AC1700上网行为管理详解

AC6.0的上网行为管理产品招标参数

一、性能及配置要求

项目技术要求

吞吐量≥1.2Gb

并发会话数≥300,000

用户规模≥12000人

设备接口6个千兆电口

4个千兆光口

1个RJ45串口

支持外网带宽≥300M

BYPASS 支持

电源冗余电源

尺寸标准1U架构

硬盘≥500GB

二、功能要求

以下功能参数内容较多，在招标书实际编写时可只截取部分内容即可。其中红色字体为重点差异化优势。

项目指标具体功能要求

部署方式网关模式支持网关模式，支持NAT、路由转发、DHCP等功能；

网桥模式支持网桥模式，以透明方式串接在网络中；

旁路模式支持旁路模式，无需更改网络配置，实现上网行为审计；多路桥接必须支持多路桥接功能，最多可支持四进四出四网桥模式；★多主模式必须支持两台及两台以上设备同时做主机的部署模式；

网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备；

分级管理不同用户组的管理权限支持分配给不同管理员；

集中管理多台设备支持通过统一平台集中管理、集中配置等；

被控设备加入统一平台必须支持以硬件证书验证身份；

告警管理支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等；

关闭网管在网关重启操作中支持关闭网关。

加密连接必须具有IPSec VPN远程加密访问和连接的模块，并能提供IPSec VPN客户端授权远程接入访问；（提供产品界面截图）

排障工具提供图形化排障工具，便于管理员排查策略错误等故障；

上网故障排除系统支持开启直通后，流量控制模块依然生效，避免全部数据直通导致线路流量过大；

实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息；

流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息；

安全状态实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全；

上网行为监控实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间；

★Web访问质量检测1、针对内网用户的web访问质量进行检测，对整体网络提供清晰的整体

网络质量评级

2、支持以列表形式展示访问质量差的用户名单

3、支持对单用户进行定向web访问质量检测

用户管理本地认证支持触发式WEB认证，静态用户名密码认证等；

第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证；

支持ISA\lotus ldap\novel ldap\oracle、sql server、db2、mysql等数据

库等第三方认证；

★双因素认证必须支持以USB-Key方式实现双因素身份认证；

IP、MAC认证支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等；

支持通过SNMP服务器跨三层获取MAC地址；

支持当用户MAC地址变动时，需要重新认证；

★短信认证支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码；

短信认证能够根据不同用户推送不同认证页面，该认证页面可自定义，编辑

内容包括文字、颜色风格、图片，且图片支持轮询播放（提供界面证明）★微信认证 1. 支持与微信结合的认证方式，用户关注微信公众号后即通过身份认证，后台记录用户ID（提供产品界面截图）

2.与第三方微信平台无缝对接，不需要修改第三方微信平台代码。

★二维码认证支持二维码认证，管理员扫描访客的二维码后对其网络访问授权（提供产品界面截图）

新用户认证根据新用户的源IP网段实现新用户差异化账户创建、自动分组、认证规则；公用账户支持多人使用同一帐号登录，且支持重复登陆检测机制；

账户有效期指定账户支持有效期限制，并支持自动过期；

单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录，简化用户操作；

可强制指定用户、指定IP段的用户必须使用单点登录；

强制AD认证指定用户必须用AD域账户登录操作系统，否则禁止上网；

安全组嵌套同步支持AD安全组嵌套同步；

★LDAP服务器的

域对象的策略管理

与同步

主要目的是对已有的AC与LDAP服务器结合进行优化，便于客户实现策略

管理在AC上进行，用户管理在域上进行，不需同步用户到本地组织结构中

即可实现策略管理功能

认证失败支持为认证失败用户提供基本网络访问权限机制；

认证后页面跳转认证成功的用户支持页面跳转：

1.跳转到用户原本输入的URL地址；

2.跳转到管理员指定的URL地址；

3.跳转到该用户上网信息排行页面；

4.跳转到注销页面;

帐户导入支持从本地导入和扫描导入，支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息；

支持从外部LDAP服务器导入账户及分组信息；

组织结构用户分组支持树形结构，支持父组、子组、组内套组等；

用户状态查询支持用户登录时间、注销时间、在线时长的查询；

自动注销支持自动注销指定时间内无流量的已认证用户；

冻结用户支持冻结认证失败次数超过最大值的用户，在冻结时间结束后恢复登录；★用户密码强度可设置用户密码不能等于用户名；

新密码不能与旧密码相同；

可设置密码最小长度；

可设置密码必须包括数字或字母或特殊字符；（提供产品界面截图）

无线管理★有线无线统一的

管理界面

统一界面，能够直接查看到接入点状态、射频状态、无线网络状态、接入用

户状态。（所有项提供产品界面截图）

★内置无线控制器

功能，直接管理AP

1.支持配置开放式，WPA-PSK/WPA2-PSK（个人）、WPA/WPA2(企业)

三种接入方式。

2.对接入点支持配置工作模式、视频参数、负载均衡。

3.支持入侵检测、Dos攻击防御，射频智能调整。

4.支持多种日志，接入点日志，系统日志，安全日志，用户认证日志。

5.支持实时显示接入点故障，并提供诊断工具下载。

（所有项提供产品界面截图）

★基于SSID的策

略

支持基于SSID维度的上网权限、上网审计、上网安全、终端提醒、和流控

等策略。（所有项提供产品界面截图）

终端管理★系统识别支持识别终端操作系统版本、系统补丁安装情况；（必须提供自主知识产权证明，加盖厂商公章）；

文件识别支持识别终端硬盘指定目录下的文件情况；

★进程识别支持识别终端系统后台运行的进程信息，防止间谍软件的运行；（必须提供自主知识产权证明，加盖厂商公章）；

注册表识别支持识别终端系统注册表中指定的表项和键值；

自定义识别支持终端调用管理员指定脚本/程序以满足个性化检查要求；

终端准入支持win 7 64位操作系统，支持在旁路模式部署下准入生效；

支持禁止不满足终端检查要求的用户访问互联网；

应用管理★应用识别规则库1、支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发

送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖

6大类；

2、支持给每个应用自定义标签；

3、支持根据标签选择一类应用做控制；

4、支持对每一种应用的定义和解释，帮助客户快速定位应用的分类；

5、支持给每一种应用列上图标，易于客户了解应用的特征。

（提供产品界面截图）

★应用控制1、设备内置应用识别规则库，支持超过4600条应用规则数，支持超过

2100种以上的应用，650种以上移动应用，并保持每两个星期更新一

次，保证应用识别的准确率；（提供产品界面截图）

2、支持根据应用的特征智能识别新更新的应用；

3、支持根据IP、端口、协议等自定义应用规则；

4、支持根据不同的应用类型或具体的某种应用设置允许或拒绝；

★应用细分控制 1.能够对新浪微博、腾讯微博、网易微博等进行细分控制，如：登录、浏览、

发微博、上传附件等。

2.能够对QQ空间、豆瓣网、人人网等社交类应用做细分控制，如：登录、浏览、发帖回帖、上传附件等。

3.能够对天涯论坛、猫扑社区、百度贴吧等论坛类应用做细分控制，如：登录、浏览、发帖回帖、上传附件等。

4.能够对网易网盘、金山快盘、华为网盘等云盘类应用做细分控制，如：登录、上传、下载等。

（提供产品界面截图）

★移动应用的细分控制支持对移动应用的细分权限控制，微信：微信网页版、微信传文件、微信朋友圈、微信游戏。移动QQ：QQ传文件、QQ视频语音等。

端口控制支持根据端口设定用户不允许访问的目标IP组提供的服务；

QQ白名单支持基于用户组、终端类型、位置、SSID的QQ白名单功能。

代理控制1、不允许使用外部HTTP代理；

2、不允许使用外部Sock4/5代理；

3、不允许在HTTP,SSL一些的标准端口上使用其他协议；（比如在80端

口上传输非HTTP协议数据，在443端口上传输非HTTPS协议数据等）

★共享接入管理（防共享）设备能够发现私接路由（或者共享软件等）共享网络的行为：

1.支持自定义配置终端数量和冻结时间。

2.支持“仅统计电脑”和“统计所有终端”两种模式。

3.支持可选“冻结IP”还是“冻结用户名”。

4.支持添加信任列表

5.支持显示以IP或用户名的维度统计一段时间内的趋势图。

6.支持例外排除功能：如冻结条件是2. 指定例外条件1台PC，2个终端。当PC或终端数超过例外条件才会被判定为共享。（提供产品界面截图）

7.支持在数据中心报表中可查询通过共享上网的IP、用户，并能导出报表；（提供产品界面截图）

网页管理静态URL库设备内置海量预分类的URL地址库，支持根据URL类别实现URL过滤；★URL智能识别必须支持未知网页的自动识别与分类（提供产品界面截图）；

必须支持根据用户输入的关键字、url、自动分类未知网页；

★SSL加密网页识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等（必须提供自主知识产权证明，加盖厂商公章）；

自定义URL 设备支持管理者自定义新的URL地址和URL分类；

关键字过滤过滤同时匹配三个以上关键字的搜索行为；

过滤同时匹配三个以上关键字的网页访问行为；

网页过滤支持根据访问的URL、网页关键字进行网页过滤，支持设置拒绝以IP访问网页行为；

支持在放行URL时，自动放行主域名的子链接中被禁止的网站，保证网页显

示完整；

发帖管理过滤同时匹配三个以上关键字过滤的网络发帖行为；

必须支持允许用户浏览帖子但不准发帖功能；

★SSL发帖管理必须支持基于关键字过滤SSL加密的网页、论坛、BBS上的发帖行为；

网页附件管理支持根据文件类型限制http、FTP方式上传、下载行为；

文件外发文件告警支持对HTTP、FTP、Email附件等方式外发文件的识别、报警、过滤等管理

管理措施；

支持根据外发文件类型、关键字等条件的过滤告警，扩展名识别支持基于外发文件的扩展名识别外发文件类型；

无扩展名识别必须能识别删除扩展名的外发文件类型并报警

改扩展名识别必须能识别篡改扩展名的外发文件类型并报警

压缩识别必须能解压压缩文件后再识别内含真实文件类型并报警；

加密识别必须能识别加密文件外发行为并报警；

邮件管理邮件地址过滤支持根据源地址和目的地址过滤外发邮件；

邮件附件过滤支持基于扩展名过滤含指定文件类型的邮件外发行为；

支持识别删除、篡改文件扩展名的邮件附件外发行为并报警；（提供产品界

面截图）；

支持根据附件大小、附件个数限制外发邮件；

邮件关键字过滤过滤同时匹配三个以上关键字的邮件主题、正文和附件的邮件外发行为；Webmail管理必须支持允许用户登录Webmail收邮件，而禁止发送Webmail邮件的功能；

邮件延迟审计支持延迟外发问题邮件，人工审核后再外发的邮件处理机制；

支持根据收件人地址、邮件标题和内容包含关键字、邮件大小、附件个数、

抄送人数等条件设置延迟审计的邮件；

支持当检测到有邮件被延迟审计时，系统自动发送一封通知发送到管理员邮

箱；

SSL邮件管理必须能基于关键字、发件人地址等识别和过滤使用邮件客户端外发SSL加密邮件的行为；

加密Webmail管

理

必须能够基于关键字识别和过滤使用SSL加密的Webmail邮箱外发邮件的

行为，比如gmail；

★加密SMTP邮件

过滤

支持对加密HTTPS、SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客

户端的邮件进行关键字过滤；（提供实际测试效果图）

★加密SMTP、

POP3邮件审计

支持对加密HTTPS、POP3-SSL 、POP3、IMAP 、IMAP-TLS 、IMAP-SSL、

SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客户端邮件内容的审计。

（提供实际测试效果图）

上网权限管理上网时长控制支持统计和控制用户终端每天上网时间，并支持排除应用或特殊端口后的灵活流量统计方法；

时间配额支持对单个用户/用户组设置一天内总上网时长；

并发连接控制支持限制指定用户最大并发连接数；

上网时间提醒用户指定应用上网时长超过预设阈值后，网关自动提醒该用户；

上网流速提醒用户指定应用上网流速超过预设阈值后，网关自动提醒该用户；

策略复用上网策略对象与用户无关联，同一条上网策略可复用、重用；

策略有效期必须支持上网策略对象的自动过期功能；

排除IP 不控制、不监控目标为排除IP的上网行为；

排除域名不控制、不监控目标为排除域名的上网行为；

★上网策略适用多

种对象

（包括上网权限、

上网审计、上网安

上网策略适用对象，适用于以下对象和应用类型

一、用户

1、本地组，

2、安全组，

3、域用户(ou和用户)，

4、域属性，

5、源IP

二、位置

全等上网策略）三、适用终端

四、URL类型控制能够针对：网上购物、成人内容、求职招聘、宗教、在

线影音及下载、游戏资讯、网上聊天、个人网站及博客、色情、赌博、非法

药物、风水命理、娱乐场所、汽车、餐饮、钓鱼及恶意网站、网上银行、在

线支付等各种URL类型做识别和分类，同时所有URL类型都支持区分“网

站浏览”、“文件上传”、“其他上传”、“HTTPS”等细分行为并分别做

权限控制。

（提供产品界面截图）

流量控制带宽管理必须支持在不同线路上，根据不同的应用、用户、用户组来保证或者限制流量；

支持根据百分比或数值设置通道带宽，并支持设置各通道的优先级；

★多线路技术网关必须能同时连接多条外网线路，且支持多条线路流量复用和智能选择流速最快线路的技术(必须提供自主知识产权证明，加盖厂商公章)；

★虚拟多线路必须支持将多条外网线路虚拟映射到设备上，实现对多线路的分别流控；（提供产品界面截图）

父子通道必须支持流量父子通道技术，且至少支持三级父子通道；

★流控通道实时可

视化

能够实时看到各级流控通道的状态：包括所属线路、瞬时速率、通道占用比

例、用户数、保证带宽、最大带宽、优先级，启用状态等。（提供产品界面

截图）

应用流控支持基于应用类型、网站类型和文件类型划分与分配带宽；

★动态流控支持在设置流量策略后，根据整体线路或者某流量通道内的空闲情况，自动启用和停止使用流量控制策略，以提升带宽的高使用率；

空闲值可自定义（提供产品界面截图）

★P2P智能流控支持通过抑制P2P的下行流量，来减缓P2P的上行流量，从而解决网络出口在做流控后仍然压力较大的问题；

单IP限制支持限制单个IP的最大上行和下行带宽；

用户带宽分配支持平均分配、自由竞争等方式实现用户间带宽分配；

★Wan-lan流控支持把每一个外网IP作为通道内的用户，使得通道的用户间公平分配带宽，以及单用户最高带宽属性对外网IP有效；

时间控制支持基于时间段的带宽划分与分配策略；

目标IP流控支持基于访问行为的目标IP/IP组实现带宽划分与分配；

流量配额支持对单个用户/用户组设置日流量、月流量配额功能；

★流控策略适用多

种对象

流控策略适用对象，适用于以下对象：

一、用户

1、本地组，

2、安全组，

3、域用户(ou和用户)，

4、域属性，

5、源IP

二、位置

三、适用终端

四、文件类型：电影、音乐、图片、压缩文件、应用程序等

五、URL类型：新闻门户、网上购物、在线影音及下载、非法及不良、网上

聊天、软件下载等（提供产品界面截图）

上网安全管理★上网安全桌面支持在默认桌面上虚拟出一个新的桌面，在虚拟桌面中上网，在推出安全桌面后，一切还原到干净的默认桌面，防止PC和内网中毒；

支持通过设置安全桌面和默认桌面网络访问权限，实现互联网和内网的内外

网隔离；

支持通过设置安全桌面访问默认桌面目录文件访问权限，防止被动泄密；（提

供产品界面截图）

恶意网址过滤内置恶意网址库，支持对用户访问的URL进行恶意网址匹配和过滤；

★移动终端管理(非法Wi-Fi热点管控) 设备必须支持能自动发现网络中通过无线上网的热点和移动终端的IP和终端类型；

支持管理员配置热点信任列表；

支持发现信任列表外非法接入的热点和终端，并阻止该热点/终端上网；

支持将非法热点接入网络的行为通过邮件告警通知管理员，并在数据中心支持行为记录和查询；

支持以图表方式显示移动终端接入趋势；

（提供产品界面截图）

★协议异常行为必须能识别并封堵内网终端感染木马、间谍软件、黑客远程控制的行为及流量，防止内网感染（提供产品界面截图）；

★危险插件管理必须能识别网页中的插件，并过滤含有恶意插件的网页（必须提供自主知识产权证明，加盖厂商公章）；

★危险脚本管理必须能识别执行脚本的网页，并过滤脚本中隐藏木马等程序的网页；（必须提供自主知识产权证明，加盖厂商公章）；

防范端口扫描必须能识别并封堵端口扫描行为；

防范DOS攻击必须能识别并封堵来自于内网或外网的DOS攻击；

防ARP欺骗必须能防范三层网络环境中的ARP欺骗问题；

★病毒查杀设备必须内置业界知名杀毒引擎；

必须支持HTTP下载、FTP下载、POP3、SMTP杀毒；

支持对HTTP、FTP等下载中启用文件类型杀毒；

病毒库支持通过服务器或本地加载病毒库方式定期升级；

防火墙必须具有防火墙功能模块；

上网行为审计网站审计支持记录全部或者指定类别URL、网页标题等信息；

网页审计必须能审计记录网页正文内容；

必须支持只记录含有指定关键字的网页正文内容；

必须支持记录SSL加密网页的内容；

审计分权限支持对网页过滤和网页审计分开控制；

支持审计指定类型的URL，其他URL类型不予审计，以提高审计效率；

支持在审计时，将行为与内容分离，即可分别设置只审计用户行为还是审计

内容；

发帖审计支持审计用户的明文发帖内容；

必须能审计用户在SSL加密论坛、BBS上的发帖内容；

★网页快照支持网页内容审计后的网页快照功能；

Webmail审计支持审计用户的Webmail邮件外发行为，支持webmail形式发送的附件审计，并能精准到原始邮件；

必须能审计用户通过SSL加密Webmail网站外发邮件的内容；

邮件审计支持审计用户外发Email邮件的正文及附件；

必须能审计用户使用邮件客户端外发SSL加密邮件的邮件内容；

文件外发审计支持审计用户通过HTTP、FTP、Email当方式外发的文件内容；

必须能审计记录无后缀名的文件外发行为；

必须能审计记录篡改后缀名的文件外发行为；

必须能将压缩包解压后识别文件类型并记录；

必须能对加密文件外发行为识别并记录；

Web IM 审计记录Web qq、mini qq、Web msn、qq mail等Web IM 的聊天内容、登陆和注销行为，且不需要安装插件；

审计用户通过iphone/ipad登陆web IM 聊天行为和内容；

IM审计支持记录QQ、MSN、skype、飞信、雅虎通等IM聊天行为和内容；

支持用户离线情况下审计IM聊天行为和内容；

支持根据QQ、MSN账号查询IM聊天行为和内容；

IM 传文件内容审计记录QQ、MSN传文件动作和所传文件内容，并可指定记录传文件类型和文件长度；

支持同时审计QQ聊天内容和QQ传文件内容。

微博审计支持对新浪微博、腾讯微博、搜狐微博、网易微博、百度说吧、凤凰微博、饭否、嘀咕网、天涯微博、轻微博行为和内容的审计；

支持对以上十大微博上传附件行为和附件内容的审计；

支持微博关键字排行、热门关键字用户排行；

支持通过iphone、ipad、android、symbian等手机终端发送微博的行为

和内容的审计；

移动APP审计支持以下类型的移动APP内容审计：

论坛类（IOS和android）：天涯社区、猫扑社区、百度贴吧、新浪论坛、

搜狐社区等

微博类（IOS和android）:新浪微博，腾讯微博

新闻评论类（IOS和android）：腾讯新闻、网易新闻、搜狐新闻、新浪新

闻

金融类应用内容审计支持对阿里旺旺、万德（Wind）、路透等应用的聊天，群聊天等内容的审计。

FTP审计支持审计通过FTP上传的文件名和内容；

支持审计通过FTP下载的文件名；

TELNET审计支持审计TELNET执行的命令；

应用审计审计用户使用P2P、流媒体、炒股、网络游戏、FTP、Telnet等应用行为；时间审计记录用户在指定时间段内的总上网时间；

记录用户在指定时间段内使用指定应用的总时长；

流量审计支持统计在指定时间段内网络应用流量产生的总流量；

记录用户在指定时间段内使用指定应用的总流量；

危险行为审计必须能审计木马、病毒、恶意脚本和插件、端口扫描等危险行为；

★Wan-lan审计必须能审计来自外网访问内网站的行为；

必须能审计来自外网在内网服务器下载上传文件的行为；

必须能审计来自外网在内网服务器发帖的行为；

必须能审计来自外网从内网服务器上收发邮件的行为；

其他行为审计支持记录其他网络行为，包括IP、端口等信息；

系统日志审计支持审计管理员的操作日志、系统日志等；

★免审计Key 支持指定用户以USB-Key硬件方式免审计的功能；

免审计IP 免除审计目标为指定IP的上网行为；

免审计域名免除审计目标为指定域名的上网行为；

上网日志管理★数据中心设备必须支持内置数据中心和独立数据中心（提供产品界面截图）；

★高性能日志模式支持日志高性能模式处理，精简冗余日志（提供产品界面截图）；

外置数据中心支持

服务器虚拟化

提供自有品牌的免费服务器虚拟化产品与外置DC联动，服务器虚拟化能够

根据实际用户和流量规模合理分配硬件资源，保障最优资源分配。同时，外

置DC能够与服务器虚拟化底层联动，优化磁盘读写，提高查询速度。

日志分级审查管理员登录数据中心只能审计指定用户组的上网行为日志；

★日志审查Key 必须支持以USB-Key方式验证接入数据中心的管理员身份；

支持以USB-Key方式分配管理员的日志审计权限；

统计报表支持自定义统计指定IP/用户组/用户/应用在指定时间段内的上网行为/上网流量/上网时间并形成报表；

趋势报表支持自定义统计指定IP/用户组/用户/应用在指定时间段内的上网行为趋势/上网流量趋势形成报表；

汇总报表支持将指定时间段、指定应用的流量、行为、用户访问分布等汇总并输出报表；

汇总对比报表必须支持将所有用户/用户组/IP的所有上网行为的统计/流量/趋势等与前一天/前一周/前一月对比并输出报表；

指定对比报表必须支持将指定用户/用户组/IP的指定上网行为的统计/流量/趋势等与前一天/前一周/前一月对比并输出报表；

日志删除支持同时启用按天删除和按百分比删除日志；

病毒信息统计必须支持将内网可能中毒的用户进行统计排行和报表输出，支持按照行为次数和用户数的排行统计各新增病毒名称，支持根据病毒、恶意脚本、恶意插

件信息统计新增恶意URL排行；

关键字排行必须支持对搜索关键字排行并输出报表；

必须支持对网络发贴关键字排行并输出报表；

必须支持对含有指定关键字行为的用户排行；

热帖排行必须支持对指定时间段内网络热帖进行统计和排行；

热门论坛排行支持热门论坛排行，方便统计内网用户参与热门讨论，支持论坛地址和行为数的链接查询；

外发文件用户排行支持外发文件用户排行，统计某组内用户常规文件、加密文件和多重压缩的告警；

外发文件排行支持按照传输方式和文件类型统计外发文件，支持按照常规文件、加密文件和多重压缩的告警选项统计；

网站时长排行必须能够根据被访问时长对网站进行统计排行和报表输出；

★手机活跃用户排

行

支持根据手机号导出短信认证的用户，并根据手机用户活跃情况进行排行；

★危险行为报表必须支持对终端发生的危险行为(木马、间谍软件、垃圾邮件发送)进行统计和报表输出（提供产品界面截图）；

文件外发报表必须能统计并输出含有篡改/删除扩展名、压缩/加密后外发文件行为的报表；★风险智能报表必须能根据管理者自定义的风险行为特征自动挖掘并输出离职风险、泄密风险、安全风险、工作效率风险、法律风险智能报表（提供产品界面截图）；流速趋势报表必须支持将指定时间段内、指定用户组/用户/应用的上网流速以条带叠加图的形式直观显示；

上网行为趋势必须支持将指定时间段内用户行为趋势、用户组行为趋势、应用行为趋势以曲线图的形式直观显示；

报表订阅支持将统计/趋势/查询等报表自动发送到指定邮箱；

报表导出支持导出统计/趋势/查询等报表，包括Excel、PDF等格式；

内容检索必须支持基于五个以上关键字对行为日志检索定位的功能；

必须支持对日志中OFFICE等附件正文内容关键字的检索；

主题订阅必须支持将含五个以上关键字的日志检索结果自动周期性发送到指定邮箱；

企业公司如何加强管理员工的上网行为

企业公司如何加强管理员工的上网行为 在企业里面加强员工上网管理、控制局域网上网行为似乎已经成为世界范围内企业的共同作法。员工随意上网、上班时间玩游戏、上网看视频、浏览色情网站、进行P2P下载、访问社交网站，甚至是自己开设网店、上班时间赚外块的现象越发普遍。这种随意上网的行为已经严重影响了员工的工作效率，同时也大量消耗着单位的网络带宽。最危险的是：员工随意上网还可能通过聊天软件、邮件、上网发帖留言等有意或无意泄露公司的商业机密，从而给公司带来巨大的风险和损失。为此，企业监控员工上网、控制员工网络行为，已经成为大势所趋。在欧美各国也同样如此。 随着各大公司开始整顿员工的上网情况，可能会出现更多因此而失业的职员。 为了防止员工染上不良上网习惯，包括一些大公司已决定不再让一些员工拥有在办公室自由上网的机会，给其安装了网络监控，甚至撤走了他们的电脑和调制解调器。 监控员工上网事实上重要的不是窥探员工的工作隐私，而是从企业的角度和员工一起保障整个办公网络的安全。例如现在很多企业集团都购置万任UniERM网络流量综合管理系统这样的企业网络设备，来加强对企业自身网络的管理和保护。 在中国企业内部加强局域网网络控制、监控员工上班时间的上网行为，已经成为通行的作法。但是，国内企业由于其宽度环境、员工上网内容、国内互联网应用的不同等因素，使得国内企业的员工上网行为呈现出与国外企业不尽相同的一些方面。但是总体，而言，国内企业对控制员工电脑使用、监控员工上网痕迹、记录上网日志的着眼点主要基于以下几个方面：禁止员工P2P下载(尤其是禁止迅雷下载)、限制QQ聊天(包括禁止QQ游戏、限制QQ 文件发送)、禁止上网玩游戏(禁止电脑游戏软件、屏蔽网页游戏)、禁止上网炒股、限制带宽流量(控制下载速度、监控电脑流量)等，在一些涉及商业机密的企业，还可能需要监控邮件内容、监控聊天内容、监控FTP传输、禁止QQ发文件等，从而更好地保护单位商业机密。 企业网络安全管理设备可以有效保护企业网络安全，还具有上网行为管理功能，例如万任UniERM网络流量综合管理系统可以有效禁止P2P下载、限制聊天软件、监控炒股软件、禁止玩电脑游戏、限制访问视频网站、禁止上班看视频、控制电脑网速、监控局域网流量等。其中，在禁止电脑P2P下载方面，同时，万任UniERM上网行为管理设备可以实时显示、控制局域网电脑网速，并且可以监控上行网速和控制下载网速，从而更能精确区分网络应用，达到合理规范控制局域网网速的目的。 万任上网行为综合管理产品。在员工上网行为管理、网络安全等方面为客户提供完整的解决方案。能够有效的规范员工上网行为、保障单位内部信息安全、防止带宽资源滥用、防

深信服上网行为管理-管理员手册v1.0

深信服上网行为管理-管理员手册 深信服电子科技有限公司

■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录 第1章前言 ..................................................................................................................... 错误!未定义书签。第2章系统管理 ............................................................................................................. 错误!未定义书签。 设备登录 ............................................................................................................... 错误!未定义书签。 管理员配置............................................................................................................ 错误!未定义书签。 修改管理员密码............................................................................................ 错误!未定义书签。 创建二级管理员............................................................................................ 错误!未定义书签。 系统基本信息配置................................................................................................ 错误!未定义书签。 序列号............................................................................................................ 错误!未定义书签。 系统时间........................................................................................................ 错误!未定义书签。 规则库升级.................................................................................................... 错误!未定义书签。 全局排除地址................................................................................................ 错误!未定义书签。 设备配置备份与恢复.................................................................................... 错误!未定义书签。 WEBUI选项 .................................................................................................... 错误!未定义书签。 远程维护........................................................................................................ 错误!未定义书签。第3章网络配置 ............................................................................................................. 错误!未定义书签。 部署模式 ............................................................................................................... 错误!未定义书签。 静态路由 ............................................................................................................... 错误!未定义书签。第4章策略管理 ............................................................................................................. 错误!未定义书签。 用户认证与管理.................................................................................................... 错误!未定义书签。 用户组管理.................................................................................................... 错误!未定义书签。 认证策略........................................................................................................ 错误!未定义书签。 不需要认证.................................................................................................... 错误!未定义书签。 IP/MAC绑定 ................................................................................................... 错误!未定义书签。 不允许认证.................................................................................................... 错误!未定义书签。 策略管理 ............................................................................................................... 错误!未定义书签。 购物娱乐类网站............................................................................................ 错误!未定义书签。 P2P及P2P流媒体封堵 ................................................................................... 错误!未定义书签。 外发文件封堵................................................................................................ 错误!未定义书签。 上网审计........................................................................................................ 错误!未定义书签。 流量管理 ............................................................................................................... 错误!未定义书签。 线路带宽配置................................................................................................ 错误!未定义书签。 保证通道........................................................................................................ 错误!未定义书签。 限制通道........................................................................................................ 错误!未定义书签。 终端接入管理........................................................................................................ 错误!未定义书签。 共享接入管理................................................................................................ 错误!未定义书签。第5章日志中心管理...................................................................................................... 错误!未定义书签。 日志中心配置........................................................................................................ 错误!未定义书签。 准备工作........................................................................................................ 错误!未定义书签。 外置日志中心安装过程................................................................................ 错误!未定义书签。 日志中心登录................................................................................................ 错误!未定义书签。 同步策略设置................................................................................................ 错误!未定义书签。 AC同步配置 ................................................................................................... 错误!未定义书签。 日志中心登录........................................................................................................ 错误!未定义书签。 内置日志中心登录........................................................................................ 错误!未定义书签。 外置日志中心登录........................................................................................ 错误!未定义书签。 日志查询 ............................................................................................................... 错误!未定义书签。 所有行为日志................................................................................................ 错误!未定义书签。 网站访问日志................................................................................................ 错误!未定义书签。 邮件收发日志................................................................................................ 错误!未定义书签。

上网行为管理解决方案

深信服上网行为管理 解决方案 深信服科技有限公司 2014年5月5日 目录

一、项目概况 随着信息技术的快速发展，网络应用更新换代频繁，新兴应用不断涌现。互联网在给生活和工作带来便捷的同时也对上网行为审计带来了新的挑战。随着互联网的普及，单位业务几乎都依托于互联网进行。ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施，共同构成业务信息化平台。但是在内部网络中，除了这些关键业务系统外，还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用，形成了复杂的网络应用“脉络”。 由于单位职工拥有访问互联网的全部权限，在日常工作中对职工的上网行为难以实行有效管理。一些职工上班时间玩游戏、看网络视频、长时间进行I聊天，不仅违反了《公务员管理条例》，而且挤占有限的带宽资源，造成大量基于网络的办公应用受到影响，极大地降低了办公效率；同时无法管控的信息渠道可能导致机密信息的泄漏，导致内部局域网感染病毒而瘫痪。如果工作人员通过QQ、MSN、论坛、微博等方式对外发布了包含、色情、赌博、反动等不良信息单位或个人还将承担法律责任。 在复杂的互联网环境下，如何管理好单位内部职工的日常上网行为呢？深信服上网行为管理系统（以下简称AC）将彻底解决这些问题。 二、深信服上网行为管理产品介绍 深信服上网行为管理产品可以阻止人员访问无关的网络，杜绝带宽资源滥用，加快上网速率，提升工作效率；记录上网轨迹，管控外

发信息，规避泄密和法规风险；防止PC中毒，防止组织机密外泄，保障内部数据安全；智能数据分析提供可视化报表和详细报告，为网络管理和优化提供决策依据。可以帮助用户管理员工使用互联网行为的管理，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。 深信服是上网行为管理产品品类的创始者，在2005年最早开创了上网行为管理的市场；深信服上网行为管理获得了多项产品专利技术和媒体奖项，已服务于1万多多家客户，受到了市场的一致认可；自2009年以来在其市场占有率一直排在第一的位置。 三、具体功能介绍 （一）对内网具有安全防控功能 深信服上网行为管理在提高用户的上网安全方面提供了大量的 技术保证。既能保障AC网关自身的稳定可靠，又能提升组织内网的可用性和安全性。 一是，可以过滤恶意网页，防范恶意攻击。AC内置了庞大的恶意网址库，并且实时更新。它通过检测恶意脚本的写注册表、写文件、系统调用等危险行为，以此过滤恶意脚本。独有专利根据插件签名合法性、有效期、插件名称等校验来自网站的插件并过滤，避免无安全防护的终端染毒、被劫持，提升内网安全。二是，可以监测出异常

上网行为管理技术方案4.doc

上网行为管理技术方案4 （1）项目目标 建立信息安全等级保护体系，增强网络接入准入认证，对上网行为进行管理。增强网络及电脑等终端设备安全性，防止信息泄露，病毒感染。 为了实现实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能、配置、安全等管理功能，不仅实现功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。对于设备数量较多、分布地域较广并且又相对较为集中的网络，故需要一套管理平台提供分级管理的功能，有利于对整个网络进行清晰分权管理和负载分担。管理平台除了涵盖网络管理功能外，还是其他业务管理组件的承载平台，共同实现了管理的深入融合联动。 可以帮助组织管理者透彻了解组织当前、历史带宽资源使用情况，并据此制定带宽管理策略，验证策略有效性。不但可以在工作时间保障核心用户、核心业务所需带宽，限制无关业务对资源的占用，亦可以在带宽空闲时实现动态分配，以实现资源的充分利用。基于不同时间段、不同对象、不同应用的管道式流控，能有效保障用户的上网体验，保障网络的稳定性。 互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为，而如果又没有证据，无法找到直接责任人，IT部门将成为该事件压力的承担者。本项目

需要事先帮助管理员实现基于内容的外发信息过滤，管控文件、邮件发送行为，对网络中的异常流量、用户异常行为及时发起告警，更有数据中心保留相关日志，风险智能报表发现潜在的泄密用户，实现“事前预防、事发拦截、事后追查”。 并保证安全可靠，保证环保及其他上传数据安全稳定运行，不会因此系统原因造成中断。 （2）项目范围 本次招标范围限于***************。 本项目建设范围主要是对网络管理涉及软件、硬件进行选型及采购、硬件上架调试及验收、数据整理、实施配置、最终验收。 投标方的主要工作范围如下： 1.硬件设备安装调试 1)负责信息设备的拆箱及上架工作。 2)负责项目内所包含信息设备的机柜、设备之间的供电、信号、通讯电缆的铺设实施工作。 3)负责网络设备的配置调试工作，达到可以正常稳定运行条件。 4)负责项目的具体实施工作。 2.实施测试 1) 负责网络设备及网络使用等相关配置和故障测试等工

公司上网行为管理规范

员工上网行为管理规范 为有助于大家合理利用工作时间，高效率地完成各项工作目标，更好地营造积极向上的工作氛围，提高公司的网络资源使用率，在不影响大家正常工作的前提下，特制定本制度。 一、应用范围： 1、本制度适用于公司所有员工。 2、工作时间（8：30-12：00；13：15-17：45）必须遵守本制度。 3、下班时间公司上网行为必须遵守国家相关法规，不做有损他人以及团体利益的事情。 二、员工上网行为规范: 1、上班时间在公司禁止玩电脑游戏、炒股、看电影等娱乐综艺视频、看小说、网购、买彩票等。 2、禁止安装与工作无关的任何软件。 禁止在工作时间安装软件一览(请仔细阅读) 禁止安装软件名称危害:1.占用带宽2.限制别人电脑网速,从而加快自己速度. 3.整天乱下载,部分下载的东西捆绑病 毒,入侵及传播网内其他的电脑,影响网速4.乱打开不良网页,中毒5.应用软件没及时打上漏洞补丁,导致系统中毒 P2P 、网路岗、聚生网管、网络执法官等限速软件采用多线程下载软件，如:迅雷、快车、网络蚂蚁、风行、QOVDPLAY 等P2P 多线程播放电视电影、音乐软件，如:皮皮、QQ 影音、P2P 网络电视、PPTV 、PPS 、迅雷等多线程在线音乐软件:如酷狗、QQ 音乐 软件等. 在线炒股软件、游戏客户端软件、挂机 练级、外挂软件 3、不得在上班时间下载与工作无关的文件和图片，如MP3、小说、电子影像文件等。 4、上班时间禁止利用电脑从事与工作无关的事或处理个人事 务。

5、严禁公司员工私自接入无线设备（无线路由器、无线网 卡……）来盗取公司网络资源。【安装无线路由器经人事行政部、总经理批准方可安装】 6、任何时间，员工不得将公司机密，包括计划、经营数据、业务资料、技术资料等通过网络或其他途径透露给他人，一经查明，公司将追究其责任。 7、提倡利用网络了解时事、学习业务、提高技能。 三、解决方案及处罚规定： 1、公司将通过上网行为管理路由器来规范员工上网行为，提高网络资源使用率和员工工作效率，做到尽可能去避免上网行为给公司带来的损失。 2、如发现违规行为，将予以处罚：首次警告，第二次罚标准金额的20%（即10元），【20%标准不明确】第三次起罚标准金额（即50元）。 做出以上规定的根本目的在于规范工作行为，提高正常工作效率，减少网络安全隐患，请各部门支持并执行。

企业上网行为管理解决方案4.doc

企业上网行为管理解决方案4 问题描述 利用公司宽带下载影响办公、上班时间娱乐、网络设备老旧，这些是企业网络经常面临的问题，然而有限的预算能否解决这些问题呢？ 1、P2P应用泛滥，网络拥堵 企业网的带宽资源通常都比较紧张，即使条件非常好的企业也时常遇到网络拥堵的问题。有80人的企业，仅仅使用2M专线接入，加上网内使用P2P下载的人数很多，连开网页都非常困难。 2、网络娱乐降低工作效率 企业对于员工在工作时间玩游戏非常头疼，诸如，QQ农场，MSN游戏平台，导致工作效率低下，但是又不能对QQ、MSN 等即时通信工具作出限制，因此公司需对员工的上网行为进行精确的控制。 3、行政管理手段引起员工情绪不满 针对以上问题，企业会制定上网行为规范，强制执行约束员工的上网行为。但大多数情况是，不仅没有有效地控制员工的上网行为，反而引起员工的情绪不满。对此，管理人员头疼不已，单一的管理手段，无法解决问题。 4、网络设备老旧，产生种种问题

一些廉价的网络设备在使用一段时间以后，便不能满足企业需要了，比如有些企业防火墙不支持第七层的协议分析，有些企业路由器支持并发连接数有限等等。如果有基于第七层网络流量控制的设备，则可以对以上旧设备进行保护，延长其使用寿命，从而降低成本。 解决方案 1、全局划分，控制P2P 网络掌门其流控功能可以有效控制P2P等应用层协议，把P2P应用限制到一定的带宽范围内，并将其他各项网络应用做了一个合理的流量划分，保障浏览网页、收发邮件等关键应用的顺利开展。划分过程中，研发基地在国内、拥有全部自主知识产权的网络掌门对于本土协议97%的识别率优势尽显，网络掌门能对需要解密的协议予以破解，对无需解密的，根据其流量特性模糊识别，合理分类，从而确保带宽划分可靠且实用。 2、通过流控实现对上网行为的管理 网络掌门可以识别HTTP协议，同时对各种网络应用协议的也能够实现精确识别。针对员工的不良上网行为，网络掌门可以对不允许使用的网络协议进行限制，比如在保证QQ、MSN即时通讯工具应用流畅的同时，对QQ网页游戏、MSN游戏平台等应用作出限制。而且，根据每个用户或用户组的不同情况，应用不同的控制策略，精细灵活。 3、可自定义的警告页面 当用户打开这些受限制的应用的时候，桌面将会弹出警告页

上网行为管理方案建议书

上网行为管理方案建议书 一、引言 根据Dynamic Markets Limited对全球办公室上网情况的调查：在上班时间，中国员工每周比其他国家的员工多花7.6小时来使用即时通讯(Instant Messenger)工具、玩游戏、P2P下载或在线媒体。中国员工上网下载音乐的时间比拉美国家高16%，进入聊天室和玩在线游戏花费的时间分别比其他国家高约8%和12%。在互联网发达的印度，只有26% 员工在工作场合浏览个人信件，而在中国，这个数字则是60%！ 办公网中的办公效率问题 日益发达的互联网让员工有了更多的选择，网上聊天、网上购物、在线视频、论坛灌水、BT电影……上班时间，员工很难不受众多网络娱乐的诱惑，大家在或多或少地利用工作时间进行非业务操作。以上行为实实在在地存在于我们的办公网中。事实上，我们很多企业员工打开电脑的第一件事便是开迅雷，下载电影、视频、游戏；也有为数不少的员工痴迷股海，一心扑在大盘上面；而我们的员工在在线视频、在线小游戏、娱乐网站、热门论坛上花费的时间更是惊人。凡此种种，无不给我们有限的带宽资源带来了巨大的流量压力，给员工的办公效率打了一个大大的问号。 二、上网行为管理解决方案介绍——合理封堵非业务网络应用 随着现代企业管理理念和信息技术水平的提升，如何有效管理与利用互联网资源，这已成为现代企业管理的重要衡量标准。与此同时，上网行为管理的理念愈发深入人心，提升员工网络业务的办公效率，这已经成为企业IT管理者关心的首要问题。

如上图，企业通过以网关、网桥、或旁路模式部署上网行为管理设备，可以有效对内网员工的各种网络应用行为进行管理。上班时间，封掉影响业务效率的非业务应用及相关网站；对挤占公司带宽资源的应用进行流量控制，确保主流的办公应用带宽资源，以提高业务应用的办公效率……具体而言，上网行为管理系统封堵非业务网络应用解决方案，将给我们带来下述价值： 1、全方位封堵p2p ，确保正常办公业务带宽 P2P应用给用户带来了前所未有的速度体验与资源共享，但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题，其所带来的负作用日渐凸显。鉴于此，上网行为管理设备通过检测网络软件数据包特征码，可以对常用软件进行彻底封堵，包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的P2P软件，上网行为管理系统独有的网络行为智能分析技术使其同样难逃法网。 有些部门和领导因业务需要使用P2P，在全面封堵的同时，上网行为管理设备还可以提供P2P流控功能，即允许指定用户使用P2P，但对其占用的带宽进行控制。对不同用户，按时间段进行P2P应用封堵、带宽分配与流量控制，上网行为管理设备可有效平衡公司内部架构要求、提升核心业务办公效率。 2、针对性应用管控，对事张驰有度 现在，网络应用不断推陈出新，IT管理人员难以及时收集网络及软件版本，并制定相应管理策略；他们即使花费了大量的精力实现了收集工作，也很难实现对其全面的识别和管理。 为此，上网行为管理系统针对不断更新的网络应用软件来收集软件类型与版本，不断更新自己的应用规则识别库。

上网行为管理制度

通程泛华网络信息管理制度 目的: 为加强公司网络管理，规范员工上网行为、提高工作效率，进行控制上网流量；合理分配带宽，提升网络资源利用率，保障公司信息安全，防范网络风险。 特制定下列管理办法： 一、计算机，网络设备与使用者管理 1.1严格落实办公计算机、IP 地址、电脑账号使用人负责制。 按照“一机一址、谁使用谁负责”的原则，登记计算机信息、IP 地址、电脑账号。登记人使用该计算机、IP 地址、电脑账号的直接责任人，对该计算机和IP 地址、电脑账号的信息安全、网络行为负责。使用人发生变动后报网络信息部进行信息修改及更新。 1.2责任人不得擅自拆卸、改变计算机内部配件。 不得修改计算机的软硬件设置、IP地址、DNS等。严格禁止盗用他人计算机、IP地址、电脑账号、0A等各类信息系统的登录账号，否则，一经查出，罚款50 元。进入公司文化建设基金。 1.3严禁私拉网线，严禁私用路由器及所有影响网络正常运行的设备。 网络资源、IP 地址、电脑账号由网络信息部统一分配，严禁私拉网线，严禁私用路由器及所有影响网络正常运行的设备。如因办公需要增加路由器等设备，需在向网络部信息部报备，填写设备申请单。 1.4保护计算机及周边设备，不要在计算机及周边设备旁摆放有碍计算机 散热的物品，以免损伤，烧毁计算机。使用者每隔一季度须自行 清理计算机灰尘一次。保持计算机及周边设备的卫生清洁，减少灰尘二、网络信息访问管理

2.1 上网权限与分配 为了有限管理公司网络安全和保密文件，对于特定电脑进行禁止上网规范。对于申请开网和临时开网需通过网络申请表，申请审批过方可开通上网权限。网络信息部负责对公司电脑用户上网行为通过防火墙进行控制，对公司内部网络环境进行监控。主要包括访问网站、即时通讯、P2P行为、流媒体软件等。以规范员工的网络权限。 22禁止安装和使用非公司指定即时通信工具，如yy、pp、MSN ICQ Skype、UC和POPO等。如果有特定业务需求，须向网络信息部申请安装，禁止私自安装。 2.3禁止利用公司网络，访问BBS博客和网络游戏，如QQ游戏、等游戏。 2.4禁止利用公司网络，发布、浏览或散播娱乐、购物、反动、邪 教、色情、赌博、交友、证券和暴力等一切与工作无关的网络信息。 2.5禁止浏览在线视频，如优酷、土豆、PPLive 和Qiyi 等。 2.6 禁止使用在线炒股软件、游戏客户端软件、挂机练级、外挂软件 2.7 禁止在网上下载破解软件、辅助外挂等软件 三、网络流量管理 3.1禁止安装和使用P2P 及其它影响网速的上传下载软件，如BT、

上网行为管理_深信服上网行为管理解决方案模版

上网行为管理方案建议书

目录 第1章需求概述 (1) 1.1 背景介绍 (1) 1.2 上网行为管理需求 (1) 1.2.1 用户和终端多样化，管理复杂 (1) 1.2.2 应用和内容不可视，存在风险 (2) 1.2.3 网络流量识不全，控不住 (3) 第2章可视可控、感知风险的上网管理方案 (5) 2.1 全面的上网可视可控 (5) 2.2 用户的可视与可控 (5) 2.2.1 安全便捷的身份识别 (6) 2.2.2 安全可视的用户管理 (7) 2.3 行为的可视与可控 (8) 2.3.1 全面精准的应用识别 (8) 2.3.2 应用标签化管控 (8) 2.3.3 灵活细致的权限控制 (8) 2.3.4 非法的内容识别与管控 (9) 2.3.5 全面完整的行为审计 (10) 2.4 流量的可视与可控 (16) 2.4.1 网络流量可视化 (16) 2.4.2 合理有效的流量控制 (17) 第3章方案优势 (20) 3.1 全面完整 (20) 3.2 细致精准 (20) 3.3 灵活有效 (20) 3.4 简单便捷 (21) -2-

第1章需求概述 1.1背景介绍 随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变： ?网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务； ?沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟 通和交流，提升工作效率，获取资讯和知识，维系人脉关系； ?移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统， 员工更喜欢通过WLAN、移动终端类开展工作； ?新的法规要求：2017年6月1日，网络安全法正式推出，其中对组织明 确提出上网行为审计的要求，并且要求至少留存上网日志6个月。 因此，在员工的日常工作中，#XX客户#需要针对互联网出口平台的如下上 网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。 1.2上网行为管理需求 互联网已经成为重要的生产资料，越来越多组织的业务在向互联网迁移，然而互联网却是一把“双刃剑”，管理得好可以让办公效率大增，促进业务的发展；而缺乏管理的互联网将带来诸多问题，不仅降低工作效率，还给组织带来各种业务风险。 而且互联网也在不断发生变化，从最早使用PC、有线局域网，到更多使用 移动终端、WLAN来进行办公，从早期的网页、PC应用，到移动APP的广泛发展，愈加复杂的上网环境，“看不见管不住”，使得上网管理困难重重。由于互联网应用的多样化，一些看似正常的上网行为，也可能隐藏着巨大的风险。 1.2.1用户和终端多样化，管理复杂 1.2.1.1BYOD上网难管理 随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通

员工上网行为管理规定

欧意德动力集团文件欧意德动力[ 2009 ]1221号签发人：梁嘉迅 关于发布办公室各项管理制度及流程的通知 各单位： 为规范办公室各项管理工作，提高办公室工作效率，特制定并发布办公室各项管理制度及流程，详见附件。 附件： 《档案管理制度》、《车辆管理制度》、《员工胸卡管理规定》、《员工上网行为管理规定》、《接待管理制度》、《卫生管理制度》、《办公用品管理规定》、《欧意德动力集团会议管理制度》、《欧意德动力集团发文审批流程》、《欧意德动力集团EMS 发件审批流程》、《欧意德动力集团宴请审批流程》、《欧意德动力集团突发事件报告处理流程》 二〇〇九年十二月二十九日 主题词：发布 制度 流程 通知 主 送：华泰汽车控股集团董事长、总裁；欧意德动力集团总裁、副总裁、总监、总裁助理 抄 送：华泰汽车控股集团董事长办公室、集团办公室；欧意德动力集团销售公司市场开发部、应用工程部、客户服务部、综合管理部；发动机研发中心产品开发部、 技术管理部、试验标定部、综合管理部；变速箱研发中心产品开发部、试验标 定部、技术管理部；质量部、计量室；工艺技术部；生产管理部、设备动力部、 总装车间、机加车间、变速箱车间、采购部；人力资源部、办公室；经营管理 部、财务部 发 文：办公室 拟稿：赵雪丽 共96页 存档：1份 共35份

员工上网行为管理规定 OED/GZ/1.0/BG-007/2009 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1 目的 为了规范欧意德动力集团（以下简称集团）员工上网行为，维护正常的网络办公秩序，特制定本管理规定。 2 适用范围 本规则适用于欧意德动力集团所属各单位、各部门。 3 规范性引用文件 《OED动力集团员工奖惩制度（试行）》 《OED动力集团员工行为规范管理制度》 4 上网权限申请范围 4.1 副经理及以上级别员工(包括总裁助理．高级技术经理等职位)可直接开通上网权限；副经理级以下级别员工因工作需要，需申请开通上网权限者，须由所在部门领导提出申请，经批准后方可开通。 4.2 人力资源部门负责招聘的岗位需要上互联网发布和查看简历，需要用MSN,QQ 等聊天工具和应聘者沟通，可申请批准开通上网权限。 4.3 财务部门网上报税岗位可申请批准开通上网权限。 4.4 采购部门需要利用互联网查询产品信息，可申请批准开通上网权限。 4.5 各部门领导应根据部门内各岗位职责，严格控制互联网访问权限，工作内容与 批准日期：2009-12-29 实施日期：2009-12-29 第 1 页共4页OED/GZ/1.0/JG-001/2009

上网行为管理规范

上网行为管理规范 第一章、总则： 为了规范上网行为，维护网络安全，提高工作效率，充分发挥网络信息服务于工作需要的重要作用，结合我公司实际，特制定本规定。 第二章、范围： 第三章、内容： 第一条所有用户不得通过网络制作、复制、查阅和传播下列信息： （1）、煽动抗拒、破坏宪法和法律、行政法规实施的； （2）、煽动颠覆国家政权、推翻社会主义制度的； （3）、煽动分裂国家，破坏国家统一的； （4）、煽动民族仇恨，民族歧视、破坏民族团结的； （（5））、捏造或歪曲事实，散布谣言，扰乱社会秩序的； （6）、宣传封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的； （7）、公然侮辱他人或者捏造事实诽谤他人的； （8）、损害国家机关或本公司信誉的； （9）、其他违反宪法和法律、行政法规的。 第二条严禁通过网络共享和泄露公司机密，如：经营数据、业务资料、技术资料等； 第三条上网行为规定： （1）、不得在上班时间浏览与工作无关的网站，如：新闻娱乐类网站、购物类网站、视频网站、BBS、博客等，如确有工作需要查阅相关信息，必须提前以书面申请形式，告知公司IT部门，IT部门做好记录及监督； （2）、不得在上班时间利用QQ等即时通讯工具进行与工作无关的网络聊天； （3）、不得安装一切与工作无关的软件，不得在上班期间利用电脑进行涉及私人事务的活动，如:炒股、网上购物等，除工作原因的网上购物除外； （4）、禁止在公司办公电脑上安装、运行各类游戏软件，在公司任何时间禁止进行各种形式的电脑游戏、看电影或者听音乐等活动； （5）、一切流媒体网站如：土豆网、博客网、优酷网等一律禁止访问； （6）、；严禁利用迅雷、BT、电驴等基于P（2）P协议的下载工具下载与工作无关的资料，员工私自下载安装软件将视为违反公司规章制度，公司将根据造成的后果不同

深信服上网行为管理产品功能

深信服上网行为管理 主要作用： 能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为 封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P应用 杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等 独特的敏感内容拦截和安全审计功能，防止机密泄露 全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表 再辅以SANGFOR M5X00-AC的其他安全扩展功能，全方位保障您的网络安全 通过采用SANGFOR M5X00-AC上网行为管理解决方案，可以保障组织管理者实现完善的网络访问行为管控和行为审计，并达到如下效果： 1.规范员工上网行为（如禁止上班时间QQ聊天、炒股、网络游戏等），提升工作效率 上班时间从事私人活动，是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。而通过SANGFOR AC可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。 2.流量控制、带宽管理，提升带宽利用率 对严重吞噬带宽的P2P行为，SANGFOR AC不仅能彻底封堵，还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分，结合智能QoS，既保证了业务应用对带宽的需求，又避免了对带宽的滥用，提升带宽使用效率。 3.修补安全漏洞、提升内网安全级别 色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网，SANGFOR AC将过滤该行为，并提供网关杀毒功能从源头消除威胁；源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户，SANGFOR AC亦能侦测发现，从而修复内网安全短板。 4.防范信息机密外泄、保护组织信息资产安全 员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手，SANGFOR AC特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员工的网络发帖、webmail行为，SANGFOR AC同样可以过滤和记录；而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计，将警示通过IM聊天工具泄密的行为。 5.规范员工网络行为、避免法律风险 员工利用组织的Internet连接，访问反动、邪教等不良网站，发表非法言论，收集和发布色情图片等非法网络活动，将导致组织违反法律法规、承受法律诉讼等。SANGFOR AC上网行为管理设备可以管控和过滤员工的此类行为，并详细记录和审计员工的各种网络行为日志，做到有据可查，使组织避免法律风险。

上网行为管理解决方案-1(详细版)

XX公司 上网行为管理解决方案 XXXXXXXXXXX有限公司 2020年

目录 目录 (2) 一、XX介绍 (4) 1.1公司简介 (4) 1.2产品简介 (4) 1.3资质认证 (5) 1.4产品荣誉 (5) 二、上网行为管理– XX行业信息安全新视角 (5) 2.1XX行业信息安全建设面临的问题 (5) 2.2对员工上网行为进行规范管理势在必行 (7) 三、XX集团公司互联网访问管理需求分析 (7) 3.1 项目背景 (7) 3.2需求分析 (7) 四、 XX集团互联网访问管理方案设计理论依据 (9) 4.1基于ISO/IEC 17799信息安全管理标准 (9) 4.2主体管理技术理念 (9) 4.3 主体管理构架于真实的组织结构之上 (9) 4.4 基于行为后果的搜索引擎技术分类网址库 (10) 4.5 细粒度树形协议分类库 (10) 4.6 流行的五元组方式的策略定义 (10) 4.7 DPT,DST技术 (10) 4.8 持续的、可学习的本地更新技术 (10) 4.9 安全基础的PPDR理念 (11) 五、 XX集团上网行为管理解决方案和技术实现 (11) 5.1 整体解决方案 (11) 5.1 总部ICG部署的网络拓扑 (12) 5.2 分公司ICG部署的网络拓扑 (12) 5.3 NSICG的技术实现介绍 (12)

5.3.1可靠高效的硬件系统和智能容错旁路技术 (12) 5.3.2灵活安全的设备管理方式 (13) 5.3.3专业级的应用识别和分类，层次清晰的结构化管理 (13) 5.2.4迅速准确的协议跟踪识别 (13) 5.3.5细致的用户组织结构管理 (13) 5.3.6XX灵活精细的带宽管理策略 (14) 5.3.7异常流量防护报警，保障出口线路的稳定 (14) 5.3.8先进的内容过滤技术，构建文明健康的企业网络 (15) 5.3.9外发信息控制管理 (16) 5.3.10强大的内置流量分析和行为统计报告 (16) 六、产品规范 (16) 6.1产品指标规范 (16) 6.2系统结构图： (16) 七、项目实施管理 (17) 八、产品部署方案 (18) 8.1设备上线安装步骤 (18) 8.2 设备IP、路由说明，地址分配说明 (18) 8.3互联网访问管理部署 (18) 8.4设备可用性测试 (19) 8.5风险分析及回退 (19) 8.6变更实施人员工作分工 (19) 8.7使用期间的维护 (19) 8.8部署完毕后守局并制作使用报告 (19) 九、重点功能实现方案细则 (19) 9.1用户身份鉴别及帐户的管理 (19) 9.2互联网访问提速方案 (20) 十、典型客户 (21) 10.1、典型客户案例 (21) 10.2、典型客户列表 (24)