绿盟上网行为管理方案

绿盟上网行为管理方案（共6篇）

篇1：绿盟上网行为管理方案

上网行为管理方案(员工上网控制)

构建安全、稳定、高效的企业网络



行业背景分析

CNNIC最新数据表明：94.8%的中小企业配备了电脑、92.7%的中国中小企业接入互联网；57.2%的中小企业正在利用互联网与客户沟通及为客户提供咨询服务。从企业门户平台的建设到公文、数据的传递，从VPN企业专用信息通道到网络视频会议，网络应用已经成为广大企业提高工作效率，进行实时沟通的有力保证和手段；同时网络也成为企业收集各类信息、与外界沟通以及员工获得专业知识与信息的重要来源。然而，网络也是各种娱乐活动的渠道，是分散员工精力、生产力流失的根源，重要资料的泄漏和不可控的安全隐患也使广大企业面临巨大经济损失和法律风险。

据美国科技调查机构IDC的调查指出：企业员工大约30％～40％对网络的使用是跟工作无关的。中国企业的情况略高于这个比例。中国员工每周花在网上处理私人事务的时间为5.6小时，中国的IT主管认为员工每周会花费至少6.2小时进行网上冲浪，83%的中层管理人员在办公时间内浏览与工作无关的网站。

如果缺乏管理制度和技术手段，员工不加监管、随意使用网络将导致三个重大问题：工作效率低下、网络性能恶化、网络违法隐患。

行业网络需求分析 多线高速接入

因为拨号接入方式比专线、光纤便宜很多，一般企业多采用ADSL这类的宽带接入。随着网络的应用越来越多，管理难度越来越大，很多企业一条宽带不够，再增加一条宽带；两条条宽带不够，再增加两条宽带。但这样就会出现多路接入、多个出口的问题，接入设备多，维护成本增大，给管理带来困难。

因此企业需要多路宽带接入，特别是在业务范围覆盖全国的企业，还需要电信、联通线路的同时接入访问，消除跨网互通的问题。网络带宽管理

一般来说，一个2M外网带宽的局域网，只要有2个以上的用户毫无节制地使用BT，所有人的正常网络浏览都将成为不可完成的任务。如果缺乏有效的技术手段，BT、迅雷、电驴、PPLive等P2P软件和在线影音等行为就会严重吞噬带宽资源，导致正常工作的带宽得不到保障，企业大量投资的宽带网络速度一天比一天慢；IT部门经常遭到抱怨，要求提升上网的带宽；而有趣的是抱怨的人中常常包括那些下载音乐文件或看视频电影的员工。

网络带宽缺乏规划与管理，势必造成网络投资加大，企业成本上升。企业推广信息化建设、建立网络应用环境是为了提高工作效率，降低办公成本。网络资源浪费迫使企业加大网络投资，网络投资导致了成本的上升，利润的下降，这也是企业面临的重要问题。抵制不良信息

互联网上信息庞杂多样，既有大量进步、有益的信息，也有不少反动、迷信、黄色等不健康的内容，对于有危害的站点如何去屏蔽？对于色情反动站点如何过滤？

现在很多企业还缺乏有效的管理监控手段来对企业员工的上网进行必要的限制和记录，对于一些非法站点也没有采取有效手段来过滤。企业将面临违反国家法律法规的风险，反动、黄色的言论通过网络在企业内部传播，直接会导致企业面临国家法律的制裁，企业领导难辞其咎。

在企业内部提供一个绿色安全的上网环境，已经成为迫切的问题。上网行为管理

互联网上的内容太丰富了，对企业员工有太多的诱惑，很多的员工沉溺其中，无法自拔，常常把自己的本职工作放在一边，导致企业整体工作效率没有提升反而下降。调查数据显示以下为影响工作效率主要的互联网行为，它们与工作无关而且可能导致更多的问题（比如网络安全等）： 闲逛新闻、娱乐网站，泡论坛“打发时间”； 浏览色情网站、赌博网站；

浏览游戏、音乐等娱乐网站，下载大量与工作无关的音乐文件，在线听音乐，在线看视频等，不仅耽误工作，而且占用大量的网络带宽资源，影响其他人员使用公司的资源；浏览相关财经网站，利用公司的资源在线炒股；浏览“在线”购物和拍卖网站； 使用IM软件如QQ、MSN、Skype、飞信等。

个人沉溺于网络或者“出工不出力”的现象屡见不鲜。个人工作效率及工作状态的低下，最终会反映到工作业绩上，影响到个人在企业中发展。而且它具有扩散效应，八卦新闻、小道消息一旦成为工作时间的谈资，必然极大破坏办公室的工作氛围。信息安全风险

任何企业主或管理人员都担心企业内部的机密信息流露出去，而互联网偏偏又是最便捷的信息交流传递途径。企业商业机密、重要文献可以通过网络以MSN、QQ、邮箱等多种方式快速、方便的流失出去。不受限制的上网行为将带来更多的安全问题，比如下载的文件中带有病毒或其它有破坏性的程序QQ、MSN等软件的使用有可能招到网络黑客的袭击等。

想到这些问题，每个管理人员都可能坐立不安。如何解决这些问题呢 网络稳定安全

企业内网PC终端众多，网络应用也较复杂，因误触恶意网站、下载等原因，木马、蠕虫、钓鱼等网络陷阱可以轻易冲垮企业的网络环境，甚至导致企业整体IT系统的瘫痪，泛滥的P2P软件（迅雷、BT、电驴等）都可能造成内网的安全隐患。最典型的就是不少企业网络都饱受ARP病毒攻击，网络要么频繁掉线、乱弹广告，要么上网速度巨慢！

XX网络解决方案

XX上网行为管理路由器部署为企业的网关，提供网络接入、上网行为管理等功能；内网采用上网行为管理交换机，提供千兆内网传输速率。



方案特点：

多条宽带接入，提高网速又省钱

提供2~4个WAN口，可以使用多条ADSL取代光纤，或增加 ADSL提升带宽，节省费用并且降低“单线故障”的风险。智能实现“电信数据走电信线路，联通数据走联通线路”，并支持在线升级策略库，实现多网的高速接入。

它还具有领先的通断检测技术，能智能判断线路状态，如果某条线路出现故障，会自动将相关应用调度到正常线路，确保网络永远在线。支持线路定时切换的数据平滑过渡，减少线路切换时卡机、掉线等现象。

合理分配带宽，网络不卡不掉线

免配置智能流控（Smart QoS Ⅱ）通过对各类应用的深度识别、分类管理、分级处理，始终让企业关键业务走优先通道，其余流量都给他们让路，保证关键应用如：视频会议、OA系统等永远都不卡！同时还能把剩余带宽分配给其他用户或应用（例如文件下载、在线视频），实现带宽合理化、最大化的利用！

针对不同应用设置不同的带宽、连接数以及不同的数据优先级，保证您的核心业务能得到有力的保障。提升带宽使用率，真正做到物尽其用！P2P软件过滤，防止带宽被暴力占用

P2P技术的发展给互联网带来了极大的促进，给用户带来便利的同时也给网络应用带来了严重隐患。首先P2P软件对带宽暴力占用使企业网络带宽面临严峻挑战。其次P2P软件本身现在也成为众多安全攻击者的目标，利用P2P传播病毒或者隐藏木马成为一种新的攻击趋势。

通过上网行为管理路由器的P2P软件过滤，轻松过滤主流的P2P软件，使企业网络的带宽资源得到最合理的使用。抵制不良信息

通过黑白名单可以管理企业网络内用户的网页访问。通过白名单来指定企业员工只能浏览的网站（例如工作相关网站）；或者通过名单屏蔽恶意网站或不良网站；结合域名过滤功能，优化关键字，能加强对低俗不良信息的过滤和拦截，大大降低内网用户对不良Web页面的访问。上网行为管理，杜绝网络“旷工旷课”

上网行为管理路由器能阻止对色情、反动、病毒等高风险网站的访问，限制工作无关的网络应用，能有效减少恶意软件的侵扰，使得IT设备维修率下降，企业员工的工作效率大幅提高，工作质量越来越好。通过限制BT、Emule等P2P下载应用的带宽，保证主要业务畅通无阻，加强了对Email、BBS等外发信息的管理，减少了单位信息外泄的可能，从而大大提高了企业员工的工作效率，降低网络泄密的风险。网址分类管理，轻松过滤与工作无关的网站

能监控所有用户浏览网址的记录，并可禁止访问最热门的10大类网站，它们包括：休闲娱乐、新闻资讯、聊天交友、网络游戏、电子购物、论坛博客、证券基金、电子邮件、网上银行和不良网址等。支持网址分类库自动升级。配合禁止通过IP访问网页、黑白名单以及跳转页面设置，全面管好企业内部的网站访问。能有效的避免在上班时间浏览与工作学习无关网站的现象。在用户浏览网页的时候，上网行为管理路由器可以提示监管信息，让大家知道哪些操作是被禁止或记录的。这类似公布道路上电子眼位置，公开监管会让企业员工的抵触情绪明显降低。聊天软件过滤，提高工作效率

很多企业对QQ、MSN等及时通讯软件是又爱又恨，一方面它们是必不可少的信息沟通工具，一方面又最容易让企业员工因私聊耽误工作学习。通过上网行为管理路由器的聊天软件过滤，可轻松管制QQMSN飞信SKYPE阿里旺旺等聊天软件，而且可以设置例外的IP地址组（例如让领导不受限制）。更有QQ号码的精细化管理，仅允许使用单位指定的工作QQ，而其他私人QQ无法使用。股票软件过滤，规范工作行为

不少企业都有部分企业员工利用上班时间炒股的现象，这种行为极大地占用了工作时间，降低了工作效率，而且运行炒股软件还占用了大量的带宽，导致其他企业员工无法很好地利用网络进行工作。

通过上网行为管理路由器的股票软件过滤，可以轻松过滤主流的炒股软件，可以在很大程度上杜绝上班炒股行为，保证带宽资源能够被合理高效地使用。游戏过滤，防止沉迷网游

企业员工在上班时间玩网络游戏，一方面占用工作时间，严重违反了相关纪律，造成不良影响；另一方面，这些网络游戏又极大的消耗着网络带宽，造成其他企业员工上网堵塞；同时，网络游戏里面常常充斥着色情、暴力、反动等信息，有损企业形象。

通过上网行为管理路由器的游戏过滤，可以轻松过滤主流的网络游戏，规范企业员工上网行为，净化企业的网络环境。邮件监控，防止网络泄密

对内网用户使用邮件客户端（例如OUTLOOK、FAXMAIL等）通过POP3/SMTP协议收发邮件时，进行收发邮件的镜像和监控。WEB安全管理，减少网络风险

能有效减少内网用户访问网页时被各类木马病毒文件感染的几率。通过禁止WEB页面提交，还能防止用户在网络论坛上发言发帖，避免给企业带来法律风险。外防攻击，内防病毒

防攻击抗病毒：拥有网络自防御功能，支持内外网攻击防御，提供扫描类、DoS类、可疑包和含有IP选项的包等攻击保护，能侦测及阻挡IP 地址欺骗、源路由攻击、IP/端口扫描、DoS等网络攻击，有效防止冲击波、木马等病毒攻击，有效提高网络可靠性。

网络攻击报警：实时提示内外网攻击信息，快速定位和查找到攻击来源，及时解决网络问题。全面防御ARP病毒

ARP病毒泛滥是企业网络的一个顽症，ARP病毒经常造成整个网络的频繁断网，极大地影响了企业网络用户的正常使用。上网行为管理路由器通过多种方式能有效解决ARP病毒难题。

方便的ARP欺骗防御：通过免费ARP的定时发送机制，初步防治内网ARP病毒。

可靠的双向绑定：一键完成IP/MAC地址绑定，使ARP表不被轻易更改，有效防范ARP病毒攻击，保障内网运行效率。也能防止部分企业员工私自更改IP，导致IP冲突、网络管理混乱的现象，保证企业网络的合理、规范和高效。

灵活的ARP信任机制：有些环境不适合传统的IP/MAC双向绑定（例如笔记本用户较多的企业），采用ARP信任机制在无双向绑定的情况下，自动学习、判断和更新内网主机的ARP信息，确保路由器获得真实可靠的用户ARP信息，既保证上网的便捷性，又保证上网的安全性。VPN虚拟专网

企业网络开设VPN虚拟专网，能为出差的企业员工访问单位资源提供了很大的方便，也能使得同系统的多个单位安全快速的互联互通。上网行为管理路由器提供PPTP VPN和IPSec VPN功能，可以实现本地网络与远程网络之间安全加密互访。

上网行为管理路由器还支持网对网的VPN功能，便于企业总部和分支机构的互联互通。好使用易管理

内网管理轻松直观：通过直观的数据流量图和网络状态报告，每条线路的数据流量都一目了然。您可以实时统计每个IP的累计流量、实时流量、网络连接数等关键指标，全面分析每个IP的网络连接详情，网络问题的定位也易如反掌。还能实时管控每个主机当前的网络连接。并能对异常主机进行远程管控，断掉或恢复该主机的外网链接。

配置备份与导入:可将每种配置文件保存到电脑，需要重新配置路由器时，可导入相应配置文件，缩短配置时间。

使用方便：全中文WEB配置及管理页面，配置简单，不需专业网管。支持免费软件升级功能。

篇2：绿盟上网行为管理方案

一．网络管理概述

1.网络管理的目的

在一般情况下，网络管理的主要目的是为了提高网络可用性、改进网络性能、减少和控制网络费用以及增强网络安全性等。2.网络管理的要素

网络管理平台的建设主要与业务需求的结合。完整而理想的网络管理解决方案，应该根据应用环境和网络对业务流程，以及用户需求的端到端关联关系，来管理网络及其所有设备。3.网络资源管理

网络资源就是指网络中的硬件设备、整个环境中运行的软件（包括服务器与电脑的应用软件）以及所提供的服务等。网络管理系统必须将它们表示出来，才能对其进行管理。在好的网管软件中，当前的网络拓扑和各个硬件系统都以图形的方式显示在一个图上，而且各种信息都会动态地在上面显示，非常方便监视与管理。

4.软件资源管理和软件分发

网络管理系统的软件资源管理和软件分发功能，是指优化管理信息的收集，对企业所拥有的软件授权数量和安装地点进行管理。软件分发则是通过网络把新软件分发到各个站点，并完成安装和配置工作。5.应用管理

应用管理用于测量和监督特定的应用软件及其对网络传输流量的影响。网络管理员通过应用管理可以跟踪网络用户和运行的应用软件，改善网络的响应时

间。

二、网络管理要具备的六大基本功能

网络管理一般包括性能、故障、配置、计费、安全和行为六方面功能。

1.性能管理

主要考察网络运行的好坏。性能管理使网络管理员能够监视网络运行的参数，如吞吐率、响应时间、网络的可用性等。2.故障管理

检测、定位和排除网络硬件和软件中的故障。当出现故障时，该功能确认故障，并记录故障，找出故障的位置并尽可能地排除这些故障。3.配置管理

掌握和控制网络的状态，包括网络内各个设备的状态及其连接关系。配置管理的典型方法是，用逻辑图来描绘所有的网络设备及其逻辑关系，并将网络的确切物理布局，以适当的比例映射到这个逻辑图上。用精心设计的各种图标来表示各种网络对象，而这些图标又往往涂上不同颜色表示相应设备的不同状态。4.计费管理

记录各个用户和应用程序对网络资源的使用情况。计账管理提供计算一个特定网络或网段的运行成本的手段。5.安全管理

是对网络资源及其重要信息访问的约束和控制，包括验证网络用户的访问权限和优先级、检测和记录未授权用户企图进行的不应有的操作。6.行为管理

上网行为管理是指帮助用户控制和管理对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。

三、上网行为管理的技术功能及产品

上网行为管理技术是专用于防止非法信息恶意传播，避免相关机密、商业信息、科研成果泄漏，并可实时监控、管理网络资源使用情况，提高整体工作效率。上网行为管理软硬件系列适用于需实施内容审计与行为监控、行为管理的网络环境，尤其是按等级进行计算机信息系统安全保护的相关单位或部门。上网行为管理通过软硬件能实现的功能有： 1.上网人员管理

上网身份管理：利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性

上网终端管理：检查主机的注册表/进程/硬盘文件的合法性，确保接入企业网的终端PC的合法性和安全性

移动终端管理：检查移动终端识别码，识别智能移动终端类型/型号，确保接入局域网的移动终端的合法性

上网地点管理：检查上网终端的物理接入点，识别上网地点，确保上网地点的合法性

2.上网浏览管理

搜索引擎管理：利用搜索框关键字的识别、记录、阻断技术，确保上网搜索内容的合法性，避免不当关键词的搜索带来的负面影响。

网址URL管理 ：利用网页分类库技术，对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性。（URL：统一资源定位器）

网页正文管理：利用正文关键字识别、记录、阻断技术，确保浏览正文的合法性

文件下载管理：利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性 3.上网外发管理

普通邮件管理：利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性

WEB邮件管理 ：利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性

网页发帖管理：利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性

即时通讯管理：利用对MSN、飞信、QQ、skype、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性

其他外发管理：针对FTP、TELNET等传统协议的外发信息进行内容关键字识别、记录、阻断确保外发信息的合法性 4.上网应用管理

上网应用阻断：利用不依赖端口的应用协议库进行应用的识别和阻断

上网应用累计时长限额：针对每个或多个应用分配累计时长、一天内累计使用时间达到限额将自动终止访问

上网应用累计流量限额：针对每个或多个应用分配累计流量、一天内累计使用流量达到限额将自动终止访问 5.上网流量管理

上网带宽控制：为每个或多个应用设置虚拟通道上限值，对于超过虚拟通道上限的流量进行丢弃

上网带宽保障：为每个或多个应用设置虚拟通道下限值，确保为关键应用保留必要的网络带宽

上网带宽借用：当有多个虚拟通道时，允许满负荷虚拟通道借用其他空闲虚拟通道的带宽

上网带宽平均：每个用户平均分配物理带宽、避免单个用户的流量过大抢占其他用户带宽 6.上网行为分析

上网行为实时监控：对网络当前速率、带宽分配、应用分布、人员带宽、人员应用等进行统一展现

上网行为日志查询：对网络中的上网人员/终端/地点、上网浏览、上网外发、上网应用、上网流量等行为日志进行精准查询，精确定位问题

上网行为统计分析：对上网日志进行归纳汇总，统计分析出流量趋势、风险趋势、泄密趋势、效率趋势等直观的报表，便于管理者全局发现潜在问题 7.上网隐私保护

日志传输加密：管理者采用SSL加密隧道方式访问设备的本地日志库、外部日志中心，防止黑客窃听

管理三权分立：内置管理员、审核员、审计员账号。管理员无日志查看权限，但可设置审计员账号；审核员无日志查看权限，但可审核审计员权限的合法性后

才开通审计员权限；审计员无法设置自己的日志查看范围，但可在审核员通过权限审核后查看规定的日志内容

精确日志记录：所有上网行为可根据过滤条件进行选择性记录，不违规不记录，最小程度记录隐私 8.设备容错管理

死机保护：设备带电死机 / 断电后可变成透明网线，不影响网络传输。一键排障：网络出现故障后，按下一键排障物理按钮可以直接定位故障是否为上网行为管理设备引起，缩短网络故障定位时间

双系统冗余：提供硬盘+Flash卡双系统，互为备份，单个系统故障后依旧可以保持设备正常使用。9.风险集中告警

告警中心：所有告警信息可在告警中心页面中统一的集中展示

分级告警：不同等级的告警进行区分排列，防止低等级告警淹没关键的高等级告警信息。

告警通知：告警可通过邮件、语音提示方式通知管理员，便于快速发现告警风险。

10.上网行为管理产品

深信服上网行为管理（AC）是中国上网行为管理第一品牌，可以防止与业务无关的网络行为，杜绝带宽资源滥用，加快上网速率，提升工作效率。在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为提供解决方案。

网康上网行为管理能帮助客户最大化利用互联网价值，为网络管理者提供各种互联网接入环境的身份认证、合规准入、网页过滤、应用控制、带宽管理、内容审计、外发过滤，行为分析等功能。

小草网管软件综合智能动态带宽保障，服务器流量分析与保障、虚拟多设备管理等多项突破性技术，涵盖流量分析、带宽管理、上网行为管理、DMZ区服务器管理，专线集中管理、企业级防火墙与路由器、负载均衡等功能，在网络性能、质量、安全等方面为客户提供完整的解决方案。

产品对比：从产品形态来看，上网行为管理分为硬件和软件2种，但是国内以硬件为主流，国外以软件为主流；

硬件的优势：部署简单、升级方便、故障率低

硬件的劣势：成本较高,维护复杂,维修需要专业认识

软件的优势：成本适当,维护简单、安装容易、升级快速,可以在随便找个机器部署.软件的劣势：对于国企和政府来说，没有一个东西不放心,所以国内政府偏硬件，企业偏软件。

四、深信服上网行为管理（AC）功能及部署方案 1.AC产品功能

1.1 身份认证

1.1.1 映射组织行政结构

为了给不同用户、不同部门授予差异化的互联网访问、控制、审计权限，需要规划和建立组织的用户分组结构。

一般组织均有自己的行政结构，AC可以完全按照组织的行政结构建立树形用户分组，实现父组、子组等多层嵌套的要求。在完成用户组的创建后，即可创建用户，并将用户分配到指定的用户组中，以实现网络访问权限的授予与继承。用户创建的过程简单方便，除手工输入帐户方式外，AC能够根据OU或Group读取AD域控服务器上用户组织结构，并保持与AD的自动同步，方便管理员管理。

此外，AC支持账户自动创建功能，依据管理员分配好的IP段与用户组的对应关系，基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC，并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件，过AC的账户导入功能更加快捷的创建用户和分组信息。

用户帐号还支持有效期限定，账号过期则自动失效，支持多人共用同一帐号等，丰富的帐号策略使得管理员可以根据实际情况自由地合理调整。1.1.2 建立身份认证体系

有效区分用户，是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础。AC支持丰富的身份认证方式：

■ 本地认证：Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定 ■ 第三方认证：AD、LDAP、Radius、POP3、PROXY等； ■ 双因素认证：USB-Key认证；

■ 单点登录：AD、POP3、Proxy、HTTP POST等；

■ 强制认证：强制指定IP段的用户必须使用单点登录（如必须登录AD域等）

丰富的认证方式，帮助组织管理员有效区分用户，建立组织身份认证体系，进而形成树形用户分组，映射组织行政结构，实现用户与行为的一一对应，方便 5

管理员实施上网行为管理解决方案。

AC支持为未认证通过的用户分配受限的互联网访问权限，将通过Web认证的用户重定向至显示指定网页，方便组织管理员发布通知。1.2 应用权限管理 1.2.1应用控制策略 1.2.1.1 识别是管理的基础

全面的应用识别帮助管理员透彻了解网络应用现状和用户行为，保障管理效果。

AC多种应用识别技术，全面识别各种应用，进而有效管控和审计。主要包括： a)URL识别： AC内置千万级静态URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术； b)应用规则识别库：AC拥有国内最大的应用识别库，该库由深信服应用规则研发团队定期维护，保证库处于最新状态；该库支持360种以上网络主流应用，680条以上规则 能识别40种以上IM、50种以上P2P/P2P流媒体、100种以上游戏、20种以上OA、15种以上网银、20种以上股票行情软件、15种以上股票交易软件、10种以上木马、10种以上代理软件； c)文件类型识别：识别并过滤HTTP、FTP、mail方式上传下载的文件，即使删除文件扩展名、篡改扩展名、压缩、加密后再上传，AC同样能识别和报警；

d)深度内容检测：IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等，基于数据包特征精准识别，且支持管理员自行定义新规则，以及深信服科技及时更新和快速响应；

e)智能识别：种类泛滥的P2P行为，静态“应用识别规则”已经捉襟见肘，通过P2P智能识别，识别不常见、未来可能出现的P2P行为，进而封堵、流控和审计。

通过强大的应用识别技术，无论网页访问行为、文件传输行为、邮件行为、应用行为等AC都能帮助组织实现对上网行为的封堵、流控、审计等管理。1.2.1.2 上网策略对象化

AC支持完美映射组织的行政结构，管理员可依据组织结构添加管理策略。上网策略对象化，同一条上网策略可被多个用户/用户组复用，同一用户/用户组可关联使用多条策略，实现策略和用户/用户组的双向关联，方便管理员调整。对于父组、子组的

上网策略不仅仅支持基于生效时间、用户/用户组、应用类型，支持模板形 6

式复制，更支持策略有效期，管理员可手动设定策略的过期时间，逾期自动失效，有效实现策略的回收管理。此外，AC支持将策略的查看、编辑权限分配给指定管理员，实现策略的分级管理。1.2.1.3 灵活的授权

AC支持基于生效时间、用户/用户组、应用类型的授权，帮助组织实现上网权限与工作职责的匹配，防止越权访问与泄密风险，一方面管控与业务无关的上网行为，提升员工工作效率，一方面过滤不良信息、阻止异常行为，防止法律与泄密风险。

AC更兼顾了管理与人性化的需求，对于某些不便添加权限控制策略的部门或者是企业文化较为宽松的组织，AC提供了“智能提醒”功能，管理员可设定允许特定用户使用指定应用的时长、流速，一旦用户使用指定应用的时长、速度超限后，AC自动弹出提醒窗口，提醒用户注意违规行为，敦促用户自觉规范，达到促进自我管理的目的，减少管理带来的摩擦。1.2.2 Web应用控制 1.2.2.1 URL访问控制

网页浏览是员工主要互联网行为之一，在URL过滤方面，AC采用“静态URL库+URL智能识别+云系统”三重识别体系。

首先，AC内置千万级预分类URL地址库，该库由深信服URL研发小组专人负责维护，收集新增网页并经由人工审核分类，包含互联网上数十种分类站点，覆盖了95%以上用户访问量最高的网址。

其次，互联网网页容量爆炸性增长，静态URL库不足以有效应对。因此，AC支持基于内容关键字的过滤手段，可基于管理员指定的多关键字过滤用户搜索行为、网页访问行为、发帖行为等。更提供了人工智能的网页智能分析系统（Intelligent Webpage Analysis System, IWAS）能够根据已知网址、正文内容、关键字、代码特征等对网进行学习和智能分类，真正帮助组织完善网页访问行为的管理。1.2.2.2 SSL内容管理

SSL(Secure Socket Layer)协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此，一方面，越来越多的网页使用SSL加密，如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站，而因为采用了加密技术，普通的管理产品无法对其内容进行识别管理，导致管理漏洞；另一方面，互联网上存在大量伪造的网上银行、网上购物页面，此类网页利用了网银、网上购物等

普遍采用第三方权威机构颁发的数字证书以实现SSL加密的特性，伪造虚假证书以骗取用户信任，警惕性不高的用户容易在毫不知情的情况下泄露自己的账户信息，导致直接或间接的经济损失。

AC可以对SSL网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等，防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户，此功能亦应用于过滤SSL加密的色情、反动站点，证券炒股站点等。1.2.2.3 代理翻墙管控

许多组织统一采用Microsoft ISA、CCproxy、Sygate等代理服务器上网，也有的组织明文规定禁止内网用户私用代理上网，但仍有用户将浏览器等应用配置公网服务器、私装代理软件代理他人上网，甚至使用自由门、无界浏览器、IPN等加密代理行为。由于防火墙等设备对内网用户的管理是基于目的地址和端口的，无法有效区分正常上网的流量和通过代理服务器上网的员工流量。对于如上情况，AC的深度内容检测技术能有效识别用户数据中包含的代理上网流量，通过代理识别模块可以识别从用户端发送到达代理服务器之间的应用数据，进而对用户的网络行为进行管控和记录。1.2.3文件传输控制

利用网络来进行文件传输是许多用户每天的必修课，而在文件传输过程中存在种种管理和安全隐患，如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知，有意泄密者甚至会将外发文件的后缀名修改、删除，或者加密、压缩该文件，然后通过HTTP、FTP、Email附件等形式外发。

AC支持管控文件外发行为，如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点，基于关键字、文件类型控制上传/下载行为，封堵QQ/MSN等IM传文件，允许使用webmail收邮件而禁止发送邮件等。其中，仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给组织造成的损失，单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型，即便存在修改、删除外发文件后缀名，或者加密、压缩文件文件外发的行为，AC也能发现并且告警，保护组织的信息资产安全。1.2.4 邮件收发控制

Email不仅是组织重要的沟通方式之一，同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件，对于将文件修改

后缀名、删除后缀名，或者压缩、加密后作为Email附件外发，试图躲过拦截与审查的行为，AC能够识别并进行报警。同时，对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件，并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。1.3 带宽管理 1.3.1流量可视化

AC为IT管理员提供了网络流量可视化方案，登陆AC控制台后，管理员可以查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况（包括DOS攻击、ARP欺骗等）等信息，直观了解当前网络运行状况。

此外，数据中心（Network Database Center，NDC）对内网用户的各种网络行为流量进行记录、审计，借助图形化报表直观显示统计结果等，帮助管理员了解流量TOP N用户、TOP N应用等，并自动形成报表文档，定时发送到指定邮箱，让IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况，了解流控策略效果，为带宽管理的决策提供准确依据。1.3.2 流量管理

当您了解了带宽的使用情况，并对带宽进行优化和分配后，我们即将对用户(组)的上网行为做进一步的管理和控制。1.3.2.1 多线路复用和智能选路

很多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过AC特有的多线路复用及带宽叠加技术，AC复用多条链路形成一条互联网总出口，提升整体带宽水平。再结合多线路智能选路专利技术，AC将出网流量自动匹配最佳出口。1.3.2.2 基于应用/网站/文件类型的智能流量管理

AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。精细智能的流量管理既防止带宽滥用，提升带宽使用效率。1.3.2.3 多级父子通道嵌套技术

AC采用“基于队列的流控技术”，即建立管道，将不同的控制对象分配到不同的管道里。该技术的好处是控制灵活，大通道中可以多层嵌套小管道，分别基于不同的用户、时间、应用协议、网站、文件类型等对象建立不同的通道，对于结构复杂又希望实现差异化控制的组织来说可以做到更为精确的控制。

1.3.2.4 动态带宽分配

组织管理员往往既希望在网络应用高峰期保障核心用户、核心业务带宽，限制无关应用占用资源，又希望在带宽空闲时实现资源的充分利用。为此，AC支持带宽的“自由竞争”与“动态分配”，除了基于父子通道进行流量控制之外，还可以根据在线的用户数量将带宽动态分配给在线用户。1.3.2.5 P2P的智能识别与灵活控制

通过封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。AC凭借P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，对不常见和未来将出现的P2P亦能管控。

对于某些企业文化较为宽松的组织，完全封堵P2P可能实施困难，AC的P2P流量控制技术能限制指定用户的P2P所占用的带宽，既允许指定用户使用P2P，又不会滥用带宽，充分满足管理的灵活性。1.4 日志记录与报表分析

记录员工的网络工作效率、分析网络应用情况、提供管理依据等。1.5 安全防护 1.5.1终端安全

网络世界中安全事件数量急剧攀升，内网中断、不稳定将直接影响用户的上网行为，所以需要AC保证网关自身安全，并强化内网可靠性、可用性。1.5.1.1 防火墙

AC内置基于状态检测技术的企业级防火墙，对进出组织的数据包提供过滤和控制。NAT（Network Address Translation）功能，代理内网员工上网和实现静态端口映射。1.5.1.2 网关防病毒

AC的网关防病毒功能集成知名厂商的防病毒引擎（防病毒引擎每天自动升级），从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀，亦可查杀压缩包（zip，rar，gzip等）中的病毒。1.5.1.3 终端安全级别检测

借助网络准入规则专利技术（专利号ZL200510037455.1），AC将按照管理员要求检查每位员工防病毒软件安装、运行、更新情况、操作系统版本、补丁情况、注册表键值、终端程序运行情况、终端目录盘下文件情况等，不满足预设安全级别的终端将不允许访问互联网，从而提升整个内网的可靠性和可用性。

1.5.2网络准入控制 近年来，在企业网中，新的安全威胁层出不穷，给组织带来各种风险：

深信服科技推出了轻量级NAC（网络准入控制）解决方案，只需在出口处部署一台硬件网关，通过向内网终端自动推送一个轻量级的客户端控件，即可实现对接入内网终端的网络准入控制和安全隔离，执行安全级别检查，限制非法外联线路，禁用USB拷贝功能。

1.5.3 危险插件恶意脚本过滤 非法网站假冒可信软件如防病毒软件、插入非法软件，通过恶意广告、垃圾博客、恶意点对点文件传播等，当用户发现时，用户端已经被安装恶意插件，被强迫浏览黑客指定的网站，或者被利用攻击某个站点，终端信息已被外发，损失已造成。

究其根源，在于用户访问不可信的资源，如现在非常流行的是通过浏览器自动安装ActiveX控件来进行恶意插件的传播。AC通过对 ActiveX控件的签名进行过滤，防止不被信任的插件安装到内网机器当中，从而解决通过IE浏览器乱装控件的问题，起到保护内网安全的作用。还有形形色色的病毒、木马，而这些危害绝大部分都是危险脚本造成的。AC通过对内网用户访问的网页脚本进行特征识别，在脚本下载到浏览器执行前进行拦截，从而起到保护内网安全的作用。1.5.3.1 危险插件过滤

 能识别那些下载文件是会自动安装的插件，包括所有通过浏览器自动下载的文件。

 能根据插件白名单对插件进行过滤，内置常用安全插件列表供用户选择，还可以自定义白名单（支持插件名称、证书名称和域名）。

 能根据插件证书的合法性进行过滤，包括：检查插件签名是否过期，对插件签名进行证书链控制。

 能记录控件过滤日志，包括被过滤控件名称及被拒绝的原因，并能在数据中心查出来。

 能够实现二次提示，第一次出现时做拦截，第二次实现时给出提示。1.5.3.2 恶意脚本过滤功能：

 可以过滤注册表的写操作；  可以过滤文件的写操作；  过滤危险对象和危险调用；

 能够实现二次提示，第一次出现时做拦截，第二次实现时给出提示。

1.5.4 异常流量控制

■ 异常流量感知 随U盘等潜入组织内网的木马、间谍软件等为了隐藏自己，通常会通过常用的TCP 80、443、25、110等端口泄漏内网机密数据及接受黑客控制。传统设备防火墙等解决方案在开放了常用端口后并不能识别该端口中传输的数据及内容，AC的异常流量感知技术能够识别常用端口中的如上异常流量，并能够实时报警，帮助管理员掌控网络，防范风险。

2.AC产品的部署模式 2.1网关模式（路由模式）

AC以网关模式部署在组织网络中，所有流量都通过AC处理，实现对内网用户上网行为的流量管理、行为控制、日志审计等功能。2.2网桥模式

单网桥模式：以网桥模式部署在组织网络中，如同连接在出口网关和内网交换机之间的“智能网线”，实现对内网用户上网行为的流量管理、行为控制、日志审计、安全防护等功能。

多网桥模式：组织考虑到网络的稳定性、可靠性，往往采用双机、双线路构建基础网络。AC支持多路桥接模式，适应组织的多机网络环境要求。2.3旁路模式

AC以旁路模式部署在组织网络中，与交换机镜像端口相连，实施简单，完全不影响原有的网络结构，降低了网络单点故障的发生率。2.4多机模式

篇3：员工上网行为管理产品的模糊评价

如今,互联网已成为企业中不可缺少的工具,但网络的无政府性、无边界性给企业带来了互联网滥用的严峻问题。如降低员工工作效率、占用宽带资源、商业机密的泄露以及网络安全问题。黑客入侵和病毒感染等大量安全事件,使计算机面临着拒绝访问、网络崩溃等一系列安全性问题[1]。因此,上网行为需要引起企业的足够重视。上网行为管理的目标是合理使用网络资源,营造健康积极的工作氛围,保证网络安全,提升工作效率[2]。使用专业的上网行为管理产品,来进行网页访问过滤、网络应用控制、带宽流量管理、用户行为分析、日志管理等,可以帮助企业规范和引导员工的网络行为。

目前上网行为管理产品种类众多,功能各异。但对于产品的性能和要求,业界没有统一的标准和指导。客户由于缺乏对专业知识的了解,无法进行有针对性、有效的监控,从而造成了投资的浪费。因此,本文设计了上网行为监控产品的评价指标,结合产品性能和用户需求进行模糊综合评价,对备选产品设计了系统的选择方案,作为员工网络行为综合管理的一部分。

2上网行为管理产品的评价指标设计

为使测评结果全面、准确和客观地反映产品的特性,在选择评价因素时需要遵循科学性、有效性、全面性、可行性、可比性等基本原则。本文在研究大量相关资料的基础上,广泛咨询专家和使用人员的意见,对评价因素进行选取和提炼,最终总结得出了四类基本准则及十个具体指标(见表1)。对评价指标的解释如下:

2.1 上网行为监控功能

上网行为识别与控制C1:强大的应用协议库,对员工网络游戏、在线影音视频、访问非法网站等行为进行识别,对用户组、单个用户,时间、网址策略等多种对象组合的访问控制和拦截,对网页、邮件、流量及上网时间和权限进行控制。

上网行为审计C2:对邮件、文件、微博、应用、时间、流量、危险行为等等的审计,如统计用户在指定时间段内产生总流量和在指定时间段内产生的上网时间。

日志与报表C3:能对上述各种网络监控数据进行报表分析及图形化分析,根据管理者的设定,数据中心自动将指定时间段内的流量日志、邮件日志、网络监控日志等查询、统计结果汇总成报表文件,通过专业搜索引擎、实现对海量日志信息的内容搜索、方便管理者对数据的快速检索和挖掘。

2.2 网络安全防御功能

危险识别与预警系统C4:对终端发生的危险行为进行统计和报表输出,访问互联网时对存在安全隐患的终端设备进行预检测。对攻击、病毒、发送泄密邮件等行为的自动告警功能,网关能自动挖掘日志以发现如离职风险、泄密风险、效率低下风险等。

抗攻击性C5:应对内网大规模的蠕虫病毒,或是僵尸网络激活对组织网络造成的极大冲击,包括流量和压缩包中的病毒。强大的防火墙功能,防范来自外网和内网的危险攻击,提升网络可用性,从而形成对组织病毒的整体防护。

2.3 系统性能

可控制性C6:管理员可控制的功能的丰富程度,支持对设备管理员进行访问权限分级,不同管理员可配置管理不同用户组的各种配置,包括增删用户、权限配置等分级管理。支持集中管理,多台设备支持通过统一平台集中配置。

故障处理能力C7:监测故障、故障确认、故障连锁诊断和及时报警等功能,以及监控错误日志,并对故障进行自动处理,能自动对常见故障通过脚本等方式进行重启服务、重启机器、恢复配置文件等处理。

网络适应性C8:适应不同组织机构的网络环境及需求的能力,包括产品的部署方式,如路由模式、网桥模式、旁路模式等。产品的网络适应性要与用户的用网规模结合来综合判定。

2.4 经济因素

购买成本C9:产品的购买成本除了产品价格,还应考虑是否更换公司内部软硬件等隐性经济成本。

维护费用C10:维护费用包括维护周期长短、维护难易程度、骋请专员维护管理系统的费用。

3上网行为管理产品的评价实例

3.1 评价方法

产品分析与评价需要定量和定性分析,在此,采用层次分析法和模糊综合评价法进行评价。层次分析法将定性和定量分析相结合,是用于分析多目标、多准则的复杂大系统的有力工具[3]。模糊综合评价法应用模糊变换原理和最大隶属度原则,考虑被评价事物相关的各个因素,对其作出综合评价[4]。鉴于众多著作对层次分析法和模糊综合评价法的原理和算法都有详尽的阐述,限于篇幅原因,在此不一一赘述。

3.2 权重计算

某大中型企业在购买某款产品前,参考研究专家和企业管理层的问卷调查来完成对产品的各种指标分析和权衡。

3.2.1 准则层权重计算

对表1中四个评价准则之间的相对重要性进行比较,得到判断矩阵

undefined

运用Matlab的eig()函数计算判断矩阵A的特征根λ与特征向量r,[r,λ]=eig(A),λmax=4.12,进行一致性检验,得一致性比率CI=(λmax-n)/(n-1)=0.0404<0.1,CR=CI/RI=0.0404/0.9=0.0449<0.1,故通过一致性检验(RI的取值参见表2)。此时最大特征根对应的向量为权重向量,归一化权重向量得到准则层的指标权重W=(0.3041,0.4301,0.2151,0.0507)。

3.2.2 指标层权重计算

对每个评价指标相对于所属维度进行两两比较,得到指标层的判断矩阵分别为:

由上述方法求得以上四个判断矩阵的权重向量、特征值及检验结果等数据如下:

(1)上网行为监控:W1=(0.4934,0.3108,0.1958),λmax=3.05,CR=0.05<0.1。

(2)网络安全防御:W2=(0.6667,0.3333),因为n≤2,故无需进行一致性检验。

(3)系统性能:W3=(0.2970,0.1634,0.5396),λmax=3.01,CR=0.01<0.1。

(4)经济因素:W4=(0.6667,0.3333),因为n≤2,故无需进行一致性检验。

3.3 模糊综合评价

在评估过程中,指标层大量的定性因素,需要用定性评语(模糊语言)描述并量化。本文根据十位专家,征询企业相关人员的意见对本产品进行打分,由产品特性和企业客观需求的匹配程度,分为五个等级,表示为V={非常合适,相当合适,合适,不太合适,不合适},赋值后的定量集为{5,4,3,2,1}。对该产品的模糊评语分布如表4所示:

求出指标层各个因素的隶属度rij=Yij/n,Yij是把第i个评价因素判定为第j个等级的人数,n是参与评价的总人数。计算可得,各隶属度分别为:

undefined

undefined

undefined

undefined

则准则层的隶属度向量分别为:

W1*r1=(0.1507,0.5804,0.1000,0.1000,0.0689)

W2*r2=(0.1333,0.1333,0.1333,0.1667,0.1667)

W3*r3=(0.2376,0.4243,0.1084,0.1297,0.1000)

W3*r3=(0.1333,0.4000,0.1667,0.2000,0.1000)

由上述计算结果得出准则层对目标层的模糊综合评价矩阵:

undefined

最终评价结果为:W*R=(0.1610,0.4601,0.1195,0.1401,0.1192)。计算该产品的得分为:

0.16105+0.46014+0.11953+0.14012+0.11921=3.4033,处于“合适”等级,可用同样的方法计算其他候选产品的得分,分值越高表示越合适。

4结语

本文对上网行为管理产品在多层次指标体系中的表现,采用模糊综合评价的定性和定量相结合的研究方法既充分考虑到产品本身无法量化的特征,也兼顾每个企业的情况和特定需要,避免盲目追求功能全面而忽视了内在要求,增加了决策的科学性和公正性,而且实践上也具有可操作性,得出的评价结果可为购买决策提供直观而科学的依据。

参考文献

[1]石元泉,刘晓洁,李涛,彭小宁,陈文,张瑞瑞.基于免疫优化原理的网络安全态势预测方法,[J].高技术通讯,2012,(1).

[2]涂晓春,常亚平.员工非工作上网行为研究:基于组织因素的实证[J].管理学报,2011,(12).

[3]林敏,刘勇彪.基于层次分析法的林产品物流绩效评价[J].物流工程与管理,2010,(2).

篇4：上网行为管理

工作人员上网行为管理的必要性

加强工作人员上网行为管理的原因。党的十八大召开以后，以习近平为首的党中央出台了“八项规定”、改进工作作风的“六项意见”，严格了各行各业的政治纪律、组织纪律、工作纪律、生活纪律，特别是工作纪律，工作时间如何规范工作纪律、工作行为。研究在工作时间内，上网行为的管理，提高工作效率，防止、控制上网不良行为。例如：一是做一些个人的私事，如网上炒股、购物、宣传商品、中介等；二是开展网上的活动，如写博客、聊天等；三是进行娱乐活动，如浏览网页、看新闻、玩游戏、听歌、看电影等。

上网行为的情况统计。通过调查显示，上班工作时间上网，运用QQ网上调查。调查内容：性别、职务、职称、上网时间（每天）、上网时间内工作占%、看新闻等占%、玩游戏占%、聊天占%、其它与工作无关的占%；以及上网时间内工作占%、看新闻等占%、玩游戏占%、聊天占%、其它与工作无关的占%。调查表明，有12%的员工上班玩游戏，8%的员工上班聊天，83%的工作人员上班时浏览与工作无关的网站。另外据一项调查显示，普通企业员工每天的互联网访问活中40%与工作无关，对色情等非法网站的访问量70%都发生在工作时间。上班时间“上网休闲”已经成为普遍现象，聊天、游戏、炒股、购物、BBS、电影、微信、博客等无时无刻不在抢占正常的工作时间，办公室因此沦为不需要花钱的“网吧”。

上网行为管理的功能特性。上网行为管理应该是具备终端准入、用户管理、网面过滤、内容审计、应用控制、流量控制、行为分析等7大功能，而对于一些加入了VPN、防火墙等功能的方法都不属于上网行为管理类别。这7大功能也是上网行为管理的主要特性指标。具体到功能的每一项，都有明确量化的指标。如URL库和应用协议库的规模、更新频率应该达到多少；在可管理性方面，应该具备专线集中管理、拨号集中管理、策略集中统一下发、远程点对点管理、多机日志汇总分析、批量升级软件版本、批量升级URL库和应用协议库等功能；可靠性方面，上网行为管理至少应该具备多少种Bypass保障；对于主流论坛、博客、微博的民帖内容审计及精细化控制程度、搜索绵里引擎分类控制等都有明确的要求。

上网行为管理的主要内容和标准。国家信息安全上网行为管理的相关标准，共有81项，包括可管理性、可靠性、可维护性等；管理功能9项，包括用户识别、用户认证；高级功能测试33项，包括网页访问控审、日志分析等；性能测试8项，包括吞吐量、最大审计量、有效带宽、转发速率等。

根据上网行为管理的主要内容和标准，可以选择不同的管理方式和产品。用户在选择识别和认证方式，一定要注重认证方式多的产品，而且可以与网络原有用户和管理系统轻松联运，如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点可以选择锐捷的产品。

逛论坛、发微博、聊IM已经成为人们生活中一种重要的交流方式，内容审计过滤的重要性日益突出。造型时要特别关注的是管理内容是不是够全面，如主流的IM审计是不是都支持了？微博是不是能够做审计？各种Webmail的内容是不是能区别于普通论坛发帖审计？避免审计死角的存在。除了审计之外，还应配有灵活的过滤控制功能，能够主动地解决一部分风险。多维度的关键字匹配、对小报文的100%封堵、对外发文件的过滤，这些都能帮客户提前防御外发信息带来的各种风险。

在网面识别与过滤方面，我们已经进入到了Web2.0JFWA，动态网页内容千变万化，仅仅靠网面分类库显然是不够的。这就需要上网行为管理能够对网址、网面标题、网页内容等内容进行全方位的识别与过江，网址+标题+内容的联合审计与过江，让含有可疑内容的动态页面无所遁形。

上网行为管理，网络流量的控制与管理是非常重要的，这能够为单位起到重要的作用。

一是提高工作效率。现代网络技术，能够促进单位各项工作顺利进行，提高工作高效，节约成本、缩短时间、科学合理的进行。但是，与工作无关的上网行为，能直接降低工作效率，降低了工作进度等问题也时常产生。只是单纯的从制度上来管理工作人员的上网行为，可能是治标不治本的方法了。单位领导应该使用上网行为管理的手段，来管理所有局域网内的上网行为，发现问题，找出问题，再进行管理、控制、优化、限制，减少非工作上网行为的产生，提高工作效率。二是利于管理、审计上网记录。记录下单位内部使用的上网行为的所有信息，单位产生泄密事件时，能通过上网行为管理系统，调阅所有记录信息进行查证，找到对就的用户机，确定具体责任人，进行事件处理，并告之全体工作人员，让大家引以为戒。三是减少不必要的流量，稳定带宽。实施上网行为管理，可以减少单位上网中与无关的信息存储，节约存储空间，提高网速和工作效率。四是保证单位网络畅通。现在单位的局域网都与互联网相通，如单位的网站、FTP服务等。如果单位的局域网不加强管理，上网行为不受到限制，将会影响网络速度，降低外网用户和内网用户的访问频率，这将影响单位形像，产生不良后果。使用上网行为管理系统，达到局域网与互联网相互访问所需要的带宽，保证单位局域网和互联网的正常运行。

实现上班时间上网行为管理

利用硬件技术对上网行为的管理。主要硬件对上网行为进行管理，主要有二种方式：一种是旁挂方式，主要是在下图的中心交换机下面加一个三层机作端口影像；另一种是串接方式，主要是在下图的中心交换机上再增加一台服务器，作外存储作用，用于日志存储服务器。当然硬件管理，还有一些企业针对性地开发、生产了一些专门的管理设备，在些就不再阐述了。硬件对上网行为的管理，具有如下几点功能：

一是对上网的计算机管理，进行事前、事中、事后的管理模式。利用硬件技术对每台需要管理的计算机的上网行为，以及局域网进行全面的监控。针对不同人员的上班时间情况进行全方位的事前控制，还能对正在进行的违规上网行为进行事中警告阻止，事后可以定期查询，并能对已经发生的行为进行分析，补充事前控制不足。二是对上网的计算机管理，在时间上进行区分设置。设置上班时间段和其他时间段区分开来，使工作人员把上班工作时间和休息时间区分开来，单位可以将休息时间设置为不管理时间段。还可以根据单位的具体情况，将部分个别的计算机设置成不受管理的计算机。也可以使工作人员在规定地时间内利用单位计算机上网处理私人的一些事情，这样可以做到让工作人员在工作时间内安心努力工作，休息时间放松愉乐，做到公私分明、劳逸结合。三是设计报警系统，完善系统功能。设计报警提示功能，对上网行为不端非法操作的人员发出实时警告，提示上网人员注意，使其尽快放弃当前的不良上网操作，迅速进入工作状态。四是设计上网信息统计。设计完成后，对每台计算机上网行为，进行信息统计，协助单位对工作人员进行上网行为考核。将上网的时间进行统计，统计工作时间多长、其他时间多长，产生统计表，可以对应应到每个单位。

利用软件技术对上网行为进行管理。软件对上网行为的管理，是指将上网行为管理软件安装在客户机或者网关出口服务器上，使通讯技术、协议分析系统等，对上网行为的信息进行搜集、统计、分析、监督、控制等的一个过程。上网用户的行为管理，根据用户的上网时间，上网过程中访问的主要网站，以及相关内容，管理用户的上网行为，并根据行为分析可疑能的违法犯罪，提前预警并加以防范。

软件上网行为管理具有以下几点功能：网页访问过滤的功能；上网行为的监督、报警、控制的功能；上网行为的统计、分析的功能。软件上网行为的管理主要从以下几个方面开展：用户上网过程中的抓包，对涉及黄、赌、毒、娱乐等与工作无关的内容捕捉。并分析用户上网过程中产生的网络数据包，捕捉这些数据包，并产生日志。对捕捉的数据包加以数据分析。采用较好的硬件设计和软件算法，提高数据分析的能力和效率。协议分析，对用户上网的常见的软件所采用的协议进行分析。实名制系统的研究。将用户的上网行为和信用记录联系起来，形成真正的实名制体系。做到保证用户的隐私，防止出现新的监控门事件，对用户的上网行为自动的提出警告并加以引导。在警告无效之后，当用户的行为违犯法律时，实施必要的措施留取第一证据。

上网行为管理的方案比较

篇5：人脸识别上网行为管理解决方案

一、上网行为管理产品产生的背景

在Internet飞速发展的今天，网络已成为企业、个人的重要应用，但在应用当中，儿童使用电脑时长不受控制？机密文件密码保护易被破解？各种登陆密码记不住？电脑被偷窥？还有什么PC应用问题让你担忧呢„„为解决以上一系列的问题，基于人脸识别技术的上网行为管理产品应运而生。

二、人脸识别上网行为管理产品给用户带来的价值

人脸识别上网行为管理产品带来了全面的互联网行为管理解决方案。它能够通过“刷脸”登陆电脑系统、开启重要文件、远程教育者身份认证、养老金领取身份认证、宝贝电脑应用系统权限控制和时间控制„„

1、父母为电脑开机设置N多复杂密码，孩子总会轻易破解，如果采用人脸识别上网行为管理，不用设置任何密码，只需要“刷脸”身份认证，又能控制孩子上网时长。

2、基于人脸识别技术的摄像头不仅仅只是聊天的工具，更能你杜绝艳照门事件的发生

3、企业重要岗位或个人机密文件更多的是用密码保护，但很容易被破解。采用人脸识别上网系统，当你离开坐位时，屏幕会自动锁紧，返回坐位，电脑只会认识你，只有你“刷脸”才能打开电脑

管理人员刷脸进入系统

篇6：企业上网行为解决方案

据调查得知，员工在工作时间从事非工作行为主要分为四大类：

一是获取与工作无关的资讯活动，如浏览新闻、看小说、看图片、收看收听视频和音频等；二是从互联网下载与工作内容无关的数据，如音乐、电影、程序及其他资料等； 三是从事获取个人收益的活动，如网上购物、炒股、兼职、发布广告等；

四是进行虚拟世界的沟通活动，如上网聊天、论坛、撰写博客、收发私人邮件等。随着网络技术的飞速发展，网络的安全性越来越引起广泛的关注。网络既能促进信息交流，加强员工合作，成倍的增加工作效率；也能让您的公司降低工作效率，泄漏公司机密，甚至担当法律风险。

针对企业的做出的上网行为解决方案

针对以上企业面临的问题和管理上的麻烦，我们认为可以利用西默上网行为管理路由器来解决企业困扰。得用西默上网行为管理的流量管理功能，保障企业关键业务应用的带宽使用；利用西默上网行为管理路由器强大的上网行为管理功能，规范企业员工的上网行为，使其在上班时间只能做与工作相关的动作，从而提高员工的工作效率，提高企业的核心竞争力；西默上网行为管理提供完善的日志审计功能，可以独立安装的审计中心，满足大日志量，长时间存储的要求，使企业满足“公安部82号令”的要求。部署上网行为管理路由器，解决企业当前面临的问题 上网行为管理路由器具有什么样的功能呢？

1、上网管理路由器是一款内容安全产品，用于管理用户的上网行为：是否允许上网、分时段上网、过滤不良信息、限制敏感信息；全中文用户访问日志管理，用户向互联网发布信息的日志管理；聊天、游戏等分时段管理。

2、上网行为管理路由器还具有审计功能，可以对所有员工的上网行为进行审计，可以记录员工浏览过的网页，下载的东西，查看QQ聊天记录及邮件内容等。可以记录员工有没有向互联网发布对公司不利的信息等，给公司带来不必要的麻烦。

3、上网行为管理路由器可以进行细致的带宽和流量管理

可最多连接四条外网线路，扩展带宽；且上网流量支持智能选路，解决跨运营商问题，同时超限流量将被设备缓存并于空闲时转发。提高带宽的利用率

4、上网行为管理路由器具有上网安全功能 领先的ARP信任机制与内网ARP防御功能结合，杜绝ARP病毒侵扰，防止内网掉线。支持内/外部攻击防御，防止病毒、木马和黑客的侵扰。打造从网关到终端的安全堡垒，为上网保驾护航。

5、上网行为管理路由器具有上网行为管理限制功能

针对迅雷，BT，电驴，UUSEE,PPLIVE,QQLIVE,风行，迅雷看看，PPS等P2P下载限制，QQ游戏，春秋，征途，天下，魔兽，穿越火线，传奇，网页在线游戏等各类网络游戏限制