅雷等工具。如果能够按照接入FTP服务器的互联网用户平均
分配带宽资源将良好的解决以上问题。
测试方法配置设备,为内网指定的FTP服务器分配100Kbps带宽。
配置设备,启用“以公网IP为用户自动分配这些用户访问FTP服务器的带宽
资源”
单一公网口用户终端连接该FTP服务器下载文件,观察下载速度
并发五个公网口用户终端连接该FTP服务器下载文件,观察下载速度
预期结果被测设备应该可以根据公网IP作为用户进行带宽的划分与分配,从而避免个别互联网用户大量占用带宽的问题。
测试结果步骤3中终端的文件下载速度维持在100Kbps左右
满足 不满足步骤4中终端的文件下载速度维持在20Kbps左右
满足 不满足
测试结论所测试产品是否满足该项功能要求
满足 不满足
26、管理员分级审计用户日志
测试编号测试时间
测试项目应用审计测试人员
测试分项管理员分级审计用户日志
测试目的部署在组织单位的上网行为管理设备将记录内网用户的各种上网行为日志。
但如果A部门的日志被B部门的管理员查看、审计、甚至传播到互联网上
将对员工的个人隐私形成侵犯,甚至引起员工对上网行为管理设备的反感与
排斥。所以专业的上网行为管理设备应该具备根据管理员分级审计不同用户
组的行为日志。
测试方法新增两个管理员A、B,管理员A具有审计用户组AAA行为日志的权限;
管理员B具有审计用户组BBB行为日志的权限。
管理员A登录日志中心尝试查询用户组BBB的MSN聊天内容等行为日志
管理员B登录日志中心尝试查询用户组BBB的MSN聊天内容等行为日志预期结果被测设备能够根据管理员的权限划分行为日志的查询、审计权限
测试结果管理员A不能够审计用户组BBB的行为日志 满足 不满足管理员B能够审计用户组BBB的行为日志 满足 不满足测试结论所测试产品是否满足该项功能要求
满足 不满足
27、记录被访问网页的网页标题
测试编号测试时间
测试项目应用审计测试人员
测试分项记录被访问网页的网页标题
测试目的组织内网用户的第一大互联网访问行为即访问各种网页,在实现记录被访问网址的同时管理者往往希望能看到被访问网页的标题信息,这就需要被测设
备能够记录网页标题信息
测试方法完成设备的网页访问行为审计等相关配置
通过内网终端任意访问一个网站
通过设备的行为审计功能,查看是否记录了用户访问网页的网页标题预期结果被测设备能够记录被访问网页的网页标题信息
测试结果设备具有记录网页标题的功能配置项 满足 不满足通过设备记录的日志能够查看到被访问的网页标题 满足 不满足测试结论所测试产品是否满足该项功能要求
满足 不满足
28、记录含有指定关键字的网页内容
测试编号测试时间
测试项目应用审计测试人员
测试分项记录含有指定关键字的网页内容
测试目的组织内网用户的第一大互联网访问行为即访问各种网页,在实现记录被访问网址的同时管理者往往希望能够对含有指定关键字的网页内容进行全面记
录,以实现对公安部82号令的全面满足,避免组织单位面临的潜在法律风
险问题。
测试方法完成设备的网页内容审计等配置,配置对含有“艳照门”的网页访问记录整个网页内容
通过内网终端访问百度,搜索“陈冠希”
打开含有“艳照门”字样的网页
通过设备的行为审计功能,查看是否记录了含有“艳照门”字样网页的整个
网页内容
预期结果被测设备能够记录含有指定关键字的整个网页内容
测试结果设备有根据关键字记录指定网页内容的功能项 满足 不满足通过设备记录的日志能够查看到含有“艳照门”字样的网页的正文内容
满足 不满足
测试结论所测试产品是否满足该项功能要求
满足 不满足
29、时间审计
测试编号测试时间
测试项目应用审计测试人员
测试分项时间审计
测试目的众多组织单位的上网行为管理充满了人性化,上班时间并没有进行各种互联网应用的全面封堵,但是组织的管理者需要知道在人性化宽松的环境中内网
用户的上网行为是否规范,需要统计指定的用户使用指定应用的时间等,以
便于对当前的上网行为管理策略进行评估
测试方法完成设备的时间审计等相关配置
通过内网终端访问百度、新浪等网站
通过设备的时间审计功能,统计和审计该内网用户在测试当天网页浏览的时
间总量
配置设备的时间控制功能项,限制指定用户一天的总上网时间不得超过5分
钟,其中排除端口填写TCP 25和TCP 110端口
内网指定用户持续访问互联网,大概五分钟后验证是否仍然能访问百度、新
浪等网页
再次验证是否仍然能够收发Email邮件
预期结果被测设备可以统计在指定时间段内指定用户使用指定应用的时间统计结果,
并且可以限制用户一天的总上网时间(支持排除端口设置)
测试结果 1. 设备具有时间审计、审计控制功能项 满足 不满足
2. 通过设备可以审计该用户一天内网页访问的时间总量 满足 不满足
3. 通过设备的上网总时长限制后,用户访问互联网5分钟后即不能再访问新
浪、百度等 满足 不满足
4. 虽然不能访问百度、新浪,但可以收发Email邮件 满足 不满足
测试结论所测试产品是否满足该项功能要求
满足 不满足
30、内容检索功能测试
测试编号测试时间
测试项目应用审计测试人员
测试分项内容检索功能测试
测试目的满足公安部82号令行为记录留存60天的要求,必将产生海量日志,如何从海量日志中查找管理者感兴趣的内容、如何进行数据挖掘已经成为高端客户的普遍需求。通过
普通的数据库字段搜索和遍历不仅速度慢,且无法准确找到管理者真正感兴趣的访问
记录,所以客户需要通过类似百度、Google的搜索引擎进行日志的检索。
测试方法配置设备的内容检索功能
通过内容检索搜索“法轮功”等关键字,查验检索结果,是否含有很多正常的访问行
为记录
通过内容检索搜索“法轮功退党”,查验检索结果,是否含有管理者真正想要的违规
访问行为记录
预期结果被测设备具有类似百度的内容检索引擎,支持通过多个关键字对行为日志的快速检索测试结果 1. 设备具有类似百度的内容检索引擎 满足 不满足
2. 通过该内容检索引擎搜索“法轮功”等关键字能够快速得到检索结果
满足 不满足
3. 通过该内容检索引擎搜索“法轮功退党”等关键字能够快速得到检索结果
满足 不满足
测试结论所测试产品是否满足该项功能要求
满足 不满足
31、基于硬件方式的免审计功能
测试编号测试时间
测试项目应用审计测试人员
测试分项基于硬件方式的免审计功能
测试目的单位高层领导的上网行为、私人邮件往往涉及到整个单位的发展和命运,属于高度机密信息,为了避免这种机密泄露被人查看,所以就需要对这些高层
领导启用免审计功能,免审计有几种方式,其中一种是以排除IP的方式,这
种方式的缺点是IP易被篡改,安全性不高,而另一种方式则是使用硬件Key
的方式,硬件Key为高层领导的免审计提供了安全上的保证。
测试方法1、设备是否具备免审计功能;
2、设备免审计功能是否以硬件方式实现,而不是以IP排除等其他方式;
3、设备上的免审计功能选项进行修改,免审计终端是否可知;
预期效果免审计Key用户在设备上没有任何访问记录
测试结果1、设备是否具备免审计功能? 具备 不具备
2、免审计功能以何种方式实现? 硬件方式 以排除IP等其他方式
3、设备上的免审计功能选项进行修改,免审计终端是否可知;
可以 不可以
测试结论所测试产品是否满足基于硬件方式的免审计功能
满足 不满足
32、报表功能测试
测试编号测试时间
测试项目应用审计测试人员
测试分项对比报表功能测试
测试目的如何体现上网行为管理设备的效果?IT管理者如何查看昨天施加的上网行为管理策略的效果,进而为该上网行为管理策略是否需要调整提供数据支
撑?这就需要专业的上网行为管理设备具有对比报表功能,将当前指定用
户、用户组、指定应用与昨天、上周、前一个月的上网行为进行对比,并声
称对比报表。
测试方法1、设备是否具备对比报表功能;
2、通过设备对今天与昨天的P2P流量进行对比报表输出;
预期效果免审计Key用户在设备上没有任何访问记录
测试结果1、设备是否具备对比报表功能? 具备 不具备
2、设备是否能将昨天与今天的P2P流量进行对比报表输出
可以 不可以
测试结论所测试产品是否满足该项功能
满足 不满足
33、报表、统计等自定义成链接功能
测试编号测试时间
测试项目应用审计测试人员
测试分项将报表、统计等自定义成链接功能
测试目的数据中心详细记录的行为日志将成为IT管理者对网络掌控、对用户行为了解的主要途径,但登录数据中心后再不同页面之间频繁的切换严重影响工作效
率,如果能将管理者常用的查询操作、统计操作、报表等作为自定义链接放
置在数据中心的第一主页上将极大的方便管理者的操作。
测试方法1、设备是否具备将报表、统计等自定义成链接功能;
2、是否可以将IM查询操作页面制作成自定义链接放在数据中心首页;
3、是否可以将用户流量统计排名操作页面制作成自定义链接放在数据中心
首页;
预期效果被测设备支持将报表、统计等自定义成链接功能,方便管理者对日志的操作测试结果1、设备是否具备将报表、统计等自定义成链接功能?
具备 不具备
2、设备支持将IM查询操作页面制作成自定义链接放在数据中心首页
可以 不可以
3、设备支持将用户流量统计排名操作页面制作成自定义链接放在数据中心
首页 可以 不可以测试结论所测试产品是否满足该项功能 满足 不满足
33、防火墙功能
测试编号测试时间
测试项目网络可靠、可用的保障能力测试人员
测试分项防火墙功能
测试目的作为部署于用户网络中的核心网络设备之一,设备本身的安全性、可靠性必须得到保障。为了防范来自网络的攻击、入侵等,网关设备本身必须集成防
火墙功能模块用以保障网关设备的安全、可靠。
测试方法通过登录被测设备控制台界面查看是否具有防火墙功能模块
通过配置防火墙策略可是实现对外网进入内网数据包的检测和过滤
防火墙提供的NAT地址转换功能为代理内网用户上网和将内网服务器映射
到公网提供可能
预期结果被测设备应该具有防火墙功能,用以保障设备本身的安全性、可靠性
测试结果通过设备界面可以查看到防火墙配置界面 满足 不满足通过配置防火墙策略实现对来自外网进入内网数据包的过滤
满足 不满足
被测设备的防火墙功能提供了NA T地址转换功能 满足 不满足测试结论所测试产品是否满足该项功能要求
满足 不满足
34、ARP欺骗防护功能
测试编号测试时间
测试项目网络可靠、可用的保障能力测试人员
测试分项ARP欺骗防护功能
测试目的组织结构内部子网经常因为个别终端遭受ARP病毒致使整个子网内所有用户上网时断时续,甚至导致根本上不了外网,ARP欺骗问题已经严重影响了
网络的可靠性、可用性,用户已经无法产生上网行为,所以被测设备首先需
要能够解决内网的ARP欺骗问题。
测试方法确保三层网络环境下内网终端可以正常访问互联网
在三层网络环境中搭建一套ARP欺骗器,向内部网络发起ARP欺骗
再验证终端设备是否能够访问互联网
停止ARP欺骗器的运行,重新确保终端能够访问互联网
完成设备配置,开启防ARP防护功能,同时启用自动报警功能;
三层网络环境中的内网用户使用终端上网,查看是否能够成功访问外网;
7、查看自动报警是否有报警信息。
预期结果被测设备能够在三层网络环境中为终端设备提供ARP欺骗防御能力,保障用户互联网访问行为的通畅。
测试结果三层网络环境中终端用户可以正常访问互联网 满足 不满足启动ARP欺骗器后导致终端不能访问互联网 满足 不满足
配置设备的ARP防护功能,再启动ARP欺骗器,终端仍然可以访问互联网
满足 不满足
指定邮箱收到被测设备发出的ARP欺骗报警邮件 满足 不满足测试结论所测试产品是否满足该项功能要求
满足 不满足
35、防DOS攻击功能
测试编号测试时间
测试项目网络可靠、可用的保障能力测试人员
测试分项防DOS攻击功能
测试目的组织内部由于某台电脑感染病毒后短时间内发送大量的、无用的连接,导致内网网关资源被耗尽、网关设备宕机等故障,内部用户不能正常访问互联网。
有效识别和控制DOS攻击对于保障网络的可靠性、可用性就显得尤为重要。
测试方法1、完成设备配置,开启防DOS攻击行为,同时启用自动报警功能;
2、内网一台终端安装DOS攻击软件,发送DOS攻击;
3、内网其他用户访问互联网,查看访问的情况。
4、查看自动报警是否有报警信息。
预期结果被测设备能够有效识别DOS攻击行为,并保证网络的可靠可用性,保障网关设备的可靠可用性
测试结果被测设备具有防DOS攻击功能配置项 满足 不满足DOS攻击发生后内网终端仍然可以访问互联网 满足 不满足
指定邮箱收到被测设备发出的DOS攻击报警邮件 满足 不满足测试结论所测试产品是否满足该项功能要求
满足 不满足
35、防代理功能
测试编号测试时间
测试项目网络可靠、可用的保障能力测试人员
测试分项防代理功能
测试目的部分内网用户不允许上外网,但通过代理软件或路由器可以达到上外网的目的,严重影响了网络的性能。
测试方法1、A用户能上外网且电脑安装代理软件;
2、B用户不能上外网但电脑配置IE可通过代理上网;
3、设备配置阻止通过代理上网,。
4、B用户能否上网。
预期结果B用户不能上外网
测试结果B用户不能上外网 满足 不满足
深信服上网行为管理 解决方案 深信服科技有限公司 2014年5月5日 目录
一、项目概况 随着信息技术的快速发展,网络应用更新换代频繁,新兴应用不断涌现。互联网在给生活和工作带来便捷的同时也对上网行为审计带来了新的挑战。随着互联网的普及,单位业务几乎都依托于互联网进行。ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施,共同构成业务信息化平台。但是在内部网络中,除了这些关键业务系统外,还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用,形成了复杂的网络应用“脉络”。 由于单位职工拥有访问互联网的全部权限,在日常工作中对职工的上网行为难以实行有效管理。一些职工上班时间玩游戏、看网络视频、长时间进行I聊天,不仅违反了《公务员管理条例》,而且挤占有限的带宽资源,造成大量基于网络的办公应用受到影响,极大地降低了办公效率;同时无法管控的信息渠道可能导致机密信息的泄漏,导致内部局域网感染病毒而瘫痪。如果工作人员通过QQ、MSN、论坛、微博等方式对外发布了包含、色情、赌博、反动等不良信息单位或个人还将承担法律责任。 在复杂的互联网环境下,如何管理好单位内部职工的日常上网行为呢?深信服上网行为管理系统(以下简称AC)将彻底解决这些问题。 二、深信服上网行为管理产品介绍 深信服上网行为管理产品可以阻止人员访问无关的网络,杜绝带宽资源滥用,加快上网速率,提升工作效率;记录上网轨迹,管控外
发信息,规避泄密和法规风险;防止PC中毒,防止组织机密外泄,保障内部数据安全;智能数据分析提供可视化报表和详细报告,为网络管理和优化提供决策依据。可以帮助用户管理员工使用互联网行为的管理,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。 深信服是上网行为管理产品品类的创始者,在2005年最早开创了上网行为管理的市场;深信服上网行为管理获得了多项产品专利技术和媒体奖项,已服务于1万多多家客户,受到了市场的一致认可;自2009年以来在其市场占有率一直排在第一的位置。 三、具体功能介绍 (一)对内网具有安全防控功能 深信服上网行为管理在提高用户的上网安全方面提供了大量的 技术保证。既能保障AC网关自身的稳定可靠,又能提升组织内网的可用性和安全性。 一是,可以过滤恶意网页,防范恶意攻击。AC内置了庞大的恶意网址库,并且实时更新。它通过检测恶意脚本的写注册表、写文件、系统调用等危险行为,以此过滤恶意脚本。独有专利根据插件签名合法性、有效期、插件名称等校验来自网站的插件并过滤,避免无安全防护的终端染毒、被劫持,提升内网安全。二是,可以监测出异常
企业公司如何加强管理员工的上网行为 在企业里面加强员工上网管理、控制局域网上网行为似乎已经成为世界范围内企业的共同作法。员工随意上网、上班时间玩游戏、上网看视频、浏览色情网站、进行P2P下载、访问社交网站,甚至是自己开设网店、上班时间赚外块的现象越发普遍。这种随意上网的行为已经严重影响了员工的工作效率,同时也大量消耗着单位的网络带宽。最危险的是:员工随意上网还可能通过聊天软件、邮件、上网发帖留言等有意或无意泄露公司的商业机密,从而给公司带来巨大的风险和损失。为此,企业监控员工上网、控制员工网络行为,已经成为大势所趋。在欧美各国也同样如此。 随着各大公司开始整顿员工的上网情况,可能会出现更多因此而失业的职员。 为了防止员工染上不良上网习惯,包括一些大公司已决定不再让一些员工拥有在办公室自由上网的机会,给其安装了网络监控,甚至撤走了他们的电脑和调制解调器。 监控员工上网事实上重要的不是窥探员工的工作隐私,而是从企业的角度和员工一起保障整个办公网络的安全。例如现在很多企业集团都购置万任UniERM网络流量综合管理系统这样的企业网络设备,来加强对企业自身网络的管理和保护。 在中国企业内部加强局域网网络控制、监控员工上班时间的上网行为,已经成为通行的作法。但是,国内企业由于其宽度环境、员工上网内容、国内互联网应用的不同等因素,使得国内企业的员工上网行为呈现出与国外企业不尽相同的一些方面。但是总体,而言,国内企业对控制员工电脑使用、监控员工上网痕迹、记录上网日志的着眼点主要基于以下几个方面:禁止员工P2P下载(尤其是禁止迅雷下载)、限制QQ聊天(包括禁止QQ游戏、限制QQ 文件发送)、禁止上网玩游戏(禁止电脑游戏软件、屏蔽网页游戏)、禁止上网炒股、限制带宽流量(控制下载速度、监控电脑流量)等,在一些涉及商业机密的企业,还可能需要监控邮件内容、监控聊天内容、监控FTP传输、禁止QQ发文件等,从而更好地保护单位商业机密。 企业网络安全管理设备可以有效保护企业网络安全,还具有上网行为管理功能,例如万任UniERM网络流量综合管理系统可以有效禁止P2P下载、限制聊天软件、监控炒股软件、禁止玩电脑游戏、限制访问视频网站、禁止上班看视频、控制电脑网速、监控局域网流量等。其中,在禁止电脑P2P下载方面,同时,万任UniERM上网行为管理设备可以实时显示、控制局域网电脑网速,并且可以监控上行网速和控制下载网速,从而更能精确区分网络应用,达到合理规范控制局域网网速的目的。 万任上网行为综合管理产品。在员工上网行为管理、网络安全等方面为客户提供完整的解决方案。能够有效的规范员工上网行为、保障单位内部信息安全、防止带宽资源滥用、防
系 统 集 成 项 目 方 案 项目经理: 售前工程师: 售后工程师: 技术支持工程师:
第一部分项目背景 1.1贵公司简介 BENET公司是一家的网络项目集成企业 现有员工100名左右 需要部署一个由约100台计算机组成的局域网 公司由行政部、人事部、工程部、销售部和财务部5个部门组成 行政部:负责日常考勤、后勤服务等 人事部:负责员工招聘、绩效考核、员工薪酬福利管理等 工程部:负责对外网络工程项目、办公网络管理维护、售前售后技 术支持等 销售部:负责客户接洽、项目谈判、市场宣传等 财务部:负责工资结算、公司账目管理等 1.2IT 概括 公司有一个局域网 网络中的计算机有约100台,工作在工作组模式下 计算机的操作系统有Windows Server 2003 和Windows XP professional 员工一人一机办公 第二部分需求分析
2.1帐户管理 员工一人一个帐户 所有帐户集中存储管理 按部门管理帐户 帐户密码长度不小于8 密码不能为简单密码,如12345678等 对个别员工试探别人密码的行为要有所防范 员工的权限级别有3种:总经理、部门经理、普通员工,他们在访 问网络资源时权限不同 2.2文件管理 公司所有的常用软件的安装文件共享到一台文件服务器上 员工工作文档需要可靠存储、方便访问 在文件服务器上对员工空间限制 普通员工最大100MB 部门经理最大1000MB 总经理的使用空间不限制 在文件服务器上的重要文档有定期备份 审核员工登录和访问文档的行为 2.3打印机管理 总经理和财务部使用一台打印设备,其他员工共享一台打印设备 总经理的优先级高于部门经理,部门经理的优先级高于普通员工 2.4访问Internet 员工可以上网查资料 监控员工上网行为
企业上网行为管理解决方案4 问题描述 利用公司宽带下载影响办公、上班时间娱乐、网络设备老旧,这些是企业网络经常面临的问题,然而有限的预算能否解决这些问题呢? 1、P2P应用泛滥,网络拥堵 企业网的带宽资源通常都比较紧张,即使条件非常好的企业也时常遇到网络拥堵的问题。有80人的企业,仅仅使用2M专线接入,加上网内使用P2P下载的人数很多,连开网页都非常困难。 2、网络娱乐降低工作效率 企业对于员工在工作时间玩游戏非常头疼,诸如,QQ农场,MSN游戏平台,导致工作效率低下,但是又不能对QQ、MSN 等即时通信工具作出限制,因此公司需对员工的上网行为进行精确的控制。 3、行政管理手段引起员工情绪不满 针对以上问题,企业会制定上网行为规范,强制执行约束员工的上网行为。但大多数情况是,不仅没有有效地控制员工的上网行为,反而引起员工的情绪不满。对此,管理人员头疼不已,单一的管理手段,无法解决问题。 4、网络设备老旧,产生种种问题
一些廉价的网络设备在使用一段时间以后,便不能满足企业需要了,比如有些企业防火墙不支持第七层的协议分析,有些企业路由器支持并发连接数有限等等。如果有基于第七层网络流量控制的设备,则可以对以上旧设备进行保护,延长其使用寿命,从而降低成本。 解决方案 1、全局划分,控制P2P 网络掌门其流控功能可以有效控制P2P等应用层协议,把P2P应用限制到一定的带宽范围内,并将其他各项网络应用做了一个合理的流量划分,保障浏览网页、收发邮件等关键应用的顺利开展。划分过程中,研发基地在国内、拥有全部自主知识产权的网络掌门对于本土协议97%的识别率优势尽显,网络掌门能对需要解密的协议予以破解,对无需解密的,根据其流量特性模糊识别,合理分类,从而确保带宽划分可靠且实用。 2、通过流控实现对上网行为的管理 网络掌门可以识别HTTP协议,同时对各种网络应用协议的也能够实现精确识别。针对员工的不良上网行为,网络掌门可以对不允许使用的网络协议进行限制,比如在保证QQ、MSN即时通讯工具应用流畅的同时,对QQ网页游戏、MSN游戏平台等应用作出限制。而且,根据每个用户或用户组的不同情况,应用不同的控制策略,精细灵活。 3、可自定义的警告页面 当用户打开这些受限制的应用的时候,桌面将会弹出警告页
如何限制办公室上网行为控制公司员工上网
如何限制办公室上网行为控制公司员工上网? 作者:大势至日期:2013.6.30 聚生网管系统是大势至(北京)软件工程有限公司推出的一款局域网上网控制软件,早在2005年就推出了第一代版本,经过近8年的不断研发和实践积累,使得聚生网管已经成为国内网管软件市场首屈一指的品牌,也是国内知名度最高、产品应用最普遍、性价比最高的网管软件品牌,在诸多优势遥遥领先国内同行产品。 聚生网管系统核心优势如下: 一、聚生网管是国内最早、最成熟、功能最全面的员工上网管理软件品牌 聚生网管系统是国内最早的控制员工上网的品牌之一,从2005年推出的第一代网管产品,经过8年的不断研发和网络管理实践积累,使得聚生网管系统各项网络管理功能日臻完善,可以为企业提供一站式的局域网网络限制解决方案,帮助企业有效管理公司局域网电脑上网行为。
二、聚生网管系统是国内安装最快捷、上网控制功能最强、最好用的网管软件品牌 在国内诸多网管软件品牌中,聚生网管系统安装部署是安装最便捷的。安装聚生网管软件不需要调整网络结构,不需要单独的电脑或服务器,也不需要调整路由器、交换机或防火墙等网络设备,也不需要在被控制的电脑上安装类似木马的客户端软件,而是只需要在局域网一台电脑安装就可以控制整个局域网电脑上网行为;安装完毕聚生网管系统,启动网络管理就可以扫描局域网所有电脑,不需要手工添加要监控的电脑。同时,聚生网管界面设计极为简单,纯傻瓜界面,各项功能模块一目了然,所有网络控制功能只需要点击鼠标就可以启用,极为易用。聚生网管系统可以有效禁止局域网下载、限制员工炒股、禁止玩电脑游戏、限制电脑QQ聊天、禁止上班网购、限制浏览无关网站、屏蔽视频网站、禁止员工上班看电影、防止ARP攻击、绑定IP和MAC地址、限制网络流量等功能,可以帮助企业实现一站式的局域网限制上网行为。
弱电系统集成方案 设计:上海XX计算机科技有限公司 电话:
目录 1概述 (3) 2系统组成 (3) 3系统设计目标及原则 (3) 3.1系统设计目标 (3) 3.2系统设计原则 (3) 4客户需求分析及设计假定 (4) 4.1客户需求 (4) 5系统设备推荐 (4) 6系统总体结构设计 (4) 7系统详细设计 (5) 7.1传输介质选择 (5) 7.2机房 (5) 8系统施工 (6) 8.1概述 (6) 8.2管道预埋 (6) 8.3桥架安装 (6) 8.4布线要求 (6) 8.5信息点安装 (6) 9、监控门禁系统设计 (7) 9.1、监控系统设计目标 (7) 9.2、监控系统设计依据 (7) 9.3、监控系统设计方案 (7) 9.4、监控系统拓扑图 (8) 9.5、门禁设计原则 (8) 9.6、门禁系统设计技术要求 (9) 9.7、门禁系统功能 (9) 9.8、门系统拓扑图 (10) 10、工程测试和验收方案 (11) 10.1、网络设备验收程序 (11) 11、综合布线工程施工前准备工作 (11)
1、概述 随着现代化水平的发展,网络的应用已深入到各种领域,特别是现在的企业办公更是离不开网络,财务系统、OA办公系统、VPN分公司与子公司互联系统、CRM客户管理系统、因特网上网系统等都离不开网络,通过各种各样的软件对公司企业的办公效率大大提高,在企业办公效率提高的同时,我们对网络的需求也越来越严格,大量的访问下载、病毒入侵等都极大的防碍了我们的正常工作。为此对于我们网络的前期设计也提出了更高的要求、即要满足现在的需要,也要着眼将来的发展。 2、系统组成 综合布线系统(GCS)集成了建筑物内所有弱电布线,包括:监控系统、门禁区系统、通讯系统及办公自动化、多媒体会议室、公共广播及网络综合布线等;并对这些系统实施统一管理。当使用综合布线系统时,计算机系统、用户交换机系统以及局域网络系统的配线,是使用一套由公共配件所组成的配线系统综合在一起。综合布线系统可兼容各个不同厂家的语音、数据、图像设备;其开放的结构可以作为各种不同工业标准的基准,不再需要为不同的设备准备不同的配线零件以及复杂的线路标志与管理线路图表。GCS使得配线系统将具有更大的适用性、灵活性,可以利用最低的成本在最小的干扰下,进行工作地点上的终端设备的重新安排与规划。 3系统设计目标及原则 3.1系统设计目标 ?实用性:布线系统能在现在和将来适应技术的发展,能实现数据和语音通 信。 ?灵活性:布线系统能满足灵活通用的要求。任何一个信息插口,均能连接 不同的设备,如计算机,终端,传真机,和电话。并可连接不同类型的局域网。(如:TOKEN RING网,ETHERNET网等)。也可连接计算机终端设备实现异步通信。所有这些不同类型的连接方法均可通过在管理子系统中更改跳线来方便地实现。 ?模块化:布线系统中,除固定于建筑物中的线缆外,其余所有接插件均是 模块化的标准件。 ?扩充性:布线系统是要能扩充的,以便将来要扩展时,可以方便地将设备 扩充进去。 ?可靠性:该布线系统具有5~10年的使用寿命。 ?标准化:该布线系统的设计采用的是成熟的国际、国内标准、规范或工业 标准等。 3.2系统设计原则 为了实现上述的设计目标,我们在进行该公司综合布线系统设计时必须遵循如下设计原则:
上网行为管理方案建议书
目录 第1章需求概述 (1) 1.1 背景介绍 (1) 1.2 上网行为管理需求 (1) 1.2.1 用户和终端多样化,管理复杂 (1) 1.2.2 应用和内容不可视,存在风险 (2) 1.2.3 网络流量识不全,控不住 (3) 第2章可视可控、感知风险的上网管理方案 (5) 2.1 全面的上网可视可控 (5) 2.2 用户的可视与可控 (5) 2.2.1 安全便捷的身份识别 (6) 2.2.2 安全可视的用户管理 (7) 2.3 行为的可视与可控 (8) 2.3.1 全面精准的应用识别 (8) 2.3.2 应用标签化管控 (8) 2.3.3 灵活细致的权限控制 (8) 2.3.4 非法的内容识别与管控 (9) 2.3.5 全面完整的行为审计 (10) 2.4 流量的可视与可控 (16) 2.4.1 网络流量可视化 (16) 2.4.2 合理有效的流量控制 (17) 第3章方案优势 (20) 3.1 全面完整 (20) 3.2 细致精准 (20) 3.3 灵活有效 (20) 3.4 简单便捷 (21) -2-
第1章需求概述 1.1背景介绍 随着互联网技术的发展,组织的业务模式和员工的工作模式、行为习惯都在不断发生改变: ?网上业务:组织建设了更多的网上业务平台,通过互联网来开展业务; ?沟通桥梁:内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟 通和交流,提升工作效率,获取资讯和知识,维系人脉关系; ?移动互联网:移动互联网的消费化趋势也逐渐影响到组织内部的IT系统, 员工更喜欢通过WLAN、移动终端类开展工作; ?新的法规要求:2017年6月1日,网络安全法正式推出,其中对组织明 确提出上网行为审计的要求,并且要求至少留存上网日志6个月。 因此,在员工的日常工作中,#XX客户#需要针对互联网出口平台的如下上 网行为管理、上网安全防护需求进行改造,提供一个更安全、更高效的上网环境。 1.2上网行为管理需求 互联网已经成为重要的生产资料,越来越多组织的业务在向互联网迁移,然而互联网却是一把“双刃剑”,管理得好可以让办公效率大增,促进业务的发展;而缺乏管理的互联网将带来诸多问题,不仅降低工作效率,还给组织带来各种业务风险。 而且互联网也在不断发生变化,从最早使用PC、有线局域网,到更多使用 移动终端、WLAN来进行办公,从早期的网页、PC应用,到移动APP的广泛发展,愈加复杂的上网环境,“看不见管不住”,使得上网管理困难重重。由于互联网应用的多样化,一些看似正常的上网行为,也可能隐藏着巨大的风险。 1.2.1用户和终端多样化,管理复杂 1.2.1.1BYOD上网难管理 随着移动终端的普及,员工往往会采用PC、智能手机、Pad等多种终端,通
XXX通清算中心系统及网络集成实施方案 1 概述 XXX项目的业务围包括:公共交通、小额消费的电子支付、公共事业缴费等,由于XXX 系统定于X月底上线,考虑项目实施时间周期短和新设备采购到货时间比较长,所以系统上线采用了一套临时设备,近期采购的服务器、网络设备、各类软件已经全部到位。为保障新系统稳定、安全、高效的运行,需要尽快将运行在临时环境的新通系统迁移到新系统环境上。 本次项目采购的设备主要用于搭建新通清算中心系统,用于发行符合XXX标准的预付费卡准备,届时XXX将可以在银联的POS设备上进行刷卡消费。 2 工程围 工程名称: 工程地点: 本工程围包括下列系统设计、系统所需货物的供应、运输、安装调试、系统测试、开通、人员培训和售后服务: ●POSP服务器(2台) ●WEB控制台服务器(2台) ●光纤交换机(2台) ●磁盘阵列(1台) ●磁带存储(1台) ●核心交换机(2台) ●发布式交换机(2台) ●防火墙(2台) ●双机软件(5套) ●备份软件(1套) ●杀毒软件(2套) ●防毒墙(2台) ●网管系统(1套)
3 项目参与单位 软件开发:XXXXXX 操作系统数据库集成:XXXX 配合方:XXXXX 网络及服务器集成及电源改造:XXXXX 4 建设目标 本次XXX清算中心系统服务器及网络设备采购及安装项目建设目标如下: 1)构建XXXXXXX项目为发行符合银联PBOC2.0标准的预付费卡做准备 2)建设XXXXX股份清算中心核心网络和系统 3)建设XXXXX股份通卡项目网络和系统安全体系,通过软硬件安全措施确保各应用系 统的网络安全和系统能够正常运行 4)为合XXXXX系统迁移及后续系统压力测试做准备 5 阶段划分 综合考虑了“XXXX”清算中心系统服务器及网络设备采购及安装项目功能需求、实施围、系统复杂度、用户可接受的上线时间等因素,我们计划工程分为以下几个阶段: (1)强电改造阶段(周期5天) (2)设备安装部署和测试阶段(周期14天) (3)系统集成阶段 (4)应用部署阶段 (5)功能测试和压力测试阶段 (6)测试数据清理和正式数据迁移阶段 (7)系统正式上线
员工上网行为管理规范 为有助于大家合理利用工作时间,高效率地完成各项工作目标,更好地营造积极向上的工作氛围,提高公司的网络资源使用率,在不影响大家正常工作的前提下,特制定本制度。 一、应用范围: 1、本制度适用于公司所有员工。 2、工作时间(8:30-12:00;13:15-17:45)必须遵守本制度。 3、下班时间公司上网行为必须遵守国家相关法规,不做有损他人以及团体利益的事情。 二、员工上网行为规范: 1、上班时间在公司禁止玩电脑游戏、炒股、看电影等娱乐综艺视频、看小说、网购、买彩票等。 2、禁止安装与工作无关的任何软件。 禁止在工作时间安装软件一览(请仔细阅读) 禁止安装软件名称危害:1.占用带宽2.限制别人电脑网速,从而加快自己速度. 3.整天乱下载,部分下载的东西捆绑病 毒,入侵及传播网内其他的电脑,影响网速4.乱打开不良网页,中毒5.应用软件没及时打上漏洞补丁,导致系统中毒 P2P 、网路岗、聚生网管、网络执法官等限速软件采用多线程下载软件,如:迅雷、快车、网络蚂蚁、风行、QOVDPLAY 等P2P 多线程播放电视电影、音乐软件,如:皮皮、QQ 影音、P2P 网络电视、PPTV 、PPS 、迅雷等多线程在线音乐软件:如酷狗、QQ 音乐 软件等. 在线炒股软件、游戏客户端软件、挂机 练级、外挂软件 3、不得在上班时间下载与工作无关的文件和图片,如MP3、小说、电子影像文件等。 4、上班时间禁止利用电脑从事与工作无关的事或处理个人事 务。
5、严禁公司员工私自接入无线设备(无线路由器、无线网 卡……)来盗取公司网络资源。【安装无线路由器经人事行政部、总经理批准方可安装】 6、任何时间,员工不得将公司机密,包括计划、经营数据、业务资料、技术资料等通过网络或其他途径透露给他人,一经查明,公司将追究其责任。 7、提倡利用网络了解时事、学习业务、提高技能。 三、解决方案及处罚规定: 1、公司将通过上网行为管理路由器来规范员工上网行为,提高网络资源使用率和员工工作效率,做到尽可能去避免上网行为给公司带来的损失。 2、如发现违规行为,将予以处罚:首次警告,第二次罚标准金额的20%(即10元),【20%标准不明确】第三次起罚标准金额(即50元)。 做出以上规定的根本目的在于规范工作行为,提高正常工作效率,减少网络安全隐患,请各部门支持并执行。
上网行为管理技术方案4 (1)项目目标 建立信息安全等级保护体系,增强网络接入准入认证,对上网行为进行管理。增强网络及电脑等终端设备安全性,防止信息泄露,病毒感染。 为了实现实用、易用的网络管理功能,在网络资源的集中管理基础上,实现拓扑、故障、性能、配置、安全等管理功能,不仅实现功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。对于设备数量较多、分布地域较广并且又相对较为集中的网络,故需要一套管理平台提供分级管理的功能,有利于对整个网络进行清晰分权管理和负载分担。管理平台除了涵盖网络管理功能外,还是其他业务管理组件的承载平台,共同实现了管理的深入融合联动。 可以帮助组织管理者透彻了解组织当前、历史带宽资源使用情况,并据此制定带宽管理策略,验证策略有效性。不但可以在工作时间保障核心用户、核心业务所需带宽,限制无关业务对资源的占用,亦可以在带宽空闲时实现动态分配,以实现资源的充分利用。基于不同时间段、不同对象、不同应用的管道式流控,能有效保障用户的上网体验,保障网络的稳定性。 互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为,而如果又没有证据,无法找到直接责任人,IT部门将成为该事件压力的承担者。本项目
需要事先帮助管理员实现基于内容的外发信息过滤,管控文件、邮件发送行为,对网络中的异常流量、用户异常行为及时发起告警,更有数据中心保留相关日志,风险智能报表发现潜在的泄密用户,实现“事前预防、事发拦截、事后追查”。 并保证安全可靠,保证环保及其他上传数据安全稳定运行,不会因此系统原因造成中断。 (2)项目范围 本次招标范围限于***************。 本项目建设范围主要是对网络管理涉及软件、硬件进行选型及采购、硬件上架调试及验收、数据整理、实施配置、最终验收。 投标方的主要工作范围如下: 1.硬件设备安装调试 1)负责信息设备的拆箱及上架工作。 2)负责项目内所包含信息设备的机柜、设备之间的供电、信号、通讯电缆的铺设实施工作。 3)负责网络设备的配置调试工作,达到可以正常稳定运行条件。 4)负责项目的具体实施工作。 2.实施测试 1) 负责网络设备及网络使用等相关配置和故障测试等工
XX公司 上网行为管理解决方案 XXXXXXXXXXX有限公司 2020年
目录 目录 (2) 一、XX介绍 (4) 1.1公司简介 (4) 1.2产品简介 (4) 1.3资质认证 (5) 1.4产品荣誉 (5) 二、上网行为管理– XX行业信息安全新视角 (5) 2.1XX行业信息安全建设面临的问题 (5) 2.2对员工上网行为进行规范管理势在必行 (7) 三、XX集团公司互联网访问管理需求分析 (7) 3.1 项目背景 (7) 3.2需求分析 (7) 四、 XX集团互联网访问管理方案设计理论依据 (9) 4.1基于ISO/IEC 17799信息安全管理标准 (9) 4.2主体管理技术理念 (9) 4.3 主体管理构架于真实的组织结构之上 (9) 4.4 基于行为后果的搜索引擎技术分类网址库 (10) 4.5 细粒度树形协议分类库 (10) 4.6 流行的五元组方式的策略定义 (10) 4.7 DPT,DST技术 (10) 4.8 持续的、可学习的本地更新技术 (10) 4.9 安全基础的PPDR理念 (11) 五、 XX集团上网行为管理解决方案和技术实现 (11) 5.1 整体解决方案 (11) 5.1 总部ICG部署的网络拓扑 (12) 5.2 分公司ICG部署的网络拓扑 (12) 5.3 NSICG的技术实现介绍 (12)
5.3.1可靠高效的硬件系统和智能容错旁路技术 (12) 5.3.2灵活安全的设备管理方式 (13) 5.3.3专业级的应用识别和分类,层次清晰的结构化管理 (13) 5.2.4迅速准确的协议跟踪识别 (13) 5.3.5细致的用户组织结构管理 (13) 5.3.6XX灵活精细的带宽管理策略 (14) 5.3.7异常流量防护报警,保障出口线路的稳定 (14) 5.3.8先进的内容过滤技术,构建文明健康的企业网络 (15) 5.3.9外发信息控制管理 (16) 5.3.10强大的内置流量分析和行为统计报告 (16) 六、产品规范 (16) 6.1产品指标规范 (16) 6.2系统结构图: (16) 七、项目实施管理 (17) 八、产品部署方案 (18) 8.1设备上线安装步骤 (18) 8.2 设备IP、路由说明,地址分配说明 (18) 8.3互联网访问管理部署 (18) 8.4设备可用性测试 (19) 8.5风险分析及回退 (19) 8.6变更实施人员工作分工 (19) 8.7使用期间的维护 (19) 8.8部署完毕后守局并制作使用报告 (19) 九、重点功能实现方案细则 (19) 9.1用户身份鉴别及帐户的管理 (19) 9.2互联网访问提速方案 (20) 十、典型客户 (21) 10.1、典型客户案例 (21) 10.2、典型客户列表 (24)
通程泛华网络信息管理制度 目的: 为加强公司网络管理,规范员工上网行为、提高工作效率,进行控制上网流量;合理分配带宽,提升网络资源利用率,保障公司信息安全,防范网络风险。 特制定下列管理办法: 一、计算机,网络设备与使用者管理 1.1严格落实办公计算机、IP 地址、电脑账号使用人负责制。 按照“一机一址、谁使用谁负责”的原则,登记计算机信息、IP 地址、电脑账号。登记人使用该计算机、IP 地址、电脑账号的直接责任人,对该计算机和IP 地址、电脑账号的信息安全、网络行为负责。使用人发生变动后报网络信息部进行信息修改及更新。 1.2责任人不得擅自拆卸、改变计算机内部配件。 不得修改计算机的软硬件设置、IP地址、DNS等。严格禁止盗用他人计算机、IP地址、电脑账号、0A等各类信息系统的登录账号,否则,一经查出,罚款50 元。进入公司文化建设基金。 1.3严禁私拉网线,严禁私用路由器及所有影响网络正常运行的设备。 网络资源、IP 地址、电脑账号由网络信息部统一分配,严禁私拉网线,严禁私用路由器及所有影响网络正常运行的设备。如因办公需要增加路由器等设备,需在向网络部信息部报备,填写设备申请单。 1.4保护计算机及周边设备,不要在计算机及周边设备旁摆放有碍计算机 散热的物品,以免损伤,烧毁计算机。使用者每隔一季度须自行 清理计算机灰尘一次。保持计算机及周边设备的卫生清洁,减少灰尘二、网络信息访问管理
2.1 上网权限与分配 为了有限管理公司网络安全和保密文件,对于特定电脑进行禁止上网规范。对于申请开网和临时开网需通过网络申请表,申请审批过方可开通上网权限。网络信息部负责对公司电脑用户上网行为通过防火墙进行控制,对公司内部网络环境进行监控。主要包括访问网站、即时通讯、P2P行为、流媒体软件等。以规范员工的网络权限。 22禁止安装和使用非公司指定即时通信工具,如yy、pp、MSN ICQ Skype、UC和POPO等。如果有特定业务需求,须向网络信息部申请安装,禁止私自安装。 2.3禁止利用公司网络,访问BBS博客和网络游戏,如QQ游戏、等游戏。 2.4禁止利用公司网络,发布、浏览或散播娱乐、购物、反动、邪 教、色情、赌博、交友、证券和暴力等一切与工作无关的网络信息。 2.5禁止浏览在线视频,如优酷、土豆、PPLive 和Qiyi 等。 2.6 禁止使用在线炒股软件、游戏客户端软件、挂机练级、外挂软件 2.7 禁止在网上下载破解软件、辅助外挂等软件 三、网络流量管理 3.1禁止安装和使用P2P 及其它影响网速的上传下载软件,如BT、
XXX项目 系统集成测试验收方案 版本:0.5 日期:XXXX年XX月
修订记录
目录 1.文档说明 (3) 1.1.文档目的 (3) 1.2.适用范围 (3) 1.3.参考资料 (3) 2.项目概述 (4) 2.1.背景 (4) 2.2.项目工作范围 (4) 2.3.项目目标 (5) 2.4.阶段划分 (5) 2.5.外网网络基础环境 (5) 2.5.1.外网设备部署图 (5) 2.5.2.拓扑结构 (6) 3.验收概述 (7) 3.1.验收条件 (7) 3.2.验收总体内容 (7) 3.3.验收方法概述 (7) 4.验收计划 (9) 4.1.人员及角色 (9) 4.2.验收流程 (9) 4.3.任务安排 (9) 5.验收内容 (11) 5.1.集成验收 (11) 5.1.1.设备测试 (11) 5.1.2.网络测试 (12) 5.1.3.操作系统的测试 (12) 5.1.4.其他测试 (15) 5.1.5.软件测试测试 (16) 5.2.相关文档验收 (18) 6.附件 (20) 网络环境集成测试报告 (20) 附表1设备测试表 (21)
附表2网络测试表 (22) 附表4 服务器测试表 (32) 附表5 设备电源线测试表 (33) 附表6 软件测试表 (34) 附表7 遗留问题记录表 (36)
1.文档说明 1.1.文档目的 本文档主要用于指导相关人员对外网基础环境进行集成验收工作。 这里所说的相关人员包括: 业主单位: 监理: 承建单位: 1.2.适用范围 本文档只适用于恢复启用工程外网基础环境进行集成验收。验收内容只包括合同中所要求的在集成测试验收阶段必须实现的各项要求及相关文档。 本文档不适用于内网基础环境的验收。 1.3.参考资料
上网行为管理 解决方案
2011 年 11 月
上网行为管理解决方案
1.项目背景
随着信息时代的到来,国际互联网的普遍应用已日益渗透到我国社会政治、经济、
文化生活的各个角落。互联网是一个连接全世界的、开放的、自由的信息网络,涉及到
社会各个领域,它带来的是其开放性、兼容性、高效性与跨国性的信息传播,人们因此
而受益颇多。在信息化推进的同时,不可避免的伴随着计算机犯罪的增加、网上黑客的
猖獗、色情信息的泛滥、信息间谋的潜入。
XX 集团,重视 IT 基础架构的建设,从而助推业务系统综合实力的提升。但是有必
要在现有 IT 基础架构的基础上建设上网行为管理系统,通过下属的行政效能监察室来记
录或者管理市直属单位以及各二级单位的上网行为。其必要性在于:
第一:从遵守国家政策角度,每个联网单位有义务建设行为、内容管理系统。
第二:作为能源类单位,必须遵守萨班斯法案或者类似法案,该法案要求企业的内
控活动,不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录,对审计
过程也有存档的要求。同时《公安部互联网安全保护技术措施规定(公安部令第 82 号)》
第十三条,互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应
当具有至少保存六十天记录备份的功能。
第三:通过互联网传递信息已经成为企业的关键应用,然而信息的机密性、健康性、
政治性等问题也随之而来。需通过上网行为管理设备制定精细化的信息收发监控策略,
有效控制关键信息的传播范围,以及避免可能引起的法律风险,并且保护企业的信息资
产,尤其是勘探信息、经营信息等。
第四:可以通过管理上网用户的行为,提高企业的运作效率,避免与工作无关的信
息的干扰。
--------------------------------------------------------------------------------------------------------------------------------------------------------
北京网康科技有限公司
第 2 页 共 28 页
上网行为管理规范 第一章、总则: 为了规范上网行为,维护网络安全,提高工作效率,充分发挥网络信息服务于工作需要的重要作用,结合我公司实际,特制定本规定。 第二章、范围: 第三章、内容: 第一条所有用户不得通过网络制作、复制、查阅和传播下列信息: (1)、煽动抗拒、破坏宪法和法律、行政法规实施的; (2)、煽动颠覆国家政权、推翻社会主义制度的; (3)、煽动分裂国家,破坏国家统一的; (4)、煽动民族仇恨,民族歧视、破坏民族团结的; ((5))、捏造或歪曲事实,散布谣言,扰乱社会秩序的; (6)、宣传封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的; (7)、公然侮辱他人或者捏造事实诽谤他人的; (8)、损害国家机关或本公司信誉的; (9)、其他违反宪法和法律、行政法规的。 第二条严禁通过网络共享和泄露公司机密,如:经营数据、业务资料、技术资料等; 第三条上网行为规定: (1)、不得在上班时间浏览与工作无关的网站,如:新闻娱乐类网站、购物类网站、视频网站、BBS、博客等,如确有工作需要查阅相关信息,必须提前以书面申请形式,告知公司IT部门,IT部门做好记录及监督; (2)、不得在上班时间利用QQ等即时通讯工具进行与工作无关的网络聊天; (3)、不得安装一切与工作无关的软件,不得在上班期间利用电脑进行涉及私人事务的活动,如:炒股、网上购物等,除工作原因的网上购物除外; (4)、禁止在公司办公电脑上安装、运行各类游戏软件,在公司任何时间禁止进行各种形式的电脑游戏、看电影或者听音乐等活动; (5)、一切流媒体网站如:土豆网、博客网、优酷网等一律禁止访问; (6)、;严禁利用迅雷、BT、电驴等基于P(2)P协议的下载工具下载与工作无关的资料,员工私自下载安装软件将视为违反公司规章制度,公司将根据造成的后果不同
关于规范员工上网行为管理的报告 员工上班时间聊天、上网找工作,影响工作质量和效率; 上班玩游戏、玩开心农场、炒股,影响工作士气; 随意上网,占用宽带,导致正常收发邮件速度很慢,影响工作效率; 上网未受控制,部分员工随意进入一些不健康的网站,给公司网络带来很大的安全风险,病毒、木马防不胜防; 通过聊天和邮件,泄漏公司机密 利用公司互联网传播不健康或者危害社会的内容,引起法律纠纷 由于以上原因,我公司急需一款上网行为规范管理系统,来规范所有员工的上网行为,并且通过该系统,记录部分员工上网记录,聊天记录,收发邮件记录,以便实现事前预防、事中控制、事后审查。具体达到的效果如下: 1、将公司员工上网分成三类,一类是不限制也不监控;二类是完全开放,但接 受监控;三类部分开放,接受监控;四类是完全不能上网;这样实现真正的上网行为规范管理。 2、针对部分开放人员实现开放内容受限制和开放时间受限制。如可以收发邮件 和上部分网站,每天在规定时间段可以上网,其它时间不能上网等; 3、禁止所有人员参观不健康的网站、聊天、玩游戏、炒股、上开心农场等; 4、禁止所有电驴、BT、代理上网等工具,以防占用宽带; 5、实现不同等级人员享受上网带宽的优先级别,确保宽带为真正需要人员使用; 6、每周统计公司上网情况,定期检讨 7、监控部分员工上了哪些网站,聊天内容,邮件内容等; 通过上述功能的实现,确保互联网的合理利用,提高员工工作效率、士气。初步估计,员工每天上班时间玩2小时与工作时间无关的内容,这样1/4的时间未产生劳动价值,一个月有6.5天未产生价值,如果有50人都这样,相当于企业每个月损失325天。
小企业上网行为管理路由器解决方案 随着计算机、宽带技术的迅速发展,网络办公日益流行,互联网已经成为人们工作、生活、学习过程中不可或缺、便捷高效的工具。但是,在享受着电脑办公和互联网带来的便捷同时,员工非工作上网现象越来越突出,企业普遍存在着电脑和互联网络滥用的严重问题。网上购物、在线聊天、在线欣赏音乐和电影、P2P工具下载等与工作无关的行为占用了有限的带宽,严重影响了正常的工作效率。 随着数据网络和通信业务迅速发展,企业信息化进程日益加快,随着企业内部网络应用的增多,如何保障网络安全,有效分级对员工行为进行控制成为一个重要课题。 网络高峰期时,如何保证办公和关键业务的正常运转? 如何防止业务数据等机密信息泄漏? 如何有效防止ARP欺骗、病毒、木马带来的威胁? 如何防止员工访问非法网站而避免法律风险? 内部言论如何进行有效控制? 万任UniERM网络流量综合管理系统对中小型企业市场,帮助客户控制和管理对互联网的使用,实现对网页访问过滤、网络应用控制、带宽流量管理、用户行为管理和日志记录。万任UniERM系统集数据、交换、安全、无线、行为管理等功能于一体,可以以路由或桥接的方式部署在中小型企业网络出口,对企业内部员工的上网行为进行控制。 万任UniERM系统具有以下特点功能: 1、统一管理系统 集企业级上网行为管理、流量控制、路由器、防火墙、链路负载均衡于一身的综合管理网关。 集中的管理可以让网络管理员在一个平台上对网络进行全面的管理,降低操作复杂度。 2、网络协议分析实时、准确 网络应用识别率高,流量统计实时准确,真实反映网络状态。 流量显示实时性强,数据每5秒刷新一次,方便及时发现网络问题。 3、强大的员工上网日志审计功能 支持以下员工上网日志审计: 网页浏览 / 网页搜素 / 网页POST / 文件与视频web下载 微博&博客登录、发帖、回帖、转发 / 论坛登录、发帖、回帖、转发 客户端邮件(包含正文与附件) / WebMail(包含正文与附件)
上网行为管理部署方案分析 上网行为管理产品在网络管理中已经是一个不可或缺的部分,并且已经得到了广泛的使用。 大家在选购上网行为管理产品的时候,一般都关注功能和价格。实际上,产品的部署方案才是优先考虑的因素。 本文将讨论上网行为管理产品的几种典型部署方案,及各自的优缺点分析。旁路部署方案 旁路部署的网络结构图如下(以WFilter上网行为管理软件为例): 旁路部署方案的优点 1.旁路部署方案是对当前网络影响最小的监控模式。 2.充分利用已有硬件的功能,部署方便,不会影响现有的网络结构。 3.不会对网速造成任何影响。旁路模式分析的是镜像端口拷贝过来的数据, 对原始数据包不会造成延时。 4.旁路监控设备一旦故障或者停止运行,不会影响现有网络。 5.旁路部署方案一样可以对上网行为进行控制。 旁路部署方案的缺点 1.需要交换机或者路由支持“端口镜像”功能才可以实现监控。
2.旁路模式采用发送RST包的方式来断开TCP连接,不能禁止UDP通讯。对 于UDP应用,一般还需要在路由器上面禁止UDP端口进行配合。 旁路部署方案总结 如果现有的网络设备运行稳定,且对网络的稳定性要求高。在不考虑升级硬件的情况下,首先应当考虑旁路部署的软件方案,这样可以以最小的代价来部署上网行为管理,而且不会影响现有网络的稳定性。 串联部署方案 串联部署方案有两种:网关模式,网桥模式。如下图:
?网关模式:用上网行为管理产品替换现有的网关(路由器、防火墙)。 ?网桥模式:用上网行为管理产品串联在网关和核心交换机之间。 串联部署方案的优点 1.解决了旁路部署方案的缺点,可以进行流控,可以禁止UDP通讯。 2.硬件维护比较单一,避免了软件的兼容性问题。 串联部署方案的缺点 1.需要购买新的硬件产品,并替换掉现有的网关。造成硬件资源的浪费。 2.网络中增加了新的硬件,稳定性需要时间的磨合。 3.增加了单点故障的可能性。串联设备一旦死机或者掉电,会导致网络中断。串联部署方案总结 公司决定升级现有设备时,可以考虑购买一台行为管理硬件产品,并且进行串联部署。但是串联部署的设备一定要进行一段时间的稳定性测试,确保不影响网络稳定性。 总体来说,根据公司的预算,现有网络状况来判断是进行旁路部署还是串联部署。旁路部署优选软件方案(推荐WFilter上网行为管理软件),串联部署优选硬件方案。
实施方案 公司凭借其在IT领域多年的从业经验,向客户提供完整的系统建设方案。采用领先的服务器、交换机、PC、投影机、视频展示台等产品,并秉承"简单、可靠、创新"的网络最高境界,为用户提供最好的系统集成服务。 我们将向客户提供各种智能的、高性能的、经济高效和容易使用的系统集成方案,与客户紧密沟通,与合作伙伴建立高效的商务合作关系和供应链关系,是我们竞争的法宝。我们既要为用户建设优质的计算机网络系统,同时一定要为用户培养一支过硬的技术队伍。 采用信息化技术作为主要管理手段,建立信息化的管理平台,在施工过程对整个工程的工期、质量、成本进行有效的控制。编制详细而周密的施工整体控制计划,明确各专业进场和配合及交出时间,以保证整体计划的按期实现。加强工程管理,搞好各工种各专业的配合协调,加强对各专业部分的质量控制,通过严密完善的公司质量管理体系,确保“优良工程”的实现。 我公司在每一次施工前都做好了充分的准备,为每一个项目的顺利实施做好的详细的准备计划,为保障工程的实施做好铺垫。 设备进场的准备 我公司在每次设备进场前做好了相关的准备。在每一批次的发货数量,每一天的运输数量,在库房中应准备的货物数量,我们都做了仔细的计算,同时也按一定的标准做好物质上准备。这样保证了设备物质的供应及时,物流顺畅。 与客户的沟通联系及准备 我们与客户有着广泛深厚的基础,在每一次安装前都对客户的准备情况做了详细的了解,与客户一同将安装前应做好的准备工作一一落实到位。重点落实场地准备情况、强电到位情况 我们同时通过自身完善的服务系统,与客户建立了良好的沟通渠道,在每一项工程的施工前都与客户以及当地的主管单位做了认真的了解和调查,及时地将客户和当地主管单位的情况反馈回公司。为安装工作做好了充分的准备。 施工组织和管理准备