上网行为管理方案完整篇.doc

上网行为管理方案1

上网行为管理方案(员工上网控制)

构建安全、稳定、高效的企业网络

?行业背景分析

CNNIC最新数据表明：94.8%的中小企业配备了电脑、92.7%的中国中小企业接入互联网；57.2%的中小企业正在利用互联网与客户沟通及为客户提供咨询服务。从企业门户平台的建设到公文、数据的传递，从VPN企业专用信息通道到网络视频会议，网络应用已经成为广大企业提高工作效率，进行实时沟通的有力保证和手段；同时网络也成为企业收集各类信息、与外界沟通以及员工获得专业知识与信息的重要来源。然而，网络也是各种娱乐活动的渠道，是分散员工精力、生产力流失的根源，重要资料的泄漏和不可控的安全隐患也使广大企业面临巨大经济损失和法律风险。

据美国科技调查机构IDC的调查指出：企业员工大约30％～40％对网络的使用是跟工作无关的。中国企业的情况略高于这个比例。中国员工每周花在网上处理私人事务的时间为5.6小时，中国的IT主管认为员工每周会花费至少6.2小时进行网上冲浪，83%的中层管理人员在办公时间内浏览与工作无关的网站。

如果缺乏管理制度和技术手段，员工不加监管、随意使用网络将导致三个重大问题：工作效率低下、网络性能恶化、网络违法隐患。

?行业网络需求分析

多线高速接入

因为拨号接入方式比专线、光纤便宜很多，一般企业多采用ADSL这类的宽带接入。随着网络的应用越来越多，管理难度越来越大，很多企业一条宽带不够，再增加一条宽带；两条条宽带不够，再增加两条宽带。但这样就会出现多路接入、多个出口的问题，接入设备多，维护成本增大，给管理带来困难。

因此企业需要多路宽带接入，特别是在业务范围覆盖全国的企业，还需要电信、联通线路的同时接入访问，消除跨网互通的问题。

网络带宽管理

一般来说，一个2M外网带宽的局域网，只要有2个以上的用户毫无节制地使用BT，所有人的正常网络浏览都将成为不可完成的任务。如果缺乏有效的技术手段，BT、迅雷、电驴、PPLive 等P2P软件和在线影音等行为就会严重吞噬带宽资源，导致正常工作的带宽得不到保障，企业大量投资的宽带网络速度一天比一天慢；IT部门经常遭到抱怨，要求提升上网的带宽；而有趣的是抱怨的人中常常包括那些下载音

乐文件或看视频电影的员工。

网络带宽缺乏规划与管理，势必造成网络投资加大，企业成本上升。企业推广信息化建设、建立网络应用环境是为了提高工作效率，降低办公成本。网络资源浪费迫使企业加大网络投资，网络投资导致了成本的上升，利润的下降，这也是企业面临的重

要问题。

抵制不良信息

互联网上信息庞杂多样，既有大量进步、有益的信息，也有不少反动、迷信、黄色等不健康的内容，对于有危害的站点如何去屏蔽？对于色情反动站点如何过滤？

现在很多企业还缺乏有效的管理监控手段来对企业员工的上网进行必要的限制和记录，对于一些非法站点也没有采取有效手段来过滤。企业将面临违反国家法律法规的风险，反动、黄色的言论通过网络在企业内部传播，直接会导致企业面临国家法律的制裁，企业领导难辞其咎。

在企业内部提供一个绿色安全的上网环境，已经成为迫切的问题。

上网行为管理

互联网上的内容太丰富了，对企业员工有太多的诱惑，很多的员工沉溺其中，无法自拔，常常把自己的本职工作放在一边，导致企业整体工作效率没有提升反而下降。调查数据显示以下为影响工作效率主要的互联网行为，它们与工作无关而且可能导致更多的问题（比如网络安全等）：

闲逛新闻、娱乐网站，泡论坛“打发时间”；

浏览色情网站、赌博网站；

浏览游戏、音乐等娱乐网站，下载大量与工作无关的音乐文

件，在线听音乐，在线看视频等，不仅耽误工作，而且占用大量的网络带宽资源，影响其他人员使用公司的资源；浏览相关财经网站，利用公司的资源在线炒股；浏览“在线”购物和拍卖网站；

使用IM软件如QQ、MSN、Skype、飞信等。

个人沉溺于网络或者“出工不出力”的现象屡见不鲜。个人工作效率及工作状态的低下，最终会反映到工作业绩上，影响到个人在企业中发展。而且它具有扩散效应，八卦新闻、小道消息一旦成为工作时间的谈资，必然极大破坏办公室的工作氛围。

信息安全风险

任何企业主或管理人员都担心企业内部的机密信息流露出去，而互联网偏偏又是最便捷的信息交流传递途径。企业商业机密、重要文献可以通过网络以MSN、QQ、邮箱等多种方式快速、方便的流失出去。不受限制的上网行为将带来更多的安全问题，比如下载的文件中带有病毒或其它有破坏性的程序QQ、MS

N等软件的使用有可能招到网络黑客的袭击等。

想到这些问题，每个管理人员都可能坐立不安。如何解决这些问题呢

网络稳定安全

企业内网PC终端众多，网络应用也较复杂，因误触恶意网站、下载等原因，木马、蠕虫、钓鱼等网络陷阱可以轻易冲垮企业的网络环境，甚至导致企业整体IT系统的瘫痪，泛滥的P2P 软件（迅雷、BT、电驴等）都可能造成内网的安全隐患。最典

型的就是不少企业网络都饱受ARP病毒攻击，网络要么频繁掉线、乱弹广告，要么上网速度巨慢！

?XX网络解决方案

XX上网行为管理路由器部署为企业的网关，提供网络接入、上网行为管理等功能；内网采用上网行为管理交换机，提供千兆内网传输速率。

?方案特点：

多条宽带接入，提高网速又省钱

提供2~4个W AN口，可以使用多条ADSL取代光纤，或增加ADSL提升带宽，节省费用并且降低“单线故障”的风险。智能实现“电信数据走电信线路，联通数据走联通线路”，并支持在线升级策略库，实现多网的高速接入。

它还具有领先的通断检测技术，能智能判断线路状态，如果某条线路出现故障，会自动将相关应用调

度到正常线路，确保网络永远在线。支持线路定时切换的数据平滑过渡，减少线路切换时卡机、掉线等现象。

合理分配带宽，网络不卡不掉线

免配置智能流控（Smart QoS Ⅱ）通过对各类应用的深度识别、分类管理、分级处理，始终让企业关键业务走优先通道，其余流量都给他们让路，保证关键应用如：视频会议、OA系统等永远都不卡！同时还能把剩余带宽分配给其他用户或应用（例如

文件下载、在线视频），实现带宽合理化、最大化的利用！

针对不同应用设置不同的带宽、连接数以及不同的数据优先级，保证您的核心业务能得到有力的保障。提升带宽使用率，真正做到物尽其用！

P2P软件过滤，防止带宽被暴力占用

P2P技术的发展给互联网带来了极大的促进，给用户带来便利的同时也给网络应用带来了严重隐患。首先P2P软件对带宽暴力占用使企业网络带宽面临严峻挑战。其次P2P软件本身现在也成为众多安全攻击者的目标，利用P2P传播病毒或者隐藏木马成为一种新的攻击趋势。

通过上网行为管理路由器的P2P软件过滤，轻松过滤主流的P2P软件，使企业网络的带宽资源得到最合理的使用。

抵制不良信息

通过黑白名单可以管理企业网络内用户的网页访问。通过白名单来指定企业员工只能浏览的网站（例如工作相关网站）；或者通过名单屏蔽恶意网站或不良网站；结合域名过滤功能，优化关键字，能加强对低俗不良信息的过滤和拦截，大大降低内网用户对不良Web页面的访问。

上网行为管理，杜绝网络“旷工旷课”

上网行为管理路由器能阻止对色情、反动、病毒等高风险网站的访问，限制工作无关的网络应用，能有效减少恶意软件的侵扰，使得IT设备维修率下降，企业员工的工作效率大幅提高，

工作质量越来越好。通过限制BT、Emule等P2P下载应用的带宽，保证主要业务畅通无阻，加强了对Email、BBS等外发信息的管理，减少了单位信息外泄的可能，从而大大提高了企业员工的工作效率，降低网络泄密的风险。

网址分类管理，轻松过滤与工作无关的网站

能监控所有用户浏览网址的记录，并可禁止访问最热门的10大类网站，它们包括：休闲娱乐、新闻资讯、聊天交友、网络游戏、电子购物、论坛博客、证券基金、电子邮件、网上银行和不良网址等。支持网址分类库自动升级。配合禁止通过IP访问网页、黑白名单以及跳转页面设置，全面管好企业内部的网站访问。能有效的避免在上班时间浏览与工作学习无关网站的现象。

在用户浏览网页的时候，上网行为管理路由器可以提示监管信息，让大家知道哪些操作是被禁止或记录的。这类似公布道路上电子眼位置，公开监管会让企业员工的抵触情绪明显降低。

聊天软件过滤，提高工作效率

很多企业对QQ、MSN等及时通讯软件是又爱又恨，一方面它们是必不可少的信息沟通工具，一方面又最容易让企业员工因私聊耽误工作学习。通过上网行为管理路由器的聊天软件过滤，可轻松管制QQ\M SN\飞信\SKYPE\阿里旺旺等聊天软件，而且可以设置例外的IP地址组（例如让领导不受限制）。更有QQ 号码的精细化管理，仅允许使用单位指定的工作QQ，而其他私人QQ无法使用。

股票软件过滤，规范工作行为

不少企业都有部分企业员工利用上班时间炒股的现象，这种行为极大地占用了工作时间，降低了工作效率，而且运行炒股软件还占用了大量的带宽，导致其他企业员工无法很好地利用网络进行工作。

通过上网行为管理路由器的股票软件过滤，可以轻松过滤主流的炒股软件，可以在很大程度上杜绝上班炒股行为，保证带宽资源能够被合理高效地使用。

游戏过滤，防止沉迷网游

企业员工在上班时间玩网络游戏，一方面占用工作时间，严重违反了相关纪律，造成不良影响；另一方面，这些网络游戏又极大的消耗着网络带宽，造成其他企业员工上网堵塞；同时，网络游戏里面常常充斥着色情、暴力、反动等信息，有损企业形象。

通过上网行为管理路由器的游戏过滤，可以轻松过滤主流的网络游戏，规范企业员工上网行为，净化企业的网络环境。

邮件监控，防止网络泄密

对内网用户使用邮件客户端（例如OUTLOOK、FAXMAIL 等）通过POP3/SMTP协议收发邮件时，进行收发邮件的镜像和监控。

WEB安全管理，减少网络风险

能有效减少内网用户访问网页时被各类木马病毒文件感染

的几率。通过禁止WEB页面提交，还能防止用户在网络论坛上发言发帖，避免给企业带来法律风险。

外防攻击，内防病毒

防攻击抗病毒：拥有网络自防御功能，支持内外网攻击防御，提供扫描类、DoS类、可疑包和含有I P选项的包等攻击保护，能侦测及阻挡IP 地址欺骗、源路由攻击、IP/端口扫描、DoS等网络攻击，有效

上网行为管理方案1

XX机构上网行为管理解决方案

杭州天网电子有限公司

XXX上网行为管理解决方案

一、需求概述

1．1 背景介绍

XX机构内部网络已搭建完毕:200台PC.四个网段.100M带宽出口.

1．2 需求分析

随着Internet接入的普及和带宽的增加，一方面员工上网条件得到改善，另一方面也给机构带来更高的网络使用危险性、复杂性和混乱性。据IDC调查发现，在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。IDC的数据统计显示，员工30%-40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。而中国员工比其它地区的员工每周多花7.6小时使用IM、玩游戏、P2P软件或流媒体。互联网滥用，给中国企业、政府、高校、行业用户等各行业带来了巨大的损失。

员工随意使用网络将主要导致五个问题：(1)工作效率低下、(2)网速越来越慢、(3)安全隐患不断、(4)信息和机密外泄、(5)网络违法行为。

为获取外部信息和资源、及与第三方合作伙伴、投资方等保持联系和沟通，机构内部网络必然与互联网连通。IT管理者如何及时了解网络运行情况，并对网络整体状况作出基本

的分析，发现可能存在的问题（如访问违规网页、玩网页游戏、资源滥用、泄密、ARP欺骗等），并进行快速的故障定位，这一切都是对机构内网安全管理的挑战，这些问题包括：IT管理者如何对网络效能和行为进行统计、分析、评估？

IT管理者如何控制上班时间QQ聊天、游戏、无关网站浏览等非工作网络访问行为？

IT管理者如何管控BT、PPLive等P2P行为，避免其严重占用带宽，同时如何为业务系统和关键用户保障带宽资源的分配，

提升带宽利用率？

IT管理者如何防范用户“主动”下载含有病毒、木马、恶意软件的文件？

IT管理者如何杜绝通过Email、MSN等途径潜在的泄密行为？

IT管理者如何避免网络造谣、恶意言论和发贴等法律问题，并在发生问题时有据可查？

因此，如何有效地提高工作效率，提升带宽资源使用效率、改善内网安全环境、杜绝泄密行为、避免法律风险，已经成为各行业信息化建设中的首要任务。当前内网安全管理也随之提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如访问控制、访问跟踪、流量限制、监控、审计等问题也日益凸现。越来越多的企事业单位需要对内网员工上网行为进行管理以实现网络资源的合理利用。

1．3 客户具体需求分析

XX机构网络访问控制详细需求分析：

随着业务的发展和信息化建设步伐的加快，XX机构的网络安全和内网员工的互联网访问行为管控等问题日益严峻，虽然在网络出口处已部署了专门的防火墙设备，但无孔不入的病毒（尤其是木马、ARP欺骗等）、恶意软件、DOS攻击等仍然大肆泛滥，严重影响了本机构应用系统的运行和业务的正常运作；另外，在针对内网安全方面（尤其是PC客户端准入安全检查），由于缺少专门的客户端安全检查设备，无法查找和修复内网的安全短

板，从而无法有效的保护整个内部网络的安全性。

更为重要的是上班时间内部员工的网络访问行为没有很好的管理、控制方法，上班时间长时间使用QQ聊天、收发私人邮件、浏览无关网页、在BBS、论坛上发帖等，不仅导致员工工作效率低下，还潜在可能向公网泄露机构内部机密信息，并可能因访问非法网站或发别非法言论而违反法律。另外员工肆意使用BT、PPLive等P2P工具下载电影等、在线看电视、看电影、听歌等，严重吞噬了有限的带宽资源，影响了机构内部关键应用和业务的开展。

通过对本机构内部网络目前存在的问题，我们看到XX机构在内网员工的互联网访问行为管控方面需要解决几个问题。

1.3.1 缺乏有效的统计方法，无法得知网络使用状况

对于机构网络的使用情况，有限的公网出口带宽的占用情况，用户最常发生的网络访问行为，TOP 10用户最常访问的网站等，IT管理者当前都无法掌握真实情况，而只能靠部分员工反映或抱怨，通常只能简单记录的一些IP访问情况，查询、审计非常不便。

1.3.2 无法做到细致的访问控制

机构因为需要获取外部信息和资源而与Internet实现互联，通过Email等IT应用系统，内网员工不仅可以与合作伙伴、第三方单位保持沟通，而且外网用户也可以方便的通过Internet访问机构内部的WWW网站、FTP下载服务器等。

但是如果没有完善的互联网访问权限控制手段，而仅仅依靠

传统的防火墙等设备，将无法有效管控内网员工的各种网络访问行为；内网员工在上班时间使用QQ、MSN等聊天，浏览各种网站（甚至色情、反动网站），BBS、论坛发贴（包括不负责任的反动言论等），在线炒股、网络游戏娱乐等，不仅降低了工作效率，甚至通过Email泄漏机构机密信息，给机构带来直接经济损失，还可能引起不必要的法律纠纷。

1.3.3 无法有效管理带宽流量，无法保障业务系统的带宽需求

机构现有的公网出口带宽通常都比较有限。一个带宽2M的Internet出口，即使有两个内部用户全速下载BT、eMule等，其他用户和业务系统的访问与开展都会及其缓慢，甚至完全不可用。而IT管理者一方面无法有效的获知机构现有带宽资源的使用情况和利用率，同时对于各种P2P等非业务相关的网络访问行为也无法有效管控。

业务部门收发Email缓慢，领导的视频会议系统无法正常运作，设计部的CAD文件传输速度极慢等，都需要IT管理者优化机构有限带宽资源的使用情况，有效的限制非业务系统对带宽的占用，合理的划分和分配更多的带宽供业务系统所使用。

1.3.4 无法保证客户端的端点安全性

类似于木桶理论，内网网络安全的等级取决于安全最薄弱环节。如果有内网员工的终端设备使用陈旧的操作系统、不更新操作系统补丁、不安装指定的杀毒/防火墙软件、甚至不更新，反而使用和安装机构不允许的软件，这都将造成该终端设备成为内网的安全短板。如果用户使用该终端设备肆意访问互联网，来自

Internet的病毒、木马、恶意程序等极易感染和侵害该终端，从而进一步感染和泛滥到整个内网，影响更多用户的网络使用和业务的开展。

1.3.5 无法对用户网络行为进行有效监控和审计

提到网络安全问题，大多数用户都只关注外网安全。但其实机构内部的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。所以虽然机构已经部署了防火墙等安全设备，但是无法对内网员工的网络行为进行有效的监控和审计。

内网员工可能通过MSN聊天即将机构的机密信息无意间泄露出去，而更典型的是通过Email邮件，将机构的信息资产通过邮件及附件发送到公网；还可能通过向公网BBS、论坛发贴的方式，不仅泄露机构信息，也可能发表不良言论、网络造谣等，不仅泄露机构的信息资产，还难免招致法律问题；这就需要有别于传统防火墙的解决方案，对用户的网络访问行为进行有效的监控和审计，做到有据可查。

1．4 客户网络现状分析

XX机构目前使用内部设备：

结构图：

通过以上机构的内网拓扑简图可见，机构内部众多用户和各种应用系统，通过位于外网接口的防火墙进行了防护和保障，对于来自外网的安全风险和威胁提供了一定的防御能力，但是对于来自内网的肆意的互联网访问行为、带宽滥用、潜在的泄密、法律违规等无法进行有效地管控，同时内网员工的各种互联网访问

行为也无法有效的监控和审计。

二、解决方案

2．1 AC上网行为管理设备功能介绍

2.1.1 控制功能：细致的访问控制，有效管理用户上网

对于内网员工访问各种网页的行为，AC通过内置URL库，关键字过滤等方式进行管控。对于采用SSL方式加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。AC安全网关不仅可以对员工使用WEB、FTP、EMAIL等常用服务进行控制，通过深度内容检测技术，根据应用数据包四层到七层的特征码，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。SINFOR AC 具有国内最全的应用协议识别库，例如对IM聊天工具、炒股软件的识别库如下：

针对目前P2P行为泛滥和P2P工具版本泛滥的趋势、SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。

基于Web与LDAP/Radius集成的用户认证功能，又支持LocalDB设备自建帐户、支持POP3、PROXY等认证方式，使得对上网用户的管理变得十分灵活方便。通过对基于LDAP、POP3、PROXY的单点登录功能，简化用户的操作，方便用户的使用。

AC所具备的各种网络访问控制功能，可以基于用户/用户

组、基于时间段、基于不同的目标行为进行灵活权限控制，实现人性化要求。

表3.1：访问控制功能一览表

功能模块功能性能指标

身份认证用户认证方式

支持触发式WEB认证；支持用户名/密码方式认证；支持

USB-Key认证；支持IP认证；支持IP-MAC绑定认证等IP －MAC绑定支持跨三层交换机的IP-MAC绑定功能

第三方认证

不仅支持将用户账号/密码信息内建设备本身，亦支持与

第三方LDAP、微软AD、Radius、POP3、PROXY服务器联动WEB认证

WEB认证的用户名和密码可以使用本地用户密码也可以和

LDAP服务器、微软AD域控服务器、Radius服务器，POP3

服务器联动

单点登录

支持基于LDAP、微软AD域控服务器、POP3、PROXY服务

器的单点登陆；用户只要通过以上验证，则无需再次在WEB

认证页面输入密码

未创建用户认证

AC支持将未创建用户自动创建并加入设备，并同时赋予该用户指定权限和用户分组

网页访问控制URL（网址）过滤

AC内置超过800万条预分类的URL库，允许用户输入新URL地址和创建新分类；

关键字过滤

可限制通过搜索引擎搜索某些关键字（关键字可定义），

可针对网页正文关键字进行网页过滤，可限制用户通过

BBS、Webmail、Blog等方式发送带有敏感字样的言论

反钓鱼网站功能支持对SSL加密网站的识别和过滤

文件类型限制可限制和管理通过HTTP、FTP下载、上传指定类型的文件

邮件控制邮件地址限制可限制指定后缀的邮件地址通过SMTP发送邮件