随着互联网的发展,员工在单位上网已经是非常普遍的现象。截止2011年年底的统计,中国网民增加5580万,达5.13亿,高居全球第一,单位上网人员占比33.8%。
另一方面,上网的行为日趋多元化,早期上网行为主要是发送邮件、上网查资料。当下,上网行为开始多元化:炒股、游戏、聊天、交友、看电影、购物已经成为上网行为的主流要素。但是同时,也会带来大量的负面效果:
员工发送涉密信息,给单位造成经济损失;
员工发送违法言论,给单位造成法律风险;
员工的工作时间被大量消耗、影响工作效率;
员工大量使用P2P、看电影,造成单位上网带宽拥堵;
员工访问病毒网站,给单位网络带来安全威胁。
一、上网行为管理的功能:
上网行为可视
直观掌握各种上网行为,便于快速指定上网行为管理策略:
查看实时流量趋势图和应用组成情况;
查看热门网站和访问网站的分类排名。
减少安全风险
帮助用户识别大量的风险网站,可以有效阻止员工访问带毒站点;配合终端准入机制,强制员工在计算机上安装必要的安全软件,降低桌面安全漏洞带来的安全风险。
减少信息泄密
对网页发帖、邮件、IM、FTP等方式传输的文字、文件进行全面审计,便于发生泄密事件时进行快速追溯;
如果传输的信息中包含预设的敏感关键字,还可以进行告警、阻断,快速发现泄密行为,防止信息外泄。
遵从法律法规
满足公安部门要求的上网日志记录60天的要求。避免员工访问低俗类网站和违法类网站,净化网页的访问。还可以过滤、审计论坛发帖、IM聊天中存在的政治言论,提前规避法律风险。
提升工作效率
在上班时间限制游戏、聊天、炒股等上网行为,减少员工的工作时间浪费,提升员工的工作效率。生成工作效率报告,提供给各个部门的管理者,便于清晰了解员工工作效率。
优化带宽资源
限制P2P下载、P2P视频、网页视频等浪费带宽资源应用的速率;
保障OA、邮件、视频会议等关键应用的速率;
在不增加带宽投资的情况下,满足核心业务的带宽需求,保障业务质量。
二、上网行为管理的产品优势:
专业精准
1)用户识别能力领先
支持20余种用户识别机制,充分满足各种环境下的用户管理需求;
支持不同认证方式的自由组合,可以在同网段内针对不同用户启用不同认证方式;
可为用户自定义各种丰富的用户属性,定位查找用户更方便。
2) 网页识别能力领先
内置全球最大的中文网页分类库,可以识别2500万个站点的网页内容。
3)应用识别能力领先
内置600多钟主流网络应用协议库,完全不依赖于IP、端口。无论应用IP、端口如何变化,甚至加密也可以准确识别。
管理人性化
上网行为管理产品需要有效避免员工的抵触,只有提供丰富、灵活、人性化的管理方式,才能真正的使得上网管理制度落地。
1)管理要素丰富
可以基于人员、时间、地点、应用类型,进行灵活的策略定义。
2)员工自助管理
能够采用时间限额、流量限额的人性化方式让员工自己合理安排上网行为,避免简单粗暴阻断带来的抵触。
安全可靠
上网行为管理产品通常串联在网络中,能够审计到大量的敏感信息,需要提供高可靠性和数据安全保护。
1)双系统引导
一个系统不能工作时,另外一个系统可以接替工作。
2)智能硬件bypass
支持死机保护、断电保护和主动式bypass,在任何极端情况下保证自动切换到直通状态,避免断网。
3)数据传输防窃听
所有设备管理及数据访问均在加密状态下完成,确保网络中传输的数据不会被窃听。
4)三权分立
网络管理员、日志审计员、权限审核员三权分立,确保网络管理员不会看到敏感信息。
三、上网行为管理的协议列表
功能参数
|
|
用户管理
|
IP和Mac地址绑定 / AD域透明认证 / 本地Web认证 / LDAP认证 / RADIUS认证 / 代理认证 / 统一的第三方认证接口 / 用户分组、分段管理 等 |
网页过滤
|
50多种分类、2500万条URL分类库 / 本地内容智能识别技术
|
应用控制
|
支持网络游戏、P2P下载、聊天工具、网络视频、网络炒股等16大类600种主流应用
阻塞应用 / 限制带宽 / 限制使用时长
|
带宽管理
|
自定义带宽通道 / 基于协议、应用、用户的带宽分配 / 用户组成员平均分配带宽 / 空闲带宽复用
|
内容审计
|
Email / Web mail / BBS / MSN / Yahoo通 / QQ / 飞信 / 网页搜索关键字等
|
互联网活动审计
|
支持实时监控 / 基于用户、时间、应用、带宽、外发信息等的监控记录 / 可生成基于日/周/月以及指定日期范围的统计报表 / 支持email订阅报表
|
终端准入
|
必须/禁止安装指定软件 / 必须/禁止运行指定程序 / 禁止指定程序访问网络
|
日志中心
|
海量存储,汇总分析,离线查询 / 支持专业级Oracle数据库
|
集中管理
|
集中制定、下发策略 / 分支机构设备状态监控 / 用户日志、报警信息收集
|
代理服务
|
支持HTTP / HTTPS / SOCKS代理
|
攻击防护
|
支持ARP攻击监控 / 网络异常流量监控 / IP流量异常监控 / DDOS攻击 / 广播风暴
|
管控方式
|
支持黑白名单 / 免监控IP / 监控不记录 / 监控并记录 / 允许 / 阻塞 等
|
管理方式
|
|
操作界面
|
WEB界面(支持各种主流浏览器,HTTPS加密传输) / 命令行界面(SSH / Console口)
|
设备部署
|
|
部署方式
|
透明网桥 / 网关模式 / 旁路镜像 / 代理模式 等
|
透明网桥模式部署
• 以透明网桥方式部署在企业网络出口;
• 无需改动用户网络结构和配置,仅需为设备配置一个可管理的网桥IP地址(或另接独立管理接口);
• 配置简单,维护量小,对用户透明,设备自身安全性较高。
网关模式部署
• 以网关模式部署在网络出口
• 可替代小型路由设备作为独立网关设备
• 对内部IP地址进行NAT地址转换,隔离内外网络
旁路镜像模式部署
• 以旁路方式部署在网络出口,通过交换机镜像端口获取流量数据,对网络结构不进行任何改动
• 适用于控制需求较少,仅需进行审计监控的网络环境