公司上网管理规定(精选8篇)
为规范公司网络使用,提高工作效率,特制订本规定,望全体员工恪守规则,共同营造高效有序的网络及办公环境。
一、上班时间段,电脑及上网操作行为规范:
1、禁止上班时间从事与工作无关的事或处理个人事务。
2、严禁上班时间进行脱机游戏、炒股、听歌、看电影与工作无关的文件及图片,如MP3文件、电子小说、影象文件等于工作无关的事情。
3、P2P 软件对网络资源消耗极大,上班时间内严格禁止PPS网络电视、酷狗音乐、QQ网络音乐电视、BT电驴等 P2P 软件的使用。
4、不滥用网络浏览无关网页、娱乐网站、购物网站、色情网站、反动网站等,不利用QQ/MSN做与工作无关的闲聊,对于一切流媒体网站如:土豆网、优酷网等禁止访问。
5、所有员工应加强网络安全知识的学习,严禁故意输入计算机病毒以及其它有害数据,危害公司网络系统的安全,增强信息安全和保密意识,无法识别的信息不要下载,无法确定是否安全的操作,慎重进行,以防被病毒入侵对单位和自身造成危害。
二、网络管理与监控:
1、必要时公司会定使用上网行为管理系统软件对公司网络环境进行监控。主要包括 email、上传下载、网页浏览、QQ/MSN 即时通信、网络游戏、P2P 行为、流媒体软件等,以规范员工的网络使用。
2、员工因工作、业务需要,必须开通QQ或其他公司禁止浏览的网站的,由本人递交使用申请及开通事由,报部门领导审核,人事行政部审批、报IT部开通相关功能。
三、对违反上网行为的处理办法:
上网行为分析记录将作为员工自然及合同考核的评分指标记入考核成绩,作为员工职位升迁、薪资调整、奖金核定等的重要参考依据。
本规定从发布之日起生效,如有疑问或建议,欢迎向人事行政部提出。
xxxxx有限公司
北京电力公司是特大型电力企业, 现有职工9 439人, 以建设运营北京地区电网为核心业务, 负责北京地区1.68万km2的电力供应、销售和输电、变电、配电设施的建设运行, 为北京地区工农业生产、人民生活、市政建设等480万电力客户提供优质、可靠、经济的电力能源服务, 同时肩负着为党中央、国务院等上级机关安全供电和保证首都政治活动安全供电的任务。
作为关系到国计民生的支柱产业, 北京电力公司的网络能否稳定运行, 决定了国民生活的稳定与否;同时如何防止一些重要信息通过互联网泄露, 也成为了北京电力公司网络建设需要关注的一个重点。如何规避风险、消除互联网信息过度流动起来的弊端, 成为北京电力公司亟需解决的问题
通过对北京电力公司目前的应用分析, 发现有以下几个方面的问题需要解决: (1) 防止机密信息通过内部主动泄露到互联网; (2) 控制木马、间谍软件窃取内部机密信息, 通过互联网外泄; (3) 对终端进行安全管理, 防止木马病毒的泛滥。
2 产品部署
经调查研究, 北京电力公司采取了深信服上网行为管理解决方案, 该方案结构示意图如图1所示。
3 解决方案思路
对于外发的信息, 应该如何有效控制才能防止机密信息通过内部主动泄露到互联网上去?为了解决这个问题, 必须拥有完善的访问审计和监控手段, 这样才能够有效防止信息通过Internet泄漏, 并且能够建立强大的内部安全的威慑手段, 减少内部泄密的行为。
经深信服科技的统计, 泄密主要途径主要包括邮件、IM软件、HTTP上传以及在BBS、博客发表言论。对于北京电力公司经常使用到的邮件, 可采用邮件延迟审计这种安全措施来保证邮件信息途径的安全, 即先审计后发送;而对于QQ、MSN等IM软件可以做全面的记录, 不仅能够对未加密的进行识别记录, 对加密的也能识别和记录;对HTTP、FTP中敏感数据和内容的上传进行拦截和记录;对BBS (论坛) 、博客的内容进行监控和记录;另外, 能够支持代理服务器 (http、https、socks) 识别, 对非法网站访问进行拦截和记载。
在控制木马、间谍软件窃取内部机密信息方面, 能够对HTTP访问、FTP共享进行网络杀毒;通过URL库黑名单以及SSL控制功能, 避免内网用户登录恶意网页;对内网接受的邮件进行正文及附件的查杀毒。同时带有防火墙、IPS、防ARP欺骗和防DOS攻击, 提供更完整更全面的安全解决方案。
对终端的安全管理方面, 必须保证终端只有匹配了相应的安全策略后才能接入Internet。另外, 当终端被感染了木马病毒时, 能够中断终端的上网行为。这样就避免了一些员工在PC上没有采取必要的安全措施就连接到Internet以及木马病毒的泛滥, 减少了客户不安全因素的传播。
4 解决方法及手段
(1) 深度的内容检测技术。目前北京电力公司内部常用的软件, 如QQ、MSN等, 在用TCP或者UDP数据包的传送过程中, 其报文段都会有一段特征码, 该特征码是用来标识其数据包类型。深信服AC安全网关的深度内容检测技术, 可以检测出数据包的报文中相对应的特征码, 并根据预置策略进行及时封堵。深信服AC安全网关内置了多种深度内容检测技术所依赖的特征码规则, 并且可以从网站上更新下载。依靠这种技术, 可以有效防止泄密或由于员工泄密引起的重大损失。
(2) 对加密流量的识别监控。通过深信服AC特有的客户端安全检测功能, 加密流量在加密传输之前, AC就可以对流量进行识别, 有效监控加密流量, 控制内部通过加密途径的泄密行为。
(3) 在线网关监控技术。与其他旁路监听的访问监控产品不同的是, 深信服AC使用了在线网关监控技术。所有的旁路监听产品, 对UDP发送的数据都难以拦截, 并且拦截往往有一定时延, 拦截敏感数据的效果不佳, 并且容易遗漏监控数据。深信服AC的在线拦截监控技术能保证拦截到所有敏感数据, 外出数据无一纰漏, 这也是北京电力公司格外关注的问题。
(4) 邮件延迟审计 (PSA) 。AC集成的基于网关的邮件延迟审计技术为企业级用户提供了邮件内容防护的可靠途径。PSA采用了邮件转移技术, 内网用户发送的邮件会首先被AC网关转移至网关的邮件缓存区, 邮件审核人员通过系统口令访问邮件缓存区并审核邮件正文及其附件, 那些涉及到机密信息、侵犯性语言、非法URL、个人隐私的邮件将被返回给发件人或者丢弃。而这一审核过程对局域网中的用户是完全透明的, 邮件的发送过程和以往并没有任何不同。
(5) 网络准入规则 (NAR) 。AC的网络准入规则通过对客户端的评估来实现网络访问控制, 并更好地维护网络安全防线。启用了AC的NAR功能后, 内网用户第一次发起互联网连接请求时, NAR将动态分发准入代理至客户端主机。SIA是轻量级软件代理, 用于确定端点是否遵从管理员设定的安全策略, SIA中可配置用于检查预定义的和可定制的标准, 包括操作系统、运行程序、系统进程、注册表的存在/版本/补丁等。当SIA将搜集到的客户端信息传回AC网关后, 当内网用户的端点安全状态不符合SIA的规则设置时, AC将对相应用户执行预定义的策略, 放行或强制关闭某项程序或进程。
5 结语
通过上网行为管理,面对自己的员工,越来越多的老板有了一切尽在掌握的“豪迈”。
我在网上干什么老板都知道?
因为上网行为管理,上班时,越来越多的员工有了自己变成透明人的恐慌。
近年来,大大小小的老板都把上网行为管理奉为管理“神器”,纷纷配置,其影响由此深远。
目前,上网行为管理已经成为了一个热门话题,众说纷纭。
何为上网行为管理
上网行为管理是随着互联网的发展而产生的新的市场领域,用户对网络安全的要求,已不仅局限于被动的防护(如:端口控制,防火墙,防病毒之类),开始主动地关注人的网络行为。
上网行为管理就是通过专门针对员工上网行为而设计开发的网络行为分析和管理工具,帮助企业管理者全面了解员工上网情况和网络使用情况,对与工作无关的网络操作进行限制或阻止。
简单地说,上网行为管理是针对员工上网所做的事情进行监控及约束的。同时,通过它,企业管理者能一目了然地“看到”员工在做什么。
很多员工会在办公时间内进行与工作无关的上网行为,如浏览网页,论坛发贴、IM聊天、下载等。互联网数据中心2007年发布的企业网络安全报告显示,在开放的企业网络环境中,普通企业员工每天40%的互联网访问活动与工作无关,内部员工的这种上网行为导致超过80%的企业信息安全事件。
目前,一个完整的上网行为管理产品一般包括web过滤、应用控制,宽带管理,信息监控,行为审计和IM管理等模块。其实对老板而言,需要的只是更加实惠的安全功能。如谁在用BT下载?谁在浏览门户网站?谁在疯狂聊天?通过上网行为管理产品,各种上网行为都可以一清二楚地显现出来。
很多公司领导和网管们对此赞誉有加,认为这能有效地提高工作效率,因为这种监控方式也会让员工感觉时刻都处在企业管理者的眼皮之下,就算是纪律性较差的员工也不敢太懒散。
更重要的是,这样一来,影响公司网络速度及网络安全的事情少了,也就会让公司业务更好地开展,公司的网络安全也能得到更好的保障。
关于上网行为管理的争论
上网行为管理主要是针对企业员工进行的,在上班期间,企业员工的行为受到监控。在一种时刻被监控的环境下工作,很多人会觉得不自在,感觉自己的隐私被侵犯。而对于企业主来说,上网行为管理方案的使用可为企业网络的管理带来好处,也正是这种监控让管理者能知道员工究竟每天在忙碌些什么。
因而在上网行为管理这个词刚出现时,对于企业该不该使用它的争论就没有停止过。
IT行业资深分析人士蓝藻介绍,在美国,有80%的单位对员工在上班期间的互联网活动进行监控,且得到了“萨班斯法案”的支持。而我国在2006年3月1日开始实施的《互联网安全保护技术措施规定(公安部令第82号)》,也为中国的互联网使用单位,包括企业,政府,高校等诸多机构,对内部用户的网络行为管控提供了法律依据。
不少企业家认为,在采用上网行为管理方案时,对所有员工都是公开进行的。而员工在企业所雇用的工作期间,在每天上班时是不应该做非工作事情的,在追求工作效率的时代,采用上网行为管理不失为一种很好的管理方法。
但《电脑报》在对中关村多家企业的调查表明,有60%的员工认为被监控就是不被信任,意味着被侵犯隐私。有20%的人表示,工作时受到监控会导致精神状态紧张,产生无形的压力。
《互联网安全保护技术措施规定》也同时强调,不得利用互联网安全保护技术措施侵犯用户的通信自由和通信秘密。因为网络监控而导致员工与公司纠纷的案例并不少见,甚至告上法庭的也非偶然。不少员工还因为交流隐私被监控愤而辞职。
另外,也不是所有的企业都认同上网行为管理,部分企业管理者明确表示信任自己的员工,不会上该类产品。
去年,国际著名物流公司DHL因为对员工上网行为进行监控,而被一家大客户认为有侵犯员工福利之嫌,几乎因此中止其供应商资格。
虽然,关于企业该不该使用上网行为管理的问题,至今依然争论不休。但蓝藻表示,上网行为管理作为一个新兴产业,已经成为业界的热点,未来几年市场将处于“井喷”时期。
作者:大势至 日期:2013.6.30
聚生网管系统是大势至(北京)软件工程有限公司推出的一款局域网上网控制软件,早在2005年就推出了第一代版本,经过近8年的不断研发和实践积累,使得聚生网管已经成为国内网管软件市场首屈一指的品牌,也是国内知名度最高、产品应用最普遍、性价比最高的网管软件品牌,在诸多优势遥遥领先国内同行产品。聚生网管系统核心优势如下:
一、聚生网管是国内最早、最成熟、功能最全面的员工上网管理软件品牌
聚生网管系统是国内最早的控制员工上网的品牌之一,从2005年推出的第一代网管产品,经过8年的不断研发和网络管理实践积累,使得聚生网管系统各项网络管理功能日臻完善,可以为企业提供一站式的局域网网络限制解决方案,帮助企业有效管理公司局域网电脑上网行为。
二、聚生网管系统是国内安装最快捷、上网控制功能最强、最好用的网管软件品牌 在国内诸多网管软件品牌中,聚生网管系统安装部署是安装最便捷的。安装聚生网管软件不需要调整网络结构,不需要单独的电脑或服务器,也不需要调整路由器、交换机或防火墙等网络设备,也不需要在被控制的电脑上安装类似木马的客户端软件,而是只需要在局域网一台电脑安装就可以控制整个局域网电脑上网行为;安装完毕聚生网管系统,启动网络管理就可以扫描局域网所有电脑,不需要手工添加要监控的电脑。同时,聚生网管界面设计极为简单,纯傻瓜界面,各项功能模块一目了然,所有网络控制功能只需要点击鼠标就可以启用,极为易用。聚生网管系统可以有效禁止局域网下载、限制员工炒股、禁止玩电脑游戏、限制电脑QQ聊天、禁止上班网购、限制浏览无关网站、屏蔽视频网站、禁止员工上班看电影、防止ARP攻击、绑定IP和MAC地址、限制网络流量等功能,可以帮助企业实现一站式的局域网限制上网行为。
三、聚生网管系统是国内唯一可以完全禁止局域网迅雷下载、限制迅雷上传、禁止使用迅雷下载的网管系统 目前,在国内诸多P2P下载软件中,迅雷是应用最普遍、同时也是下载速度最快的P2P软件,局域网员工使用迅雷下载可以瞬间耗尽单位的网络资源,导致整个局域网网速很慢、上网速度很慢,严重影响了企业各项网络应用的正常进行。这是因为迅雷融合了所有流行的P2P下载技术、HTTP下载和FTP下载技术,再加上迅雷的资源检索技术先进、资源服务器众多,这使得封堵迅雷下载也变得极为困难,国内其他网络控制软件品牌常常无法有效封堵。而聚生网管研发团队经过对迅雷传输原理的深入分析、综合利用各种网络报文检测和识别技术,已经完全掌握了迅雷传输的各项特征,从而可以完全禁用迅雷下载,同时还可以完全禁止迅雷上传。在启动聚生网管系统,只需要在“P2P下载限制”这里勾选禁止迅雷下载,即可完全阻断局域网迅雷下载,从而避免了迅雷下载抢网速、抢带宽的行为,可以彻底从根源上防止局域网网速被迅雷抢占的情况。因此,是否可以有效屏蔽迅雷下载也是衡量一款网络管理软件是否真正有效的、是否具有领先的网络控制技术的重要标准之一。
四、控制P2P下载软件、限制P2P网络电视、禁止网页视频国内遥遥领先 除了有效禁止迅雷下载之外,聚生网管系统在控制其他P2P软件也遥遥领先国内同类网管软件,例如有效禁止QQ旋风下载、禁止快车下载等等国内数十种最流行的P2P下载软件;同时,聚生网管系统还可以有效禁止P2P网络电视,例如有效禁止PPS影音、禁止PPlive网络电视、限制PPTV等等国内最流行的数十种P2P网络电视;此外,聚生网管系统还可以有效禁止在线视频、屏蔽网页视频等几十个国内最流行的视频网站。总之,聚生网管无论是限制P2P软件的数量,还是有效性等方面都遥遥领先国内同类网管软件,并且也是国内独家可以根据用户的需要随时增加各种P2P软件、网络电视和网页视频的封堵;聚生网管系统也是国内独家开放了系统过滤内核的品牌,允许网管员自行添加各种过滤规则,从而帮助用户实现个性化、自主化网络管理。
五、有效禁止QQ聊天、禁止阿里旺旺登陆,控制聊天软件功能国内最强
聚生网管不仅可以有效屏蔽QQ聊天等国内十几种最流行的聊天软件,并且还可以对聊天软件精细化控制。聚生网管不仅可以检测局域网QQ账号、检测MSN账号、检测阿里旺旺账号,并且还可以设置QQ白名单,只让一部分QQ账号登陆、只允许登陆企业QQ账号、只让特定阿里旺旺账号登陆、只让特定淘宝账号登陆,并且还可以检测局域网淘宝账号。通过对聊天软件账号的精确控制,使得聚生网管可以有效防止员工上班时间聊私人QQ账号、登陆私人阿里旺旺账号或登陆私人淘宝账号,从而防止员工上班做私事、开设网店或上网购物等行为,有效规范了员工使用聊天软件账号的功能。
六、禁止购物网站的数量最多、防止员工上班购物、禁止工作时间网购国内最强
目前,在企业白领上班族中,上班时间网购已经成为司空见惯的现象。员工工作时间网购,一方面也占用大量的工作时间,影响工作效率;另一方面,员工打开购物网站,经常会遭遇钓鱼网站、木马网站等病毒网站,一旦不小心点击了这些网站,极容易会导致电脑中毒,从而造成网络安全隐患,有些病毒还会发动网络攻击、ARP攻击等,从而对局域网安全造成隐患。此外,一些病毒还会窃取员工上网账号、网银账号或邮箱账号等,从而引发各种网络安全隐患。为此,聚生网管系统集成了国内最全的屏蔽购物网站的功能,可以完全禁止员工访问国内所有流行的网购网站,完全阻止员工上班时间网购的行为,规范员工上网行为,提示员工工作效率,保护局域网电脑安全。
七、国内唯一完全突破杀毒软件有效控制局域网电脑网速、限制别人网速、控制其他人网速等
限制局域网网速是聚生网管系统核心功能之一。启动聚生网管系统之后,只要在扫描到的电脑前面勾选,就可以看到局域网所有电脑的上行带宽和下行带宽。然后你可以创建一个限制带宽的策略,并指派给局域网电脑,就可以对电脑的上行网速(上传网速)和下行网速(下载速度)进行实时的控制。同时,聚生网管系统是国内唯一完全可以突破各种防火墙限制局域网网速、控制别人网速、限制其他人网速的系统。此外,聚生网管系统基于深度报文统计技术,限制电脑网速更为精确,确保了用户局域网网速控制的真正有效。
八、国内唯一可以有效监测局域网无线路由器、控制无线路由器下电脑上网行为的品牌 目前,在企业局域网中,由于网络布线或网络限制的原因,员工常常自己配备无线路由器、私自安装无线路由器进行上网,同时也常常是为了使用自带的笔记本、手机或平板电脑上网。这种情况一方面使得这些无线设备的接入,可能会抢占公司局域网网速、造成网络带宽紧张不足的局面;另一方面,员工通过无线路由器上网,也使得网管员无法精确定位和控制员工电脑上网,无法区分手机、平板电脑或员工自己的笔记本电脑,从而增加了网络管理的难度,不利于实施规范的网络监控。因此,聚生网管研发团队经过深入的分析和研究,在聚生网管系统上增加了实时探测局域网无线路由器的功能,并可以隔离无线路由器、禁止无线路由器上网,从而阻止了员工私自安装无线路由器进行上网的行为。目前,聚生网管系统是国内唯一可以有效管理无线路由器上网、防止员工私自接入无线路由器系的系统。
九、监控邮件发送功能最全面,国内唯一可以进行邮件“先审核后发送”功能的网管品牌 聚生网管系统不仅可以有效监控局域网邮件发送情况,实时监控邮件正文内容、实时查看邮件附件内容,并且可以有效监控网页邮件或监控Outlook、Foxmail发送邮件的情况;同时,也可以完全禁止员工登陆非公司的信箱、禁止员工使用门户网站的信箱,而只允许使用公司信箱进行邮件收发。同时,聚生网管系统是国内唯一可以对邮件进行实时审核和发送的功能,也就是员工发送的邮件会实时转发到经理或网管员自己的监控中心,然后经过审核之后,允许发送的邮件才可以发走,而含有敏感关键词或商业机密的邮件则会可以直接阻断,从而可以有效防止员工有意或无意泄露公司商业机密的行为,保护商业机密的安全。
十、国内最强IP和MAC绑定功能,并独家集成了人性化的提醒功能,实现自动化管理 聚生网管系统集成的IP和MAC地址绑定功能是国内同类网管系统里面最简单、最实时和最人性化的。网管员只需要在聚生网管的“安全管理”,这里点击启用“IP和MAC地址绑定”功能,并点击“获取IP和MAC绑定关系”就可以获取到局域网所有电脑的IP和MAC对应关系并进行了有效绑定,当然员工也可以自行添加IP和MAC对应关系。同时,当员工修改了IP地址或MAC地址关系之后,聚生网管系统不仅会实时阻断电脑的公网访问、禁止电脑上网,而且还会进行人性化的提醒,告知用户必须修改回之前的IP地址或MAC地址,否则系统将会禁止其上网。通过这种人性化的提醒,一方面达到了网络管理的目的,规范了局域网IP地址使用情况,另一方面也可以促使员工自动更改回之前的IP地址,从而降低了网管的工作量,实现了人性化、自动化的管理。
十一、最有效防止局域网ARP攻击、防范ARP欺骗、实时监测ARP攻击源主机
当前,局域网ARP攻击的事件屡有发生,ARP攻击会导致局域网掉线、断网现象的发生。很多网管员认为只要在路由器上进行IP和MAC绑定就可以了,但是实际上ARP攻击分为ARP欺骗和ARP劫持两种,一般的路由器只能防止ARP欺骗,而对于ARP劫持行为一般无能为力。而聚生网管系统提供的ARP攻击防护功能,可以有效防止ARP欺骗攻击,同时还可以防止ARP劫持攻击,从而完全防止了局域网因为ARP攻击行为而导致的断网现象,极大地保护了局域网安全。同时,聚生网管系统还可以实时检测局域网ARP攻击源主机,实时记录发动ARP攻击的电脑,便于网管员及时发现中毒电脑,及时采取补救举措,防止危害的进一步扩大。
十一、独家提供了一系列网络安全扩展插件、全力保护局域网安全 聚生网管软件是国内唯一提供了全方位安全管理插件的网管软件品牌,可以有效保护局域网安全。聚生网管远程开关机工具可以让网管实现局域网远程启动电脑、局域网远程关闭电脑、远程重启电脑和远程注销电脑等,极大地便利了网络管理;聚生网管内网安全卫士则可以有效防止外来电脑接入公司局域网,禁止外来电脑访问公司服务器或其他电脑,有效禁止局域网修改IP地址、禁止修改MAC地址、禁止电脑代理上网、检测局域网混杂网卡、防止网络嗅探、禁止网络抓包等;大势至共享文件监控系统,则可以有效监控局域网共享文件,详细记录局域网用户对共享文件的打开、读取、修改、删除、剪切、重命名等操作,并且还可以实时保护重要共享文件,防止局域网用户不小心或故意删除共享文件的行为等等。
目的
为了规范公司员工上网行为,维护正常的网络办公秩序,特制定本管理规定。
适用范围
本规则适用于公司所属各部门。
上网权限申请范围
1.公司总经理及副总经理无需申请,可直接开通外网。
2.副总经理以下级别员工因工作需要,需申请开通外网权限者,须有本部门领导申请,经批准后方可开通。3.人力资源部负责招聘的岗位需要外网发布和查看简历,可申请开通批准开通外网权限。4.财务部门网上报税岗位和网银管理岗位可申请开通外网权限。5.采购部门需要外网查询产品信息,可申请开通外网权限。
6.各部门领导应根据部门内各岗位职责,严格控制外网访问权限,工作内容与互联网无关的,不予开通外网权限。7.研发中心和机械技术部,严禁计算机接入外网,禁止私人电脑等设备连接公司内网。公司已备有可查阅资料的外网电脑,供其部门使用。
外网权限审批流程
1.副总经理及以上级别无需申请,可直接开通外网。
2.公司副总经理以下级别人员需要开通外网权限,须向本部门负责人提出申请,并在申请单中注明申请事项和申请理由,后报给主管副总审核,审核通过后交由信息管理部开通外网权限。
3.具有外网权限的员工离职或岗位变动,各部门应及时通知信息管理部,由信息管理部做相应外网权限变更或取消外网权限。外网行为规定
1.员工不得擅自更改计算机的网络设置。2.员工不得擅自接入或拆卸网络设备。
3.禁止利用互联网从事国家法律法规明令禁止的一切活动。4.禁止利用互联网查看和下载国家法律法规明令禁止的一切信息。5.未经部门主管领导批准,禁止上网发布与公司相关的一切信息。
6.员工在办公时间内不得访问与工作无关的网页、游戏、炒股,下载音乐、电影、小说、视频等。
7.不得在公司局域网内发送任何与工作无关的消息、电子邮件。8.不得使用QQ、腾讯通等即时聊天软件私聊与工作无关的内容。9.不得在公司共享盘里存放与工作无关的资料、视频MP3等文件。10.禁止下载、安装与工作无关的程序或文件。
11.不得利用互联网泄漏公司的战略计划、经营数据、财务数据、业务资料、技术资料预计被公司列为保密的信息和资料,严禁利用公司网络资源从事违反公司制度的活动。
12.不得随意打开来历不明的电子邮件,以防病毒入侵,禁止访问已知有恶意代码的病毒网站,严禁使用黑客软件攻击公司局域网内服务器及其他客户端,破坏计算机信息系统功能、数据和应用程序等。
上网行为设备管理规范
公司总的上网带宽,最高的下载速率,按照何种方式配置的上行和下行速度,原则是什么;
一.网络管理概述
1.网络管理的目的
在一般情况下,网络管理的主要目的是为了提高网络可用性、改进网络性能、减少和控制网络费用以及增强网络安全性等。2.网络管理的要素
网络管理平台的建设主要与业务需求的结合。完整而理想的网络管理解决方案,应该根据应用环境和网络对业务流程,以及用户需求的端到端关联关系,来管理网络及其所有设备。3.网络资源管理
网络资源就是指网络中的硬件设备、整个环境中运行的软件(包括服务器与电脑的应用软件)以及所提供的服务等。网络管理系统必须将它们表示出来,才能对其进行管理。在好的网管软件中,当前的网络拓扑和各个硬件系统都以图形的方式显示在一个图上,而且各种信息都会动态地在上面显示,非常方便监视与管理。
4.软件资源管理和软件分发
网络管理系统的软件资源管理和软件分发功能,是指优化管理信息的收集,对企业所拥有的软件授权数量和安装地点进行管理。软件分发则是通过网络把新软件分发到各个站点,并完成安装和配置工作。5.应用管理
应用管理用于测量和监督特定的应用软件及其对网络传输流量的影响。网络管理员通过应用管理可以跟踪网络用户和运行的应用软件,改善网络的响应时
间。
二、网络管理要具备的六大基本功能
网络管理一般包括性能、故障、配置、计费、安全和行为六方面功能。
1.性能管理
主要考察网络运行的好坏。性能管理使网络管理员能够监视网络运行的参数,如吞吐率、响应时间、网络的可用性等。2.故障管理
检测、定位和排除网络硬件和软件中的故障。当出现故障时,该功能确认故障,并记录故障,找出故障的位置并尽可能地排除这些故障。3.配置管理
掌握和控制网络的状态,包括网络内各个设备的状态及其连接关系。配置管理的典型方法是,用逻辑图来描绘所有的网络设备及其逻辑关系,并将网络的确切物理布局,以适当的比例映射到这个逻辑图上。用精心设计的各种图标来表示各种网络对象,而这些图标又往往涂上不同颜色表示相应设备的不同状态。4.计费管理
记录各个用户和应用程序对网络资源的使用情况。计账管理提供计算一个特定网络或网段的运行成本的手段。5.安全管理
是对网络资源及其重要信息访问的约束和控制,包括验证网络用户的访问权限和优先级、检测和记录未授权用户企图进行的不应有的操作。6.行为管理
上网行为管理是指帮助用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。
三、上网行为管理的技术功能及产品
上网行为管理技术是专用于防止非法信息恶意传播,避免相关机密、商业信息、科研成果泄漏,并可实时监控、管理网络资源使用情况,提高整体工作效率。上网行为管理软硬件系列适用于需实施内容审计与行为监控、行为管理的网络环境,尤其是按等级进行计算机信息系统安全保护的相关单位或部门。上网行为管理通过软硬件能实现的功能有: 1.上网人员管理
上网身份管理:利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性
上网终端管理:检查主机的注册表/进程/硬盘文件的合法性,确保接入企业网的终端PC的合法性和安全性
移动终端管理:检查移动终端识别码,识别智能移动终端类型/型号,确保接入局域网的移动终端的合法性
上网地点管理:检查上网终端的物理接入点,识别上网地点,确保上网地点的合法性
2.上网浏览管理
搜索引擎管理:利用搜索框关键字的识别、记录、阻断技术,确保上网搜索内容的合法性,避免不当关键词的搜索带来的负面影响。
网址URL管理 :利用网页分类库技术,对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性。(URL:统一资源定位器)
网页正文管理:利用正文关键字识别、记录、阻断技术,确保浏览正文的合法性
文件下载管理:利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性 3.上网外发管理
普通邮件管理:利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性
WEB邮件管理 :利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性
网页发帖管理:利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性
即时通讯管理:利用对MSN、飞信、QQ、skype、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性
其他外发管理:针对FTP、TELNET等传统协议的外发信息进行内容关键字识别、记录、阻断确保外发信息的合法性 4.上网应用管理
上网应用阻断:利用不依赖端口的应用协议库进行应用的识别和阻断
上网应用累计时长限额:针对每个或多个应用分配累计时长、一天内累计使用时间达到限额将自动终止访问
上网应用累计流量限额:针对每个或多个应用分配累计流量、一天内累计使用流量达到限额将自动终止访问 5.上网流量管理
上网带宽控制:为每个或多个应用设置虚拟通道上限值,对于超过虚拟通道上限的流量进行丢弃
上网带宽保障:为每个或多个应用设置虚拟通道下限值,确保为关键应用保留必要的网络带宽
上网带宽借用:当有多个虚拟通道时,允许满负荷虚拟通道借用其他空闲虚拟通道的带宽
上网带宽平均:每个用户平均分配物理带宽、避免单个用户的流量过大抢占其他用户带宽 6.上网行为分析
上网行为实时监控:对网络当前速率、带宽分配、应用分布、人员带宽、人员应用等进行统一展现
上网行为日志查询:对网络中的上网人员/终端/地点、上网浏览、上网外发、上网应用、上网流量等行为日志进行精准查询,精确定位问题
上网行为统计分析:对上网日志进行归纳汇总,统计分析出流量趋势、风险趋势、泄密趋势、效率趋势等直观的报表,便于管理者全局发现潜在问题 7.上网隐私保护
日志传输加密:管理者采用SSL加密隧道方式访问设备的本地日志库、外部日志中心,防止黑客窃听
管理三权分立:内置管理员、审核员、审计员账号。管理员无日志查看权限,但可设置审计员账号;审核员无日志查看权限,但可审核审计员权限的合法性后
才开通审计员权限;审计员无法设置自己的日志查看范围,但可在审核员通过权限审核后查看规定的日志内容
精确日志记录:所有上网行为可根据过滤条件进行选择性记录,不违规不记录,最小程度记录隐私 8.设备容错管理
死机保护:设备带电死机 / 断电后可变成透明网线,不影响网络传输。一键排障:网络出现故障后,按下一键排障物理按钮可以直接定位故障是否为上网行为管理设备引起,缩短网络故障定位时间
双系统冗余:提供硬盘+Flash卡双系统,互为备份,单个系统故障后依旧可以保持设备正常使用。9.风险集中告警
告警中心:所有告警信息可在告警中心页面中统一的集中展示
分级告警:不同等级的告警进行区分排列,防止低等级告警淹没关键的高等级告警信息。
告警通知:告警可通过邮件、语音提示方式通知管理员,便于快速发现告警风险。
10.上网行为管理产品
深信服上网行为管理(AC)是中国上网行为管理第一品牌,可以防止与业务无关的网络行为,杜绝带宽资源滥用,加快上网速率,提升工作效率。在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为提供解决方案。
网康上网行为管理能帮助客户最大化利用互联网价值,为网络管理者提供各种互联网接入环境的身份认证、合规准入、网页过滤、应用控制、带宽管理、内容审计、外发过滤,行为分析等功能。
小草网管软件综合智能动态带宽保障,服务器流量分析与保障、虚拟多设备管理等多项突破性技术,涵盖流量分析、带宽管理、上网行为管理、DMZ区服务器管理,专线集中管理、企业级防火墙与路由器、负载均衡等功能,在网络性能、质量、安全等方面为客户提供完整的解决方案。
产品对比:从产品形态来看,上网行为管理分为硬件和软件2种,但是国内以硬件为主流,国外以软件为主流;
硬件的优势:部署简单、升级方便、故障率低
硬件的劣势:成本较高,维护复杂,维修需要专业认识
软件的优势:成本适当,维护简单、安装容易、升级快速,可以在随便找个机器部署.软件的劣势:对于国企和政府来说,没有一个东西不放心,所以国内政府偏硬件,企业偏软件。
四、深信服上网行为管理(AC)功能及部署方案 1.AC产品功能
1.1 身份认证
1.1.1 映射组织行政结构
为了给不同用户、不同部门授予差异化的互联网访问、控制、审计权限,需要规划和建立组织的用户分组结构。
一般组织均有自己的行政结构,AC可以完全按照组织的行政结构建立树形用户分组,实现父组、子组等多层嵌套的要求。在完成用户组的创建后,即可创建用户,并将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。用户创建的过程简单方便,除手工输入帐户方式外,AC能够根据OU或Group读取AD域控服务器上用户组织结构,并保持与AD的自动同步,方便管理员管理。
此外,AC支持账户自动创建功能,依据管理员分配好的IP段与用户组的对应关系,基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC,并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件,过AC的账户导入功能更加快捷的创建用户和分组信息。
用户帐号还支持有效期限定,账号过期则自动失效,支持多人共用同一帐号等,丰富的帐号策略使得管理员可以根据实际情况自由地合理调整。1.1.2 建立身份认证体系
有效区分用户,是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础。AC支持丰富的身份认证方式:
■ 本地认证:Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定 ■ 第三方认证:AD、LDAP、Radius、POP3、PROXY等; ■ 双因素认证:USB-Key认证;
■ 单点登录:AD、POP3、Proxy、HTTP POST等;
■ 强制认证:强制指定IP段的用户必须使用单点登录(如必须登录AD域等)
丰富的认证方式,帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与行为的一一对应,方便 5
管理员实施上网行为管理解决方案。
AC支持为未认证通过的用户分配受限的互联网访问权限,将通过Web认证的用户重定向至显示指定网页,方便组织管理员发布通知。1.2 应用权限管理 1.2.1应用控制策略 1.2.1.1 识别是管理的基础
全面的应用识别帮助管理员透彻了解网络应用现状和用户行为,保障管理效果。
AC多种应用识别技术,全面识别各种应用,进而有效管控和审计。主要包括: a)URL识别: AC内置千万级静态URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术; b)应用规则识别库:AC拥有国内最大的应用识别库,该库由深信服应用规则研发团队定期维护,保证库处于最新状态;该库支持360种以上网络主流应用,680条以上规则 能识别40种以上IM、50种以上P2P/P2P流媒体、100种以上游戏、20种以上OA、15种以上网银、20种以上股票行情软件、15种以上股票交易软件、10种以上木马、10种以上代理软件; c)文件类型识别:识别并过滤HTTP、FTP、mail方式上传下载的文件,即使删除文件扩展名、篡改扩展名、压缩、加密后再上传,AC同样能识别和报警;
d)深度内容检测:IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等,基于数据包特征精准识别,且支持管理员自行定义新规则,以及深信服科技及时更新和快速响应;
e)智能识别:种类泛滥的P2P行为,静态“应用识别规则”已经捉襟见肘,通过P2P智能识别,识别不常见、未来可能出现的P2P行为,进而封堵、流控和审计。
通过强大的应用识别技术,无论网页访问行为、文件传输行为、邮件行为、应用行为等AC都能帮助组织实现对上网行为的封堵、流控、审计等管理。1.2.1.2 上网策略对象化
AC支持完美映射组织的行政结构,管理员可依据组织结构添加管理策略。上网策略对象化,同一条上网策略可被多个用户/用户组复用,同一用户/用户组可关联使用多条策略,实现策略和用户/用户组的双向关联,方便管理员调整。对于父组、子组的
上网策略不仅仅支持基于生效时间、用户/用户组、应用类型,支持模板形 6
式复制,更支持策略有效期,管理员可手动设定策略的过期时间,逾期自动失效,有效实现策略的回收管理。此外,AC支持将策略的查看、编辑权限分配给指定管理员,实现策略的分级管理。1.2.1.3 灵活的授权
AC支持基于生效时间、用户/用户组、应用类型的授权,帮助组织实现上网权限与工作职责的匹配,防止越权访问与泄密风险,一方面管控与业务无关的上网行为,提升员工工作效率,一方面过滤不良信息、阻止异常行为,防止法律与泄密风险。
AC更兼顾了管理与人性化的需求,对于某些不便添加权限控制策略的部门或者是企业文化较为宽松的组织,AC提供了“智能提醒”功能,管理员可设定允许特定用户使用指定应用的时长、流速,一旦用户使用指定应用的时长、速度超限后,AC自动弹出提醒窗口,提醒用户注意违规行为,敦促用户自觉规范,达到促进自我管理的目的,减少管理带来的摩擦。1.2.2 Web应用控制 1.2.2.1 URL访问控制
网页浏览是员工主要互联网行为之一,在URL过滤方面,AC采用“静态URL库+URL智能识别+云系统”三重识别体系。
首先,AC内置千万级预分类URL地址库,该库由深信服URL研发小组专人负责维护,收集新增网页并经由人工审核分类,包含互联网上数十种分类站点,覆盖了95%以上用户访问量最高的网址。
其次,互联网网页容量爆炸性增长,静态URL库不足以有效应对。因此,AC支持基于内容关键字的过滤手段,可基于管理员指定的多关键字过滤用户搜索行为、网页访问行为、发帖行为等。更提供了人工智能的网页智能分析系统(Intelligent Webpage Analysis System, IWAS)能够根据已知网址、正文内容、关键字、代码特征等对网进行学习和智能分类,真正帮助组织完善网页访问行为的管理。1.2.2.2 SSL内容管理
SSL(Secure Socket Layer)协议,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此,一方面,越来越多的网页使用SSL加密,如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站,而因为采用了加密技术,普通的管理产品无法对其内容进行识别管理,导致管理漏洞;另一方面,互联网上存在大量伪造的网上银行、网上购物页面,此类网页利用了网银、网上购物等
普遍采用第三方权威机构颁发的数字证书以实现SSL加密的特性,伪造虚假证书以骗取用户信任,警惕性不高的用户容易在毫不知情的情况下泄露自己的账户信息,导致直接或间接的经济损失。
AC可以对SSL网站提供的数字证书进行深度验证,包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等,防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户,此功能亦应用于过滤SSL加密的色情、反动站点,证券炒股站点等。1.2.2.3 代理翻墙管控
许多组织统一采用Microsoft ISA、CCproxy、Sygate等代理服务器上网,也有的组织明文规定禁止内网用户私用代理上网,但仍有用户将浏览器等应用配置公网服务器、私装代理软件代理他人上网,甚至使用自由门、无界浏览器、IPN等加密代理行为。由于防火墙等设备对内网用户的管理是基于目的地址和端口的,无法有效区分正常上网的流量和通过代理服务器上网的员工流量。对于如上情况,AC的深度内容检测技术能有效识别用户数据中包含的代理上网流量,通过代理识别模块可以识别从用户端发送到达代理服务器之间的应用数据,进而对用户的网络行为进行管控和记录。1.2.3文件传输控制
利用网络来进行文件传输是许多用户每天的必修课,而在文件传输过程中存在种种管理和安全隐患,如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知,有意泄密者甚至会将外发文件的后缀名修改、删除,或者加密、压缩该文件,然后通过HTTP、FTP、Email附件等形式外发。
AC支持管控文件外发行为,如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点,基于关键字、文件类型控制上传/下载行为,封堵QQ/MSN等IM传文件,允许使用webmail收邮件而禁止发送邮件等。其中,仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给组织造成的损失,单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型,即便存在修改、删除外发文件后缀名,或者加密、压缩文件文件外发的行为,AC也能发现并且告警,保护组织的信息资产安全。1.2.4 邮件收发控制
Email不仅是组织重要的沟通方式之一,同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件,对于将文件修改
后缀名、删除后缀名,或者压缩、加密后作为Email附件外发,试图躲过拦截与审查的行为,AC能够识别并进行报警。同时,对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件,并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。1.3 带宽管理 1.3.1流量可视化
AC为IT管理员提供了网络流量可视化方案,登陆AC控制台后,管理员可以查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况(包括DOS攻击、ARP欺骗等)等信息,直观了解当前网络运行状况。
此外,数据中心(Network Database Center,NDC)对内网用户的各种网络行为流量进行记录、审计,借助图形化报表直观显示统计结果等,帮助管理员了解流量TOP N用户、TOP N应用等,并自动形成报表文档,定时发送到指定邮箱,让IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况,了解流控策略效果,为带宽管理的决策提供准确依据。1.3.2 流量管理
当您了解了带宽的使用情况,并对带宽进行优化和分配后,我们即将对用户(组)的上网行为做进一步的管理和控制。1.3.2.1 多线路复用和智能选路
很多组织拥有电信、网通等两条以上互联网出口链路,如何同时复用多条链路并做到流量的负载均衡与智能分担?通过AC特有的多线路复用及带宽叠加技术,AC复用多条链路形成一条互联网总出口,提升整体带宽水平。再结合多线路智能选路专利技术,AC将出网流量自动匹配最佳出口。1.3.2.2 基于应用/网站/文件类型的智能流量管理
AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。精细智能的流量管理既防止带宽滥用,提升带宽使用效率。1.3.2.3 多级父子通道嵌套技术
AC采用“基于队列的流控技术”,即建立管道,将不同的控制对象分配到不同的管道里。该技术的好处是控制灵活,大通道中可以多层嵌套小管道,分别基于不同的用户、时间、应用协议、网站、文件类型等对象建立不同的通道,对于结构复杂又希望实现差异化控制的组织来说可以做到更为精确的控制。
1.3.2.4 动态带宽分配
组织管理员往往既希望在网络应用高峰期保障核心用户、核心业务带宽,限制无关应用占用资源,又希望在带宽空闲时实现资源的充分利用。为此,AC支持带宽的“自由竞争”与“动态分配”,除了基于父子通道进行流量控制之外,还可以根据在线的用户数量将带宽动态分配给在线用户。1.3.2.5 P2P的智能识别与灵活控制
通过封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。AC凭借P2P智能识别技术,不仅识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能管控。
对于某些企业文化较为宽松的组织,完全封堵P2P可能实施困难,AC的P2P流量控制技术能限制指定用户的P2P所占用的带宽,既允许指定用户使用P2P,又不会滥用带宽,充分满足管理的灵活性。1.4 日志记录与报表分析
记录员工的网络工作效率、分析网络应用情况、提供管理依据等。1.5 安全防护 1.5.1终端安全
网络世界中安全事件数量急剧攀升,内网中断、不稳定将直接影响用户的上网行为,所以需要AC保证网关自身安全,并强化内网可靠性、可用性。1.5.1.1 防火墙
AC内置基于状态检测技术的企业级防火墙,对进出组织的数据包提供过滤和控制。NAT(Network Address Translation)功能,代理内网员工上网和实现静态端口映射。1.5.1.2 网关防病毒
AC的网关防病毒功能集成知名厂商的防病毒引擎(防病毒引擎每天自动升级),从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,亦可查杀压缩包(zip,rar,gzip等)中的病毒。1.5.1.3 终端安全级别检测
借助网络准入规则专利技术(专利号ZL200510037455.1),AC将按照管理员要求检查每位员工防病毒软件安装、运行、更新情况、操作系统版本、补丁情况、注册表键值、终端程序运行情况、终端目录盘下文件情况等,不满足预设安全级别的终端将不允许访问互联网,从而提升整个内网的可靠性和可用性。
1.5.2网络准入控制 近年来,在企业网中,新的安全威胁层出不穷,给组织带来各种风险:
深信服科技推出了轻量级NAC(网络准入控制)解决方案,只需在出口处部署一台硬件网关,通过向内网终端自动推送一个轻量级的客户端控件,即可实现对接入内网终端的网络准入控制和安全隔离,执行安全级别检查,限制非法外联线路,禁用USB拷贝功能。
1.5.3 危险插件恶意脚本过滤 非法网站假冒可信软件如防病毒软件、插入非法软件,通过恶意广告、垃圾博客、恶意点对点文件传播等,当用户发现时,用户端已经被安装恶意插件,被强迫浏览黑客指定的网站,或者被利用攻击某个站点,终端信息已被外发,损失已造成。
究其根源,在于用户访问不可信的资源,如现在非常流行的是通过浏览器自动安装ActiveX控件来进行恶意插件的传播。AC通过对 ActiveX控件的签名进行过滤,防止不被信任的插件安装到内网机器当中,从而解决通过IE浏览器乱装控件的问题,起到保护内网安全的作用。还有形形色色的病毒、木马,而这些危害绝大部分都是危险脚本造成的。AC通过对内网用户访问的网页脚本进行特征识别,在脚本下载到浏览器执行前进行拦截,从而起到保护内网安全的作用。1.5.3.1 危险插件过滤
能识别那些下载文件是会自动安装的插件,包括所有通过浏览器自动下载的文件。
能根据插件白名单对插件进行过滤,内置常用安全插件列表供用户选择,还可以自定义白名单(支持插件名称、证书名称和域名)。
能根据插件证书的合法性进行过滤,包括:检查插件签名是否过期,对插件签名进行证书链控制。
能记录控件过滤日志,包括被过滤控件名称及被拒绝的原因,并能在数据中心查出来。
能够实现二次提示,第一次出现时做拦截,第二次实现时给出提示。1.5.3.2 恶意脚本过滤功能:
可以过滤注册表的写操作; 可以过滤文件的写操作; 过滤危险对象和危险调用;
能够实现二次提示,第一次出现时做拦截,第二次实现时给出提示。
1.5.4 异常流量控制
■ 异常流量感知 随U盘等潜入组织内网的木马、间谍软件等为了隐藏自己,通常会通过常用的TCP 80、443、25、110等端口泄漏内网机密数据及接受黑客控制。传统设备防火墙等解决方案在开放了常用端口后并不能识别该端口中传输的数据及内容,AC的异常流量感知技术能够识别常用端口中的如上异常流量,并能够实时报警,帮助管理员掌控网络,防范风险。
2.AC产品的部署模式 2.1网关模式(路由模式)
AC以网关模式部署在组织网络中,所有流量都通过AC处理,实现对内网用户上网行为的流量管理、行为控制、日志审计等功能。2.2网桥模式
单网桥模式:以网桥模式部署在组织网络中,如同连接在出口网关和内网交换机之间的“智能网线”,实现对内网用户上网行为的流量管理、行为控制、日志审计、安全防护等功能。
多网桥模式:组织考虑到网络的稳定性、可靠性,往往采用双机、双线路构建基础网络。AC支持多路桥接模式,适应组织的多机网络环境要求。2.3旁路模式
AC以旁路模式部署在组织网络中,与交换机镜像端口相连,实施简单,完全不影响原有的网络结构,降低了网络单点故障的发生率。2.4多机模式
关键词:校园网络,上网行为,网络控制
如今互联网上的海量教育教学资源和不断更新的教育资讯及教育研究成果, 为教师的教学工作带来了很大帮助, 学生也非常乐于接受信息化的教学方式。这直接提高了学生的学习兴趣、教师的教学质量和效率。因此计算机和互联网也成了教师工作中不可缺少的重要工具。但教师非工作原因上网的现象也比较普遍, 比如非工作需要的聊天, 工作时间偷菜, 玩在线游戏, 炒股, 看电影, 网上购物, BT下载等等。这些不仅影响自己的工作质量和效率, 同时也会占用大量带宽, 造成网络资源的浪费, 从而影响他人正常工作。而浏览与工作学习无关的网站还有可能遭到病毒及网上攻击, 从而为校园网络的安全带来隐患。
由于计算机作为一种办公工具, 操作者的操作行为具有一定的隐蔽性, 工作与非工作原因上网不易直接观察, 用行政管理手段难以见效。那么如何让学生和教师合理的使用网络呢?我认为单单靠教育引导和操作者的自觉性可能收效甚微, 而利用软硬件的上网行为管理作为行政管理的辅助手段不失为一种比较好的方法。
1、利用软件进行上网行为的管理
上网行为管理方面的软件种类很多, 也各有针对性和特点, 我就平时工作中的实际经验介绍两种比较适合学校使用的软件。
1.1 Sy Gate---适用于学生机房的上网行为管理工具
作为一款老牌的代理服务器软件, 将Sy Gate安装在具有双网卡的教师机上, 可以方便的、低成本的实现共享上网的同时, 还具有非常实用的管理功能。学生在机房上课时都是非常活跃的, 特别是上有互联网内容需求的课程, 教师的管理上会有一定的难度。一方面要让学生充分利用网络完成学习, 另一方面又要防止学生上一些与本课内容无关的网站。这时用Sy Gate的“黑白名单列表” (BWlist Editor) 功能来确定授权网站。教师可以在课前, 利用Ping命令得到相关网站的IP地址, 将这些IP填入“白名单列表”中的“外部IP地址” (External ip address) 并激活, 即可使学生只能上这些指定的网站。同理, 将IP填入“黑名单列表”中的“外部IP地址” (External ip address) 并激活, 即屏蔽掉了相应网站。
另外也可以利用该功能实现授权上网。即将授权学生机的IP地址填入“白名单列表”中的“内部IP地址” (Internal IP address) 并激活, 该学生即可上网。反之将IP填入“黑名单列表”中的“内部IP地址” (Internal ip address) 并激活, 该学生将被禁止访问互联网。“黑白名单列表”还可以设置共享上网的时间段。这些功能给教师对学生上网行为的管理带来很大的便利。
1.2 聚生网管----办公网络管理的多面手
作为国内最早的网管软件品牌, 聚生网管具有强大的局域网管理功能, 非常适用于对企业、学校办公网络的监控和上网行为管理。
1.2.1 对IM聊天工具的管理
QQ聊天软件虽然方便了人们之间的在线交流, 在一定程度上方便了企事业单位员工之间进行信息交换、业务处理等。但是一个不容忽视的现象是, 越来越多的员工上班打开电脑的第一件事情就是登录QQ聊天软件, 与自己的朋友、家人等聊一些与工作无关的事情, 极大地浪费了员工的工作时间, 降低了员工的工作效率。所以, 有效控制QQ聊天软件登录、禁止员工上班时间登录QQ聊天、禁止员工利用QQ传输文件等成为网管人员的重要工作之一, 但是QQ服务器众多, 还可采用代理方式登录, 对它的封堵一直都是令网管比较头痛的事。而利用聚生网管可以轻松实现。其具有的“聊天限制”不仅可以封堵QQ服务器还可以完全禁止QQ代理登录。同时还可以封堵阿里旺旺, MSN, UC, Skype等聊天工具的使用。
1.2.2 对互联网访问的限制与管理
学校在工作时间需要管控员工访问互联网的行为, 同时对一些色情、赌博、反动类的网站需要进行过滤和封堵, 以维护一个安全可靠的互联网环境。利用“WWW访问控制”功能可以只限制必需使用的网址, 如教育网、主管机构网站等, 屏蔽其他网站。同时利用“门户邮箱控制功能”允许使用门户网站的邮箱, 不会影响教师正常的工作需要。
1.2.3 进行合理带宽限制, 保证网络速度
当网内有人使用如电驴P2P下载工具、PPS、QQLIVE等P2P在线视频工具时, 会占用大量带宽。利用聚生网管的“P2P限制”“带宽限制”功能, 设定好各主机上行、下行带宽, 并对各主机的带宽进行智能控制, 即发现其进行“BT、电驴”时, 系统就会自动限制这台主机的带宽到设定的上行、下行带宽范围内, 从而有效地避免了因为P2P下载对网络带宽的过分占用。同时可以设定每台主机的日总流量限额, 系统对超过限额的主机自动断开其与公网连接。
1.2.4 疏堵结合, 合理设定上网时间
网络已成为现代人工作生活中不可或缺的重要工具, 通过它可以获得大量的实时资讯。这对教师工作也是非常重要的。对网络一味的封堵不但影响工作, 也是对资源的极大的浪费。合理设定使用网络开放时间, 不仅会提高教师的工作效率, 同时也是人性化管理的体现。利用“时间控制”功能, 系统可以在设定时间段自动实施管理策略, 控制网络开放时间。能够逐步养成员工合理的工作习惯。
2、利用硬件实现上网行为的管理
通过硬件实现上网行为管理, 是从网络的物理层面入手, 具有稳定性高, 资源占用小的优点, 一些带上网行为管理的路由器还附带一些实用功能, 如内置了PPPOE服务器功能, 这一功能对小型网络用户来讲非常实用, 可以彻底解决所有ARP类型的网络问题。但是相对软件来说, 硬件实现的管理成本较高, 维护上也有一定的要求。
关键词:上网行为;上网管理;策略;海蜘蛛
在信息技术课堂上,许多老师也许和我一样遇到过一些尴尬的事:如果开放网络,可能有相当一部分学生就开始玩网络游戏,看网络小说、网络视频,上QQ聊天、上微博等,根本就无视老师的存在,同时极有可能有不良网站会弹出一些不良信息,极大地干扰信息技术课堂。在解决了学生的后顾之忧后,这个调查应该是真实可信的,这次的调查情况如下表所示:
从表中数据可知,在信息技术课上,老师非常有必要限制学生的上网行为,但如何才能有效管理学生的上网行为,探索信息技术的护课法宝呢?本文作者结合十几年来信息技术课的教学实践,探讨规范学生上网行为的管理策略:1.利用硬盘还原技术、组策略技术保障上网环境;2.合理安排学生座位,利用海蜘蛛软路由强硬管理,规范上网行为;3.利用极域网络多媒体教室软件的辅
助,限制上网行为等。不当之处,敬请大家批评指正。
一、打造安全高效的上网环境,保障上网行为
如果一个教室的电脑经常出问题,信息技术课老师都忙于应付电脑故障,那就无暇顾及学生和学生具体在做些什么了。而要保障教室电脑正常运行应该从以下几方面做工作:1.利用硬盘还
原技术保证学生电脑及上课必需的软件都能正常运行;2.利用组
策略技术保证学生上网正常运行。
二、合理安排学生座位,优化上网行为
1.男女相间座位的班级管理
信息技术老师一般都带八九个班级,每个班的每一个学生肯定都不认识,这样对学生的管理就存在一定的困难。因此,安排学生座位就大有学问了,我们多媒体教室都是两列六排,每排左右各四台电脑。因为初中生处在青春期,男女同学敏感,不太会当着女同学的面去上一些不良信息的网站,这样就能在一定程度上控制学生的上网行为。
2.实名制的多媒体教室班级管理
有些同学会无视老师的存在。反正你叫不出他的名字,他有问题行为,只要不抓现行,他就会死不承认,所以,我的多媒体教室里每个班级都是实名制,这样我就能准确地叫出有问题行为的学生的姓名,我还能及时抓取他正在做问题行为的证据。因为里面有他机器的名字也就是他的姓名,抓取出来的监控图也有他的机器名,这样他就无从抵赖,甚至还可以作为证据给班主任或家长。所以,这样有过一两次后,问题行为就会少很多。
三、巧妙配置海蜘蛛软路由,规范上网行为
首先,web登录和控制台登录密码设置,这是安全的需要。
其次,进行接入设置,设置广域网中的IP地址、网关地址和DNS服务器地址。DNS服务器要选中下面的“启用DNS代理服务”和“强制使用DNS代理”并保存设置。而且,在“启用DNS过滤”前打上钩,并在下面的文本域中输入要过滤的域名关键字。每条记录占一行,然后保存设置。如图:
第三,网址过滤。选取启用网址过滤,过滤模式有“拒绝名单模式”和“允许名单模式”。如果启用“拒绝名单模式”,则下面文本域中输入的每行记录的网址不可访问,适合相对开放的课程,只过滤部分网站。如果启用“允许名单模式”,则学生端只能访问下面文本域中输入的每行记录的网址,这种模式适合学习特定内容的课程,只允许访问部分网站。保存设置后,还要启用“Web代理缓存”才能使设置生效。
第四,内容过滤。在文本域中输入要过滤的关键词或者要过滤的文件扩展名来限制学生利用百度等搜索引擎来找某些限制的内容。如图:
第五,有选择地让部分学生上网。如果想让部分完成作业的学生上网,其他学生不允许上网,则利用MAC址与IP绑定,进入“防火墙”的“访问控制”,选择“MAC与IP绑定”,按照每条记录占一行,输入要绑定的IP地址和MAC地址及机号,同时选中“启用
MAC地址和IP绑定”,MAC—IP模式选强制模式,这样就可以将禁止上网的IP与MAC前加入“#”号,保存就可以让带“#”号的IP不能上网了。
四、设置极域多媒体教室软件,限制上网行为
极域多媒体教室软件是多媒体教学网络平台。它可以实现教师机对学生机的广播、监控、屏幕录制、屏幕回放、语音教学等操作来统一地對学生进行行为管理与监控,辅助学生完成信息课上知识点的学习。
1.熟练运用极域多媒体教室教师端功能,对学生学习进行有效行为管理
首先,极域多媒体教室软件可以对学生进行全面监控也可以对个别学生进行监控。其次,学生提交作业需经过老师审批通过后才能提交。老师可以选择接收和拒绝学生提交的文件。这样就可以有效地防止同学们复制抄袭作业。再次,极域多媒体教室软件还有黑屏肃静功能,还可以自定义黑屏上的文字。这样老师就可以对那些违反信息技术行为的学生进行黑屏提示,或者强制黑屏来实现学生上网行为的管理。
2.利用极域多媒体教室软件的限制功能,对学生学习进行有效行为管理
许多老师曾经对QQ的无限制大为头痛,因为有些学生一上课,就无视老师的存在而直接上QQ和网上的朋友聊上了,这样极大地影响在校学生的心态。
五、实行上网行为管理,护课法宝见成效
自从对机房和同学们做了这么多行之有效的上网行为管理后,同学们上信息技术课都会跟着老师的思路,认认真真地听讲,完成作业的情况也大大好转,上信息技术课也不会一心只想着玩了。在信息学竞赛辅导上,这些行为管理也起到了很大的效果,同学们都认真听老师辅导,专心钻研信息学的有关知识,因此,也取得了成效,所以,我认为有效的上网行为管理是信息技术的护课法宝。
信息技术教育正处于发展阶段,同时也存在一些问题,如信息技术设备维护和应用还存在死角、学生上网行为管理还会存在不同的问题,这些问题都需要我们在今后的工作中加以克服和改正。探析学生上网行为管理永无止境,要求我们信息技术课老师长期探索,深入思考,以便总结经验,最终推广,为信息技术课服务,让学生受益。
参考文献:
[1]考利.学生课堂行为管理:第3版.范玮,译.教育科学出版社,2009-2.
[2]网管员世界杂志社.网管员世界2011超值精华本.北京电子工业出版社,2011-6.
[3]罗杰斯.课堂行为管理策略.蔡艳芳等,译.中国轻工业出版社,2011-2.
【公司上网管理规定】推荐阅读:
公司员工上网管理制度09-23
完美上网行为管理09-25
上网行为管理产品比较07-09
购买上网行为管理设备方案07-16
深信服ac上网行为管理07-16
“绿色上网、文明上网、健康上网”倡议书07-27
企业局域网中的员工上网行为管理应用09-26
文明上网健康成长07-05
文明上网教育教案07-27
上网安全教育简报09-14
