上网行为管理解决方案-1(详细版)
XX公司
上网行为管理解决方案
XXXXXXXXXXX有限公司
2020年
目录
目录 (2)
一、XX介绍 (4)
1.1公司简介 (4)
1.2产品简介 (4)
1.3资质认证 (5)
1.4产品荣誉 (5)
二、上网行为管理– XX行业信息安全新视角 (5)
2.1XX行业信息安全建设面临的问题 (5)
2.2对员工上网行为进行规范管理势在必行 (7)
三、XX集团公司互联网访问管理需求分析 (7)
3.1 项目背景 (7)
3.2需求分析 (7)
四、 XX集团互联网访问管理方案设计理论依据 (9)
4.1基于ISO/IEC 17799信息安全管理标准 (9)
4.2主体管理技术理念 (9)
4.3 主体管理构架于真实的组织结构之上 (9)
4.4 基于行为后果的搜索引擎技术分类网址库 (10)
4.5 细粒度树形协议分类库 (10)
4.6 流行的五元组方式的策略定义 (10)
4.7 DPT,DST技术 (10)
4.8 持续的、可学习的本地更新技术 (10)
4.9 安全基础的PPDR理念 (11)
五、 XX集团上网行为管理解决方案和技术实现 (11)
5.1 整体解决方案 (11)
5.1 总部ICG部署的网络拓扑 (12)
5.2 分公司ICG部署的网络拓扑 (12)
5.3 NSICG的技术实现介绍 (12)
5.3.1可靠高效的硬件系统和智能容错旁路技术 (12)
5.3.2灵活安全的设备管理方式 (13)
5.3.3专业级的应用识别和分类,层次清晰的结构化管理 (13)
5.2.4迅速准确的协议跟踪识别 (13)
5.3.5细致的用户组织结构管理 (13)
5.3.6XX灵活精细的带宽管理策略 (14)
5.3.7异常流量防护报警,保障出口线路的稳定 (14)
5.3.8先进的内容过滤技术,构建文明健康的企业网络 (15)
5.3.9外发信息控制管理 (16)
5.3.10强大的内置流量分析和行为统计报告 (16)
六、产品规范 (16)
6.1产品指标规范 (16)
6.2系统结构图: (16)
七、项目实施管理 (17)
八、产品部署方案 (18)
8.1设备上线安装步骤 (18)
8.2 设备IP、路由说明,地址分配说明 (18)
8.3互联网访问管理部署 (18)
8.4设备可用性测试 (19)
8.5风险分析及回退 (19)
8.6变更实施人员工作分工 (19)
8.7使用期间的维护 (19)
8.8部署完毕后守局并制作使用报告 (19)
九、重点功能实现方案细则 (19)
9.1用户身份鉴别及帐户的管理 (19)
9.2互联网访问提速方案 (20)
十、典型客户 (21)
10.1、典型客户案例 (21)
10.2、典型客户列表 (24)
一、XX介绍
1.1公司简介
北京XX科技有限公司是互联网控制管理领域的先行者,致力于研究如何帮助广大用户更好地控制和管理对互联网的使用。XX科技能够为客户提供中国最领先的互联网控制管理解决方案,全面细致地帮助用户实现上网行为管理、内容安全管理、带宽分配管理、网络应用管理、外发信息管理,有效解决互联网带来的管理、安全、效率、资源、法律、青少年网瘾等各种问题。
XX科技由美国风险投资、资深金融管理专家及回国留学生共同创办。XX科技深根中国,特别强调自主创新、自主研发,曾获得国家多项技术创新基金的支持。XX科技不断探索最前沿的互联网控制管理技术,深度研究中国网民的上网习惯,从管理角度出发、从内容层面控制、从人的行为进行管理,为中国用户提供最完善的互联网控制管理产品与服务。
3年多来,XX科技凭借领先的产品理念、国际化的技术团队及本地化的服务优势,迅速成长为国内上网行为管理(EIM – Employee Internet Management)领域的领导者,并先后在日本、美国、南美洲等地区打开市场,成为国际知名的EIM产品与方案提供商。快速发展的XX科技正逐渐步入国际化轨道,全球越来越多的用户正在体验XX科技带来的更易管理、更加安全、更加文明的互联网空间。
1.2产品简介
XX互联网控制网关(ICG – Internet Control Gageway,以下简称ICG)是XX公司的核心产品,是一款面向企业市场的软、硬件一体化网关设备。它通过网页过滤、应用控制、带宽管理、监控审计等手段,帮助企业对员工的上网行为进行规范管理,屏蔽对不良网站的访问,控制并审计敏感信息的外发泄密,避免由于员工的不当网络行为引起的法律责任,以及帮助企业合理利用宝贵的带宽资源。相比传统的网络安全产品,XXICG不以防范外来攻击为直接目标,而是通过对网络活动的主体–员工的行为以及网络访问内容进行管理监控,来保障企业生产力、保护企业知识产权以及合理利用企业网络资源,是面向主体、面向内容和面向管理的一款网络安全产品。
XX推出了面向中小企业、大中企业、电信级企业三大系列8款产品,满足各种规模的企业对互联网资源管理的需求。到目前为止,XXICG产品已经在金融、电信、能源、教育、
IT、制造等十几个行业超过1000家客户得到推广应用。领先的产品质量与贴近用户的服务,得到了用户和业界的高度认可,XX也为此多次获得殊荣。
1.3资质认证
XX科技自成立以来,先后获得了一系列资质认证,包括高新技术企业证书、双软认证、软件著作权登记证书、公安部销售许可证和公安部检测报告等。
1.4产品荣誉
中小企业IT优选产品中国信息化500强指定产品
二、上网行为管理– XX行业信息安全新视角
2.1XX行业信息安全建设面临的问题
伴随着以互联网为代表的信息技术与网络技术的迅猛发展,我国XX行业在电子化、网络化方面取得了很大成就,已经建成了相对完善的网络系统、终端系统等基础设施和信息化水平较高的业务系统。这些系统的建设,提高了XX行业务处理的效率,改善了XX行业行业的经营环境,增强了XX行业信息的可靠性,促进了各项新业务的拓展。
XX行业作为关系国计民生的命脉行业,信息与数据的安全管理涉及国家、企业以及个人的经济利益,因此信息安全始终是XX行业信息化建设的重要组成部分,而网络安全又是信息安全的重中之重。随着一些传统XX行业务转移到互联网上,在享有互联网带来的便利、高效、低成本的好处的同时,也越来越多地面临来自互联网的安全挑战。面对黑客攻击、网络病毒、间谍软件以及垃圾邮件等威胁,XX公司大多数已经部署了网络隔离系统、防火墙、入侵检测系统、VPN、防病毒软件、反垃圾邮件系统等,构成XX行业网络的立体防护屏障,防范来自互联网的攻击,保障网络与业务系统的安全运行。
传统的网络安全设备可以有效地阻挡来自XX行业外部的攻击,但对于内部原因,特别是由于员工上网行为不当引起的安全问题却无能为力。据调查,大部分金融安全问题是由于内部监控和风险管理欠缺引起的。许多XX公司可能认为员工是最不需要进行安全管理的一部分,但是,内部员工有意或无意的不当上网行为往往对XX行业的信息安全造成更大的损
害。这些行为表现为:
●敏感信息泄漏
电子邮件、即时聊天以及论坛发帖等网络应用,为人们沟通信息提供了极大的便利,但也可能成为员工泄密的工具。XX行业员工掌握着大量敏感数据,如果不对员工的外发信息进行严格控制与监控审计,这些重要信息可“轻易而快速”地传递到外部,给XX行业造成重大损失。
●安全事件频发
四通八达的网络,方便的不仅仅是正常业务的传输,恶意代码、病毒、蠕虫、间谍软件等等,也会搭乘便车,籍由貌似“善良”的网页、Email、聊天工具、下载工具等方式,悄悄侵入到网络的各个角落。由于防火墙不能分析应用层的内容,无法阻挡这些网页的下载,而桌面防病毒软件尽管可以识别并阻止病毒的入侵,但可能由于软件的版本落后或者病毒更新的速度更快,造成防范实效。由于内部员工不安全的互联网访问而造成的病毒传播与黑客入侵,成为网络安全的最大黑洞。
●工作效率降低
为了在日益激烈的竞争中获得优势,XX公司必须不断增加业务品种,改善服务质量,提高工作效率,降低运营成本。但未加管理的互联网应用可能会大大降低员工的工作效率。据一项调查显示,普通企业员工每天的互联网访问活动中40%与工作无关,在线聊天、浏览新闻娱乐、网络视频、网络游戏、炒股、博客等无时无刻不在占用正常的工作时间,敲击键盘和点击鼠标的“忙碌”表象背后却是低下的工作效率。在高度网络化的现代办公环境里,办公室可能成为“舒适的网吧”。人力资源在无形中浪费巨大,企业运行效率也因此大大降低。
●带宽资源浪费
XX行业是信息化建设最先进的行业之一,企业为了业务发展进行了大量的IT设备与带宽资源投资。统计表明,在互联网活动未加管理的企业中,宝贵的带宽资源超过70%被音乐、视频下载等占用,尽管带宽一扩再扩,却总是被BT、电驴、迅雷等P2P 应用挤占。这不仅造成带宽资源被大量浪费,还使得企业正常业务得不到应有的带宽保证。
●导致法律风险
互联网充斥着各种良莠不齐的信息,企业员工在获取有用信息的同时,也易被不良内容侵蚀。为了加强对互联网的控制和管理,国务院、人大常委会、公安部、信息产业
部皆相继出台法律法规明文规定,接入互联网的单位和企业要采用相应的技术手段对互联网的使用做出控制和管理。对于互联网资源的非法访问,比如访问色情、赌博、犯罪网站、发表反动言论、泄露重大机密等,都会触犯相关法律,给XX行业带来法律风险。
2.2对员工上网行为进行规范管理势在必行
以上分析看出,由于员工的主动网络行为引发的问题无法通过传统的网络安全保护手段实现,必须通过专业的上网行为管理产品解决。何为上网行为管理?简单地讲,就是对员工主体的基于内容的网络访问行为进行管理,包含如下几个要素:
第一、上网的人是谁(Who:哪个部门哪个员工);
第二、上网的时间(When:工作日/周末,上班时间/午间休息/夜间,上午/下午);
第三、上网做了什么事(How:浏览网页、下载文件、聊天、游戏、等等);
第四、具体内容是什么(What:网页的内容、聊天的内容、邮件的内容);
第五、占用的带宽和流量是多大(How much),等等。
与传统的安全防护方式不同,上网行为管理产品基于用户、时间、网络应用、带宽等元素对员工的上网行为进行灵活的策略设置,把网络风险管理从“被动式响应管理”提升为“主动式预警管理”,从“防范管理”提升为“控制管理”。为了实现真正安全的网络环境,XX 行业需要“内外兼修”,除了阻挡外部攻击外,还应该转换视角,大力加强对内的管理,对员工的上网行为进行规范管理是十分必要的。
三、XX公司互联网访问管理需求分析
3.1 项目背景
XX公司是国内七大XX集团之一,由中国石油化工集团公司、中国南方航空集团公司、中国铝业公司、中国外运长航集团有限公司、广东电力发展股份有限公司等大型企业集团于2005年发起组建,注册资本金37亿元人民币。公司股东实力强大,涉及行业广泛,股权结构合理,符合现代企业制度。目前拥有多家子公司。
3.2 需求分析
总部需求分析:
随着总部人数和业务规模的迅速扩张,现在的互联网管理已无法控制与工作无关的流量,包括P2P下载、P2P视频以及与工作无关的大流量web访问,造成出口带宽链路不堪重
负,成为XX公司总部办公网与互联网信息沟通的瓶颈;同时大量的访问不健康web网页,给总部的内部网络安全带来了极大的隐患,容易造成木马和病毒的传播,员工的工作效率也会大大的下降。因而,XX集团总部需要专用互联网管理设备提供更丰富的应用流量管理,以及能有效的管控互联网内容访问,来满足目前和未来,承载更多用户、提供更高访问性能的需要。
分公司需求分析:
随着分公司人数和业务规模的迅速扩张,原有通过专线到总部再访问Internet的方式已不堪重负,不能保证24小时的稳定工作,同时大量的P2P等下载也占用了省公司和地市子公司之间的4M专线带宽,导致视频会议等关键业务QOS不能保障,因此分公司需要建立自己的Internet出口,来实现上网业务的正常运转。
结合上述性能和功能提升的要求,用户上网行为管理项目的具体要求和目的为:
四、 XX集团互联网访问管理方案设计理论依据
4.1基于ISO/IEC 17799信息安全管理标准
ISO/IEC 17799是信息安全管理体系的国际标准,该信息安全管理的行为标准是为信息安全系统提供的一个普通的最佳操作行为标准集合。其目的是为制订组织的安全标准和进行有效的安全管理实践提供公共的基础,并且为组织间的交易建立必要的信任。应当根据适用的法律法规选择使用该标准推荐的内容。
ISO/IEC 17799详细介绍了127种安全措施,归纳成了10个部分。其中包含对于共享网络的访问控制政策需求,尤其是那些超越了组织界限的网络(例如互联网),需要对网络进行综合控制,以限制用户间的互连。可以通过在网关中按照一定规则过滤信息来实现这样的控制。这些限制应基于商业应用的访问政策和需求来考虑,并应定期进行维护和更新。
ISO/IEC 17799对访问控制提出如下基本要求,并做出细节描述:
用户标识和鉴别
连接时间的限制
应用访问控制
敏感信息隔离
监视系统访问和使用
事件记录
对于互联网访问控制,需要完全遵循ISO/IEC 17799 标准,实施对信息访问和商业处理活动的控制,才能有效保障民生商业信息活动的安全管理。
4.2主体管理技术理念
越来越多的互联网访问出口阻塞以及网络安全问题是由于内部用户的不当访问造成的。主体管理通俗的讲就是将公司的管理政策(在本方案中即为上网管理规定)通过技术手段落实到内部用户身上,增加管理规定的可操作性和可审计性。
4.3 主体管理构架于真实的组织结构之上
由于主体管理的策略设置时所有对象都是基于人(行为主体)同时策略相对复杂(同一个部门中的不同小部门,不同人可能产生策略差异),因此在策略主体定义时为了避免策略产生后期的不可逆转性,采用真实的多级组织结构(不是平面组)进行主体定义是十分必须的。
4.4 基于行为后果的搜索引擎技术分类网址库
由于上网行为管理中WEB的控制多基于内置分类库实现,少部分会由用户自定义补充,因此分类库的建立方式和库容量将直接决定WEB的控制效果,目前业界先进厂商均采用基于搜索引擎技术的网址分类库。(基于行为后果的分词技术为XX专利技术,通过该技术XX已经拥有900万的URL网址分类库)
搜索引擎可全天候的在WEB站点中根据自定义的分词技术进行URL网址库的更新,并且及时的将更新的网址库提供给客户。
4.5 细粒度树形协议分类库
高端的互联网访问管理产品多采用树形应用协议分类库(类似于注册表技术)。由于在设置应用协议的控管策略时用户的需求可宽,可严,可细化,并且需要高可读性,传统避免平面协议库在与已有协议嵌套或近似的新协议产生时出现可读性严重降低。采用细粒度的树形协议分类库将有效提高行为管理策略的可读性。而策略高可读性是安全产品必尊的发着之一。
4.6 流行的五元组方式的策略定义
主体管理中策略设定时通常采用人――时间――行为――管理方式――审计方式的五元组方式进行策略的定义。该种策略的定义将极大提高策略的可读性,有效的避免策略的冲突,便于问题的排查。
4.7 DPT,DST技术
DPT:深度包检测技术。
DST:深度流检测技术。
由于互联网访问管理其根本就是依托有效的内置库配合DPT,DST技术进行行为控管。DPT技术主要用于处理行为控管,DST技术主要用于处理内容审计。
4.8 持续的、可学习的本地更新技术
由于互联网内容和应用协议的变化非常快,用户互联网访问行为识别的时效性很强,而对互联网资源的识别能力和识别范围是互联网访问管理的基础,因此设备具有持续更新能力将有效降低时效性风险。
并且,这种更新能力的支持力度不应该也不可能对所有内容和协议一视同仁。不同国家的互联网内容和应用的发展具备明显的文化差异,识别更新服务必须具备学习和分析目标用户的互联网访问范围的能力,有针对性的进行识别工作,并将识别特征动态更新到设备,才
可以使设备的有效管控最大化,更新时效最大化。
4.9 安全基础的PPDR理念
通过信息安全表述模型——PPDR模型的分析,我们可以对需要建设的整体解决方案有一个完整的概念。确定Policy策略、Protection防护、Detection检测和Response响应四个方面的安全需求。PPDR模型阐述了一个提供7 24不间断安全管理和保障的产品和服务的全部综合套件以及全面安全解决方案。
PPDR方案是一个超前的安全模型。它的指导思想比传统安全方案(传统安全在本质上是静态的,如防火墙和加固验证等)有突破性提高。
五、 XX集团上网行为管理解决方案和技术实现
XX互联网控制网关(NSICG)是XX公司推出的面向应用层协议的专业的互联网访问管理产品,支持透明网桥或代理模式,支持web高速缓存,基于人/分支部分/大部门、时间段的上网行为策略,可有效的满足XX的互联网访问管理需求。
通过XX互联网访问管理设备,可以识别并统计网络上究竟有哪些网站被浏览,哪些数据在传输,哪些应用在运行,哪些协议在被使用,哪些行为占用了主要的带宽资源等。根据这些量化数据,可以了解每一个行为主体的上网情况,因而可以设置相应的管理策略,实现总带宽资源的充分利用,网络行为的清洁,同时也为以后IT基础构架建设提供了可靠的依据
此外,XXICG支持对突发流量的整形,对由内部病毒和攻击引起的异常流量进行识别与控制,能够防御来自内部的恶意的DOS攻击,减轻了出口线路的工作负载,同时也确保互联网管理设备本身的安全运行。
5.1 整体解决方案
在总部互联网出口部署一台ICG设备,采用串接模式;在每个分公司的互联网出口部署一台ICG设备,也采用串接模式;由于中国XX有多个分公司,这就需要总部进行统一的集中管理,因此在总部配置一台ICG集中管理平台,可以统一下发策略和统一管理;由于员工的上网行为日志是记录在多台ICG上,为了对日志进行统一整体的分析,建议在总部配置一台日志中心服务器,可以记录和存储XX公司所有员工的上网行为海量信息,并能够进行统一的分析和查询。
5.1 总部ICG部署的网络拓扑
XXNSICG可以根据XX总部实际网络环境灵活部署,为了保持总部原有网络拓扑结构,XXNSICG可以以透明网桥模式串接入网络。XXNSICG通过XX动态更新服务保持最新的互联网内容和应用的识别能力,并依据策略管理和记录用户的访问行为。用户可以在内网通过加密的中文web图形管理界面对设备进行管理。
5.2 分公司ICG部署的网络拓扑
XXNSICG可以根据XX分公司实际网络环境灵活部署,为了保持省分公司原有网络拓扑结构,XXNSICG可以透明串接入网络。XXNSICG通过XX动态更新服务保持最新的互联网内容和应用的识别能力,为内部用户提供HTTP、HTTPS、SOCKS代理服务,并依据策略管理和记录用户的访问行为。用户可以在内网通过加密的中文web图形管理界面对设备进行管理。
5.3 NSICG的技术实现介绍
我们建议采用XX科技的互联网访问管理NSICG系列产品,该产品提供灵活的用户管理,WEB策略,应用管理,带宽管理功能功能模块,通过灵活的组合可实现XX集团的上网行为控管功能。
XXNSICG支持千兆电口及光口接入,提供更高性能和更丰富的管理特性。
该产品在应用层上深度分析用户在网络上的各种应用,灵活调控用户使用各种应用的流量。从流量、内容、用户行为目的等角度实现对应用协议的结构化管理,通过监控、统计、控制等技术手段引导网络用户的上网行为,并为网络管理提供依据,使有限的网络资源最大限度的有效利用,减少由于内部原因造成的网络出口故障和非法内容传播风险,从而保障网络的高效、健康、稳定的运行。
5.3.1可靠高效的硬件系统和智能容错旁路技术
该产品采用专用的硬件平台和XXNSOS安全系统,提供稳定高效的理性能和上网行为管理能力。设备支持700M+的吞吐量,极大地满足用户当前和未来的网络性能的要求。
在系统高可靠性方面,NSICG的可靠性可以达到99.99%,并且提供7X24小时连续不间断工作。系统中硬件设备的平均无故障时间大于2万小时。
XX产品还提供一套完整的容错硬件和解决方案。为避免设备单点故障, NSICG系列产品提供硬件bypass与软件bypass双重保护,确保网络一路畅通。
硬件bypass:在网桥或透明代理模式下,由于意外原因发生设备掉电时,XXICG将自动启动硬件bypass功能,设备在物理上成为一条连通的网线,不会对已有的网络连接产生任何影响。
软件bypass:在串接模式下,要保障互联网访问可用,必须要保证NSICG功能的可用性,当NSICG设备系统异常或负载超过设定的安全阀值时,系统自动启动软件bypass功能,以设备最大带宽“放行”数据包。当设备负载恢复到安全阀值以下时,系统自动恢复各种处理功能。
在实际应用中,我们不能排除设备软硬件发生故障的可能性,但采用软Bypass和无源的硬Bypass功能,可以极大的提高整个系统的可用性和可靠性。下图是软硬Bypass触发条件的微调菜单:
5.3.2灵活安全的设备管理方式
XXNSICG采用HTTPS 方式对设备进行安全管理,提供全功能的中文图形化管理界面。此外还支持SSH与console控制台通过命令行进行配置管理。
5.3.3专业级的应用识别和分类,层次清晰的结构化管理
XX关注国内流行的各种互联网应用,并将其进行合理归类,使之成为树形目录结构的100多种以上的应用协议库,这种结构使策略、监控、统计报表可以灵活的按协议组、协议、子协议来管理。如下图所示,对一些多功能的流行应用,XX协议识别精确到应用的子协议,将更多细节纳入策略框架中。例如:允许qq聊天,但阻止qq传输文件,上班时间保障qq 远程协助的带宽等等。同样,我们可以通过阻塞P2P、网络电视来减少带宽资源浪费;通过在工作时间对网络游戏、炒股的限制提高员工工作的效率等。
5.2.4迅速准确的协议跟踪识别
XX通过对国内网民日常使用的应用做统计,跟踪中国互联网应用的变化,选择对客户网络影响最大的流行应用进行深入分析,这些应用通常不是标准的网络服务,无法通过地址、端口特征来区分。所以,XX协议库不需要通过标准端口服务来扩充支持协议数量(但提供自定义协议接口),而是专注于流行互联网应用的协议特征识别跟踪,并通过动态更新,不断在第一时间提供最新应用的管理支持。
5.3.5细致的用户组织结构管理
为XX集团用户建立清晰的真实的组织结构图,可利用文件导入、扫描、LDAP导入的方式统一将用户一次性添加,并与可设定与LDAP目录自动同步:
XX支持多种用户方式,包括本地web认证、AD域透明认证、包括LD第三方认证等。规划并部署合适的认证方式,可以把互联网访问管理正真应用到具体用户,实现基于用户身份
的访问管理,而不是传统基于设备的访问管理。
5.3.6XX灵活精细的带宽管理策略
为不同部门的不同应用设定带宽策略。用户可以根据需要定义多个虚拟带宽通道,对于每个通道,可以指定其保障上下行速率、限制上下行速率、优先级等参数对数据流近进行整形,见下图。各参数的含义如下:
上传/下载速率:数据流的保障吞吐量。低于此临界值的数据流以最高优先级通过,不受任何数据流管理或整形机制的限制。
最大速率:数据流的峰值带宽。超过此临界值的数据流被抑制并丢弃。峰值带宽的意义在于,如果该服务器访问量很大,超过了基本保障带宽,它可以在峰值带宽之下暂时“借用”其它通道空闲的资源,以提高总带宽利用率。
优先级:当数据流带宽在保障带宽和最大带宽设置之间时,设备首先让较高优先级的数据流通过,并且只有在没有其它更高优先级的数据流时,才让较低优先级的信息流通过。系统支持八个优先级。这样可以保障最重要的资源得到最优先的带宽。
与传统流量管理产品不同,XX的带宽管理是互联网访问行为管理的延伸,管理的一方面是切断违规的上网行为,另一面是降低违规行为的服务质量,保障合规行为的服务质量。所以XX的带宽管理完全融入XX互联网访问管理策略框架之中,基于用户(或组)、时间、访问对象来执行不同的管理动作。对于流量分配,XX通过设定若干个不同优先级的保障带宽或限制带宽的通道对象,并在策略中调用,精确到1KB进行分配给不同应用和用户,然后提供图形监控界面实时查看带宽通道对象的流量。
除此以外,NSICG也支持给用户或每组的每个用户平均分配带宽,如给每用户最多分配30Kbps带宽:
?多层次灵活控管对象
全局控管模型一级单位控管模型二级单位控管模型
?多方式灵活选择控管时间
设定控管时间段
灵活的通道带宽管理设置
针对每用户设定带宽上限
5.3.7异常流量防护报警,保障出口线路的稳定
为避免来自内网的允许合法协议产生超常流量攻击(如SYN病毒攻击,WEB蠕虫等),XXICG
支持基于IP的请求限速、流量限速等控制规则。通过设置来源IP访问的上传包速率、上传速率、新建连接速率、小包发送速率等多个阀值,对突发流量进行带宽整形,可以保证线路充分的请求响应能力。超出阀值的流量,可以进行带宽限制、全部阻塞,或者只阻塞超出阀值部分,对于异常流量的IP,可以设置列入黑名单进行屏蔽。如下图所示:当网络正常运行时,XXNSICG可以定时采集网络各项运行指标,如流量速率、包速率、小包速率、连接速率、ip数、及各指标的最大值、平均值等,根据这些数据,我们可以得到网络正常运行的基线,并据此设定自动防护规则,对异常的流量进行自动管控,以实现网络无人值守时的自我防护,保障互联网出口带宽的畅通。
5.3.8先进的内容过滤技术,构建文明健康的企业网络
通过对互联网访问的内容管理,对违反国家法规、危害企业安全的内容访问进行过滤,可以避免内部用户有意无意访问包含非法内容的网页,净化网络,减少病毒进入局域网的几率,降低企业法律风险。对员工上网行为的分析引导,有效保障企业文化积极向上的氛围。
XX科技采用国际流行的URL预分类技术,根据中国地区上网用户的URL访问集中度、文化背景、对内容的敏感程度,参照国家立法规定,进行合理化采集、分类并生成URL分类数据库。工作流程是通过XX自主研发的内容分类搜索引擎,在互联网上进行区域性的URL 抓取,着重针对中文网站,强调数据采集本地化。并对抓取工作进行内容相关性的URL链接分析,极大地提高了抓取效率。获取到的URL数据经智能分类分析系统,进行有效性校验和内容分类匹配,导入数据库。此外,成立有专门的URL数据分类审核小组,负责对URL分类结果做校验审核,进一步确保分类的准确性。其中,URL自动分类引擎是XX自主研发的URL 智能分类技术,它根据增强的贝叶斯算法,根据网页的文本、图片、框架、颜色、关键字的语义、关键字出现频率以及关键字之间的比例关系、网页之间的相似度,等多个维度,对新网页进行智能分析,自动分类。这是XXWeb分类的核心技术。
XX互联网控制网内存储有40多个分类,结合中国国情,涵盖互联网上的各种内容类别,数量在900多万条URL以上。其中的病毒(高风险)分类,帮助用户防患于未然,避免访问到含有恶意代码、间谍软件或欺诈内容的网页。还有就是色情、反动等类别;
XX互联网控制网关支持自动/手动实时更新,最新的URL分类数据由XX科技核心数据库提供,每台NSICG设备自动下载到本地。而且支持URL自动的回传和URL自定义分组
互联网站点控制可以基于任何人员/部门,任何时间,阻塞/允许/纪录。实现互联网站的空置与管理。
如图:
上图:Web非法内容过滤策略
5.3.9外发信息控制管理
XXICG产品可以针对如下上网行为进行外发信息监控、过滤并报警。下图给出了一个Post外发帖子的过滤和报警示意图:如果POST审计中出现关键字匹配,报警邮件会自动发送到用户预先填写好的邮箱中。
5.3.10强大的内置流量分析和行为统计报告
应用管理策略实现了对用户访问行为和流量的管理,访问日志报告和分析功能则显示这些行为及其流量的运行状态,它帮助找出问题所在和相应管理策略的线索。
跟踪平均和高峰信息流量,识别最大的用户和应用程序,统计应用分布、用户分布,管理人员就对目前网络资源使用状态有了充分的了解,为下一步实施带宽管理准备了充实的数据依据。
XX提供可定制化的实时监控和历史查询工具,使管理员轻松查看用户的各类应用使用流量的情况。
XX对各巳经分类的流类进行统计数据收集并提供在线图表报告。图表报告计有带宽使用量、应用流量分布、用户流量分布、web访问流量分布等。
并且根据管理角度的不同,分别以用户、应用、web访问、外发信息为关注对象,提供逐步深入的查询统计方法。比如说当某时段网络上传性能下降时,可以查询这段时间上传流量最大的用户,并深入查询此用户这段时间的应用分布。这种启发渐进式的查询方式符合管理员由浅入深的分析思维,为管理者提供最短而有效的分析路径。
六、产品规范
6.1产品指标规范
视具体产品型号而定
6.2系统结构图:
XX系统体系包括,XXurl分类和协议跟踪分析团队、动态更新服务、XXNSICG互联网访问管理平台。
XXurl分类和协议跟踪分析团队随时跟踪分析互联网内容和协议的变化,并优先处理用户NSICG上传的未分类信息,每天将最新的分析成果输出到更新服务器,NSICG通过动态更新自动获取最新的识别能力,并应用到管理策略中。
七、项目实施管理
7.1项目组成员和运作方式
●项目领导及技术后顾问有XX资深的信息安全专家组成,人员在北京,该小组会提供前
沿的上网行为管理解决方案。
●项目经理负责全局掌控项目的进展和跟进,协调各种资源,并起到技术引领作用
●项目实施小组负责XX的项目实施工作,主要任务是进行前期的工勘,技术信息收集,
设备在变更时间窗内部署,设备运行状况监控,设备日志分析,并对国航上网行为分布进行报表制作
●项目应急保障小组人员在北京待命,如果项目出现实施小组能力所不及的问题,保障小
组第一时间在已经搭建好的类似于XX网络的1:1环境中复现问题,其中一名成员会第一时间赶到XX现场进行技术分析。
●
八、产品部署方案
8.1设备上线安装步骤
设备割接期间如果要保障不影响原有网络,完全平滑过渡,建议以透明网桥方式部署,并按如下方式安装:
步骤一:将XXICG设备上架固定,上电。
步骤二:将笔记本连接管理口,按配置手册提供的出厂管理地址登录配置界面,完成设备网络配置。具体配置为网桥模式,设置工作ip,设置静态路由、DNS;
设置预先分配的内外网口地址,设置静态路由,参考“设备IP、路由说明,地址分配说明”。
步骤三:将外网口连接到防火墙外的交换机,内网口连接到核心交换机,使用设备提供的PING工具测试NSICG到网关和内网地址的连通性。
步骤四:测试内部通过NSICG上网的稳定性。
8.2 设备IP、路由说明,地址分配说明
网管接口地址设置:
ICG自身的网管端口设置为用户提供的一个普通客户的网段的地址。
ICG工作端口地址设置:
如果ICG配置为串接模式,ICG的工作模式则为桥接方式,因此需要管理员给IC 分配一个合法的桥接口IP地址。
默认路由添加:将ICG的默认路由下一跳配置成出口路由器内网口地址。
内网段路由添加:添加XX集团的内部子网的聚合网段到ICG的静态路由表中,以确保内部终端与NSICG互通。
8.3互联网访问管理部署
一般建议按如下步骤部署:
步骤1:配置好网络设置,配置管理口,设置免监控IP;
步骤2:上架加电开启设备,关闭过滤引擎,测试网络连通性;
步骤3:建立由于测试的策略网段,开启过滤引擎,检查配置是否正确,检查无误后开启全局管控。
8.4设备可用性测试
针对XX集团公司的现有网络应用进行逐一的测试
HTTP的访问发帖测试;
HTTPS访问测试;
P2P流控测试;
集中管理测试;
XX特有互联网应用测试。
8.5风险分析及回退
风险可能性:
8.6变更实施人员工作分工
XX集团信息部门网络工程师提供XX工程师所需要的信息,由XX工程师完成ICG的配置。
线路链接可由XX工程师在XX集团信息主管部门的工程师配合下完成割接。
测试项目由XX集团提供在网的电脑,或者允许XX工程师的笔记本接入测试网段。
8.7使用期间的维护
XX公司提供7x24小时热线,如果测试期间有任何不可远程指导解决的问题,XX 工程师会第一事件赶到现场协助解决。确保XX集团部署的顺利进行。
8.8部署完毕后守局并制作使用报告
部署结束后,XX公司会和XX集团的信息主管部门一起确定报告主要涵盖内容,并由XX工程师制作监控报告,并将监控报告制作方法和XX集团的工程师进行沟通,力求报告能够给XX集团提供更多的可用数据。
九、重点功能实现方案细则
9.1用户身份鉴别及帐户的管理
1) 用户信息的建立(LDAP用户导入和自动更新)
如果用户具有LDAP系统,XXNSICG可以通过LDAP导入用户信息,并保留原有用户组织结构。NSICG在每天网络空闲时间自动更新LDAP,与LDAP服务器保持一致。
2) 用户身份鉴别方式(AD客户端认证)
根据需要,在每个用户终端的电脑上安装AD认证客户端软件,实现单点登录;且可以实现禁止没有加入域的电脑访问互联网。
3)用户身份与访问权限、行为审计的关联
NSICG会维持认证用户的在线状态,并对在线用户的上网行为进行授权和记录。
对于未认证用户,可以选择阻塞,或者设置来宾权限。未认证用户根据其IP进行行为记录。
9.2互联网访问提速方案
XX提供从链路防护、应用策略、带宽管理,到内容管理的全面互联网管理功能,根据对XX互联网访问的流量分析,可以通过以下方式改善互联网访问速度:
i.禁止恶意侵占带宽有害流量(P2P、P2P streaming);
ii.限制无用流量(网络游戏等);
iii.对超出阀值外流量进行限制(基于后果的管理);
iv.基于用户或用户组平均分配带宽(静态管理);
v.通过Web访问控制策略,减少HTTP流量(限制流量大的网站、文件的上传和下载);
上网行为管理解决方案
深信服上网行为管理 解决方案 深信服科技有限公司 2014年5月5日 目录
一、项目概况 随着信息技术的快速发展,网络应用更新换代频繁,新兴应用不断涌现。互联网在给生活和工作带来便捷的同时也对上网行为审计带来了新的挑战。随着互联网的普及,单位业务几乎都依托于互联网进行。ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施,共同构成业务信息化平台。但是在内部网络中,除了这些关键业务系统外,还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用,形成了复杂的网络应用“脉络”。 由于单位职工拥有访问互联网的全部权限,在日常工作中对职工的上网行为难以实行有效管理。一些职工上班时间玩游戏、看网络视频、长时间进行I聊天,不仅违反了《公务员管理条例》,而且挤占有限的带宽资源,造成大量基于网络的办公应用受到影响,极大地降低了办公效率;同时无法管控的信息渠道可能导致机密信息的泄漏,导致内部局域网感染病毒而瘫痪。如果工作人员通过QQ、MSN、论坛、微博等方式对外发布了包含、色情、赌博、反动等不良信息单位或个人还将承担法律责任。 在复杂的互联网环境下,如何管理好单位内部职工的日常上网行为呢?深信服上网行为管理系统(以下简称AC)将彻底解决这些问题。 二、深信服上网行为管理产品介绍 深信服上网行为管理产品可以阻止人员访问无关的网络,杜绝带宽资源滥用,加快上网速率,提升工作效率;记录上网轨迹,管控外
发信息,规避泄密和法规风险;防止PC中毒,防止组织机密外泄,保障内部数据安全;智能数据分析提供可视化报表和详细报告,为网络管理和优化提供决策依据。可以帮助用户管理员工使用互联网行为的管理,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。 深信服是上网行为管理产品品类的创始者,在2005年最早开创了上网行为管理的市场;深信服上网行为管理获得了多项产品专利技术和媒体奖项,已服务于1万多多家客户,受到了市场的一致认可;自2009年以来在其市场占有率一直排在第一的位置。 三、具体功能介绍 (一)对内网具有安全防控功能 深信服上网行为管理在提高用户的上网安全方面提供了大量的 技术保证。既能保障AC网关自身的稳定可靠,又能提升组织内网的可用性和安全性。 一是,可以过滤恶意网页,防范恶意攻击。AC内置了庞大的恶意网址库,并且实时更新。它通过检测恶意脚本的写注册表、写文件、系统调用等危险行为,以此过滤恶意脚本。独有专利根据插件签名合法性、有效期、插件名称等校验来自网站的插件并过滤,避免无安全防护的终端染毒、被劫持,提升内网安全。二是,可以监测出异常
上网行为管理技术方案4.doc
上网行为管理技术方案4 (1)项目目标 建立信息安全等级保护体系,增强网络接入准入认证,对上网行为进行管理。增强网络及电脑等终端设备安全性,防止信息泄露,病毒感染。 为了实现实用、易用的网络管理功能,在网络资源的集中管理基础上,实现拓扑、故障、性能、配置、安全等管理功能,不仅实现功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。对于设备数量较多、分布地域较广并且又相对较为集中的网络,故需要一套管理平台提供分级管理的功能,有利于对整个网络进行清晰分权管理和负载分担。管理平台除了涵盖网络管理功能外,还是其他业务管理组件的承载平台,共同实现了管理的深入融合联动。 可以帮助组织管理者透彻了解组织当前、历史带宽资源使用情况,并据此制定带宽管理策略,验证策略有效性。不但可以在工作时间保障核心用户、核心业务所需带宽,限制无关业务对资源的占用,亦可以在带宽空闲时实现动态分配,以实现资源的充分利用。基于不同时间段、不同对象、不同应用的管道式流控,能有效保障用户的上网体验,保障网络的稳定性。 互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为,而如果又没有证据,无法找到直接责任人,IT部门将成为该事件压力的承担者。本项目
需要事先帮助管理员实现基于内容的外发信息过滤,管控文件、邮件发送行为,对网络中的异常流量、用户异常行为及时发起告警,更有数据中心保留相关日志,风险智能报表发现潜在的泄密用户,实现“事前预防、事发拦截、事后追查”。 并保证安全可靠,保证环保及其他上传数据安全稳定运行,不会因此系统原因造成中断。 (2)项目范围 本次招标范围限于***************。 本项目建设范围主要是对网络管理涉及软件、硬件进行选型及采购、硬件上架调试及验收、数据整理、实施配置、最终验收。 投标方的主要工作范围如下: 1.硬件设备安装调试 1)负责信息设备的拆箱及上架工作。 2)负责项目内所包含信息设备的机柜、设备之间的供电、信号、通讯电缆的铺设实施工作。 3)负责网络设备的配置调试工作,达到可以正常稳定运行条件。 4)负责项目的具体实施工作。 2.实施测试 1) 负责网络设备及网络使用等相关配置和故障测试等工
互联网上网行为管理办法
关于印发《XX公司互联网上网行为管理办法》的通知 为加强XX公司互联网上网行为管理,保障各网络用户正常访问互联网,依据国家有关法律法规、海南省公安机关和公司对管理互联网方面的有关规定,现制定《XX公司互联网上网行为管理办法》,请遵照执行。 二○XX年十月二十九日 XX公司互联网上网行为管理办法 第一章总则 第一条为加强XX公司互联网上网行为管理,依据国家有关法律法规和公司有关规定,制定本办法。 第二条本办法适用于通过XX公司综合业务数据网和生活小区网络(以下简称公司网络)登陆访问互联网(Internet)的所有行为(以下简称互联网上网行为) ,包括但不限于发布、查阅、下载、上传、交易等行为。 第三条省公司信息中心是公司互联网上网行为管理部门,负责对互联网上网行为进行监控、检查、记录、通报,并配合政府有关部门和公司提供违反国家法规及公司有关规定的证据。 第二章上网行为准则 第四条不得利用互联网制作、下载、复制、查阅、发布、传播或者以其他方式使用含有下列内容的信息: (一)反对宪法确定的基本原则的; (二)危害国家统一、主权和领土完整的; (三)泄露国家秘密,危害国家安全或者损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗、习惯的; (五)破坏国家宗教政策,宣扬邪教、迷信的; (六)散布谣言,扰乱社会秩序,破坏社会稳定的; (七)宣传淫秽、赌博、暴力或者教唆犯罪的; (八)侮辱或者诽谤他人,侵害他人合法权益的; (九)危害社会公德或者民族优秀文化传统的; (十)含有法律、行政法规禁止的其他内容的。 第五条不得进行下列危害信息网络安全的活动: (一)故意制作或者传播计算机病毒以及其他破坏性程序的; (二)非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序的; (三)进行法律、行政法规禁止的其他活动的。 第六条不得通过互联网泄露公司秘密,损害公司荣誉和利益。 第三章上网行为管理 第七条凡公司综合业务数据网络所到达的各分公司(单位)及所辖办公场所,必须统一通过公司本部互联网出口登陆互联网,禁止另外开通互联网出口(含数字专线、ADSL、无线接入等)。 第八条公司网络连接互联网的出口必须按照政府规定安装符合国家法规要求 的上网行为管理设备。 第九条凡通过公司网络登陆互联网的电脑终端必须安装“上网行为准入客户 端软件”,未安装该软件的电脑不准许登陆互联网。 第十条上网行为管理设备必须由信息安全管理员负责管理,管理员必须严格 遵守有关保密管理条例或文件。 第十一条上网行为管理设备的安全策略必须通过信息中心负责人审核并报公 司保密办公室批准后才能部署实施。
企业上网行为管理解决方案4.doc
企业上网行为管理解决方案4 问题描述 利用公司宽带下载影响办公、上班时间娱乐、网络设备老旧,这些是企业网络经常面临的问题,然而有限的预算能否解决这些问题呢? 1、P2P应用泛滥,网络拥堵 企业网的带宽资源通常都比较紧张,即使条件非常好的企业也时常遇到网络拥堵的问题。有80人的企业,仅仅使用2M专线接入,加上网内使用P2P下载的人数很多,连开网页都非常困难。 2、网络娱乐降低工作效率 企业对于员工在工作时间玩游戏非常头疼,诸如,QQ农场,MSN游戏平台,导致工作效率低下,但是又不能对QQ、MSN 等即时通信工具作出限制,因此公司需对员工的上网行为进行精确的控制。 3、行政管理手段引起员工情绪不满 针对以上问题,企业会制定上网行为规范,强制执行约束员工的上网行为。但大多数情况是,不仅没有有效地控制员工的上网行为,反而引起员工的情绪不满。对此,管理人员头疼不已,单一的管理手段,无法解决问题。 4、网络设备老旧,产生种种问题
一些廉价的网络设备在使用一段时间以后,便不能满足企业需要了,比如有些企业防火墙不支持第七层的协议分析,有些企业路由器支持并发连接数有限等等。如果有基于第七层网络流量控制的设备,则可以对以上旧设备进行保护,延长其使用寿命,从而降低成本。 解决方案 1、全局划分,控制P2P 网络掌门其流控功能可以有效控制P2P等应用层协议,把P2P应用限制到一定的带宽范围内,并将其他各项网络应用做了一个合理的流量划分,保障浏览网页、收发邮件等关键应用的顺利开展。划分过程中,研发基地在国内、拥有全部自主知识产权的网络掌门对于本土协议97%的识别率优势尽显,网络掌门能对需要解密的协议予以破解,对无需解密的,根据其流量特性模糊识别,合理分类,从而确保带宽划分可靠且实用。 2、通过流控实现对上网行为的管理 网络掌门可以识别HTTP协议,同时对各种网络应用协议的也能够实现精确识别。针对员工的不良上网行为,网络掌门可以对不允许使用的网络协议进行限制,比如在保证QQ、MSN即时通讯工具应用流畅的同时,对QQ网页游戏、MSN游戏平台等应用作出限制。而且,根据每个用户或用户组的不同情况,应用不同的控制策略,精细灵活。 3、可自定义的警告页面 当用户打开这些受限制的应用的时候,桌面将会弹出警告页
上网行为管理方案建议书
上网行为管理方案建议书 一、引言 根据Dynamic Markets Limited对全球办公室上网情况的调查:在上班时间,中国员工每周比其他国家的员工多花7.6小时来使用即时通讯(Instant Messenger)工具、玩游戏、P2P下载或在线媒体。中国员工上网下载音乐的时间比拉美国家高16%,进入聊天室和玩在线游戏花费的时间分别比其他国家高约8%和12%。在互联网发达的印度,只有26% 员工在工作场合浏览个人信件,而在中国,这个数字则是60%! 办公网中的办公效率问题 日益发达的互联网让员工有了更多的选择,网上聊天、网上购物、在线视频、论坛灌水、BT电影……上班时间,员工很难不受众多网络娱乐的诱惑,大家在或多或少地利用工作时间进行非业务操作。以上行为实实在在地存在于我们的办公网中。事实上,我们很多企业员工打开电脑的第一件事便是开迅雷,下载电影、视频、游戏;也有为数不少的员工痴迷股海,一心扑在大盘上面;而我们的员工在在线视频、在线小游戏、娱乐网站、热门论坛上花费的时间更是惊人。凡此种种,无不给我们有限的带宽资源带来了巨大的流量压力,给员工的办公效率打了一个大大的问号。 二、上网行为管理解决方案介绍——合理封堵非业务网络应用 随着现代企业管理理念和信息技术水平的提升,如何有效管理与利用互联网资源,这已成为现代企业管理的重要衡量标准。与此同时,上网行为管理的理念愈发深入人心,提升员工网络业务的办公效率,这已经成为企业IT管理者关心的首要问题。
如上图,企业通过以网关、网桥、或旁路模式部署上网行为管理设备,可以有效对内网员工的各种网络应用行为进行管理。上班时间,封掉影响业务效率的非业务应用及相关网站;对挤占公司带宽资源的应用进行流量控制,确保主流的办公应用带宽资源,以提高业务应用的办公效率……具体而言,上网行为管理系统封堵非业务网络应用解决方案,将给我们带来下述价值: 1、全方位封堵p2p ,确保正常办公业务带宽 P2P应用给用户带来了前所未有的速度体验与资源共享,但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题,其所带来的负作用日渐凸显。鉴于此,上网行为管理设备通过检测网络软件数据包特征码,可以对常用软件进行彻底封堵,包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的P2P软件,上网行为管理系统独有的网络行为智能分析技术使其同样难逃法网。 有些部门和领导因业务需要使用P2P,在全面封堵的同时,上网行为管理设备还可以提供P2P流控功能,即允许指定用户使用P2P,但对其占用的带宽进行控制。对不同用户,按时间段进行P2P应用封堵、带宽分配与流量控制,上网行为管理设备可有效平衡公司内部架构要求、提升核心业务办公效率。 2、针对性应用管控,对事张驰有度 现在,网络应用不断推陈出新,IT管理人员难以及时收集网络及软件版本,并制定相应管理策略;他们即使花费了大量的精力实现了收集工作,也很难实现对其全面的识别和管理。 为此,上网行为管理系统针对不断更新的网络应用软件来收集软件类型与版本,不断更新自己的应用规则识别库。
上网行为管理制度
通程泛华网络信息管理制度 目的: 为加强公司网络管理,规范员工上网行为、提高工作效率,进行控制上网流量;合理分配带宽,提升网络资源利用率,保障公司信息安全,防范网络风险。 特制定下列管理办法: 一、计算机,网络设备与使用者管理 1.1严格落实办公计算机、IP 地址、电脑账号使用人负责制。 按照“一机一址、谁使用谁负责”的原则,登记计算机信息、IP 地址、电脑账号。登记人使用该计算机、IP 地址、电脑账号的直接责任人,对该计算机和IP 地址、电脑账号的信息安全、网络行为负责。使用人发生变动后报网络信息部进行信息修改及更新。 1.2责任人不得擅自拆卸、改变计算机内部配件。 不得修改计算机的软硬件设置、IP地址、DNS等。严格禁止盗用他人计算机、IP地址、电脑账号、0A等各类信息系统的登录账号,否则,一经查出,罚款50 元。进入公司文化建设基金。 1.3严禁私拉网线,严禁私用路由器及所有影响网络正常运行的设备。 网络资源、IP 地址、电脑账号由网络信息部统一分配,严禁私拉网线,严禁私用路由器及所有影响网络正常运行的设备。如因办公需要增加路由器等设备,需在向网络部信息部报备,填写设备申请单。 1.4保护计算机及周边设备,不要在计算机及周边设备旁摆放有碍计算机 散热的物品,以免损伤,烧毁计算机。使用者每隔一季度须自行 清理计算机灰尘一次。保持计算机及周边设备的卫生清洁,减少灰尘二、网络信息访问管理
2.1 上网权限与分配 为了有限管理公司网络安全和保密文件,对于特定电脑进行禁止上网规范。对于申请开网和临时开网需通过网络申请表,申请审批过方可开通上网权限。网络信息部负责对公司电脑用户上网行为通过防火墙进行控制,对公司内部网络环境进行监控。主要包括访问网站、即时通讯、P2P行为、流媒体软件等。以规范员工的网络权限。 22禁止安装和使用非公司指定即时通信工具,如yy、pp、MSN ICQ Skype、UC和POPO等。如果有特定业务需求,须向网络信息部申请安装,禁止私自安装。 2.3禁止利用公司网络,访问BBS博客和网络游戏,如QQ游戏、等游戏。 2.4禁止利用公司网络,发布、浏览或散播娱乐、购物、反动、邪 教、色情、赌博、交友、证券和暴力等一切与工作无关的网络信息。 2.5禁止浏览在线视频,如优酷、土豆、PPLive 和Qiyi 等。 2.6 禁止使用在线炒股软件、游戏客户端软件、挂机练级、外挂软件 2.7 禁止在网上下载破解软件、辅助外挂等软件 三、网络流量管理 3.1禁止安装和使用P2P 及其它影响网速的上传下载软件,如BT、
上网行为管理_深信服上网行为管理解决方案模版
上网行为管理方案建议书
目录 第1章需求概述 (1) 1.1 背景介绍 (1) 1.2 上网行为管理需求 (1) 1.2.1 用户和终端多样化,管理复杂 (1) 1.2.2 应用和内容不可视,存在风险 (2) 1.2.3 网络流量识不全,控不住 (3) 第2章可视可控、感知风险的上网管理方案 (5) 2.1 全面的上网可视可控 (5) 2.2 用户的可视与可控 (5) 2.2.1 安全便捷的身份识别 (6) 2.2.2 安全可视的用户管理 (7) 2.3 行为的可视与可控 (8) 2.3.1 全面精准的应用识别 (8) 2.3.2 应用标签化管控 (8) 2.3.3 灵活细致的权限控制 (8) 2.3.4 非法的内容识别与管控 (9) 2.3.5 全面完整的行为审计 (10) 2.4 流量的可视与可控 (16) 2.4.1 网络流量可视化 (16) 2.4.2 合理有效的流量控制 (17) 第3章方案优势 (20) 3.1 全面完整 (20) 3.2 细致精准 (20) 3.3 灵活有效 (20) 3.4 简单便捷 (21) -2-
第1章需求概述 1.1背景介绍 随着互联网技术的发展,组织的业务模式和员工的工作模式、行为习惯都在不断发生改变: ?网上业务:组织建设了更多的网上业务平台,通过互联网来开展业务; ?沟通桥梁:内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟 通和交流,提升工作效率,获取资讯和知识,维系人脉关系; ?移动互联网:移动互联网的消费化趋势也逐渐影响到组织内部的IT系统, 员工更喜欢通过WLAN、移动终端类开展工作; ?新的法规要求:2017年6月1日,网络安全法正式推出,其中对组织明 确提出上网行为审计的要求,并且要求至少留存上网日志6个月。 因此,在员工的日常工作中,#XX客户#需要针对互联网出口平台的如下上 网行为管理、上网安全防护需求进行改造,提供一个更安全、更高效的上网环境。 1.2上网行为管理需求 互联网已经成为重要的生产资料,越来越多组织的业务在向互联网迁移,然而互联网却是一把“双刃剑”,管理得好可以让办公效率大增,促进业务的发展;而缺乏管理的互联网将带来诸多问题,不仅降低工作效率,还给组织带来各种业务风险。 而且互联网也在不断发生变化,从最早使用PC、有线局域网,到更多使用 移动终端、WLAN来进行办公,从早期的网页、PC应用,到移动APP的广泛发展,愈加复杂的上网环境,“看不见管不住”,使得上网管理困难重重。由于互联网应用的多样化,一些看似正常的上网行为,也可能隐藏着巨大的风险。 1.2.1用户和终端多样化,管理复杂 1.2.1.1BYOD上网难管理 随着移动终端的普及,员工往往会采用PC、智能手机、Pad等多种终端,通
员工上网行为管理规定
欧意德动力集团文件欧意德动力[ 2009 ]1221号签发人:梁嘉迅 关于发布办公室各项管理制度及流程的通知 各单位: 为规范办公室各项管理工作,提高办公室工作效率,特制定并发布办公室各项管理制度及流程,详见附件。 附件: 《档案管理制度》、《车辆管理制度》、《员工胸卡管理规定》、《员工上网行为管理规定》、《接待管理制度》、《卫生管理制度》、《办公用品管理规定》、《欧意德动力集团会议管理制度》、《欧意德动力集团发文审批流程》、《欧意德动力集团EMS 发件审批流程》、《欧意德动力集团宴请审批流程》、《欧意德动力集团突发事件报告处理流程》 二〇〇九年十二月二十九日 主题词:发布 制度 流程 通知 主 送:华泰汽车控股集团董事长、总裁;欧意德动力集团总裁、副总裁、总监、总裁助理 抄 送:华泰汽车控股集团董事长办公室、集团办公室;欧意德动力集团销售公司市场开发部、应用工程部、客户服务部、综合管理部;发动机研发中心产品开发部、 技术管理部、试验标定部、综合管理部;变速箱研发中心产品开发部、试验标 定部、技术管理部;质量部、计量室;工艺技术部;生产管理部、设备动力部、 总装车间、机加车间、变速箱车间、采购部;人力资源部、办公室;经营管理 部、财务部 发 文:办公室 拟稿:赵雪丽 共96页 存档:1份 共35份
员工上网行为管理规定 OED/GZ/1.0/BG-007/2009 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1 目的 为了规范欧意德动力集团(以下简称集团)员工上网行为,维护正常的网络办公秩序,特制定本管理规定。 2 适用范围 本规则适用于欧意德动力集团所属各单位、各部门。 3 规范性引用文件 《OED动力集团员工奖惩制度(试行)》 《OED动力集团员工行为规范管理制度》 4 上网权限申请范围 4.1 副经理及以上级别员工(包括总裁助理.高级技术经理等职位)可直接开通上网权限;副经理级以下级别员工因工作需要,需申请开通上网权限者,须由所在部门领导提出申请,经批准后方可开通。 4.2 人力资源部门负责招聘的岗位需要上互联网发布和查看简历,需要用MSN,QQ 等聊天工具和应聘者沟通,可申请批准开通上网权限。 4.3 财务部门网上报税岗位可申请批准开通上网权限。 4.4 采购部门需要利用互联网查询产品信息,可申请批准开通上网权限。 4.5 各部门领导应根据部门内各岗位职责,严格控制互联网访问权限,工作内容与 批准日期:2009-12-29 实施日期:2009-12-29 第 1 页共4页OED/GZ/1.0/JG-001/2009
上网行为管理规范
上网行为管理规范 第一章、总则: 为了规范上网行为,维护网络安全,提高工作效率,充分发挥网络信息服务于工作需要的重要作用,结合我公司实际,特制定本规定。 第二章、范围: 第三章、内容: 第一条所有用户不得通过网络制作、复制、查阅和传播下列信息: (1)、煽动抗拒、破坏宪法和法律、行政法规实施的; (2)、煽动颠覆国家政权、推翻社会主义制度的; (3)、煽动分裂国家,破坏国家统一的; (4)、煽动民族仇恨,民族歧视、破坏民族团结的; ((5))、捏造或歪曲事实,散布谣言,扰乱社会秩序的; (6)、宣传封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的; (7)、公然侮辱他人或者捏造事实诽谤他人的; (8)、损害国家机关或本公司信誉的; (9)、其他违反宪法和法律、行政法规的。 第二条严禁通过网络共享和泄露公司机密,如:经营数据、业务资料、技术资料等; 第三条上网行为规定: (1)、不得在上班时间浏览与工作无关的网站,如:新闻娱乐类网站、购物类网站、视频网站、BBS、博客等,如确有工作需要查阅相关信息,必须提前以书面申请形式,告知公司IT部门,IT部门做好记录及监督; (2)、不得在上班时间利用QQ等即时通讯工具进行与工作无关的网络聊天; (3)、不得安装一切与工作无关的软件,不得在上班期间利用电脑进行涉及私人事务的活动,如:炒股、网上购物等,除工作原因的网上购物除外; (4)、禁止在公司办公电脑上安装、运行各类游戏软件,在公司任何时间禁止进行各种形式的电脑游戏、看电影或者听音乐等活动; (5)、一切流媒体网站如:土豆网、博客网、优酷网等一律禁止访问; (6)、;严禁利用迅雷、BT、电驴等基于P(2)P协议的下载工具下载与工作无关的资料,员工私自下载安装软件将视为违反公司规章制度,公司将根据造成的后果不同
网络安全等级保护-联合大学上网行为管理集中管控方案
联合大学 网络安全等级保护上网行为集中管控解 决方案
目录 第1章概述——需求分析 (1) 第2章深信服解决方案 (1) 2.1组网拓扑 (2) 第3章方案价值 (3) 3.1控制功能:细致的访问控制,有效管理用户上网 (3) 3.2带宽及流量管理功能:强大流量分析及带宽划分与分配 (4) 3.3方便高效的集中管理 (4) 3.3.1集中管理 (4) 3.3.2实时监控 (5) 3.3.3智能升级 (5) 第4章典型客户 (5)
第1章概述——需求分析 随着互联网行业的逐渐发展,网络已经发展成为联合大学不可或缺的办公依托,然而校园网内用户肆意的上网行为也带来挑战。网络中心的监管压力,内部的管理压力,这一切都要求联合大学对各个分校区的互联网进行有效的管理,具体问题如下: 1)大量的非业务资源的访问(P2P/BT/在线影音)、超大文件的传输、上传、下载吞噬出口带宽资源,造成关键业务应用访问速度严重降低,带宽出口的瓶颈日益显现出来。 2)互联网的开放性带来了资源的传播和共享,同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷,如何在日常工作中过滤这些不良网页,为学校创造一个健康的绿色的网络环境。 3)网络的开放性给网民带来更多的言论自由,但互联网上部分不负责任人士发表一些类似色情、反动、迷信或者暴力的信息,影响其他人士,造成了不必要的影响。 第2章深信服解决方案 充分考虑联合大学的实际网络状况,建议采用上网行为管理的集中部署解决方案。 上网行为管理策略: 1)通过强大的流量管理系统轻实现基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制,进行带宽划分和分配,实现带宽资源利用率的最大化。 2)内置千万级URL库,具备URL智能识别功能,对反人类、反政府、色情、赌博、毒品等包含不良信息的网页进行过滤。 3)可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站,可设置看帖看不允许发帖,或者实行发帖关键字过滤,避免发表不良言论给学校带来法律追究责任的风险。 4)对所有日志进行报表呈现、数据分析,做到全网网络的透明化管理。 整套网络由联合大学总部及4个分校区组成,由总部集中管理设备实现统一管理: 1)方便快速部署:通过总部的集中管理平台,实现对各校区上网行为管理的配置、选
上网行为管理解决方案-1(详细版)
XX公司 上网行为管理解决方案 XXXXXXXXXXX有限公司 2020年
目录 目录 (2) 一、XX介绍 (4) 1.1公司简介 (4) 1.2产品简介 (4) 1.3资质认证 (5) 1.4产品荣誉 (5) 二、上网行为管理– XX行业信息安全新视角 (5) 2.1XX行业信息安全建设面临的问题 (5) 2.2对员工上网行为进行规范管理势在必行 (7) 三、XX集团公司互联网访问管理需求分析 (7) 3.1 项目背景 (7) 3.2需求分析 (7) 四、 XX集团互联网访问管理方案设计理论依据 (9) 4.1基于ISO/IEC 17799信息安全管理标准 (9) 4.2主体管理技术理念 (9) 4.3 主体管理构架于真实的组织结构之上 (9) 4.4 基于行为后果的搜索引擎技术分类网址库 (10) 4.5 细粒度树形协议分类库 (10) 4.6 流行的五元组方式的策略定义 (10) 4.7 DPT,DST技术 (10) 4.8 持续的、可学习的本地更新技术 (10) 4.9 安全基础的PPDR理念 (11) 五、 XX集团上网行为管理解决方案和技术实现 (11) 5.1 整体解决方案 (11) 5.1 总部ICG部署的网络拓扑 (12) 5.2 分公司ICG部署的网络拓扑 (12) 5.3 NSICG的技术实现介绍 (12)
5.3.1可靠高效的硬件系统和智能容错旁路技术 (12) 5.3.2灵活安全的设备管理方式 (13) 5.3.3专业级的应用识别和分类,层次清晰的结构化管理 (13) 5.2.4迅速准确的协议跟踪识别 (13) 5.3.5细致的用户组织结构管理 (13) 5.3.6XX灵活精细的带宽管理策略 (14) 5.3.7异常流量防护报警,保障出口线路的稳定 (14) 5.3.8先进的内容过滤技术,构建文明健康的企业网络 (15) 5.3.9外发信息控制管理 (16) 5.3.10强大的内置流量分析和行为统计报告 (16) 六、产品规范 (16) 6.1产品指标规范 (16) 6.2系统结构图: (16) 七、项目实施管理 (17) 八、产品部署方案 (18) 8.1设备上线安装步骤 (18) 8.2 设备IP、路由说明,地址分配说明 (18) 8.3互联网访问管理部署 (18) 8.4设备可用性测试 (19) 8.5风险分析及回退 (19) 8.6变更实施人员工作分工 (19) 8.7使用期间的维护 (19) 8.8部署完毕后守局并制作使用报告 (19) 九、重点功能实现方案细则 (19) 9.1用户身份鉴别及帐户的管理 (19) 9.2互联网访问提速方案 (20) 十、典型客户 (21) 10.1、典型客户案例 (21) 10.2、典型客户列表 (24)
上网行为管理解决方案
上网行为管理 解决方案
2011 年 11 月
上网行为管理解决方案
1.项目背景
随着信息时代的到来,国际互联网的普遍应用已日益渗透到我国社会政治、经济、
文化生活的各个角落。互联网是一个连接全世界的、开放的、自由的信息网络,涉及到
社会各个领域,它带来的是其开放性、兼容性、高效性与跨国性的信息传播,人们因此
而受益颇多。在信息化推进的同时,不可避免的伴随着计算机犯罪的增加、网上黑客的
猖獗、色情信息的泛滥、信息间谋的潜入。
XX 集团,重视 IT 基础架构的建设,从而助推业务系统综合实力的提升。但是有必
要在现有 IT 基础架构的基础上建设上网行为管理系统,通过下属的行政效能监察室来记
录或者管理市直属单位以及各二级单位的上网行为。其必要性在于:
第一:从遵守国家政策角度,每个联网单位有义务建设行为、内容管理系统。
第二:作为能源类单位,必须遵守萨班斯法案或者类似法案,该法案要求企业的内
控活动,不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录,对审计
过程也有存档的要求。同时《公安部互联网安全保护技术措施规定(公安部令第 82 号)》
第十三条,互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应
当具有至少保存六十天记录备份的功能。
第三:通过互联网传递信息已经成为企业的关键应用,然而信息的机密性、健康性、
政治性等问题也随之而来。需通过上网行为管理设备制定精细化的信息收发监控策略,
有效控制关键信息的传播范围,以及避免可能引起的法律风险,并且保护企业的信息资
产,尤其是勘探信息、经营信息等。
第四:可以通过管理上网用户的行为,提高企业的运作效率,避免与工作无关的信
息的干扰。
--------------------------------------------------------------------------------------------------------------------------------------------------------
北京网康科技有限公司
第 2 页 共 28 页
上网行为管理制度
上网行为管理制度 目的:为加强公司网络管理,规范员工上网行为、提高工作效率,进行上网流量控制;合理分配带宽,提升网络资源利用率,保障公司信息安全,防范网络风险。 特制定下列管理办法: 一、网络设备与使用者管理 1.1 严格落实办公计算机、IP 地址、电脑账号使用人负责制。按照“一机一址、谁使用谁负责”的原则,登记计算机信 息、IP 地址、电脑账号。登记人使用该计算机、 IP 地址、电脑账号的直接责任人,对该计算机和IP 地址、电脑账号的信息安全、网络行为负责。使用人发生变动后应及时更新,并报信息部进行信息修改。? 1.2 责任人不得擅自拆卸、改变计算机内部配件。 不得修改计算机的软硬件设置、IP地址、DNS等。严格禁止盗用他人计算机、IP地址、电脑账号、0A等各 类信息系统的登录账号,否则,一经查出,加重处罚。 1.3 严禁私拉网线,严禁私用路由器及所有影响网络正常运行的设备。 网络资源、IP 地址、电脑账号由信息部统一分配,严禁私拉网线,严禁私用路由器及所有影响网络正常运行的设备。如因办公需要增加路由器等设备,需在向信息组报备,填写OA 信息组栏目下设备申请单。 二、网络信息访问管理 2.1 上网权限与分配为了有限管理公司网络安全和保密文件,对于特定电脑进行禁止上网规范。对于申请开网和临时开网需 通 过OA信息组栏目:网络USB接口申请单,申请审批过方可开通上网权限。信息组负责对公司电脑用户上网行为通过防火墙进行控制,对公司内部网络环境进行监控。将对整个网络的各种活动进行网络监控,主要包括访问网站、即时通讯、P2P 行为、流媒体软件等。以规范员工的网络权限。 2.2禁止安装和使用非公司指定即时通信工具,如QQ、微信、MSN、ICQ、Skype、UC和POPO等。如果有特定 业务需求,须向信息部申请安装,禁止私自安装。? 2.3禁止利用公司网络,访问BBS博客和网络游戏,如QQ游戏、浩方、边锋和传奇等游戏。 2.4 禁止利用公司网络,发布、浏览或?散播娱乐、购物、反动、邪教、色情、赌博、交友、证券和暴力等一 切与工作无关的网络信息。 2.5禁止浏览在线视频,如优酷、土豆、PPLive和Qiyi等。 2.6 禁止使用在线炒股软件、游戏客户端软件、挂机练级、外挂软件 2.7 禁止在网上下载破解软件、辅助外挂等软件 三、网络流量管理 3.1禁止安装和使用P2P及其它影响网速的上传下载软件,如BT、迅雷、电驴、风行和Qvod等。 3.2 信息组根据各部门业务需求,分配满足工作需要的带宽。如果需要增加带宽,须向信息组申请,再由总经办审批。? 3.3 对流量异常变动情况,信息部须追踪调查,当影响到其他用户使用会采取断网或限制网速。 3.4 信息部须对网络流量进行日常监控和统计,并根据各部门实际流量调整带宽,保障网络资源有效使用。 四、上网时间管理 4.1 禁止在工作时间从事与工作无关的任何上网活动。 4.2 信息部须保证工作时间网络正常,休息时间需要对网络设施做好日常维护。 4.3 对于临时上网审批通过后,须要严格按照审批开通时间进行控制。 五、外发文件管理 5.1 通过公司网络,外发任何包含公司保密信息的邮件、图纸和报价等。需经部门负责人同意方能外发。 5.2 对于加密文件需解密外发由加密软件控制。 六、无线网络管理 6.1 对于公司无线设备由信息组统一设置和管理,任何人禁止擅自添加、拆除或修改无线设置。 6.2无线网络分为内网和外网,内网适合员工使用公司内部系统和公司无线设备使用。外网为受控管理网络开通无线外网访问需填写0A信息组网络与USB接口申请单,审批通过后由信息组开发。
小企业上网行为管理路由器解决方案
小企业上网行为管理路由器解决方案 随着计算机、宽带技术的迅速发展,网络办公日益流行,互联网已经成为人们工作、生活、学习过程中不可或缺、便捷高效的工具。但是,在享受着电脑办公和互联网带来的便捷同时,员工非工作上网现象越来越突出,企业普遍存在着电脑和互联网络滥用的严重问题。网上购物、在线聊天、在线欣赏音乐和电影、P2P工具下载等与工作无关的行为占用了有限的带宽,严重影响了正常的工作效率。 随着数据网络和通信业务迅速发展,企业信息化进程日益加快,随着企业内部网络应用的增多,如何保障网络安全,有效分级对员工行为进行控制成为一个重要课题。 网络高峰期时,如何保证办公和关键业务的正常运转? 如何防止业务数据等机密信息泄漏? 如何有效防止ARP欺骗、病毒、木马带来的威胁? 如何防止员工访问非法网站而避免法律风险? 内部言论如何进行有效控制? 万任UniERM网络流量综合管理系统对中小型企业市场,帮助客户控制和管理对互联网的使用,实现对网页访问过滤、网络应用控制、带宽流量管理、用户行为管理和日志记录。万任UniERM系统集数据、交换、安全、无线、行为管理等功能于一体,可以以路由或桥接的方式部署在中小型企业网络出口,对企业内部员工的上网行为进行控制。 万任UniERM系统具有以下特点功能: 1、统一管理系统 集企业级上网行为管理、流量控制、路由器、防火墙、链路负载均衡于一身的综合管理网关。 集中的管理可以让网络管理员在一个平台上对网络进行全面的管理,降低操作复杂度。 2、网络协议分析实时、准确 网络应用识别率高,流量统计实时准确,真实反映网络状态。 流量显示实时性强,数据每5秒刷新一次,方便及时发现网络问题。 3、强大的员工上网日志审计功能 支持以下员工上网日志审计: 网页浏览 / 网页搜素 / 网页POST / 文件与视频web下载 微博&博客登录、发帖、回帖、转发 / 论坛登录、发帖、回帖、转发 客户端邮件(包含正文与附件) / WebMail(包含正文与附件)
上网行为管理方案1.doc
上网行为管理方案1 XX机构上网行为管理解决方案 杭州天网电子有限公司 XXX上网行为管理解决方案 一、需求概述 1.1 背景介绍 XX机构内部网络已搭建完毕:200台PC.四个网段.100M带宽出口. 1.2 需求分析 随着Internet接入的普及和带宽的增加,一方面员工上网条件得到改善,另一方面也给机构带来更高的网络使用危险性、复杂性和混乱性。据IDC调查发现,在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。IDC的数据统计显示,员工30%-40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。而中国员工比其它地区的员工每周多花7.6小时使用IM、玩游戏、P2P软件或流媒体。互联网滥用,给中国企业、政府、高校、行业用户等各行业带来了巨大的损失。 员工随意使用网络将主要导致五个问题:(1)工作效率低下、(2)网速越来越慢、(3)安全隐患不断、(4)信息和机密外泄、(5)网
络违法行为。 为获取外部信息和资源、及与第三方合作伙伴、投资方等保持联系和沟通,机构内部网络必然与互联网连通。IT管理者如何及时了解网络运行情况,并对网络整体状况作出基本 的分析,发现可能存在的问题(如访问违规网页、玩网页游戏、资源滥用、泄密、ARP欺骗等),并进行快速的故障定位,这一切都是对机构内网安全管理的挑战,这些问题包括:IT管理者如何对网络效能和行为进行统计、分析、评估? IT管理者如何控制上班时间QQ聊天、游戏、无关网站浏览等非工作网络访问行为? IT管理者如何管控BT、PPLive等P2P行为,避免其严重占用带宽,同时如何为业务系统和关键用户保障带宽资源的分配,提升带宽利用率? IT管理者如何防范用户“主动”下载含有病毒、木马、恶意软件的文件? IT管理者如何杜绝通过Email、MSN等途径潜在的泄密行为? IT管理者如何避免网络造谣、恶意言论和发贴等法律问题,并在发生问题时有据可查? 因此,如何有效地提高工作效率,提升带宽资源使用效率、改善内网安全环境、杜绝泄密行为、避免法律风险,已经成为各行业信息化建设中的首要任务。当前内网安全管理也随之提升到
上网行为管理方案
上网行为管理方案(员工上网控制) 构建安全、稳定、高效的企业网络行业背景分析 CNNIC最新数据表明:94.8%的中小企业配备了电脑、92.7%的中国中小企业接入互联网;57.2%的中小企业正在利用互联网与客户沟通及为客户提供咨询服务。从企业门户平台的建设到公文、数据的传递,从VPN企业专用信息通道到网络视频会议,网络应用已经成为广大企业提高工作效率,进行实时沟通的有力保证和手段;同时网络也成为企业收集各类信息、与外界沟通以及员工获得专业知识与信息的重要来源。然而,网络也是各种娱乐活动的渠道,是分散员工精力、生产力流失的根源,重要资料的泄漏和不可控的安全隐患也使广大企业面临巨大经济损失和法律风险。 据美国科技调查机构IDC的调查指出:企业员工大约30%?40%对网络的使用是跟工作无关的。中 国企业的情况略高于这个比例。中国员工每周花在网上处理私人事务的时间为 5.6小时,中国的IT主管认 为员工每周会花费至少6.2小时进行网上冲浪,83%的中层管理人员在办公时间内浏览与工作无关的网站。 如果缺乏管理制度和技术手段,员工不加监管、随意使用网络将导致三个重大问题:工作效率低下、网络性能恶化、网络违法隐患。 行业网络需求分析 多线高速接入 因为拨号接入方式比专线、光纤便宜很多,一般企业多采用ADSL这类的宽带接入。随着网络的应用 越来越多,管理难度越来越大,很多企业一条宽带不够,再增加一条宽带;两条条宽带不够,再增加两条宽带。但这样就会出现多路接入、多个出口的问题,接入设备多,维护成本增大,给管理带来困难。 因此企业需要多路宽带接入,特别是在业务范围覆盖全国的企业,还需要电信、联通线路的同时接入访问,消除跨网互通的问题。 网络带宽管理 一般来说,一个2M外网带宽的局域网,只要有2个以上的用户毫无节制地使用BT,所有人的正常 BT、迅雷、电驴、PPLive等P2P软件和 网络浏览都将成为不可完成的任务。如果缺乏有效的技术手段, 在线影音等 行为就会严重吞噬带宽资源,导致正常工作的带宽得不到保障,企业大量投资的宽带网络速度一天比一天慢;IT 部门经常遭到抱怨,要求提升上网的带宽;而有趣的是抱怨的人中常常包括那些下载音乐文件或看视频电影的员工。
员工网络行为管理规范
关于员工使用互联网的行为规定 为了给企业创造一个良好的上网环境,有助于大家合理利用工作时间,高效率地完成各项工作目标,更好地营造积极向上的工作氛围,在不影响大家正常收发工作邮件与有准备地上网查询工作资料的情况下,特对我公司互联网的使用做出如下管理规定: 一、公司互联网使用要求: 1、上网用户必须遵守《计算机信息网络国际互联网安全保护管理办法》,严格执行安全保密制度,对所提供的信息负责。不得利用公司网络从事危害公司安全、泄露公司秘密等犯罪活动,不得制作、查阅、复制与传播有碍社会治安与有伤风化的信息。 2、上网用户必须遵守《中华人民共与国计算机信息系统安全保护条例》,不在公司网络上进行任何干扰网络用户、破坏网络服务与破坏网络设备的活动。这些活动主要包括但不局限于在网络上发布不真实的信息、散步计算机病毒、使用网络进入未经授权使用的计算机、以不真实身份使用网络资源等。 3、上网用户必须接受并配合信管部依法进行的监督检查,有义务向信管部报告网上违法犯罪行为与有害信息。 4、遵守《中华人民共与国计算机信息网络国际联网管理暂行规定》与国家有关法律、法规。不得利用公司网络传播小道消息或进行人身攻击。 5、上网时,禁止浏览色情、反动网页。浏览信息时,不要随意下载网页信息,特别就是不要随意打开不明来历的邮件及附件,避免网上病毒入侵。 二、互联网开通原则及注意事项: 信管部将根据实际工作需要给相关电脑开通网络,基本原则为: 注:网络使用人填写《上网申请表》并签字确认后,表明该用户同意遵守以下: 《员工上网行为管理规定》 《计算机信息网络国际互联网安全保护管理办法》 《中华人民共与国计算机信息系统安全保护条例》
上网行为管理方案完整篇.doc
上网行为管理方案1 上网行为管理方案(员工上网控制) 构建安全、稳定、高效的企业网络 ?行业背景分析 CNNIC最新数据表明:94.8%的中小企业配备了电脑、92.7%的中国中小企业接入互联网;57.2%的中小企业正在利用互联网与客户沟通及为客户提供咨询服务。从企业门户平台的建设到公文、数据的传递,从VPN企业专用信息通道到网络视频会议,网络应用已经成为广大企业提高工作效率,进行实时沟通的有力保证和手段;同时网络也成为企业收集各类信息、与外界沟通以及员工获得专业知识与信息的重要来源。然而,网络也是各种娱乐活动的渠道,是分散员工精力、生产力流失的根源,重要资料的泄漏和不可控的安全隐患也使广大企业面临巨大经济损失和法律风险。 据美国科技调查机构IDC的调查指出:企业员工大约30%~40%对网络的使用是跟工作无关的。中国企业的情况略高于这个比例。中国员工每周花在网上处理私人事务的时间为5.6小时,中国的IT主管认为员工每周会花费至少6.2小时进行网上冲浪,83%的中层管理人员在办公时间内浏览与工作无关的网站。 如果缺乏管理制度和技术手段,员工不加监管、随意使用网络将导致三个重大问题:工作效率低下、网络性能恶化、网络违法隐患。
?行业网络需求分析 多线高速接入 因为拨号接入方式比专线、光纤便宜很多,一般企业多采用ADSL这类的宽带接入。随着网络的应用越来越多,管理难度越来越大,很多企业一条宽带不够,再增加一条宽带;两条条宽带不够,再增加两条宽带。但这样就会出现多路接入、多个出口的问题,接入设备多,维护成本增大,给管理带来困难。 因此企业需要多路宽带接入,特别是在业务范围覆盖全国的企业,还需要电信、联通线路的同时接入访问,消除跨网互通的问题。 网络带宽管理 一般来说,一个2M外网带宽的局域网,只要有2个以上的用户毫无节制地使用BT,所有人的正常网络浏览都将成为不可完成的任务。如果缺乏有效的技术手段,BT、迅雷、电驴、PPLive 等P2P软件和在线影音等行为就会严重吞噬带宽资源,导致正常工作的带宽得不到保障,企业大量投资的宽带网络速度一天比一天慢;IT部门经常遭到抱怨,要求提升上网的带宽;而有趣的是抱怨的人中常常包括那些下载音 乐文件或看视频电影的员工。 网络带宽缺乏规划与管理,势必造成网络投资加大,企业成本上升。企业推广信息化建设、建立网络应用环境是为了提高工作效率,降低办公成本。网络资源浪费迫使企业加大网络投资,网络投资导致了成本的上升,利润的下降,这也是企业面临的重