企业管理之员工上网行为管理(精选13篇)
随着企业信息化的深入开展,网络的应用给我们的工作带来高效率、创造巨大价值的同时,也给我们带来了一系列不可避免的问题:员工工作效率低下、商业机密泄露、企业面临法律处罚、内网病毒泛滥、带宽滥用、核心业务受影响等,那么该如何解决这些问题?减少给企业带来的风险和损失?
纵观当前企事业单位网络管理的诸多问题中,以局域网P2P下载泛滥成灾、员工上班炒股、上网带宽慢最为严重。这些不合理的、与工作无关的上网行为已经严重影响了单位网络的稳定、安全和畅通,尤其是迅雷下载,可以在极短的时间内耗尽单位的网络资源,使得局域网其他电脑无法正常上网。加之,中国企事业单位上网带宽本来就面临出口带宽小、网络资源捉襟见肘的问题。因此,有效限制P2P软件、限制员工炒股、限制电脑上网速度就显得尤为重要。
当前,国内一般企业的网管人员通常采用单位内部的网络设备来对局域网电脑上网行为进行限制。通常的做法是:在单位的防火墙上设置ACL访问控制规则,然后过滤局域网电脑的IP、端口和协议的方式来关闭某些网络应用;一些网管人员还通过在路由器上设置网址黑白名单,甚至进行一些简单的网络屏蔽功能。但是,总体而言,由于现行的防火墙或路由器的上网控制功能较弱,同时其自身的定位也使得他们无法专注对局域网上网行为控制,从而使得单纯依靠这些网络设备,网管人员通常无法获得网络管理的真正时效,而只能进行一些间的网络过滤和网络限制。
同时,随着信息技术的不断发展,如今的一些网络应用,如P2P软件、炒股软件、网络游戏等纷纷采用服务器集群、传输端口自动切换、传输协议多样的特征,使得通过传统的依靠网络设备来限制电脑P2P下载、限制局域网炒股、限制电脑玩游戏、控制局域网电脑网速的方式变得步履维艰,已经无法实施有效的网络控制和网络管理。由此引发了网络原理的另一个时代到来:依靠专业的上网行为管理软件、网络控制软件、网络管理软件来加强局域网上网管理、限制员工网络访问。
而小草网管软件(小草软路由)就是企业网络管理的理想选择。
小草网管软件(小草软路由)操作极为简单,点点鼠标就可以有效监控局域网迅雷下载、限制局域网电脑炒股、禁止电脑玩游戏、限制电脑网速等。同时可以有效管理企业网络流量,保障重要部门、人员的网络带宽,防止网络慢卡堵。
电力生产“三违”现象, 是导致事故发生的重要原因, 是典型的“人的不安全行为”。由于劳动者的心理状态各异, 境遇有别, 故不同的劳动者对同样的作业, 或同一个劳动者对不同的作业, 所表现的行为安全性和理智性也不一致, 行为的结果也有差别。据调查, 造成事故的背后, 难以预计事件及工程因素占12%, 人为因素高达88%, 人为因素中心理因素又占了很大比例。研究人的情绪、行为, 掌握人的行为规律, 就可能预测人的行为, 控制人的情绪行为, 减少不安全行为在生产过程中出现。
实现员工情绪安全, 一方面, 要注重照顾员工情绪, 不让负面情绪扩大而衍生出严重问题;另一方面, 要激发员工的正面情绪, 转化为促进工作的正能量。在处理情绪安全的过程中, 注重情绪安全的关键是化解产生情绪的心结, 而不是为了情绪安全而照顾情绪, 若是过分照顾情绪, 不敢抓、不服管, 换来的不是情绪安全, 而是更大的隐患。抓好情绪安全, 应从自控和他控2个方面入手。
自控, 就是靠个人自身的意志努力来实现疏导与控制。基本途径是:自觉树立正确的世界观和人生观, 培养高尚的情操, 丰富生活情趣, 节制不切实际的需求与欲望, 加强自身修养, 树立阳光心态。
他控, 就是靠外界的力量 (组织、领导、亲人、朋友的教育、引导、规劝、感染及环境影响等) 进行疏导和控制。基本途径是:创造宽松和谐的社会环境、舒适宜人的自然环境、重视安全的工作环境, 努力改善管理工作和作业条件, 及时了解员工的情绪状态和情绪诱因, 及时疏导和转化消极情绪。
2 电力员工情绪行为的控制方法
电力员工置身于社会, 面临工作、生活、社交等诸多问题, 要承受来自社会、家庭、工作等多方面的压力, 这就需要每一名电力员工加强自身修养, 克服浮躁心理, 心平气和地面对来自各方面的挑战, 理性处理复杂多变的状况。为此, 供电公司可为每个一线班组准备一个“情绪看板”, 让员工把心情诉说出来, 让正面的情绪分享开来, 形成促进工作的正能量, 使员工生活在愉快、向上、团结、健康的氛围里。
(1) 和谐环境是情绪安全的根本保障。大力实施人性化管理创新、丰富关爱员工内涵、关爱员工进步等一系列活动, 供电公司领导班子成员包保施工现场和供电所, 每周至少一次到包保单位班组走访, 与员工座谈。通过与员工面对面座谈, 零距离沟通交流, 倾听员工真实诉求和心声, 从员工“刺耳话”里找问题、“牢骚话”里找差距、“过头话”里找不足, 进而查找问题的症结, 及时帮助其改正, 切实让员工放下情绪包袱。同时, 通过企业微博、微信平台与员工直接沟通, 了解员工所思所想所盼, 随时了解、准确把脉员工思想脉搏, 把握问题根源, 及时采取有效措施切实解决员工的实际困难, 让员工在愉悦、和谐的环境中工作、奉献, 企业的发展才会充满生机和活力。
(2) 人本理念是情绪安全的有效渠道。把坚持以人为本的措施落实在行动上, 切实解决员工的家庭和生活中的实际困难, 解除他们的后顾之忧, 使他们全身心地投入到工作中去。工作中之所以发生事故, 原因之一, 就是明明知道规程、规定及规章制度中有要求, 可就是没有严格地去执行, 抱着侥幸心理, 自觉不自觉地违反了规程、规定及规章制度, 结果导致了事故的发生。事故的发生都有一个共同的特点:施工人员说起规程、规定及规章制度时头头是道, 可工作起来却把这些规程、规定及规章制度当成了“耳旁风”, “说起来重要, 干起来次要, 忙起来不要”, 结果导致了事故的发生。只有创造友好的班组生活环境, 同事之间相互关心、相互爱护、相互帮助, 才能让员工们享受到大家庭的温暖;用友爱凝聚人心, 用坦诚凝聚力量, 发扬“一人有难、八方支援”的精神, 一个人的困难大家分摊, 一个人的快乐多人分享, 用积极乐观、健康向上的心态去愉快地工作与生活, 企业的事业才会蒸蒸日上。
(3) 持之以恒是情绪安全的必然要求。时时关注员工的情绪, 时时调整员工的情绪, 并持之以恒地坚持下去, 以此来保证企业的生产安全。为此, 供电公司要建立确保员工情绪安全的长效机制, 进一步激发员工的工作激情, 增强员工对企业的归属感和责任感, 为员工多办实事好事, 让员工自愿以企业为家, 同呼吸、共命运、心连心, 共同促进企业和谐、稳定发展。激励员工要拿得起、放得下, 以积极向上的心态应对复杂局面和各种不利因素, 确保自身的情绪安全。
3 结束语
企业的管理往往都是加强制度方面的建设,提出有效的明文规定,但是在网络管理上,单纯的依靠制度还是不够的,企业已经逐渐加大对员工的上网行为管理,小草上网行为管理软路由的需求越来越多,众多企业都开始加强对网络的管理。
据调查显示企业通常通过限制员工访问一些网站或禁止使用一些第三方应用来确保自己的IT安全,受限制最多的是网络游戏,71%的IT专业人士表示这是企业安全策略中一部分。
仅次于网络游戏的是对社交网站的限制或禁止使用,68%的受访者表示自己的企业中有这样的政策。因此,可以说企业的IT管理人员更多的是关注员工的上网行为,而不是安全架构。
调查结果还显示了一些与安全架构和数据安全的相关措施。例如,50%的受访企业对文件交换服务采取限制或禁止的措施,而47%企业对能连接外部设备的工作计算机加强了管理。
令人担忧的是,尽管从策略方面做出了限制或禁止,但仍有43%的IT专业人员表示已经经历过由于员工蓄意或偶然的行为导致的数据泄露。这个惊人的数据说明在企业信息的存储和交换方面的管理控制力度还不够有效。
在企业安全方面,由于任何形式的禁止或限制都必须在工作站连接到企业网络前完成,并且像企业网络中能访问公共无线网络的笔记本计算机也要包括在内。因此,光靠企业制订的安全政策是完全不够的,必须要安装专业的安全解决方案。
随着上网行为在工作环境的日益普及,也给企业管理者带来一个大难题,在电脑办公和互联网络带来的办公速度和效率提高的同时,员工非工作上网现象越来越突出,企业存在着网络滥用的严重问题,很多员工会在办公时间内浏览与工作无关的网站,如娱乐、新闻、IM、游戏、P2P等,企业网管为员工非工作需要的上网行为所困扰。选择小草上网行为管理软路由是企业解决网络管理、员工上网行为管理的首要方法,那么还有其他方式吗?
概括目前国内企业员工的非工作上网行为,可分为四大类:一是获取与工作无关的资讯活动,如浏览新闻、看小说、看图片和明星靓照,沉迷收看(听)视频和音频等;二是从网络上下载与工作内容无关的数据流,如下载音乐、电影、程序及其他文字资料等;三是从事获取个人收益的活动,如网上购物、炒股、兼职、发布广告等;四是进行虚拟世界的沟通活动,如上网聊天、BBS论坛、撰写博客、收发私人邮件等。
有部分员工并不喜欢上网聊天,对网络游戏毫无兴趣,更不会进入色情网站等,但是他们还是有“沉溺网络”的问题――这可能是这些员工已在心理上形成对“网络过分依赖”,或是求知上进欲强烈,利用网络寻找一切,或是主要精力用在工作,在人际交往时遇阻碍与困惑想在网络上寻找答案,或是有独处倾向,与“网”为友。这些“网痴”将网络世界当成现实生活,易出现孤独不安、情绪低落、思维迟钝、创造性降低等症状,严重的甚至有自杀意念,这些都是值得企业关注的问题。
员工非工作上网行为、对网络的滥用会给企业带来成本的增加、效益的流失,对公司团队精神造成的不良影响,如纪律松散、组织效率低下、文化萧条等,甚至引来灾难性的后果。
另外,员工工作时间滥用网络行为不但会造成带宽紧张,影响到整个企业的运营,也可能随之给企业带来严重信息安全隐患,受到病毒、黑客攻击,导致整个企业内部网络瘫痪,甚至导致文件、机密的损坏、丢失和泄露;如果员工在网站发布对企业和领导不利或反动的言论,也有可能把企业拖入法律困境。这些将使企业面临预想不到的重大经济损失和法律风险。
对于现代企业而言,网络无疑是一把棘手的双刃剑。如何改变员工沉迷网络、滥用网络的难题,如何对员工上网行为进行有效的管理和控制,使员工上网行为朝着有利于企业大方向发展?
1、设置专门上网的电脑对于大部分员工工作不需要上网的企业来说,企业可以人性化管理为本,设置若干可以上网的公共电脑,以给有时有要事急需上网的员工使用,同时限定时间。这些电脑应装有防病毒软件,保护整个局域网安全。员工在上网时,最好有网络管理
员在旁边监督。
2、因人而设上网权限为防止网络滥用、保护企业机密,企业应因人而异制定相关条例,对不同岗位设置不同权限。如市场部人员只允许通过公司邮件服务器收发Email,所有邮件内容和附件要被记录;商务部门允许在任何时段上QQ、MSN,并收发Email,但所有日志及内容将被记录;研发人员允许上技术网站,并禁止使用QQ、MSN;部门经理以上中层干部允许拥有所有权限。
3、应用上网管理系统适度管控对员工上网行为进行有效监控和管理,需要借助先进的网络行为管理系统软件和设备(例如小草上网行为管理软路由),保持一定的心理威慑。对整个公司网络的各种活动进行监控,主要包括上传、下载、上网浏览、是否可以使用即时通信软件、是否可以玩游戏、是否可以安装、运行软件等,以规范普通员工、管理员、公司领导等的网络权限。
4、制定规范有效的上网管理制度行为规范制度建设的滞后,是员工沉迷网络的重要原因。面对日益泛滥的员工非工作上网行为,从制度制定和执行上进行控制是必要的。企业应对员工非工作上网行为的性质、类型、严重程度、奖惩标准进行明确的界定,制定管理条例,做到有章可依、有令可处,并加以宣传教育,从思想意识上规范员工上网行为,从制度上有效地减少员工非工作上网行为。
现状许多企业都利用网管软件来控制本单位局域网电脑的上网行为。如监控邮件内容、监控聊天内容、监控FTP内容;或者是如禁止员工P2P下载、禁止BT下载、限制上网聊天、禁止上班炒股、限制上班玩游戏、控制员工上网带宽等,就像小草网管软件(小草软路由)一样。
据报道,中国近两成的公司对员工的网聊记录、电子邮件内容进行监控,而通过QQ、MSN在公司聊天的员工达到90%以上。针对监控行为,员工和公司各执一词,但调查表明,九成员工因此没有了安全感。因此,企事业单位的网管人员应该慎用监控员工上网内容的监控软件。
监控员工邮件内容、监控聊天内容是否侵权不能一概而论,公司应提前公示告知 QQ和MSN的聊天记录以及电子邮件属于个人行为,它如同私人信件、私人电话一样,是一对一的。既然私人信件和私人电话是受法律保护的,那么原则上聊天记录也应该受到保护。
对于公司的说法,有专家指出,有些公司确实规定了员工不能在工作时间聊天,员工如果违反了公司的规定可以按照规定来处罚员工,比如批评、罚金甚至解除劳动关系;而对于员工泄露商业机密的行为,可以在员工入职前签订劳动用工合同和保密协议,从法律上来保护单位的商业机密和无形资产。
控制员工上网行为,杜绝不合理的网络应用才是中国企事业单位网络管理的急需举措 目前,中国国内企事业单位上网带宽普遍不足,很多单位常常遭遇上网速度慢、网络延迟大等问题,导致企业关键业务和信息化系统无法正常运转,严重影响了公司的运营效率和经济效益。究其原因,不外乎以下几点:
1、出口带宽太小,上网资费高。目前公司大都申请企业宽带或光纤、专线等上网模式。中国企业宽带的特点是:上网速度慢、上网费用高,使得很多单位无法承受高昂的宽带成本,因此很多企事业单位的出口带宽根本无法满足企业实际的网络管理需要,而申请更大的出口带宽,则会使得企业背负巨大的成本负担。
2、局域网P2P下载、P2P视频、网页视频、网络电视等娱乐应用大肆侵占了企业本来有限的网络带宽。目前,国内企业局域网中迅雷下载、BT下载、网页视频、网络电视等采用P2P技术的网络应用泛滥成灾。这些P2P软件可以在极短的时间内耗尽单位的几乎所有网络资源,导致单位电脑上网速度慢、甚至收发电子邮件、打开网页都难以为继。
3、网络病毒、木马侵袭和ARP肆虐。局域网病毒软件可以在短时间内大肆抢占局域网网络带宽,尤其是一些DDOS攻击软件、网络风暴攻击和ARP攻击等,使得局域网大量的电脑掉线、网络堵塞,造成网络性能的下降甚至瘫痪。
因此,对于国内广大企事业单位来说,网络管理、网络监控的最迫切需求当属有效管理员工的上网行为。因为,如果不能控制员工迅雷下载、禁止员工电驴下载,那么这些P2P软件就可以耗尽单位的网络资源,导致整个局域网网络瘫痪,企业连正常的网络应用、办公需求都无法满足,何谈其他网络管理需求呢?
这里就需要小草网管软件(小草软路由)来管理,小草网管软件可以有效监控公司员工上网行为。可以有效禁止迅雷、BT、电驴、酷狗音乐、快车下载、纳米机器人、P2P网络电视、网页视频、炒股软件、网络游戏等。通过对这些与工作无关的、不合理的上网行为的全面控制,可以从根源上治理员工随意使用网络资源造成网络堵塞、工作效率下降、局域网遭遇病毒侵袭的风险。
网管利用小草网管软件(小草软路由)还可以实时查看、实时控制局域网电脑的上网带宽,防止个别电脑过量占用网络带宽而影响其他人的上网速度、网络性能下降的风险,保证了网络资源的合理分配、高效利用。
上网行为管理可以帮助用户对以上这些上网行为进行有效的管制,改善内网环境,提升带宽资源使用效率。具体包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。
ISA(Internet Security and Acceleration)是微软推出的网络安全产品,作为世界领先的企业级应用层防火墙,ISA Server已经在不同行业、不同规模的企业中得到了广泛的使用。ISA Server 2006具有强大的应用层过滤功能,能够基于应用层、访问内容和用户账户等对访问请求进行严格的访问控制。ISA Server 2006还可以使用应用程序、命令和数据层筛选器控制应用程序特定通信。通过对VPN、HTTP、文件传输协议(FTP)、简单邮件传输协议(SMTP)、邮局协议3(POP3)、域名系统(DNS)、流媒体和远程过程调用(RPC)通信进行智能筛选,ISA Server可以根据通信的内容来接受、拒绝、重定向和修改通信,从而实现对上网行为的管理。
1 网页过滤
ISA Server能够控制局域网内用户对特定网站的访问权限。本文以使用IP地址来禁止客户端访问特定网站为例,对需要禁止的客户端建立一个地址范围或者计算机集;为禁止这些用户访问的那些站点建立一个地址范围或域名集;然后在防火墙策略中新建一个访问规则,阻止内部的这些计算机访问定义的外部站点地址范围或域名集。
1)新建网络对象
首先在防火墙策略右边的工具箱里面点开“网络对象”,然后右击“计算机集”,然后选择“新建计算机集”,如图1所示。
2)然后在“新建计算机集规则元素”对话框上点击“添加”,然后选择“地址范围”,如图2所示。
建立好计算机集后,我们还需要为禁止用户访问的视频网站建立一个URL集。在“网络对象”中,右击“URL集”,选择“新建URL集”;然后在“新建URL集规则元素”对话框中,多次点击“新建”按钮,将需要屏蔽的视频网站添加到URL集中,最后点击“确定”,如图3所示。
3)建立访问规则
右键点击防火墙策略,选择新建“访问规则”,在向导页输入规则的名字“禁止访问视频网站”;在规则操作页,选择“拒绝”;在协议页,选择“所有出站通讯”;在访问规则源页,点击“添加”,然后在“添加网络实体”对话框中展开计算机集,双击“禁止访问视频网站”,然后点击“关闭”,然后在“访问规则目标”页中,选择“禁止访问的视频网站”URL集。在用户集页,保留默认的所有用户,点击“下一步”;
最后,点击“应用”以保存修改和更新防火墙策略。完成的策略如图4所示。
值得注意的是,要使该规则生效,就必须位于“内网和主机允许访问外网”规则前。
最后,我们在选择“禁止访问视频网站”计算机集中到一台IP地址为192.168.2.10的计算机做测试,在浏览器地址栏里面输入:www.tudou.com,提示该网站已被屏蔽,如图5所示。
2 网络应用控制
ISA Server可以在局域网中对客户端的网络应用进行比较严格的限制,比如限制某些端口,屏蔽特定扩展文件名的文件传输,禁止特定签名的应用通信。
2.1 禁止端口
以封闭BT端口为例,在ISA控制台窗口中,右键点击“防火墙策略”,选择“新建→访问规则”,弹出访问规则向导对话框,在“访问规则名称”栏中输入“禁用BT端口”,点击“下一步”按钮后,选择“拒绝”选项,接着在“协议”对话框中选择“所选的协议”。
点击“添加”按钮,在“添加协议”对话框中点击“新建→协议”,弹出协议定义向导对话框,在名称栏中输入“BT”,点击“下一步”按钮,进入“首要连接信息”对话框。点击新建”,弹出“新建/编辑协议连接”对话框(图2),在“协议类型”中选择“TCP”,选择方向为“入站”,端口范围为“从6881到6889”,然后点击“确定”按钮,接下来一路点击“下一步”按钮,即可完成BT协议的定义。
2.2 HTTP筛选
HTTP筛选器是Web筛选器,允许基于内容类型HTTP头和以下条件来阻止HTTP请求:
1)请求负载的长度;2)URL的长度;3)HTTP请求方法。例如,可以使用POST、GET或HEAD等请求方法;4)HTTP请求文件扩展名。例如,文件扩展名可以是.exe、.asp或.dll;5)HTTP请求或响应头。例如,请求或响应头可以是Location、Server或Via;6)在请求头或响应头或正文中的签名或模式。
3 流量控制
ISA Server本身没有流量控制的功能,但是可以使用第三方插件实现。Bandwidth Splitter for ISA Server作为一个插件集成于ISA的控制面版中,可以定制内部网络中的单个用户、主机组、计算机组对INTERNET连接和带宽;可以启用通往IN-TERNET的总量限制;可以实时监控连接状态以及流量使用情况。
下面以限制网速为例,说明Bandwidth Splitter for ISA Server在流量控制中的应用。
1)右键单击“shaping rules”,新建“rules”,弹出规则创建向导,并在接下来的对话框中输入规则名“单击网速限速”,下一步,在“APPLIES TO”界面,源选择“IP address sets specified below”,关点选“add”,在弹出的“ADD NETWORK ENTITIES”界面,选择源“内部”,如图6所示。
2)下一步,在“Destinations”,点击“ADD”,弹出的对话框,也是ISA中所定义的"网络对象",此处选择“外部”。
3)在“Schedule”,选择下拉框中选择“always”。
4)下一步,在“SHAPING”界面,选择“shape incoming and outgoing traffic”,并在“incoming(kbits/s)”填入480,在“outgoing(kbits/s)”填入240,并点选"don't shape cached web content"。注意1Byte=8bit,所以限制后单击的最大下载流量是160KB,上传是30KB。这样的网速已经满足大部分互联网应用。如图7所示。
4 用户上网日志及分析报告
1)日志分析
在ISA Server中提供了强大的日志查看功能,可以通过日志查看器来监视及分析通讯状况,并提供网络活动的疑难解答信息。日志查看器可以实时显示日志信息,在这种情况下,每当记录事件时,都会将它显示在日志查看器中。
如果要查看实时日志,运行ISA管理控制台,点击监视,再点击日志标签,然后点击开始查询,当查询获得新的日志记录时,会显示出来,如下图所示。日志查看器中最多只能显示10000个筛选结果,如果获得的筛选器查询结果超过10000个,则日志查看器停止查询。
如图8所示。
2)报告功能
ISA Server的报告基于ISA服务器的日志摘要数据库,默认情况下此数据库位于ISA安装目录的ISASummaries文件夹中。ISA Server的报告对一段时间的网络汇总,网络性能评估有着较大的作用。针对用户的总访问量,用户使用的协议,用户的流量统计等可以提供一个图形化,直观的报表。
如图9所示。
摘要:阐述了Microsoft ISA Server在上网行为管理中的应用。Microsoft ISA Server可以保护企业网络免受黑客入侵和攻击,提高网络性能和安全。
目前市场主流厂商:深信服、网康 典型案例
2.1 提升内网业务操作效率——封堵非业务应用解决方案
方案背景:
日益发达的互联网让企业员工有了更多的选择,网上聊天、网上购物、在线视频、论坛灌水、BT电影……上班时间,员工很难不受众多网络娱乐的诱惑,大家在或多或少地利用工作时间进行非业务操作。
以上行为实实在在地存在于我们的办公网中。事实上,我们很多企业员工打开电脑的第一件事便是开迅雷,下载电影、视频、游戏;也有为数不少的员工痴迷股海,一心扑在大盘上面;而我们的员工在在线视频、在线小游戏、娱乐网站、热门论坛上花费的时间更是惊人。凡此种种,无不给我们有限的带宽资源带来了巨大的流量压力,给员工的办公效率打了一个大大的问号。
上网行为管理解决方案——合理封堵非业务网络应用
随着现代企业管理理念和信息技术水平的提升,如何有效管理与利用互联网资源,这已成为现代企业管理的重要衡量标准。与此同时,上网行为管理的理念愈发深入人心,提升员工网络业务的办公效率,这已经成为企业IT管理者关心的首要问题。、如上图,企业通过以网关、网桥、或旁路模式部署上网行为管理产品,可以有效对内网员工的各种网络应用行为进行管理。上班时间,封掉影响业务效率的非业务应用及相关网站;对挤占公司带宽资源的应用进行流量控制,确保主流的办公应用带宽资源,以提高业务应用的办公效率。
方案价值:
1、全方位封堵p2p,确保正常办公业务带宽
P2P应用给用户带来了前所未有的速度体验与资源共享,但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题,其所带来的负作用日渐凸显。鉴于此,上网行为管理设备通过检测网络软件数据包特征码,可以对常用软件进行彻底封堵,包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的P2P软件,独有的网络行为智能分析技术使其同样难逃法网。
有些部门和领导因业务需要使用P2P,在全面封堵的同时,上网行为管理设备还可以提供 P2P流控功能,即允许指定用户使用P2P,但对其占用的带宽进行控制。对不同用户,按时间段进行P2P应用封堵、带宽分配与流量控制,上网行为管理设备可有效平衡公司内部架构要求、提升核心业务办公效率。
2、选择性内容过滤,方式灵活
除针对网络应用软件外,上网行为管理设备还内置了千万条级的URL库,对URL库按照20个大类进行了划分。基于此,IT管理者可以方便地对娱乐、购物、游戏、影视等网站进行控制和屏蔽,同时用户可手工输入新分类和新URL地址,这进一步增强了网管人员工作的灵活性。
同时,上网行为管理设备针对通过HTTP、FTP等上传下载的电影等大文件,可以根据关键字如 avi、rmvb、mpeg进行文件过滤,以保证核心业务的带宽。
3、差异化权限划分,构建和谐组织
对于以上管控,上网行为管理设备可根据不同用户、不同部门的差异化网络使用权限,人性化管控整个企业。如给销售部门足够的网页浏览权限,以方便其网上寻找客户资源,而对后勤人员则封掉P2P应用、游戏与炒股网站等。
2.2上网行为管理+SSL VPN防信息泄露解决方案
背景分析:
据IDC调查报告显示,全球有近80%的企业存在着信息安全与风险问题。在报告所调查的公司中,进行网络常规安全检查的公司不到一半,只有30%的公司具有跟踪用户访问的能力,30%的公司使用加密技术进行数据传输。报告显示:信息安全问题大都来自于企业内部,信息泄密很多时候源于信息安全管理不善。在中国,众多的事业单位也面临这些问题。
事实上,很多企事业单位内外网、服务器隔离存在问题,业务系统的操作并没有明确授权人员,这导致一些非授权人员大肆访问并修改内网服务器的重要数据;很多单位员工信息安全意识也较薄弱,很多时候将客户信息、内部敏感信息等在公网上随便传播,并没有加密,这样的信息数据很容易被窃取修改。
现在,客户对企业、民众对事件单位应用服务的访问量在不断增加,客户的访问请求经常集中在数台服务器上,而其它服务器却因访问量低而低效运行,这不仅影响了用户的体验感受,也严重影响着该应用服务访问稳定性。为将大量的访问最快的处理并提高服务器的运行效率,保证信息发布不被中断,以此来保证信息传播的安全,这点也为越来越多的有识之士关注。
解决方案:
通过上网行为管理产品来防止企事业单位内网泄密,这样可有效解决单位内部泄密的问题;通过SSL VPN,企事业单位可对外部接入人员进行身份认证,并对这些接入人员进行精确的权限分配来保证合法的访问与系统修改,这也可以有效隔离内网里的应用服务器与内外网。
产品部署拓扑图如下:
如上部署,上网行为管理设备以网桥模式透明部署于企事业单位内网,通过识别敏感信息并进行过滤等手段,全方位保护客户的信息资产和信息安全。
SSL VPN产品以旁路模式部署,企事业单位通过SSL VPN为不同级别的访问者分配不同的访问权限,并对其进行严格的身份认证,这样有效管理了外部员工、客户对内网应用系统服务的访问安全。
方案价值:
上述整合的解决方案,将使企事业单位解决面临的信息安全风险,使得组织业务系统获得持久的可靠和稳定。
上网行为管理产品将帮助企事业单位防范企事业单位的信息资产泄密,这将有助于降低组织机构的信息安全风险,这让企业、事业单位专注信息资产管理,让部门沟通、客户沟通等多方面沟通更有效。
SSL VPN将帮助组织强化信息数据访问安全。对内网重要区域信息数据的访问控制,能从源头上有效保护信息资产安全,SSL VPN提供从访问终端安全——接入认证安全——数据传输安全——访问权限安全等一体化的安全。
2.3校园网上网行为管理+SSL VPN综合解决方案
校园网现状:
校园网网络规模庞大,相应的网络应用流量非常惊人;学生网络应用比较活跃,规范管理非常头疼。具体而言,校园网建设中存在如下问题:
1、流量问题
因为学生BT下载、在线视频、迅雷应用等P2P行为十分活跃,校园网带宽出口经常被堵塞,师生正常的网络应用经常被挤占。
2、网上言论
目前高校学生网络应用活跃,校内BBS言论、公网上知名论坛等经常语出惊人之举,时常给学校带来世俗、法律上的诸多困扰。由于目前网络言论实行匿名式注册,出现问题后很难查询当事人,最后给学校带来了极大的负面影响。
3、网络应用规范问题
不可否认,目前大学在校生所面对的网络信息、资源较前些年丰富了很多,这其中也有一些色情、反动等类型的网站及其应用,如何从校园网建设上规避这些不良网站、应用的影响,将制度的规范强制执行在日常网络应用中,这对管理者是个不小的挑战。
4、校内资源使用问题
学校、政府花费了巨大的精力进行校园网建设,国际教育网络资源对高校也有很大的优惠措施。目前校园的图书馆电子资源、校内OA系统、校务管理系统给师生工作学习都带来了便利,但走出校园网这些资源便无力利用了。如何在校园网外实现远程登录办公已经成为校园网深度建设必须面对的问题。
最重要的是,当校园网初步建成之后,如何查询师生校园网应用情况(如学生经常应用什么网络软件,在网上做什么事情),以此来发现网络应用问题及校园网建设中存在的不足,这对学校的网络管理者尤为重要,他们需要一种能对网络建设与管理决策提出良好反馈机制的解决方案。
部署拓扑图:
上网行为管理+SSL VPN综合解决方案:
为此,选择上网行为管理+SSL VPN远程登录解决方案。将学校内网安全管理单纯地由对外防御病毒、黑客入侵、垃圾邮件,转向了内外兼备的全面管控,如访问控制、访问跟踪、流量限制、监控、审计等。配合SSL VPN远程登录访问内网,让从公网访问校园网内资源成为可能。
1、网络行为审计
将上网行为管理设备部署在学院网络出口的防火墙后侧,以网桥模式部署,实现三进三出(WAN 口接三台设备,LAN口接三台交换机),保证所有流经学院网络出口的流量都会经过上网行为管理设备的管控和记录,让学院所有上网行为记录有据可查,事实上学院IT管理者甚至可以预先设置好敏感关键字,提前过滤网上敏感言论。
2、全面流量控制
对流经学院网络出口处的所有流量,上网行为管理设备全面进行流量控制。事实上,该设备对学院所有的师生根据院系、专业进行带宽分配,即将用户分划分成组,然后对于不同的组分配不同的带宽、流量上传下载的限定。通过上网行为管理设备,学院IT管理部门甚至可以根据相关师生的网络应用行为、访问网站类型、上传下载文件类型进行流量控制。如学生正常应用时放开流量,一旦进行BT下载,则马上施以流量控制。
3、提高师生网络应用效率
虽然学生网络应用非常活跃,但他们很多的网络应用行为与学业、功课并没有多大关系,有些学生甚至到学校机房上机时仍然玩网络游戏、网上冲浪。针对这些现象,学院IT管理部门绑定学院公用计算机,让学生上机上课时,完全封堵住在线游戏、在线视频、娱乐网站等,从网络管理上强制执行上课学习的课堂原则。
4、提供网络决策咨询
学院内网用户的非授权网络行为被禁止,学校管理者可以对学校网络运行情况进行统计、分析、评估,做到细致的访问控制,有效管理用户上网行为。除了实现强大流量分析及带宽划分与分配外,同时各种网络行为日志也都将得到全面记录,方便日后查询。
5、SSL VPN远程登录校园内网
将SSL VPN 采用单臂模式部署,接在学院核心三层交换机下,在不改变原网络结构的情况下,师生可以在任何能上网的地方安全高效地登录学校内网的OA系统、图书馆资源等,实现办公效率的快速提升。
2.4银行业上网行为管理解决方案
项目背景:
目前银行的多项业务均需依赖互联网平台,银行信息化建设一直引领着各行业信息化建设的潮头。虽然金融单位已经部署了多种网络安全产品来抵御来自互联网的攻击,但在内网安全、规范管理、信息安全上存在许多薄弱环节。试想:如果银行职员上班时间BT下载、在线观看视频、访问赌博网站等,这些行为通过部署于网关出口的防火墙就能得到控制吗?银行内网一旦缺乏有效的管理手段必然会增加各项业务操作的风险,而且会严重影响工作效率。
存在问题:
随着银行业务的不断丰富,银行的各项业务运作越来越多依赖于网络平台,为了达到银行信息安全的要求,提高银行的竞争力,需要构建管理规范、流量平稳、防止泄密的安全无忧内网。目前银行内网管理存在以下问题:
1、银行职员上班时观看在线视频、进行BT下载等行为,对网络出口带宽造成了不小的压力,银行的正常业务运用可能因为这些非工作性网络应用造成中断;
2、银行业务操作人员利用资金流相对便利,如何有效封堵加密的赌博网站、相关网络应用,是银行迫切需要解决的问题。
解决方案:
针对上述问题,银行选择上网行为管理解决方案,希望通过对内网用户进行明确的权限分配,规范银行员工上班时网络应用;通过彻底的带宽、流量控制,保障银行业务系统带宽,并进一步提高银行员工的网络应用效率。
功能及解决的问题:
1、内网用户上网权限的细致划分
针对银行不同的部门,细致规定其部门员工的上网权限,让合适的人上合适的网站,进行合适的网络应用,超过该部门工作权限的网络行为一律禁止。
上网行为管理设备针对银行各部门进行用户组划分,如信用卡中心、财务部……然后对基于人员划分的用户组赋予不同的上网权限,如:封掉信用卡中心炒股、加密交易网站应用……上网行为管理设备甚至可以针对具体的用户进行上网权限分配。上网行为管理产品细致的权限分配,大大降低了网络管理者的维护量,合理地规划出局域网的组织结构。
2、全面流量控制
事实上,一个2M以太网出口的局域网,只要有2个以上的员工不限速地使用BT,几乎所有人的正常网络浏览都将成为不可完成的任务。银行带宽出口虽然相对较大,但因为其网络应用众多,出口带宽也面临不小的压力。
上网行为管理设备可进行BT、加密BT、未知版本BT的全面封堵,而且不会像防火墙那样被BT软件通过转换端口绕过去;通过基于人员、应用、访问网站类型等进行带宽分配、流量控制,银行IT人员可以提前规划好各部门网络应用流量,充分保障银行正常业务运作。
3、详细的日志备份
银行内网用户每天访问互联网时产生的日志十分巨大,亟需一个更大容量的数据备份机制,而传统网关所能提供的硬盘存储容量有限,且这些数据查询颇为麻烦。
银行关注日志信息的完整性和保密性,通过上网行为管理设备独立的日志存储中心,确保了银行内网网络应用日志的完整性与保密性。通过使用上网行为管理设备,银行的管理者可以通过直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状态,将网络使用情况自动生成报表并统计出网络访问的趋势,以帮助系统管理员更好地维护和管理网络。
2.5电力行业上网行为管理解决方案
项目背景:
随着中国经济的进一步发展,整个经济对能源的需求越来越强烈,工业发展、居民生活的用电需求更是不断增高。而随着国家产业升级、能源结构的调整,绿色电力的概念也逐步深入人心。正是基于这一背景,整个电力行业迎来了发展的黄金时期。
目前电力行业内网存在非业务流量挤占带宽、机密信息存在泄密风险等问题,新的形势要求电力行业构建规范管控、流量平稳、信息安全的内网,具体要求如下:
1.对公司内部员工进行流量控制,限制员工P2P下载,保证网络流量;
2.针对公司员工的上网行为轨迹进行记录,并支持报表分析;
3.对内部聊天软件进行控制,保证员工上班时间的工作效率;
4.对现有网络拓扑状况不进行改动,保证现有网络的稳定性;
解决方案:
采用网桥模式部署深信服上网行为管理设备,即部署在防火墙和核心交换机之间。这样就不需改变电厂原有的网络拓扑及设置,同时也可管控电厂内网的网络行为;同时也可以采用旁路模式部署,这种模式主要用于内网用户上网行为日志存储。
部署拓扑如下:
解决的问题:
1、网络应用封堵,提升办公效率
通过电厂网络出口的上网行为管理设备,通过IP/MAC、硬件特征码绑定等技术,对用户进行唯一身份识别;之后将用户根据业务部门、组织架构进行用户组划分及权限分配;对员工上班时的非业务网络应用——如在线视频、在线游戏、在线炒股、聊天等进行分时间段、分用户组管控,人性化封堵,提升办公效率。
2、流量控制,优化网络带宽
电厂作为传统企业,其网络出口带宽有限,而相应的电力调度系统、OA办公等网络业务系统又较为完备,这必然带来了网络业务运用与网络带宽不足间的矛盾,而且时常有用户进行BT下载等娱乐行为而挤占正常应用带宽。
针对于此,电厂通过上网行为管理设备对相应用户组进行带宽分配与流量控制,流量控制基于业务应用类型、用户组织权限等各种因素,细致全面地构建平稳流量内网。
3、行为日志记录与统计,保证信息安全
电厂通过上网行为管理设备进行用户流量统计、网络应用记录、访问网站轨迹等诸多信息安全管理行为。
4、宏观网络应用分析,指导IT管控方向
电厂可根据上网行为管理设备记录日志生成曲线、饼状、柱状、趋势图等,并可对相关网络应用、流量等进行排名。用户可根据自己所需信息生成宏观分析图表,如:内网哪个用户流量最大、哪些网络应用生成流量最大、哪些网站访问最多……这样电厂IT管理者便能根据日志分析图表调整上网行为管理选项,为内网管控、进一步建设进行决策。
小草上网行为管理软路由是企业专业的局域网管理软路由,在企业网络管理中有深入的研究。其实企业内部局域网不合理使用网络的行为主要有以下几种:上班时间进行P2P下载、看P2P视频、看在线视频等娱乐信息;;工作时间进行QQ聊天、炒股票、玩网络游戏等等;上班时间浏览不健康网站的行为等;私自更改IP地址,导致局域网出现IP地址冲突、掉线等故障等。
上面这些上网行为是国内企事业单位内部局域网普遍存在的现象。这些不合理的上网行为一方面抢占了局域网大量的网络资源,导致企业正常的网络应用如ERP、OA、在线会议、视频会议无法进行;另一方面,这些不合理的、不健康的上网行为会导致病毒在局域网传播的风险,容易导致企业内网掉线、商业机密被木马窃取的情况等,给企业带来巨大的经营风险。
小草上网行为管理软路由通过在国内企事业单位的广泛应用,深知国内客户的需求,在上网行为管理、局域网网络监控等方面具有深厚的经验。小草软路由可以有效禁止P2P下载、禁止聊天软件、限制股票软件、限制网络游戏和屏蔽在线视频、封堵在线游戏等,同时还可以进行IP和MAC地址绑定,防止了局域网电脑私自更改IP地址、获取更高权限的不良行为,可以更好地保护企业的内网安全。
通过对高职院校实际学生上机情况的考,不难发现,如果不对学生上机的情况进行控制,那么学生偷偷利用上机课上网,浏览信息,玩游戏的事情就会屡屡发生。随着教学中对网络的依赖性的增加,研究学生教学机房上网行为管理,提高机房网络的可控制性,是当前计算机教学首要解决的问题。
一、教学机房上网行为存在的问题
(一)连接外网导致的问题
现在,学生的考试形式已发生重大变革,不再是以前单纯的利用纸、笔在考卷上进行作答,而是开始流行无纸化考试,如果学校的计算机机房不断开与外网的连接,当学生在进行计算机考试上,可以通过外网,在互联网上搜索到答案,这样进行的考试都是不客观的不公平的,使考试成绩缺乏了真实性。学生运用计算机考试查找答案,有可能会将计算机病毒本地计算机,会导致计算机考试无法继续。然而在日常教学过程中不能简单的通过断网控制。因为有好多课程,需要学生从互联网上下载资料,下载素材,下载所需的文件等。其次,上课中有时需要在一些互联网学习平台。这就要连接外网。但是有些课程,只要使用计算机机房本地计算机就可以满足的教学的需要。这就不需要连接外网。因此,如何能够让学生利用计算机学习,又能满足学校教学上课的需求,这就成为了一个待解决的问题。
(二)学生不遵守机房上课规则
学生在计算机机房上课时,常常凭借自己的心情做事。不管不顾,对计算机胡乱操作,不听从老师的教学指令。经常不经老师同意就下载软件,安装软件或者卸载软件。甚至随意搬动或拔插有关设备。甚至在机房内相互打闹。
(三)学生在高职院校机房上课的卫生问题
由于学校的计算机机房归不同年级、不同专业的学生上课,属于公共机房。大多学生不注重卫生问题,学生存在不穿鞋套入机房,在座位上吃东西、喝饮料、随地吐痰,嚼口香糖、乱扔东西。
二、解决高职院校教学机房上网行为的措施
(一)加强机房网络管理,实现网络可控
高职院校加强学校的计算机机房管理,实现网络教学的可控制性,是目前计算机网络教学急需要解决的一个大问题。根据查找资料和向老师请教指导,我寻找出了以下几种方法“
1、物理插拔网线
最简单有效的方法就是物理插拔网线。如果机房没有服务器或者外网设置,任课教师或者管理员想要控制学生不在教师上课的时候偷偷上网,只要将连接Internet的网线拔出后,学生就无法再与外网连接了。但是这种方法太简单粗暴,并且长期插拔网线对水晶头和交换机端口都会造成磨损,若插拔不当,会给交换机带来严重故障。
2、利用Chrome浏览器,启用白名单和黑名单
在计算机机房教学过程中,我们需要限制学生来浏览网站,只让他们浏览特定的学习网站。其实我们如果使用Chrome浏览器,也就是利用电子教室软件,完全可以用拓展程序来实现。也就是在教师端建立白名单和黑名单。启用白名单,学生机只能浏览白名单中的网站。例如学校规定的上网平台,学习网站等等。启用黑名单,学生机不能访问黑名单中网站。例如一些色情、暴力的网站,还有垃圾邮件,甚至是病毒等等。
3、利用网络服务器实现控制
我们可以选择适当的的上网行为管理产品,学校根据自身情况可以选择专用的上网行为管理设备。这种设备最好不提供其他复杂的上网功能。它的主要功能是上网行为管理。选择宽带路由器比较适合高职院校,介入路由器是高职院校网络的大门,在大门处加一个看守岗做上网行为管理。
(二)安装多媒体教学软件
如果将高职院校计算机机房作为多媒体教室进行教学,可以安装多媒体教学软件。老师可以利用多媒体教学,给学生播放视频,操作学习课件、屏幕监视等等。学生也可以利用计算机回答问题、提交作业等等。上课时,任何教室可以对学生的操作进行屏幕监视,如出现不按教室命令而进行的操作,可及时进行警告处理。机房管理人员也可以充分利用上述网络控制功能,统一控制学生的开、关机。
(三)制定高职院校学生上机需遵守的规章制度
学校为最大效率的发挥机房的使用功效,延长计算机的使用寿命,同时为了能够保证计算机的安全运行,维持正常的教学秩序,让学生能在干净整洁的环境中学习,学生的计算机机房必须要有严格的规章制度。因此学校必须制定以下管理条例:
1、上课前准备好上机准备工作,在机房外排好队伍等待上机。由各小组长清点人数,以便维持好纪律。
2、学生进机房后一定要穿鞋套
3、学生进入机房后要找对自己的位置对号入座,上机时要保持课堂教练,不能追逐打闹,在课中不能够做与上课无关的事情,例如打游戏和上网聊天等等。
4、学生严禁带任何食物进入计算机教学机房,如饮料、水果、薯片等其他零食。不准在机房内随地吐痰,乱扔果皮纸屑。
5、学生必须爱护机房内公共设备、不许随意搬动或拔插有关设备。
上机者必须严格遵守机房的上机制度,否则给予批评和惩罚。
三、结论
酒店上网是为流动人口提供的非经营性上网服务场所,依国家《计算机新鲜网络国际联网安全保护管理办法》第一章第五条规定,“任何单位和个人不得利用国际联网危害国家安全、泄漏国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动”,酒店有义务加强上网管理、控制酒店客人上网行为。那么酒店上网行为如何管理呢?
酒店上网由于其非经营性场所,客人上网无需出示身份证,这是酒店上网行为管理一直存在的最大监管漏洞,客人上网如若随意发布网络谣言、网络欺诈、色情等不良信息,将会给酒店带来巨大的经营风险。由此可见,酒店上网行为管理需求主要有以下几点:
1、上网过滤。主要是针对色情、反动,以及其他不良网站过滤,敏感关键词过滤。
2、局域网限速。酒店开放免费上网,旨在每位上网的客人都能享受网上冲浪。为了不影响其他人上网,酒店局域网内须设制限速,以免个别用户占用大两带宽。
3、上网监控。由于酒店是个流动性很强的公共场所,一般客人住几天就离开,如果有不良动机的人利用网络上传、下载,或者是发布有害信息,事后一般很难再联系上本人。由此酒店上网行为管理要禁止论坛发帖、限制上网留言、禁止网络留言功能,可以有效防止酒店客人上网发布网络谣言、网络欺诈和诋毁国家、他人的辱骂行为。
《掌控者》是一款功能强大的上网行为管理软件,它拥有百万计的内置网站库,可以禁止色情网站、限制客人访问色情网站、禁止打开色情网站,集成了对主流P2P各种上传下载软件的完全控制功能,还集成了强大的上网网址、上网日志的记录功能,可以详细记录酒店客人的上网网址、论坛发帖内容、上网留言内容等,在特殊情况下可以提供给公安机关审计、备查,配合了国家相关机关的上网管理规定。酒店上网行为管理,就选《掌控者》网络管理软件。
随着网络攻击和威胁的不断增加,企业安全防范意识也不断加强,越来越多企业开始使用上网行为管理,以确保企业内外网络安全畅通,以小草上网行为管理软路由为代表的上网行为管理系统,已经成为企业网络管理的中流砥柱。
那么,企业级用户应该如何选择适合自身的上网行为管理产品,如何保障网络网络安全呢?小草上网行为管理软路由、网康上网行为管理系统、深信服上网行为管理系统等都是企业可以选择的。
企业需要的上网行为管理师能够基于时间段针对不同用户组、不同应用进行带宽保障或者是限制,协助各个机构信息部门灵活掌控各单位的带宽资源,优化带宽资源的使用。同时,还能帮助管理者全面的了解员工上网情况和网络使用情况,提高网络使用效率和工作效率,最大限度避免不当的上网行为带来的潜在风险和损失。
我们具体来看看企业需要什么样的上网行为管理
1、提高员工工作效率及网络利用率
上网行为管理要能够阻断QQ、网络游戏、网络电视、炒股软件等应用软件,让员工上班时间只能开展与工作相关的业务。
2、避免机密外泄以及法律风险
为避免内部人员将单位的机密信息泄露以及在互联网上发表不法言论,能对对所有外发信息都进行了详细地监控和记录,监控的外发信息包括BBS发帖、邮件、MSN、博客等,如果外发信息中包括非法内容,则立即进行阻断。同时用户所有的外发信息都会一一记录,并保存在本地磁盘,以供管理者在需要时提供必要的司法依据。
3、网络带宽管理,防止网络资源滥用
针对网络资源滥用的问题,上网行为管理系统要对P2P下载工具,在线视频,网络电视等进行流量限制,对ERP,视频会议,邮件等关键业务和正常业务进行带宽保障。
4、丰富的统计报表,实现上网行为审计
企业需要上网行为管理系统能够具有上网时间统计报表、上网时间高峰段报表等数据统计报表,以便网络管理员能够确切的知道每个局域网用户使用网络的时间、流量、排名,并据此制定相应的管理策略,提高互联网使用效率,更好的管理网络。
信息化应用的重要的组成部分是互联网应用, 此类应用承担了贵州电网公司对外对内的信息发布, 信息检索, 与上级单位的互联互通, 与国家相关管理部门信息沟通, 是贵州电网公司信息化工作的重要载体和组成部分。
目前由于贵州电网互联网出口存在出口分散, 安全性能差, 带宽资源浪费, 没有统一管理手段、没有统一应用服务系统 (如DNS等) 等各种问题, 贵州电网公司因此展开“贵州电网互联网统一出口”建设工作, 拟实现贵州电网公司所辖各供电局的互联网出口统一集中到省公司, 统一实现安全管理、性能优化及统一服务提供。
贵州电网信息通信处项目总负责人表示, 本工程重点以规范管理、规避风险、节约费用、节省资源、通过统一安全防护、统一提供内部网络对外部互联网的访问、以及对外部互联网提供信息发布等内容, 结合网络及信息安全的技术方向, 期望大幅度提高贵州电网公司互联网应用的技术能力、应用效率和管理水平, 从而进一步提高公司整体信息化、网络化建设工作的水平, 提高网络监控和管理的能力。
1 统一管理, 建立全面安全防线
在项目改造前, 贵州电网公司互联网出口分散, 各县供电局、二级子公司内部没有统一互联网出口, 各自向电信租用互联网服务。除个别地区外, 各地区供电局本部针对互联网出口基本虽然都已配置了防火墙, 但设备普遍型号较老, 处理性能较差, 且型号不一致, 无法统一管理。同时各供电局没有配置IDS、URL过滤、病毒防护等高级互联网安全设备。
为保证互联网资源的可管理性, 上网行为管理设备的选择对整个统一出口项目建设显得尤为重要, 经过长期调研, 并对多家产品进行实际环境测试, 贵州电网公司最终选择了国内知名品牌深信服上网行为管理。
贵州电网统一出口建设项目三期共采购深信服上网行为管理高端设备11台, 1台集中管理平台设备, 对全省电网的互联网行为进行全面的管理, 其中贵州省电力公司的网络部署模式如图1所示。
贵州省电力公司主出口链路以网桥模式部署了2台上网行为管理设备, 再通过旁路部署两台上网行为管理设备在主出口做二次审计。同时, 在各地州公司、家属区、二级单位分别在出口以网桥模式部署上网行为管理设备, 一方面管理控制该区域的互联网行为;另一方面做一次审计。在实现分布式部署后, 贵州电网通过上网行为管理设备的集中管理平台实现对省公司和个地区的上网行为管理设备进行实时监控、统一策略下发和集中管理。
2 二次安全防护, 准入规则显成效
由于之前的防火墙设备出现老化, 也没有其他安全防护设备, 贵州电网为了防范安全, 在省公司和地区统一设定安全策略, 内网的PC必须安全并运行专业的杀毒软件。这一策略下发后, 由于所涉及的单位和人员较广, 全面实行起来难度较大, 部分用户仍然在没有安全的措施下连接互联网, 给电网内部网络带来了安全隐患。为了更好的推行电网的这一全面安全措施, 上网行为管理发挥了它在安全方面的作用。深信服的上网行为管理具有网络准入技术, 电网的管理员通过设定如下安全准入规则后, 内网的用户必须安全指定的杀毒软件, 否则不能上网。通过这种方法, 需要上网的用户自觉的安装了杀毒软件, 没有安装的用户不允许接入互联网, 也就无从感染病毒, 或将极大降低被感染的危险指数。
3 信息保护, 滴水不漏
现代言论通信工具相当发达, 除了常见的QQ、MSN等即时通信工具外, BBS发帖、博客、微博等, 都成了互联网上分享信息的平台。但是作为电网中的工作人员, 涉及到了电网的重要信息, 若通过论坛发帖或者其他途径无意透露了重要信息, 将会对贵州电网, 乃至整个电力行业和国家造成很大的损失。因此, 贵州电网在信息安全保护防护非常看重。管理员利用上网行为管理设备的关键字过滤和外发信息告警功能, 针对不同职能部门设置各自的关键外发信息的过滤条件, 采用技术手段对非法网页、搜索引擎关键字、BBS发帖等行为进行管控。不仅从一定程度上规避了因浏览非法网页, BBS非法言论传播给企业带来的信息安全隐患, 而且也很大程度上减少因非法网站浏览带来的病毒侵扰。
目录
上网行为管理的定义
为什么要管理上网行为
上网行为管理的实施步骤
上网行为管理主要功能
上网行为管理市场介绍
上网行为管理的定义
帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析;
为什么要管理上网行为
“随着互联网的发展,它已经到了必须控制和管理的时代,因为网上充满了错误的信息、虚假的信息,和非民主的力量。”----蒂姆•伯纳斯•李(互联网之父)
水能载舟亦能覆舟!互联网一方面能够帮助企业提高生产力、促进企业发展;另一方面也在企业管理、工作效率、信息安全、法律遵从、IT投资等方面给企业提出了严峻的问题与挑战。
问题1:网速为什么越来越慢?
在办公室里经常会听到有人抱怨“网速为什么这么慢?”,几乎所有的企业都存在这样的问题。那么企业花钱租用的10M甚至100M带宽都被用在哪里了?为什么带宽不断扩充,而网速并没有明显改善?
真相:带宽资源也许正被滥用!
根据联通公司发布的一份调查显示:以迅雷、BT、eDonkey、KaZaA等为代表的P2P应用,消耗了40%以上的有效网络带宽。而在企业租用的有限带宽里,充斥着大量P2P下载、网络电视等应用流量,导致大量带宽被非工作应用所占用。而且,由于P2P的应用特征,使得企业高额投资的带宽成了互联网公共服务。
谁?在什么时间?可以拥有多少带宽资源?可以使用哪些网络应用?
问题2:网络安全事故为什么防不胜防?
“堵漏洞、砌高墙、防外攻、防内贼,防不胜防”,防火墙越“砌”越“高”,入侵检测越做越复杂,病毒库越来越庞大,身份系统层层设保,却依然无法应对层出不穷网络安全威胁,难道那么多安全产品都是摆设?
真相:安全隐患来自内部员工!
无论如何豪华的防线,一个漏洞就可以毁灭所有一切。Meta Group发布研究报告称:“持续增长的安全威胁源自您的员工”。内部人员通过互联网与外部通讯时,可能会引入含有恶意的或者攻击性的内容,如若未能得到监测和控制,这将成为企业的一大隐患。并且充满诱惑的网络资源往往是风险的发源地。
谁?在什么时间?是否可以上网?是否阻止访问可能含有安全风险的网络内容?
问题3:办公室为成了免费网吧!
据一项调查显示,普通企业员工每天的互联网访问活动中40%与工作无关,对色情等非法网站的访问量70%都发生在工作时间。上班时间“上网休闲”已经成为普遍现象,聊天、游戏、炒股、购物、BBS、电影、博客等无时无刻不在抢占正常的工作时间,办公室因此沦为不需要花钱的“网吧”。
谁?在什么时间?可以用什么应用?不可以访问什么网站?
约束员工在互联网上的行为,其实是在帮助员工匡正工作行为,丢弃不好的习惯,成为一个专业、敬业的职业人,这对员工自身的职业发展也是大有裨益的。
问题4:企业要为员工的网络行为背黑锅吗?
目前,大部分企业内部员工上网并不受限制,但是他们在网上做了什么?对外发了什么信息?企业完全不知情,也无记录可查询,这就给企业埋下了巨大的法律风险。
某企业被当地公安局网络监察处执行严厉处罚,原因是查出该企业内有员工在网上发布了违反法律的信息,但是无法查出是哪位员工所为,最后企业只得为这名“幕后英雄”背黑锅。那么在这种情况下,企业必须为员工的个人网络行为负责吗?
谁?在什么时间?以何种方式?对外发了什么信息?发给了谁?
问题5:发现内部网络问题后不能快速的找到根源?
当出口拥塞,网络访问异常时,只能通过网络层面的的设备分析原因,简单的插拔网线,复位设备,以希图问题解决。但本质,内在的源头无法定位。
IT系统追求的的是性价比,一味的迁就会隐藏更大的隐患,我们需要专业的洞悉网络问题应用源头的能力,能够分析问题的普遍性,严重性,共通性。利用上网行为管理产品能够做到:
哪些人群的应用异常?哪些行为在单位内最普遍?哪些部门隐患最突出?
上网行为管理的实施步骤
洞悉->管控->驾驭
step1:企业要做好上网行为管理,必须先洞悉企业内使用互联网的过程中存在哪些问题?因为不同企业面临的问题不同,需要先了解到底有哪些问题?
step2:然后分析问题的根源,再制定有针对性的策略管控问题;上网行为管理策略必须是有针对性的、个性化的,这样才能符合不同企业本身的管理制度、企业文化等的要求和需求;
step3:最后通过审计报表了解问题解决的程度和效果,再根据报表做管理策略优化,进而达到驾驭互联网、实现上网行为管理的价值。
看看是谁制定了《 绿色上网的标准YDN138-2006》
基于PC终端的互联网内容过*软件技术要求
郑州金惠计算机系统工程公司
武汉硅丰发展有限责任公司
深圳任子行网络技术有限公司
北京大正语言知识处理研究所
北京网中行信息技术有限公司。
大势至(北京)软件工程有限公司(聚生网管)
W上网行为管理产品对比
硬件与软件之分
从产品形态来看,目前上网行为管理分为硬件和软件2种,但是国内以硬件为主流,国外以软件为主流;
硬件的优势:部署简单、升级方便、故障率低
硬件的劣势:成本较高,运输不方便,维护复杂,维修需要专业认识,技术支持不到位
软件的优势:成本适当,维护简单、安装容易、升级快速,可以在公司随便找个机器部署.
软件的劣势:对于国企和政府来说,没有一个东西不放心,所以国内政府偏硬件,企业偏软件。
以上对比,并不是绝对的说法。目前的软硬件结合模式越来越多。包括加入准入模式、VPN的上网行为管理,基于客户端的内网管理模式和文档管理模式,为的是内外兼修,从各种方向去弥补单一产品的不足。企业应该根据自身的应用需求,去选择自己需要而合理的方案。如果只是追求单一产品本身的应用,在信息化建设的综合成本上一定会超出很多预算,无谓地增加了更多的信息化成本。
产品适用范围之分
市面上目前能够提供全面或部分上网行为管理功能的产品,已经有几十种。如果以产品适用范围来区分,通常分为这样3类。
1,适合同时上网PC数量低于50台。
这类产品一般以纯软件型和低端宽带路由器集成QQ、MSN、BT等的过滤为主。纯软件型产品通常成本低廉、稳定性较差,适合对上网行为管理有需求,但预算有限的用户。低端宽带路由器集成针对部分常见应用或软件的过滤功能,同样以价格低廉胜出。在提供基本组网应用的同时,兼顾最基础的上网行为管理需求,较容易被价格敏感的用户接受。
2,适合同时上网PC数量在50~200台之间。
这类产品一般以高性能上网行为管理设备和带自主研发Kercap引擎的软件产品为主。即在高性能网关路由器上,增加深度包检测(DPI)功能。通过分析网络应用特征码,配合智能带宽管理、自动行为管控等综合策略,全面管理聊天、在线视频、股票、游戏、P2P下载、暴力及色情等非法网站等的过滤,并配合WAN口流量统计、LAN侧用户流量统计、并发session统计等功能,提供综合的管理手段。通常价格较软件产品或低端路由器略高,但功能更全面,性能更稳定,性价比较能够为此等规模的企业用户所接受。
3,适合200台以上的PC同时上网的管理。
这类产品通常是采用硬件与软件结合的方式。即同样的软件版本,安装在不同档次的工业计算机上,经过反复的测试后,根据所安装的工业计算机的处理性能不同,可以涵盖到200~500,500~1000,甚至更大范围的并发应用。由于有性能更为强大的工业计算机作为处理平台,这类产品能够提供的功能更加丰富,部分产品甚至可以缓存上网浏览或发送的内容,检索出可能涉及泄露公司机密、触犯法律或不适合上班时间处理的内容,进而采取相应的策略加以限制。对于规模较大的公司,IT管理对技术的依赖更加侧重,需要管理的内容和管理的手段更加广泛,以适应大批量管理的需要。此类产品由于其复杂的功能需要高性能的工业计算机才能够支撑,因此起步价格通常因硬件成本的因素,只有规模和需求达到一定程度的中大型企业可以接受。
目前也有部分此类厂家推出了适合中小规模用户的产品,功能上没有太大的差异,只是选择更为低廉的工业计算机进行处理,从而降低了整体成本和适用范围,以满足中小规模用户的需求。价格也相应的降到万元以下。
产品定价
根据软件硬件产品、产品工业等级、产品硬件内核模组、产品管理规模、产品适用范围的区分,产品定价的幅度也有极大的变化。
如低端产品线:价格从数百元至数千元不等。即便是软件产品。也有高达十万元的价位。而高端产品线,从主流厂商报价来看,从几万到几十万的价格不等。若是在高校、骨干线路的应用方案中,为了满足需求,采用双核、四核、G级的硬件模组的设备其价位更高。
旁路与串接之分
从部署的方式来看,主要分为旁路与串接之分,这主要看用户对上网行为的管理程度来决定。
旁路:不容易造成单点故障,但是控制和管理的效果不理想;
串接:控制和管理的效果好,但是容易造成单点故障;
目前国内主流的厂商提供的产品都比较稳定,单点故障率较小,建议用户在条件允许的情况下采用串接方式部署
对于以备份(邮件,聊天,网页审计)为主的建议采用旁路方式的软件。
国外与国内之分
一直以来,很多用户都认为国外的产品和技术要优于国内厂商,但是上网行为管理产品并不如此。
上网行为管理产品是用来管理互联网访问内容和互联网使用者的,这与企业的文化、管理制度、人文环境、法律法规都非常相关,例如:
国外与中国在成人内容上的分级不同,导致对成人内容的过滤结果不同;
国外与中国的流行网络应用不同,有很多是只有中国用户使用的网络应用,而国外的产品往往不能支持对这些应用的控制和管理;
建议国内用户尽量选择使用国内厂商推出的上网行为管理产品,毕竟中国的厂商更了解中国用户的互联网环境和互联网使用习惯。
上网行为管理主要功能
网页访问过滤
互联网上的网页资源非常丰富,如果员工长时间访问如色情、赌博、病毒等具有高度安全风险的网页,以及购物、招聘、财经等与工作无关的网页,将极大的降低生产效率。
通过上网行为管理产品,用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的网页。
网络应用控制
聊天、看电影、玩游戏、炒股票等等,互联网上的应用可谓五花八门,如果员工长期沉迷于这些应用,也将成为企业生产效率的巨大杀手,并可能造成网速缓慢、信息外泄的可能。
通过上网行为管理产品,用户可以制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事。
带宽流量管理
P2P下载、在线游戏、在线看电影电视等都在抢占着有限的带宽资源。面对日益紧张的带宽资源,除了增加预算扩充带宽以外,企业还可以选择合理化分配和管理带宽。
通过上网行为管理产品,用户可以制定精细的带宽管理策略,对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入成本。
信息内容审计
发邮件、泡BBS、写Blog、聊IM已经司空见惯,然而信息的机密性、健康性、政治性等问题也随之而来。
通过上网行为管理产品,用户可以制定全面的信息收发监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律风险。
上网行为分析
随着互联网上的活动愈演愈烈,实时掌握员工互联网使用状况可以避免很多隐藏的风险。
通过上网行为管理产品,用户可以实时了解、统计、分析互联网使用状况,并根据分析结果对管理策略做调整和优化。
日志管理
通过日志的分类显示,可以让用户只看到自己关心的系统日志,而不需要从所有日志信息中慢慢筛选,从而更好的让用户了解系统的运行情况,方便快速定位和排除故障;更值得提出的是,ReOS 2009上网行为日志可以记录内网用户登录QQ和退出MSN的信息(能记录下IP地址、QQ号码和MSN号码)和发送/接受邮件的信息;通过网页日志,用户可以查看到内网用户所访问过的网站域名,可以实时了解内网用户的上网行为。
上网行为管理市场介绍
行业客户及大型客户在选择上网行为管理产品的时候,往往会比较倾向于硬件产品,而中小企业、网吧等单位在选择产品时,倾向于投入成本相对低廉的软件产品。
部分硬件厂商:
1、深信服科技
业内硬件领域领导厂商,上网行为管理产品作为旗下众多产品线之一,性能应该是能满足需求的,从客户反馈看,对功能、性能一般都比较满意,但是在界面上稍有欠缺,适合专业人士使用,但深信服的产品性价比不高,特别是目前,他的技术上过于单一,价格太高,随便一个低端产品就要好几万甚至几十万,操作界面也烦杂,无最新的桌面监控功能和异地网络监控功能,非常不适合中小企业使用。
2、天助网E网无忧网络管理机
天助网作为中国商机发布引擎行业的领军者和倡导者,拥有一支非常强大的技术研发队伍,根据他们5万多家VIP客户的要求和实际需要,经过2年多的技术研发,成功开发出了一款目前技术最新,功能最全面,操作最方便,更新最快最稳定的上网行为管理机“E网无忧网络管理机”,管理机一问世就得到深圳相关领导的大力支持和各企业的认可,而且价格比同类产品要低很多。可以说是为现代中小企业量身定做的一样。
3、网康科技
作为海归人员创办的上网行为管理厂商近两年发展不错,多次融资,早期产品性能一般,现在有较大改观,产品特色是界面比较漂亮,配置较为简单,适合入门级网管使用,主推产品的URL库,在应用控制方面做得较为粗犷。
4、任子行
深圳的一家安全厂商,主要针对网吧市场,与实名上网卡捆绑销售,任天行系列产品主要对中小企业市场,由于产品功能、性能方面的问题在高端市场中鲜见。
5、中科新业
网络哨兵,主要针对教育、政府、企业,实现上网行为审计、管理、分析功能,应用于教育等行业的分布式系统在市场有不错的反馈。
6、安达通
7、青莲
8、企智通
基本的上网行为管理产品,实现效果一般,与电信等运营商捆绑销售。
部分软件厂商:
1、百络网警
《百络网警》局域网管理软件是上海百络信息技术有限公司推出的最新网络监控软件,集网络监控,安全审计,邮件监控,聊天监控等功能于一身,是领先业内一年以上的监控软件。
2、天易成网管
【企业管理之员工上网行为管理】推荐阅读:
企业局域网中的员工上网行为管理应用09-26
上网行为管理提升员工工作效率01-26
完美上网行为管理09-25
上网行为管理限制策略01-21
上网行为管理测试报告03-13
上网行为管理产品比较07-09
购买上网行为管理设备方案07-16
上网行为管理市场分析03-01
深信服ac上网行为管理07-16
选择上网行为管理软件的要素03-08
