上网行为管理参数

上网行为管理制度标准一、背景与意义随着互联网的普及和应用，人们的上网行为已经成为日常生活中不可或缺的一部分。

然而，网络世界的虚拟性和开放性也为不法分子提供了便利，使得网络安全问题日益突出。

因此，建立健全的上网行为管理制度，对于维护个人隐私、保护网络安全、规范网络环境具有重要意义。

二、管理目标1.明确规范员工上网行为，保障公司信息安全。

2.规范员工上网行为，提高工作效率。

3.加强员工网络素养培训，提高员工网络安全意识。

4.避免员工沉迷网络，影响工作效率。

三、管理内容1.上网时间管理（1）明确上网时间段：规定员工可以在何时上网，例如午休时间、下班时间等。

（2）限制上网时长：对员工上网时间进行限制，避免员工长时间盯着屏幕。

（3）限制非工作时间上网：规定员工在非工作时间不得上网，避免影响休息时间。

2.上网内容管理（1）禁止访问不良网站：禁止员工访问色情、暴力、赌博等不良网站，保障公司网络环境。

（2）限制个人娱乐：规定员工不得在工作时间内上网观看视频、玩游戏等娱乐行为。

（3）管理社交网络：规定员工在社交网络上不得发表泄震慑言论，保障公司形象。

3.网络安全管理（1）加强密码保护：规定员工需要定期更改密码，避免密码泄霪（2）防范网络攻击：教育员工如何辨别网络钓鱼、恶意软件等网络攻击手段，保障信息安全。

（3）备份数据：规定员工需要定期对工作数据进行备份，避免数据丢失。

4.责任与监督（1）明确责任主体：规定上网行为管理责任主体，详细列出各项管理措施及责任人。

（2）加强监督：设立专门的网络监管部门，对员工上网行为进行监督与检查，确保制度的执行。

四、管理制度执行1.制度宣传：通过员工手册、培训等途径向员工宣传上网行为管理制度，让员工了解制度内容及重要性。

2.执行监督：设立专门的监察机构对员工上网行为进行监督，及时发现问题并进行处理。

3.奖惩机制：对遵守制度的员工进行奖励，对违反制度的员工进行惩罚，形成良好的管理氛围。

·全面权威的行为日志审计分级分权的日志账户管理图形化日志统计，方便用户对行为记录的查询、审计，并支持饼状图、柱状图、曲线图等形式直观显示结果·强大灵活的上网行为管理内容过滤，如即时聊天内容及文件传输过滤、网页URL及搜索关键字过滤、HTTP 及FTP文件传输过滤、以及非标准端口FTP过滤，支持根据邮件发件人、邮件附件类型过滤，发贴关键字过滤，文件下载过滤策略管理方面支持策略对象复用、策略继承、强制策略继承即子组也可以继承父组的策略，父组也可以强制子组继承自己的策略·用户管理黑名单、白名单管理，免审计key支持批量导入用户：比如文件导入，LDAP/AD用户导入等支持L2/L3层网络环境的IP+MAC和VLAN ID的绑定支持用户自动分组，可按IP、MAC地址、主机名、VLAN ID等多种方式来定义用户名，这样大大的简化了动态用户的管理，增强了用户管理的灵活性支持公用账户、临时账户，支持对临时账户的自动和手动审核，从而减少管理员对临时账户的频繁配置，也统一了临时账户的上网权限和使用期限的管理·多种身份认证方式支持网页重定向支持多种认证方式的混合使用支持WEB认证、LDAP认证、AD域认证、Radius认证、POP3认证等·安全防护支持基于状态监测的防火墙，不仅保障网关设备安全，还能保护内网安全支持一对一的地址转换、多对一的PAT转换、端口映像等多种NAT转换策略·带宽资源管理支持对具体URL的带宽管理支持对具体应用协议的带宽管理支持对单用户、单IP的带宽管理支持应用的流量配额控制、在线时长控制、并发Session控制、新建会话控制，并提供相应的惩罚手段可基于业务应用划分优先级，将业务应用划分为高、中、低三个优先级，优先级越高的流量，优先传送提供最大带宽限制、保障带宽、预留带宽等一系列强大的带宽管理功能·网络适应性支持静态路由、策略路由支持DHCP服务器、DHCP中继功能支持DNS代理、DNS缓存、VLAN等功能支持链路的负载均衡、主备链路的备份功能支持GRE VPN、PPTP VPN、IPSec VPN功能支持PPPOE拨号方式，并支持对多条PPPOE线路做负载均衡·高可靠性(HA)主备模式：系统支持一主一备，或一主多备的HA模式负载均衡模式：系统支持多个主设备(多主一备/多主多备)的HA模式，多个主设备间可实现负载均衡·详实的报表分析曲线图、饼状图、柱状图等图文并茂的数据统计报表展现以小时、天、周、月、年，或自定义时间段为单位的统计分析报表以用户、用户组、服务、服务组、线路等为对象，并进行对象排名根据组织结构中的逻辑树结构，可逐个展示用户，并将每个用户的上网行为分项统计支持报表的Email自动订阅, 便于管理员掌握某个时间段内网络的运行状态、流量和行为的趋势信息·日志查看USBkey控制日志查看权限：即用户上网记录的查询权限，必须用Key进行控制，任何其他人不允许有查询权限；·无线热点控制与防共享上网管理1、支持对无线热点、智能终端接入的识别，通过信任列表进行管控；2、支持对代理软件或路由器共享上网的检测控制。

上网行为管理产品技术参数序号指标项技术要求及指标1 品牌型号网康2 设备规格机架式3★设备性能最大吞吐量≥；最大并发连接数≥万；最大新建连接数≥个4★硬件规格硬盘≥；要求至少提供个千兆电口；设备必须可以提供独立于，，接口的管理口，要求至少提供个接口的口和个口；支持硬件按钮，设备必须提供物理硬件按钮，如果有光接口线路，支持外置光，支持界面5 设备部署支持网关模式，镜像模式，网桥模式，多路桥接等方式部署；支持、、、、、协议下的网络环境（提供页面截图证明，加盖公章有效）能够支持环境下的应用识别管控、带宽管理、网址访问审计与管控、生成分析报表等功能6 用户管理支持通过手工方式、导入、数据库导入（、、）、文件导入、扫描等方式建立组织架构；支持本地、、、邮件认证、短信方式的认证；支持对、、、、、、、锐捷、、、城市热点、深澜等各种数据库格式的单点登录并支持非客户端的用户识别方式（提供页面截图证明，加盖公章有效）；支持免审计、免管控、免认证三者的组合；能够针对不同设备类型的用户设置不同的认证策略。

满足为移动终端提供短信认证、为用户提供账号密码认证等更加贴近使用习惯的需求；可以为用户添加多属性，并根据用户的属性（如职位、部门、电话、邮件等）自动进行用户分类，根据分类的结果做审计、控制策略；能够建立虚拟用户组，其成员从各级普通组中抽取，以实现对分散在各普通组中的一些特定用户进行统一管理；可以建立认证页面与多个认证跳转成功页面，供不同的认证策略引用，并支持用户完全自定义；可识别私接主机个数，并可制定策略以私接主机个数为阀值进行封堵，同时可建立白名单，可生成日志。

可识别用户上网设备类型作为“工具”对象，并可作为策略条件，可将或段作为“位置”对象，并可作为策略条件。

7★网页管理库大小≥万条数据，≥种网页分类（提供页面截图证明，加盖公章有效）；支持搜索关键字，搜索策略，网址管理，网址策略；可以基于特定网址的一天访问总次数或者总流量进行控制；可以建立多个认证页面，供不同的网页策略引用，支持不同用户的不同网页被阻塞后会跳转不同的阻塞页面，支持用户完全自定义；可限制用户文件下载频率，个每分钟；根据用户、终端类型、时间等多个条件为不同的用户推送页面；可以建立多个推送页面，供不同的推送策略引用支持用户完全自定义。

新ACM上网行为管理产品招标参数(红色字体为特色功能)一、硬件及性能要求
二、软件功能参数
TopACM集中管理招标参数三、硬件及性能要求
产品功能截图：
ISP自动地址表（电信、移动、网通、铁通）的策略路由的选路方式；（要求提供截图）
支持PPPOE方式上网：
支持DNS代理和DNS缓存；（提供截图）
支持http代理、https代理、socks5代理功能（提供截图）
支持GRE VPN 功能截图
支持IPsec VPN功能；（提供截图）
支持PPTP VPN功能。

（提供截图）
负载均衡及轮询算法支持截图：
域单点登录截图：
支持按会话连接数进行控制截图：
在"一周内/一月内/一季度内"，连续进入黑名单多次（如5次，可配置），可对用户进行加倍惩罚，惩罚时间可以原来的N倍（提供截图）。

上网即插即用功能截图：
可记录基于全局、基于个人的行为监控，并支持按照组织架构对个人所有行为的独立查询。

包括：网页标题记录、发贴记录、网页评论记录、在搜索引擎上的搜索记录、网页文件上传记录、URL 访问记录、即时通讯的登录信息/聊天内容/文件传输记录、邮件记录（详细内容、附件）、FTP 登录信息/上传记录/下载记录；（要求提供截图）
URL白名单截图：
即时通信白名单截图：
具有故障排查数据包捕获功能（提供截图）
必须支持详细的告警功能，包含管理员操作日志、设备状态、流量异常、违规网站、违规帖子、违规文件上传、违规邮件发送以及潜在危害的行为告警。

（要求提供截图）
无线热点功能截图（1.6.5版本后更名为“移动终端管理”）
限制共享路由
系统管理员DKey认证。

附件一上网行为管理设备参数0000000上网行为管理设备一台技术要求：1、硬件性能要求：1000BASE-T (RJ-45)≥4个防火墙吞吐量（双向 256 bits包）≥500Mbps并发用户数≥800. 并发会话数≥1000,000，必须具有一个RS232串口，支持ECC校验2、安全防护要求：设备支持网关杀毒、具有防火墙、防ARP欺骗、防DOS攻击等安全防护功能。

（以上功能提供产品界面截图证明）3、终端识别要求：设备必须能识别终端操作系统版本及补丁更新情况，可识别终端杀毒软件更新情况，必须能识别终端杀毒软件/防火墙软件的安装、运行、更新情况（必须提供自主知识产权证明，加盖厂商公章），必须能识别终端硬盘文件情况、系统进程情况、注册表情况。

4、URL过滤要求：设备能对URL网址进行识别和过滤，内置1000万条以上的URL库，并且能识别并过滤SSL加密网站（必须提供自主知识产权证明，加盖厂商公章）。

5、应用监控要求：可对网络常见应用进行识别和控制，内置应用库不少于500个，其中IM聊天工具识别必须包括：QQ、QQ农场、QQ游戏、QQ网页类游戏、MSN、51挂挂、chikka、Digsby、Doshow、Gizmo、IceChat、ispeak、KC网络电话、KuBao、Miranda、PaLTALK、raketu、TeamSpeak、XChat、阿里旺旺、百度Hi、慧聪发发、歪歪语音等。

网络游戏识别必须包括：UU棋牌、赤壁、春秋Q传、封神榜、华夏、黄金岛、机战、口袋西游、路尼亚战记、梦幻龙族、墨香、千年、热舞派对、神鬼传奇、生死格斗、盛大富翁、水浒Q传、唐人游戏、特种部队、天龙八部、天下贰、武林外传、星尘传说、英雄岛、诛仙、卓越之剑等。

必须能在指定用户使用指定应用时长超额、流速超限后自动提醒该用户。

6、邮件监控要求：可审计网页和POP3收发邮件，支持对接收和外发的邮件进行垃圾邮件识别和过滤的功能。

上网行为管理系统参数一、物理性能要求：大于等于6个千兆电口，大于等于1个RJ45串口，大于等于2个USB接口；七层吞吐量≥500Mbps；并发会话≥1,000,000；用户规模≥1500人；二、产品功能要求：1、审计功能要求：满足公安部82号令审计要求，河北省公安厅或唐山市公安局有平台建设。

2、链路负载均衡功能要求：必须免费提供，支持多链路之间的负载均衡功能（支持固定指派、源目IP轮询、上行流量、下行流量、总流量负载以及最佳路径等多种算法）、支持多PPPoE出口的链路负载均衡。

3、路由功能要求：持续路由支持数据报文的持续路由配置。

4、上网行为管理功能要求：设备内置海量预分类的URL地址库，支持根据URL类别实现URL过滤、SSL加密识别自定义、URL关键字过滤、网页过滤、文件传输过滤、邮件过滤、WEBMAIl过滤、邮件地址过滤、邮件附件过滤、邮件关键字过滤、Webmail管理、SSL邮件管理、加密Webmail管理、加密SMTP邮件过滤、加密SMTP、POP3邮件审计。

5、黑白名单管理功能要求：支持对单个用户/用户组、IP、地址簿设置一天内总上网时长、上网流量；在某些时间段（如下班时间，凌晨），不对用户的速率和会话数进行限制，用户产生的流量也不记入黑名单的流量配额内。

6、流量控制功能要求：必须支持在不同线路上，根据不同的应用、用户、用户组来保证或者限制流量，对于多链路必须免费实现流控功能。

7、应用控制功能要求：1、应用控制：设备内置应用识别规则库，支持超过500种以上的应用，并保持每个星期更新一次，保证应用识别的准确率、支持根据IP、端口、协议等自定义应用规则、支持根据不同的应用类型或具体的某种应用设置允许或拒绝。

2、即时通讯：支持MSN、QQ、飞信、Yahoo、WangWang、ICQ等国内外主流的聊天软件，可以分别控制其登陆与聊天行为。

3、其他类别控制：支持P2P、流媒体、炒股软件、网上银行、网络游戏、网络电话、远程控制等应用识别、ISA代理识别针对ISA代理服务器在代理部署模式下，数据被重新封装进行专门的配置部署，可以识别被ISA重新封装的数据。

附件五上网行为管理AC-1200配置管理文档1. 设备名称本系统上网行为管理设备采用深信服公司生产的AC-1200。

2.设备功能根据用户提出的应用需求，AC-1200在本系统中的设计功能是对网络资源进行合理的分配，并对内部工作人员的上网行为进行规范，以及对防火墙的功能进行必要的补充。

3.设备硬件信息3.1 AC-1200产品外形AC-1200产品外形和接口信息如图1所示。

图1 AC-1200产品外形和接口信息网络连接与管理方式AC-1200的ETH0（LAN）口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接，加入本地局域网络。

ETH2(WAN1)口与路由器CISCO2821，与Internet连接。

ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。

设备端口IP地址分配见表1。

本设备只提供WEB管理方式。

通过网络连接到WEB管理端口，打开浏览器，在地址栏输入https://192.168.5.41 ，进入管理页面输入用户名和密码，单击“登录”，即可进入管理界面，如图2所示。

表1设备端口IP地址分配表接口IP地址描述ETH0 (LAN) 透明模式与核心交换G3/1连接ETH1 (DMZ) 192.168.5.41 与VLAN5某端口连接（WEB管理）ETH2 (WAN1) 192.168.1.6 与路由器G0/0/0连接图2WEB登录页面4. 配置管理4.1 WEBUI界面登录后看到的是WEB管理的首页，包含左侧的功能菜单栏和右侧的状态信息显示。

如图3所示。

图3 WEB用户管理界面4.2 系统配置系统配置部分包含系统信息、管理员帐户、系统时钟等信息。

4.2.1 系统信息系统信息包含系统内的序列号和license信息，如图4所示。

图4系统信息4.2.2 管理员帐户本系统内除admin帐户外，另创建了一个gtyl管理员帐户，其权限与admin相同。

图5所示为管理员帐户列表。

·全面权威的行为日志审计分级分权的日志账户管理图形化日志统计，方便用户对行为记录的查询、审计，并支持饼状图、柱状图、曲线图等形式直观显示结果·强大灵活的上网行为管理内容过滤，如即时聊天内容及文件传输过滤、网页URL及搜索关键字过滤、HTTP 及FTP文件传输过滤、以及非标准端口FTP过滤，支持根据邮件发件人、邮件附件类型过滤，发贴关键字过滤，文件下载过滤策略管理方面支持策略对象复用、策略继承、强制策略继承即子组也可以继承父组的策略，父组也可以强制子组继承自己的策略·用户管理黑名单、白名单管理，免审计key支持批量导入用户：比如文件导入，LDAP/AD用户导入等支持L2/L3层网络环境的IP+MAC和VLAN ID的绑定支持用户自动分组，可按IP、MAC地址、主机名、VLAN ID等多种方式来定义用户名，这样大大的简化了动态用户的管理，增强了用户管理的灵活性支持公用账户、临时账户，支持对临时账户的自动和手动审核，从而减少管理员对临时账户的频繁配置，也统一了临时账户的上网权限和使用期限的管理·多种身份认证方式支持网页重定向支持多种认证方式的混合使用支持WEB认证、LDAP认证、AD域认证、Radius认证、POP3认证等·安全防护支持基于状态监测的防火墙，不仅保障网关设备安全，还能保护内网安全支持一对一的地址转换、多对一的PAT转换、端口映像等多种NAT转换策略·带宽资源管理支持对具体URL的带宽管理支持对具体应用协议的带宽管理支持对单用户、单IP的带宽管理支持应用的流量配额控制、在线时长控制、并发Session控制、新建会话控制，并提供相应的惩罚手段可基于业务应用划分优先级，将业务应用划分为高、中、低三个优先级，优先级越高的流量，优先传送提供最大带宽限制、保障带宽、预留带宽等一系列强大的带宽管理功能·网络适应性支持静态路由、策略路由支持DHCP服务器、DHCP中继功能支持DNS代理、DNS缓存、VLAN等功能支持链路的负载均衡、主备链路的备份功能支持GRE VPN、PPTP VPN、IPSec VPN功能支持PPPOE拨号方式，并支持对多条PPPOE线路做负载均衡·高可靠性(HA)主备模式：系统支持一主一备，或一主多备的HA模式负载均衡模式：系统支持多个主设备(多主一备/多主多备)的HA模式，多个主设备间可实现负载均衡·详实的报表分析曲线图、饼状图、柱状图等图文并茂的数据统计报表展现以小时、天、周、月、年，或自定义时间段为单位的统计分析报表以用户、用户组、服务、服务组、线路等为对象，并进行对象排名根据组织结构中的逻辑树结构，可逐个展示用户，并将每个用户的上网行为分项统计支持报表的Email自动订阅, 便于管理员掌握某个时间段内网络的运行状态、流量和行为的趋势信息·日志查看USBkey控制日志查看权限：即用户上网记录的查询权限，必须用Key进行控制，任何其他人不允许有查询权限；·无线热点控制与防共享上网管理1、支持对无线热点、智能终端接入的识别，通过信任列表进行管控；2、支持对代理软件或路由器共享上网的检测控制。