1、概述
上網行為管理產品基于用戶、時間、應用、帶寬等元素對員工的上網行為進行全面而靈活的策略設置,把網絡風險管理從“被動式響應管理”提升為“主動式預警管理”,從“防范管理”提升為“控制管理”,把網絡的“通信安全”提升為“應用安全”。為了實現真正安全的網絡環境,企業需要“內外兼修”,除了阻擋外部攻擊外,還應該轉換視角,大力加強對內的管理,對員工的上網行為進行規范管理。
隨著互聯網應用的深入,企業對于互聯網的依賴正變得越來越強烈,成為企業高效運營、提高競爭力的基礎平臺。互聯網的開放性、交互性、延伸性為人們快速獲取知識、即時溝通以及跨地域交流在給企業提供極大的便利的同時,也給企業的日常經營帶來了諸多挑戰。
- 員工長時間沉溺于娛樂新聞而不能盡快投入工作;
- 員工上班期間沉迷于聊天;
- 企業戰略計劃通過互聯網泄密給競爭對手;
- 內網病毒依然泛濫,愈殺愈多;
- 網絡帶寬被非業務下載占滿,核心業務受到影響;
- 有過激的言論從企業網絡發出;
- 內網用戶在工作PC上安裝非法軟件;
……
傳統的網絡安全設備,如防火墻、入侵檢測系統、防病毒軟件、反垃圾郵件系統等,構成企業網絡的邊界防護屏障,能夠有效地防護來自互聯網的攻擊,然而它們對于內部員工上網行為不當引起的安全與管理隱患卻無能為力,表現在:
1.1 安全事件頻發
四通八達的網絡,方便的不僅僅是正常業務的傳輸,惡意代碼、病毒、蠕蟲、間諜軟件等等,也會搭乘“善良”的網頁、Email、聊天工具、下載工具便車,悄悄侵入到網絡的各個角落。防火墻無法有效過濾應用層的內容,不能阻擋這些網頁的下載,而防病毒工具由于滯后效應,對于新的病毒以及惡意軟件常常無能為力。由于員工不安全的互聯網訪問而造成的病毒傳播與黑客入侵,已成為網絡安全的最大黑洞。
1.2 工作效率低下
為了在日益激烈的競爭中獲得優勢,企業必須不斷開發新產品,改善服務質量,提高工作效率,降低運營成本,但未加管理的互聯網應用可能會大大降低員工的工作效率。據一項調查顯示,普通企業員工每天的互聯網訪問活動中40%與工作無關,在線聊天、瀏覽新聞娛樂、網絡視頻、網絡游戲、炒股、博客等無時無刻不在占用正常的工作時間。在高度網絡化的現代辦公環境里,辦公室可能成為“舒適的網吧”,人力資源在無形中浪費巨大。
1.3 敏感信息泄露
電子郵件、MSN/QQ以及BBS論壇等網絡應用,已經成為提高工作效率的工具,但如果不加監管,也可能成為泄密的工具。對于政府機關、上市公司以及知識敏感型企業,關鍵設計文檔、軟件源代碼、市場銷售計劃等核心機密文檔,可以通過電子郵件與在線聊天工具“輕易而快速”地傳遞到外部,給組織造成重大損失。
1.4 帶寬資源浪費
據一項統計,在互聯網活動未加管理的企業中,寶貴的帶寬資源超過70%被文件、視頻下載等占用,盡管帶寬一擴再擴,卻總是很快又擁擠不堪。這不僅造成帶寬資源大量浪費,還使得企業正常業務得不到應有的帶寬保證。由于缺乏有效的識別與控制手段,網絡管理員往往不能及時地定位并管理下載源。
1.5 導致法律風險
互聯網充斥著各種良莠不齊的信息,企業員工在獲取有用信息的同時,也易被不良內容侵蝕。為了加強對互聯網的控制和管理,國務院、人大常委會、公安部、信息產業部皆相繼出臺法律法規明文規定,接入互聯網的單位和企業要采用相應的技術手段對互聯網的使用進行控制和管理。對于互聯網資源的非法訪問,比如訪問色情、賭博、犯罪網站、發表反動言論、泄露重大機密等,都會觸犯相關法律,給企業帶來法律風險。
員工的不當網絡行為引發的問題無法通過傳統的網絡安全防護手段實現,必須通過專業的上網行為管理產品解決。何為上網行為管理?簡而言之,就是對員工主體的基于內容的網絡訪問行為進行管理,包含如下幾個要素:
- 上網的人是誰(Who:哪個部門哪個員工);
- 上網的時間(When:工作日/周末,上班時間/午間休息/夜間,上午/下午);
- 訪問了哪些網絡資源(Where:瀏覽網頁、下載文件、發送郵件、聊天、游戲等);
- 具體內容是什么(What:網頁的內容、郵件的內容、聊天的內容);
- 占用的帶寬和流量是多大(How much)。
2、功能及特點
上網行為管理能實現對企業用戶的上網行為進行監控和管理,那么從技術上又是如何來實現的呢?
1.1 技術原理
這里我們從一個簡單的消息發送來解答上網行為管理產品的技術實現。比如一條信息,你好,是如何正確地從A電腦的QQ中傳輸到B電腦的QQ中的呢?信息的傳輸過程大概是這樣的:QQ1生成了一條內容為“你好”的信息,這條信息從OSI的第7層開始被逐層加工,當你好傳到傳輸層時(第四層),有兩個重要的參數會被附加在這條信息上——源端口號和目的端口號。端口號的作用是標識數據,因為一臺電腦發出的和收到的數據量是非常大的,如何區分這些數據是哪個程序發出的、發給對方電腦哪個程序是很重要的。
經過第四層后,你好被加上了傳輸層的包頭,這時數據來到了第三層,網絡層。網絡層繼續在數據外邊附加控制信息。網絡層包頭中有兩個重要的參數,源IP地址和目的IP地址。被加工過的數據稱為數據包。
經過第三層后,數據包來到了第二層,數據鏈路層。數據鏈路層繼續在數據包外邊附加控制信息,其中有兩個重要的參數,源MAC地址與目地MAC地址。被加工過的數據包稱為數據幀。數據幀再被轉化為bit流就可以在物理網絡上傳輸了。當目地MAC主機收到數據幀后,就像“剝洋蔥”一樣,一層一層剝去控制信息,在剝到第四層時發現,端口號指出,你好這條消息應該被提交給QQ2。以上描述可能并不十分嚴謹,但數據在網絡中大概就是這樣被傳輸的。
管理MAC地址:MAC地址工作在OSI模型的第二層。這個地址被烙在網卡上,它就像是每臺電腦相對固定的身份證一樣,每當電腦與對端設備進行通信時,雙方的MAC地址總會出現在數據幀中。這就相當于數據幀有了身份信息,而且這一信息就在數據幀的最外圍,所以對數據幀進行管理是最簡單的。但其實MAC地址很容易被修改——不是真的重新燒錄網卡上的地址,而是在操作系統層面進行“軟”修改。修改了MAC地址,相關的管理策略也就失效了。
圖1 技術原理
管理IP地址:IP地址工作在OSI模型的第三層,這個地址是我們手動為網卡指定的,修改起來也更加方便。管理IP地址要比管理MAC地址方便一些,也更有效率,比如,可以對一個IP地址段進行策略套用。但不足也同樣明顯,修改IP地址比修改MAC地址更容易,所以基于IP地址的安全策略很容易被“繞過”。
管理端口號:端口號與具體的應用程序有關,所以基于端口號的策略的有效性要比其它兩種稍強一些。比如,一臺在192.168.2.0網絡中的服務器開放了Telnet端口(23號端口),但不希望192.168.1.0網絡的電腦訪問,一種方法是可以在路由器上設置一條策略,禁止所有來自192.168.1.0的 Telnet請求通過。這樣的話,192.168.1.0網絡中的某臺電腦,無論怎樣修改IP地址、MAC地址都是無法訪問服務器的。原因很簡單,因為在此情境中,所有Telnet請求都必須訪問23號端口。基于端口號的管理策略在某些情況下是比較有效的,但這僅是在少數情況下。因為多數應用所使用的不是固定的端口號,比如QQ、MSN、BT等等。所謂有效的管理策略都是基于不可變條件元素的,但傳統的網絡管理工具所基于的條件元素都是可修改的,所以它們很難有效管理QQ、MSN、BT。
應用層協議:之所以上網行為管理路由器可以有效的管理QQ、MSN、BT等,是因為這類設備使用了不同的條件元素,即應用層協議。每個應用層協議都是為了服務于某一類應用,比如,BT客戶端有很多,包括比特精靈,比特慧星等,但它們所使用的其實都是bittorrent協議。協議比MAC地址、IP地址、端口號都要穩定,實際上對于用戶來講是不可修改的,所以基于應用層協議的管理策略十分有效。對應用層協議進行識別,基于此再套用管理策略,這就是上網行為管理的本質。上網行為管理路由器的工作原理正是對應用層協議進行識別,然后套用預置的策略,如果策略被應用,用戶幾乎無法繞過。
1.2 關鍵技術
1.2.1 識別技術
識別是管理的基礎,識別能力是評判一款上網行為管理產品專業度的重要標準。業內優秀的上網行為管理產品識別率普遍可以達到85%~90%甚至更高。
用戶識別
用戶身份識別是實施管理的依據,主流上網行為管理產品所支持的用戶識別技術包括本地認證、第三方認證、多因素認證、軟件免認證、硬件免認證、單點登錄技術、強制認證、臨時用戶、用戶自注冊等。
終端安全識別
終端識別技術包括終端硬件識別和終端安全狀況識別等。終端硬件識別主要是資產管理系統的工作,我們不做過多關注。終端安全識別包括進程、注冊表、操作系統與補丁、殺毒軟件與病毒庫升級、多網卡狀態、應用程序檢測等。
應用識別
上網行為管理產品的應用識別能力是重中之重,是產品發揮管理控制功能的根基。主流的識別技術有兩種:DPI,也稱“深度數據包檢測”,即基于數據包組成內容特征的應用識別;DFI,也稱“深度流特征檢測”,建立在應用特征的統計學規律基礎上的行為識別,是具有智能特性的識別技術。
HTTPS非法網站識別
HTTPS被廣泛應用于通訊安全,如目前幾乎100%的金融類網站,部分門戶網站均使用了HTTPS加密方式。大量釣魚、掛馬網站也使用HTTPS加密,而傳統安全產品無法對HTTPS加密過的釣魚、掛馬網站進行識別,導致安全管理上存在嚴重漏洞。為解決此問題,部分上網行為管理產品提供了相應的SSL加密網站的甄別技術,將HTTPS類型非法網站排除在訪問對象之外,保障網絡安全。
網頁智能識別
大中型上網行為管理廠商多數都有研發團隊負責網頁分類與URL庫更新,以此作為網頁過濾控制的依據。但是,2009年“互聯網網頁數量達到336億個,年增長率超過100%”(CNNIC),靠人工手動分類的方式已遠遠跟不上網頁的增長速度,加上大量的私博和社交網頁并未被傳統的URL庫收歸,導致即使這些網頁存在問題也很難被發現。為此,技術領先的上網行為管理廠商提供基于關鍵字、基于網頁分類特征的識別技術(如賭博類網站往往都有相似的關鍵字和結構),將人工分類的技巧“傳授”給產品,讓產品“學習”之后,將新訪問的不在庫中的網頁自動分類入庫。
行為智能識別
網絡應用層出不窮,每天都有新軟件、已有軟件的新版本面世,尤其是P2P軟件,僅靠已有的應用識別庫來識別具有一定的滯后性。為此,上網行為管理產品應具備基于應用行為規律的智能識別技術,即便出現新的未知軟件、未知版本,也能將其識別、管控。
威脅識別
來自網絡的安全威脅如:帶毒掛馬的網頁/郵件、黑客入侵、可信好友發來的潛在威脅的鏈接,來自組織內部的威脅:終端中毒發起攻擊、異常外發流量、異常端口掃描行為等等,帶來管理和安全問題。為此,威脅識別技術能及時發現、封鎖、統計異常流量和異常終端,幫助組織提前規避風險。
1.2.2 流控技術
“基于TCP窗口整形的流控技術”和“基于隊列的流控技術”是目前專業流控產品采用的較多兩種技術。
基于TCP窗口整形的流控技術
基于TCP窗口整形的流控技術,通過調整TCP滑動窗口的大小來控制流量,該技術的優勢在于控制尺度比較精確,但是采用此技術的產品往往性能有限(一般不能支撐超過1G的流量),一旦逼近極限就會出現較大誤差。
基于隊列的流控技術
顧名思義,“基于隊列的流控技術”就是建立管道,將不同的控制對象分配到不同的管道里。該技術的好處是控制靈活,大通道中可以多層嵌套小管道,分別對應不同的用戶、時間、應用協議、網站、文件類型等對象建立不同的通道,對于結構復雜又希望實現差異化控制的組織來說可以做到更為精確的控制。隊列技術采用數據包調度,能實現了對大流量的很好的控制。
1.2.3 云技術
在上網行為管理領域,云技術已得到應用,如通過互聯網上已部署的產品發現、統計網絡管理中出現的外來威脅、內在危險、未識別的流量/應用、行業應用特征、用戶行為習慣等,基于“云”網絡共享信息,為產品的優化改進提供依據,以便更好地提升用戶體驗。
1.3 功能特點
上網行為管理是指幫助互聯網用戶控制和管理對互聯網的使用,包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析等功能。
1.3.1 網頁訪問過濾
互聯網上的網頁資源非常豐富,如果員工長時間訪問如色情、賭博、病毒等具有高度安全風險的網頁,以及購物、招聘、財經等與工作無關的網頁,將極大的降低生產效率。通過上網行為管理產品,用戶可以根據行業特征、業務需要和企業文化來制定個性化的網頁訪問策略,過濾非工作相關的網頁。
1.3.2 網絡應用控制
聊天、看電影、玩游戲、炒股票等等,互聯網上的應用可謂五花八門,如果員工長期沉迷于這些應用,也將成為企業生產效率的巨大殺手,并可能造成網速緩慢、信息外泄的可能。通過上網行為管理產品,用戶可以制定有效的網絡應用控制策略,封堵與業務無關的網絡應用,引導員工在合適的時間做合適的事。
1.3.3 帶寬流量管理
P2P下載、在線游戲、在線看電影電視等都在搶占著有限的帶寬資源。面對日益緊張的帶寬資源,除了增加預算擴充帶寬以外,企業還可以選擇合理化分配和管理帶寬。通過上網行為管理產品,用戶可以制定精細的帶寬管理策略,對不同崗位的員工、不同網絡應用劃分帶寬通道,并設定優先級,合理利用有限的帶寬資源,節省投入成本。
1.3.4 信息內容審計
發郵件、泡BBS、寫Blog、聊IM已經司空見慣,然而信息的機密性、健康性、政治性等問題也隨之而來。通過上網行為管理產品,用戶可以制定全面的信息收發監控策略,有效控制關鍵信息的傳播范圍,以及避免可能引起的法律風險。
1.3.5 上網行為分析
隨著互聯網上的活動愈演愈烈,實時掌握員工互聯網使用狀況可以避免很多隱藏的風險。通過上網行為管理產品,用戶可以實時了解、統計、分析互聯網使用狀況,并根據分析結果對管理策略做調整和優化。
1.3.6 日志管理
通過日志的分類顯示,可以讓用戶只看到自己關心的系統日志,而不需要從所有日志信息中慢慢篩選,從而更好的讓用戶了解系統的運行情況,方便快速定位和排除故障;通過網頁日志,用戶可以查看到內網用戶所訪問過的網站域名,可以實時了解內網用戶的上網行為。
1.4 部署模式
1.4.1 網關模式
網關模式置于出口網關,所有數據流直接經由設備端口通過,適合可更改網絡架構的客戶。在此模式設備的所有功能都有效,包括防火墻、NAT、路由、流量控制/帶寬管理、上網行為管理、內容過濾、用戶訪問控制、數據中心、統計報告、安全擴展功能、應用層VPN、遠程集中接入等。在此模式下,可提供多至4個WAN的廣域網線路接入,支持策略路由,負載均衡,南北通,充分利用用戶的帶寬價值。支持跨三層的IP/MAC綁定。
圖2 網關模式
1.4.2 網橋模式
網橋模式透明橋模式如同集線器的作用,設備置于網關出口之后,設置簡單、透明,適合客戶不希望更改網絡架構情況。在此模式設備的所有功能都有效,包括防火墻、NAT、路由、流量控制/帶寬管理、上網行為管理、內容過濾、用戶訪問控制、數據中心、統計報告、安全擴展功能、應用層VPN、遠程集中接入等。在此模式下,可提供多至4對(四進四出)的透明橋接入,支持分橋的負載均衡,充分核心交換的VLAN子網隔離。支持跨三層的IP/MAC綁定。
圖3 網橋模式
1.4.3 多網橋模式
多網橋模式在客戶存在多個VLAN或者采用核心交換熱備的情況,可提供多至4對(四進四出)的透明橋接入,支持分橋的負載均衡,監控核心交換的多VLAN子網流量。且支持跨三層的IP/MAC綁定。在此模式設備的所有功能都有效,包括防火墻、NAT、路由、流量控制/帶寬管理、上網行為管理、內容過濾、用戶訪問控制、數據中心、統計報告、安全擴展功能、應用層VPN、遠程集中接入等。
圖4 多網橋模式
1.4.4 旁路模式
旁路模式在旁路模式中,NM設備與交換機鏡像端口相連,通過對網絡出口的交換機進行鏡像映射,設備獲得鏈路中的數據“拷貝”,主要用于監聽、審計局域網中的數據流及用戶的網絡行為。通過監聽和分析來記錄各項數據,適合客戶不能斷網情況,部署簡單,無需改變網絡結構,降低了網絡單點故障的發生率。在此模式設備的流量控制功能不能生效,上網行為管理、數據中心、統計報告、應用層VPN、遠程集中接入等功能有效。
圖5 旁路模式
1.4.5 雙機熱備模式
雙機熱備模式組織為了網絡穩定可靠,采用了雙機VRRP部署,NM支持兩臺以上設備同時以主機模式、主備模式運行,完美支持組織的VRRP環境,起到設備冗余與負載均衡的作用。
圖6 雙機熱備模式
3.業界廠商
4、主流廠商
4.1 深信服
4.1.1 企業簡介
深信服科技有限公司是中國領先的前沿網絡設備供應商,于2000年成立于深圳,致力于通過提供企業級網絡設備,幫助企業業務向互聯網轉型,主營產品包括IPSec VPN、SSL VPN、上網行為管理、上網優化、應用交付、廣域網加速、流量控制等多條產品線,并在VPN、SSL VPN、內容安全和上網行為管理市場保持著領先的地位。
4.1.2 產品特點
在上網行為管理領域,深信服上網行為管理2013年市場占有率為39.3%(數據來源IDC),已連續8年市場占有率第一,成為中國唯一一家進入Gartner SWG魔力象限的廠商,并且率先獲得國內最高信息安全等級EAL3認證。深信服擁有多項專利及技術優勢,包括SSL內容識別與管理、P2P智能流控與動態流控、應用標簽化和應用功能細分控制、域環境下策略與權限劃分、無線網絡管理與營銷增值、外發文件深度識別、數據中心認證key、異常流量感知。這些技術的融入使得深信服上網行為管理產品能讓用戶對有線和無線網絡進行更好的管理。
P2P流控和動態流控技術
深信服P2P智能流控技術實現對P2P下載和上傳的全面管控。同時,當整體帶寬處于空閑狀態時,深信服動態流控功能可將通道的最大帶寬限制上浮,滿足當前對帶寬需求大的業務。而當帶寬回到繁忙時,又回收上浮的這部分帶寬,保證業務正常進行,實現帶寬利用最大化。
應用標簽化和應用功能細分控制
深信服應用控制功能能夠從應用分類等多維度來指定策略,針對不同的應用打上制定的標簽,管理員配置策略的時候,可以直接針對標簽組做策略,大大節省了管理員去上千種應用中一個個找的時間。同時基于應用功能的細分控制可以精確控制應用的指定行為,避免傳統上網行為管理產品對應用一刀切的管理缺陷,比如員工只能在網盤下載資料,但是不能上傳文件到網盤。既能滿足員工下載資料的需求,又能滿足內部文件防泄密的需求。
域環境下策略與權限劃分
深信服支持直接在設備上對LDAP服務器(例如AD域)上的OU、域屬性、安全組,直接配置策略;同時支持對管理員設置不同的OU組管理策略。外部組織的變動我們可以自動感知并生效,大大降低了管理員維護的工作量,大大降低了不同設備之間結合的故障率。
SSL內容識別與管理
深信服擁有“基于網關、網橋防范網絡釣魚網站的方法”(專利號ZL200710072997.1)具有對SSL加密內容的完全管控能力,支持識別、管控、審計經由SSL加密的內容,如支持基于關鍵字過濾SSL加密的搜索行為、發帖行為、網頁瀏覽行為,審計SSL加密行為如郵件發送行為,為組織打造堅固無漏洞的管理。
無線網絡管理與營銷增值
在無線網絡環境下,用戶可通過微信認證、短信認證、二維碼認證等功能接入到無線網絡中,在認證和接入過程可通過頁面定向跳轉與信息推送,達到商業營銷推廣或公告信息發布的目的,同時可大量、快速的增加微信公共賬號粉絲量,實現有線和無線網絡一體化管理與營銷增值。
異常流量感知與告警
深信服異常流量感知技術是對于異常流量行為進行識別并報警,幫助IT管理者主動發現組織內網潛藏的安全威脅,提升組織內網可靠性和可用性。
免審計Key功能
企業高層在創建賬戶時使用 DKEY認證,并勾選“啟用DKEY防監控”選項,為總裁生成“免審計Key”。高層人員使用“免審計Key”認證后,系統就免除對高層人員的所有記錄。如果“非善意”人員私下取消配置界面上的“啟用DKEY防監控”選項,高層人員再插入“免審計Key”后系統會自動彈出警告,且禁止高層人員訪問網絡,徹底保障信息安全。
數據中心認證Key
深信服數據中心認證Key可實現A管理員登錄數據中心后只能審計、查看A用戶組的行為日志,同時配發啟用數據中心認證Key功能后,如果沒有該“數據中心認證Key”,A管理員登錄數據中心后只能查看統計、趨勢等概要信息,只有插入“數據中心認證Key”后A管理員才能審計、查詢A用戶組的MSN聊天內容、Email正文等詳細日志信息。通過將該“數據中心認證Key”鎖入領導抽屜將實現行為日志審計查詢權限的嚴格控制。
4.1.3 典型客戶
政府:最高人民檢察院、外交部、公安部、商務部、國務院參事室
金融:招商銀行、中國人壽、華夏基金
教育:中國人民大學、中國政法大學
企業:南方航空、華潤集團、萬科集團、通用電氣、殼牌石油、豐田汽車
運營商:中國移動、中國聯通、中國電信
4.2 網康科技
4.2.1 企業簡介
北京網康科技有限公司是一家全球領先的網絡應用層解決方案供應商,以其卓越的網絡應用層技術為核心,提供上網行為管理、智能流量管理、安全代理服務器、新一代應用層VPN、移動互聯網業務分析等產品,保障客戶的網絡高效、順暢、安全、穩定的運行。
4.2.2 產品特點
在上網行為管理領域,網康研發了“第三代網絡應用識別技術”、“實時網頁過 濾技術”等獨有的網絡應用管理技術,是全球第一款通過IPv6 Ready認證、首家獲得中國信息安全測評中心EAL3認證的上網行為管理產品,并通過了數項企業資質認證。目前除上網行 為管理產品之外,還有智能流量管理產品、安全代理服務器,以及安全網關產品。
全球最大的中文網頁分類庫
URL 過濾是上網行為管理產品核心功能之一,網康 ICG擁有3000+萬條的URL數據以及150+種網頁分類 ,在 URL 覆蓋 的全面性、識別準確率、更新實效性、客戶同步及時性等方面,具有國際領先的明顯優勢。
中國最大的網絡應用識別庫
對網絡應用的管理也是上網行為管理產品必不可少的核心功能。網康 ICG擁有應用協議庫數量3000+,其中移動協議庫數量達480+, 能夠準確識別國內主流的網絡應用,是國內第一款支持在線炒股交易與查看行情區別控制、支持迅雷 P2P 下載控制、支持針對QQ賬號定制策略、支持skype審計的上網行為管理產品。
高效內容分析引擎
零拷貝(zero-copy)基本思想是:數據包從網絡設備到用戶程序空 間傳遞的過程中,減少數據拷貝次數,減少系統調用,提高 CPU 與內存 的使用效率。實現零拷貝的最主要技術是 DMA 數據傳輸和內存區域映射 技術。網康 ICG 采用零拷貝抓包技術,極大減少了CPU 的中斷調用,顯 著提高了包處理效率。
有效保證信息安全的三權分立模式
網康ICG獨特的三權分立管理功能,能夠為客戶提供更加安全、可靠的數據管理模式。三權分立模式最多可設置管理員,審核員,審計員四個角色。管理員可以創建審核員和審計員、做配置管理無論如但無權看審計日志;審核員可以審核管理員權限行為是否合法,但是不能看日志。審計員必須經過超管授權且審核員驗證通過后才可以查看日志;不同角色擁有不同權限分工,避免了管理員權限獨大的情況,可以有效降低日志信息泄密風險。
精準的防共享接入功能
網康是首家實現“一拖N”防私接管理方案的廠商,防私接識別率高達99.5%。防共享接入功能可以有效的監控用戶私接上網的終端設備類型、以及私接設備數量。客戶可以靈活的設置私接設備數量上限,私接設備超過私接數量上限后進行網絡封堵,網絡封堵時間可自由設置。并可以對重要IP設置用戶白名單,不受共享接入封堵限制。對于被封堵的IP可以很直觀的看到私接原因,網管可對封堵的IP進行手動解封,使客戶的操作更方便、簡潔。防共享接入幫助企業有效解決私接引起的安全問題,幫助運營商有效管控賬號共享上網行為。
精細化的流控管理
由于以 P2P 為代表的網絡下載軟件嚴重影響了企業網絡的帶寬使用, 使得基于應用層的帶寬管理成為多數企業的迫切需求,從而帶寬管理與流 量控制也是上網行為管理產品的重要功能。網康 ICG 的7級虛擬通道有效支撐精細化的管理策略, 幫助企業實現帶寬的合理利用。
完整的BYOD解決方案
BYOD(Bring Your Own Device)是指攜帶自己的設備辦公,這些設備包括個人電腦、手機、平板電腦等(而更多的情況指手機或平板這樣 的移動智能終端設備)。網康 ICG 具有業界最完整的 BYOD 審計控制解決 方案,可對移動終端的類型及移動應用網絡協議進行精確的識別,并可制 定策略實現審計、控制、日志記錄等功能。
快速的查詢統計與全面的分析報表
快速的查詢統計含蓋網頁訪問、郵件收發、IM 聊天、P2P 下載、論壇發帖、各類應用信息、流量信息、在線娛樂、應用時長等,為管理員和企業決策人員提供完整的用戶上網分析素材。
精細的分析報表可以以用戶、工具類型作為選擇條件,設置日期、時間段、排名依據等來生成報表。包括應用排名統計、網站訪問排名統計、上網時長排名統計、應用時長排名統計等分析報表。
4.2.3 典型客戶
政府:國務院辦公廳、商務部、民政部、農業部、國家稅務總局、海關總署
金融:中國人民銀行、中國農業銀行、中國交通銀行、中國人壽、中國銀河證券
教育:中國人民大學、中國政法大學 、北京航空航天大學、國家圖書館、新東方教育
能源:國家電網公司、中國石油天然氣集團公司、國家核電技術公司
傳統企業:海爾集團、美的集團、中國國際航空公司、國美集團、小肥羊餐飲連鎖公司
IT企業:奇虎360、京東、百度、阿里巴巴、搜狐、聯想、新浪網
運營商:中國移動、中國聯通、中國電信
4.3 銳捷網絡
4.3.1 企業簡介
銳捷網絡,中國網絡解決方案領導品牌。銳捷網絡是一家擁有包括交換機、路由器、軟件、安全防火墻、無線產品、存儲等全系列的網絡設備產品線及解決方案的專業化網絡廠商,在國內網絡設備及安全市場有著較強的市場知名度和影響力,銳捷網絡上網行為管理產品以路由、透明或混合模式部署在網絡的關鍵節點上,對數據進行2-7層的全面檢查和分析,并利用智能流控、智能阻斷、智能路由、智能DNS策略等技術提供強大的帶寬管理特性,配合創新的社交網絡行為精細化管理功能、清晰易管理日志等功能,同時具備了最精細的用戶上網行為的審計功能。銳捷統一上網行為管理與審計RG-UAC產品線提供不同檔次的多款型號,適用于數據中心、大型網絡邊界、中小型企業等業務應用場景。
4.3.2 產品特點
1000+協議特征可識別90%上應用
RG-ACE采用新一代DPI引擎,能夠準確識別包括P2P應用、炒股軟件、流媒體、企業辦公、網絡游戲等在內的超過1000種常規應用,避免因誤識別造成斷網。
RG-ACE的帶寬嵌套、帶寬租用和非對稱流量識別技術,能夠將帶寬基于用戶、身份、時間進行靈活地分配。
滿足網絡實名管理與認證計費的需求
RG-ACE系列流量控制引擎與認證系統結合,可以實現基于用戶身份的實名流控、實名日志和認證計費;實名流控可以實現同一用戶無論何時何地、有線無線接入網絡,均能享受相同服務;實名日志能方便定位到人,可以滿足監管部門的要求;認證計費可實現按流量、時長、服務質量等差異化的計費服務。
豐富直觀的報表實現應用和流量可視化管理
提供一年內的應用或協議流量的紀錄,并可按天、周、月、年時間段內的應用及協議的帶寬使用統計報告。包括:總帶寬分析報表、應用帶寬分析報表、協議的帶寬分析報表、協議和流量方向(進入/出去)的帶寬分析報表、基于應用和流量方向(進入/出去)的帶寬分析報表、基于IP地址的帶寬分析報表、用戶自定義報表等。
4.3.3 典型客戶
七匹狼、華祥苑、大連港、大連香巴拉咖啡廳、云南師范大學、第四軍醫大學、福州大學、濱湖數據中心、南京銀行
4.4 網域科技
4.4.1 企業簡介
深圳市網域科技有限公司是一家專業從事網絡信息安全領域產品的研發、生產、銷售及服務、國家高新技術、創新型企業。公司以誠信、務實、高效、創新、發展的十字方針為指導,在多個領域取得重大突破性成果。公司先后推出NetSys AC上網行為流量管理、NSYS IT運維安全審計(堡壘機)、NSYS 數據庫安全審計產品、文件加密軟件、VPN、 負載均衡、網域NETSYS ACF防火墻產品等系列產品,提供完善的解決方案。廣泛應用于政府、運營商、金融、能源、教育、集團企業等眾多行業。愿與更多合作伙伴分享信息化的繁榮。
4.4.2 產品特點
能夠識別1000多種協議和應用
常見的應用一網打盡,包括IM即時通訊、P2P下載、流媒體、網絡電視、網絡視頻、網絡電話、股票交易、網絡游戲等15大類應用協議。以協議分析為基礎,能識別95%以上的網絡流量,實現第七層應用的細粒度管控。網域上網行為管理產品具有豐富的特征庫 ,即時更新的特征庫,特征庫豐富,對應用特征進行實時有效準確的識別、 并多項專有技術專門針對P2P應用進行有效的管控。
常用上網行為記錄
網頁瀏覽記錄:記錄訪問的網址、網頁標題、網頁內容;
社交發貼:記錄論壇外發帖子行為,記錄博客外發帖子的行為;
郵件記錄:記錄外發Email(含常見WEB郵件)及接受正文及附件,郵件還原;
應用記錄:記錄網游、炒股、P2P、IM聊天等各種應用行為,含部分應用的內容記錄;
文件傳輸記錄:記錄FTP、TFTP、Telnet、網頁下載等文件的下載記錄;
更廣泛的內容審計
除了基本用戶上網行為記錄、郵件審計、文件上傳下載之外,他還能審計加密的HTTPS上網行為,GMAIL、foxmail加密的郵件內容審計。也能審計網絡用戶股票財經、網絡游戲、音視頻下載記錄等內容
更有深度的行為識別與過濾
細粒度的應用層免監控,包括免監控QQ,免監控MSN,飛信、郵件、論壇、網頁網址。深度地內容審計與內容過濾管控,發現網絡行為中的泄密行為,從事前防范、事中分級告警、事后審查等多方面報告分析,為組織保護信息資產安全,降低網絡風險。
用戶流量與市場配額管理【酒店應用】
帶寬分配保障帶寬的靈活性可分配性通過應用識別,或者策略路由來判斷流量的下一跳及策略,實現帶寬的管理和靈活分配分時段的用戶流量配額。分時段的用戶時長配額管理,結合豐富的用戶認證系統,能行為網吧、酒店的運營管理系統提供強力的支撐。
客戶端可信與網絡風險防范
內置危險插件和惡意腳本特征庫,識別特征庫,過濾掛馬網站的訪問、封堵不良網站;從源頭上切斷病毒、木馬的潛入,再結合終端的安全可信與網絡準入,防范外在的DOS防御、ARP欺騙防護等多種安全手段,實現內網、外網、透傳立體式安全護航,確保組織安全上網。
強大的流量分析、行為監控報表分析統計能力
e地通可統計用戶在指定的時間段內產生的總流量;統計用戶指定時間段、使用指定應用協議產生的流量;并且實時監控流量趨勢,以及應用占用比例等數據;對各種網絡流量進行報表分析以及圖形化分析,包括柱狀圖、餅狀圖、折線圖、趨勢圖等,以使管理員可以直觀的了解內網流量的使用。
黑名單和白名單功能
黑名單,可針對單IP,非法URL,以及其他諸多應用實現封堵和重定向,保障內網環境的綠色可靠
上網行為管理自定義特征及關鍵字
通過自動定義的關鍵字、URL連接、文件類型、可有效的管控辦公人家的非法訪問,實現對其的有效管控
VPN網絡的搭建與互通
支持標準的PPTP、L2TP 以及IPSEC VPN,支持點對網和網對網接入,提供高安全的加密隧道方案。通過簡單配置,您就能輕松搭建安全的VPN連接;滿足了地域企業用戶對于數據傳輸的便捷性、安全性以及成本要求。
上網行為管理產品圖形化界面
針對客戶反饋和意見,自行開發和設計針對非網絡專業人員制定的友好型圖形化界面、方便管理、配置、監控。讓界面更直觀、更簡潔、更貼切用戶的視眼。
4.4.3 典型客戶
國土資源部、長江水利委員會、中國煙草、中汽南方、招商地產、南方電網、中信銀行、安邦保險、湖南電信、深圳地鐵、虎彩集團、愛施德集團
4.5 溢信科技
4.5.1 企業簡介
溢信科技是業內領先的內網安全整體解決方案提供商,其自主研發的IP-guard內網安全管理系統旨在幫助企業解決包括信息泄露、上網行為、系統維護等多種內網安全問題,助力企業在信息化道路上穩步發展。目前,公司已在日本、南非等海外多個地區設立了分公司,同時與歐美、印度、俄羅斯、烏克蘭及港臺等十多個國家和地區的企業進行合作,形成了遍布全球和國內各大中小型城市的完整的銷售網絡和技術支持網絡。
4.5.2 產品特點
應用程序管控
IP-guard過濾一切與工作無關的應用程序,分時段或全天候阻止游戲、炒股、媒體播放、即時通訊、BT等程序的運行,讓用戶在工作時專心工作,休息時盡情放松,既提高用戶的工作積極性,又提升工作效率。
IP-guard詳細記錄程序運行的起始時間、用戶名、計算機等,統計程序使用總時間、前十或前二十名常用的應用程序等,讓管理者對應用程序的使用一清二楚。
網頁瀏覽管控
IP-guard可過濾黃色、暴力和惡意傳播病毒的網站,保證用戶在合規、合法范圍內使用網頁,既不能訪問下載也不能上傳散播任何含色情暴力成分的內容。這樣不但能讓企業規避法律風險,而且可以保護企業系統的安全。
為了方便管理者操作與管理,網站可以按類別進行管理,管理者可按需分時段屏蔽某類網站的訪問權限,使網站管理更靈活,更具人性化。
IP-guard詳細記錄網頁瀏覽的起始時間、用戶名、網頁標題、網頁地址等,統計瀏覽每一網站或每類網站的總時間,顯示前十或前二十名常訪網頁等,并以柱狀圖或餅狀圖的形式直觀顯示結果,讓管理者對用戶使用網頁的情況了若指掌。
網絡流量管控
IP-guard幫助企業管理者合理分配帶寬資源,防止流量干涸和網絡堵塞。它還可以限制P2P軟件的使用,力保網絡平穩,保證業務暢順運作,避免工作效率因網絡堵塞而下降。
IP-guard從多維度統計流量的使用,統計前十名或前二十名使用流量最多的用戶,并配以直觀的柱狀圖和餅狀圖顯示,讓管理者對流量的使用情況一目了然。
即時通訊管控
IP-guard可防止企業文檔通過聊天工具外發出去,這樣不但可以保證流量不會被大量占用而影響網絡的正常使用,而且可以保障企業信息安全。
IP-guard記錄用戶聊天信息,讓企業管理者了解用戶使用聊天工具主要從事什么。同時,對聊天信息的監督可以防止企業內部信息外泄。即使發生外泄,管理者也能掌握充分的證據,以便事后追究法律責任。
郵件管控
IP-guard協助企業管理者有效管理郵件的使用,杜絕工作時間收發私人信件,透視往來信件的內容,IP-guard可限制用戶只向指定的收件人發送郵件,限制發送附件或具有特定主題的郵件,限制發送具有特定名稱的附件或超過指定大小的郵件,保證工作時間內只有商業信件往來,保障企業重要信息安全,預防有意或無意的泄密行為。
IP-guard詳細記錄郵件的標題、正文、附件、發件人、收件人、發送或接收時間,讓企業管理者清楚了解郵件的使用情況,規范郵件的使用,杜絕私人信件,防止企業內部信息外泄。
屏幕監控
企業管理者可以實時查看用戶的桌面行為,清楚用戶在工作時間內利用電腦和網絡從事何種活動并掌握用戶無法抵賴的證據。管理者可以了解用戶究竟是在工作還是兼職,是在玩游戲還是聊天,大大方便管理者進行績效評估。IP-guard支持多屏監控功能,企業管理者可以在同一時間內集中監控多臺計算機的桌面情況。
IP-guard使企業管理既高效又省時。生成錄像文件,可以方便進行回放。屏幕歷史記錄可被導出為視頻文件儲存在本地,企業管理者可以像看錄像一樣觀看用戶的桌面變動。
4.5.3 典型客戶
機械重工:三一重工、徐州重型機械、上柴動力、福田雷沃重工
電子光學:SONY、佳能、三安光電、MSI、豪雅鏡片、科沃斯
汽車汽配:奔馳汽車、大眾汽車、普利司通、北汽集團、大冶摩托
紡織服飾:歐時力、YKK、九牧王、美特斯邦威、七匹狼、紅豆集團
食品制造:金龍魚、娃哈哈、雪花啤酒、中糧集團、盼盼集團、格力高
日用化工:貝親、立白集團、金發科技、資生堂、泊萊雅、相宜本草
4.6 惠爾頓
4.6.1 企業簡介
深圳市惠爾頓信息技術有限公司自2006年成立始,即本著“凸顯寬帶潛能,增值網絡應用”的經營理念,作為“管理軟件網絡優化”解決方案的提出者,全心致力于為全球范圍內網絡通訊運營商及企事業用戶提供全面的網絡優化解決方案,為管理軟件在網絡上的更安全、更快速、更穩定、容易管理運行做持續的努力。
4.6.2 產品特點
惠爾頓主營產品包括VPN、上網行為管理、遠程接入、流量管理、下一代防火墻以及廣域網及加速。惠爾頓上網行為管理產品通過基于應用類型、網站類別、文件類型、用戶/用戶組、時間段等細致的帶寬分配策略限制P2P、在線視頻、大文件下載等不良應用所占用的帶寬,保障OA、ERP等辦公應用獲得足夠的帶寬,提升上網速度和網絡辦公應用的使用效率。
防止帶寬濫用,關鍵業務保暢
通過細致劃分帶寬資源,預留帶寬、帶寬限制、帶寬優先級等多種手段保證核心業務系統的帶寬,限制非業務系統的帶寬,從而達到增值網絡應用的目標。如果帶寬不夠,而關鍵業務無流量,非關鍵應用則能通過帶寬借用的手段充分利用帶寬;也可以通過設置帶寬預留對帶寬要求較高的保證關鍵應用(如VOIP、視頻會議)的帶寬。
惠爾頓上網行為管理產品通過基于應用類型、網站類別、文件類型、用戶/用戶組、時間段等細致的帶寬分配策略限制P2P、在線視頻、大文件下載等不良應用所占用的帶寬,保障OA、ERP等辦公應用獲得足夠的帶寬,提升上網速度和網絡辦公應用的使用效率。
非關鍵業務阻斷,提升網絡工作效率
采用DPI和DFI技術,細致分析互聯網應用協議特征庫,特征庫包括15大類,超過1000+種PC端網絡協議以及600+智能手機移動應用,包括影響生產力的網絡游戲、財經股票、網絡TV、WEB視頻,尤其是對占用帶寬嚴重的P2P應用。通過精確地協議識別實現對加速的、版本泛濫的、同一版本多變種的、特別的P2P應用進行識別,實現高效阻斷。
惠爾頓上網行為管理產品可基于用戶/用戶組、應用、時間等條件的上網授權策略可以精細管控所有與工作無關的網絡行為,并可根據各組織不同要求進行授權的靈活調整,包括基于不同用戶身份差異化授權、智能提醒等。
記錄上網軌跡,滿足法律法規要求
惠爾頓上網行為管理產品可以幫助組織機構詳盡記錄用戶的上網軌跡,做到網絡行為有據可查,滿足組織機構對網絡行為記錄的相關要求,規避可能的法規風險。對于常規的HTTP、郵件、WEB郵件、網絡論壇發帖、現在流行的微播、文件傳輸(FTP、telnet、tftp、Printer文件)、即時通訊(QQ、MSN、Yahoo通等)能細致的分析記錄內容,通過內容的記錄審核員工的上網行為,規避法律、法規風險。
惠爾頓上網行為管理產品通過風險智能報表來自動發現存在離職風險或有工作效率問題的員工,并通過關鍵字報表和熱貼報表來反映員工思想動態。風險智能報表能夠自動提示管理者關注離職傾向、泄密風險、工作效率降低等員工管理風險,而關鍵字報表和熱貼排行等報表將有助于組織深入了解員工的思想動態,并以此為基礎實施組織文化建設、制度改進等針對性措施,從而提高企業管理水平。
透明使用網絡,為網絡優化提供決策支撐
惠爾頓上網行為管理產品提供了豐富的網絡可視化報表,內置各種網絡流量報表,從應用、用戶、并發連接數、流量分析等多個角度展示用戶的流量、網速、帶寬占用。詳細的報告讓管理者清晰地掌握互聯網流量的使用情況,找到網絡故障的原因,分析網絡瓶頸,從而對精細化管理網絡并持續加以優化提供了有效依據。
惠爾頓上網行為管理產品能夠實現用戶網絡權限的細致分配以及帶寬的優化管理,通過事前精細規范、事中智能提醒、事后報表呈現等手段實現有效管理;通過將是否具備上網權限與用戶對IT制度的遵從情況進行綁定,強制要求用戶遵從組織IT制度里的各項細則規定(如必須安裝指定的殺毒軟件或桌面管理軟件等),并且可以根據組織要求進行各種智能提醒,通過創新技術的應用,讓IT管理制度融入每位用戶的日常工作中。
管控外發信息,防范泄密風險
惠爾頓上網行為管理產品充分考慮網絡使用中的主動泄密、被動泄密行為,從事前防范、事中告警、事后追蹤三方面防范泄密,為組織保護信息資產安全,智力資產安全,降低網絡風險。
通過部署惠爾頓上網行為管理產品,利用其內置的危險插件和惡意腳本過濾技術過濾掛馬網站的訪問、封堵不良網站等,從源頭上切斷病毒、木馬的潛入,再結合終端安全強度檢查與網絡準入、DOS防御、ARP欺騙防護等多種安全手段,實現立體式安全護航,確保組織安全上網。
通過多種報表、圖表對業務流量展示,直接幫助企業定位業務流量,分析帶寬應用,及時發現網絡中的異常情況,采取有效措施。幫助企業減少帶寬濫用,優化帶寬資源,降低運營成本,保障工作效率,降低安全風險,全面提升帶寬利用價值。
4.6.3 典型客戶
燕京啤酒、青島啤酒、北京交通大學、中國地質大學、河北移動、中煤第五建設公司、和平財政局、北流市衛生局
4.7 新網程
4.7.1 企業簡介
上海新網程信息技術股份有限公司成立于1998年8月,由清華學子和資深互聯網及網絡安全專家創立,是一家專門從事互聯網數據分析及網絡信息安全產品研發的高新技術企業。新網程是業內為數不多的專注于互聯網各種技術研究達15年之久,并使用自己開發的中間件平臺進行產品研發的企業。15年來公司圍繞互聯網數據采集、數據分析及互聯網應用開發各種軟硬一體的產品,所有產品均擁有自主知識產權。目前已推出“網絡督察上網行為管理系統、新網程互聯網信息安全審計平臺、新網程內網管理系統、新網程 WIFI營銷應用平臺”四大系列產品。
4.7.2 產品特點
精確定位上網用戶
網絡督察上網行為管理系統支持以單位、部門、組、用戶多級管理,根據單位實際網絡情況支持以IP地址、MAC地址、賬號驗證、Windows域帳號、VLAN ID、交換機端口、IC卡等多種模式來精確識別、定位用戶,按個人、分組或全體等層次對用戶的上網情況進行審計分析以及控制。
實時了解網絡運行狀況
對于企業管理者來說,實時網絡情況直接能夠反應員工的工作狀態;對于系統管理員來說,更是其實施網絡維護的重要依據。因此,網絡督察上網行為管理系統提供了精準而全面的實時網絡監控功能來滿足企業的各項管理需求。
通過瀏覽器實時查看用戶當前的上網情況,如當前在線的用戶,其訪問的IP地址信息、網址信息、應用服務信息、流量、占用帶寬等等,并可實時查看用戶即時的聊天信息、外發表單(BBS)信息、網絡會話信息等。管理者可了解網絡目前應用狀況,及時進行控制和調整,保障網絡正常運行。
靈活精細的上網控制手段
網絡督察上網行為管理系統提供完整的訪問控制管理策略,可靈活地按用戶角色或者分組對用戶上網行為進行有效地控制,可以根據日期、時間段、服務類型、網址、流量、IP地址、端口范圍等手段設置控制策略,并提供百萬級的有害信息過濾網址庫防堵不良網站。從而自動實施單位上網管理策略,規范員工上網行為,減少企業人員成本投入,避免員工的抵觸心態。
按需分配上網帶寬
網絡督察上網行為管理系統可以對用戶上網占用的帶寬進行管控,可以按網絡地址段、用戶組、個人或服務類型來制定策略對帶寬進行管理。可將帶寬劃分成若干個虛擬通道,設定每個通道的帶寬,上、下載速度的限制,優先級和管理策略等,保證關鍵應用或重要人員的上網帶寬,對有限的帶寬進行優化使用、合理分配,將網絡資源使用發揮到最大。
完善的郵件內容審計
網絡督察上網欣慰管理的郵件攔截功能能通過預先設定的規則,根據收發件人、主題、郵件正文、附件名稱等條件,對外發的郵件進行攔截、控制,避免員工以電子郵件的方式泄露關鍵信息。審核人員可以閱讀被攔截下的郵件的全文及附件,再決定發送、轉發或拒絕等。通過功能擴展可以對郵件病毒進行識別和查殺。
完整的信息內容記錄
網絡督察上網行為管理系統對所有的上網行為和發送的信息內容進行記錄存檔,一方面是單位寶貴的信息資料庫,另一方面也滿足國家法律法規的要求。記錄日志可以設定保留期限來循環記錄,也可以備份在遠程服務器上離線搜索查看。
豐富直觀的統計圖表
網絡督察上網行為管理系統能通過圖表等統計分析手段了解一段時期內的網絡使用情況、帶寬占用情況和內部的網絡行為是否符合單位的要求等,定位上網問題的所在,為管理提供強有力的決策依據。所有統計結果可直接打印,亦可導出到Excel表格,方便進行二次處理。
4.7.3 典型客戶
上海世博會、寶鋼集團、中國石油、百事可樂、交通銀行、中國人民銀行、交通大學
4.8 安達通
4.8.1 企業簡介
上海安達通成立于2002年,旗下產品包括VPN安全網關、全網行為管理網關、WEB應用安全網關、帶寬管理網關、上網行為管理網關等,安達通全網行為管理TPN-2G 安全網關將上網行為管理、準入控制管理、IPSEC/SSL VPN 融為一體,借助處于網絡邊界位置的TPN-2G 安全網關可以有效的對用戶上網行為進行管理和審計,對接入用戶進行準入控制。通過與“主機威脅引擎”的聯動防御,將“本地局域網—遠程局域網—移動接入節點”的資源和安全策略進行統一管理,確保用戶網絡平臺的可信、可控、可管。
4.8.2 產品特點
帶寬管理
帶寬管理可有效提高用戶上網線路的利用率,保證用戶關鍵網絡業務的順暢。在TPN-2G 安全網關的流量控制中,采用了“應用流控”和“用戶流控”相結合的方式,靈活搭配使用,全面解決各種環境下的帶寬分配需求。獨有的動態流控技術既可以有效防止惡意P2P下載、占用網絡帶寬的行為,又能保護正常的網絡訪問。
網絡應用管控
網絡應用管控功能可按時間段對各類網絡應用的訪問進行限制或封堵,比如上班時間禁止使用網絡游戲和炒股軟件。并對違反控制策略的行為進行記錄。TPN-2G 安全網關提供應用庫的在線升級功能。
內容過濾
TPN-2G 安全網關的內容過濾模塊可以對辦公郵件、論壇訪問、即時通信軟件等應用進行關鍵字過濾和記錄。用戶可以方便地配置需要屏蔽的關鍵字(如:涉及政治的敏感關鍵字等)。
URL過濾
TPN-2G 安全網關的URL 過濾模塊可以對64 個大類超過2000W 條URL 地址的龐大URL 數據庫進行訪問管控。用戶可以方便地選擇需要的URL 地址庫進行屏蔽(如:有安全威脅的惡意網址、游戲網址、娛樂網址、財經網址、體育網址、色情網址、暴力網址等)。同時,用戶也可以自行設定URL 的黑/白名單。
URL智能識別
URL 智能識別功能會大大提高網址的識別精確度,開啟URL 智能識別功能后,在內置URL 庫中查詢不到的URL,會再次查詢智能URL 庫中的關鍵字,從而提高過來的有效性。
防火墻功能
TPN-2G 安全網關內置防火墻模塊,可支持雙向地址轉換及狀態監測的包過濾,可通過過濾不安全的服務而減低風險,極大地提高內部網絡的安全性,由于只有經過選擇并授權允許的應用協議才能通過防火墻,使網絡環境變得更安全。支持防ARP 欺騙功能。
系統監控功能
TPN-2G 安全網關可以即時對當前網絡的訪問情況和訪問歷史進行監控,如:監控上網情況(如:在線用戶,即時在訪問的網站,即時在使用的網絡應用,即時的網絡流量和當前被網關阻斷的訪問等等。)
應用審計功能
TPN-2G 安全網關可以對電子郵件(包括:POP3/SMTP 郵件和主流的Web 郵件)、論壇發帖和主流的即時通訊軟件進行內容審計。
統計報表功能
TPN-2G 安全網關能夠針對不同的對象,靈活生成種類豐富的各式統計報表,以便管理人員分析使用。具體報表有:用戶上網報表、上網時長報表、流量分析報表、網站訪問報表、網絡應用排名報表、搜索引擎報表、郵件收發報表、即時通信報表、論壇發帖報表、文件審計報表、威脅事件報表、工作效率報表等。統計報表提供表單、柱圖、餅圖、折線圖等多種報表樣式,簡單直觀。
4.8.3 典型客戶
上海市港務集團、上海市工商局、上海社會保障局、浙江省民政廳、王府井集團、上海市藥監局、廣州市工商局、廣州地鐵集團、陜西煤運集團、四川水利集團、河北農商銀行
5、選型要點
5.1 資質評估
資質是指由國家認可的權威第三方認證機構,證明一個組織的產品、服務、管理體系符合相關標準、技術規范或其強制性要求的證明。目前上網行為管理產品資質主要有公司資質、產品資質、測試報告、知識產權等方面。上網行為管理系統是否具有資質,以及資質的權威性都是產品競爭力的體現。因此,關注資質是企業進行產品選型的第一步。上網行為管理產品的資質主要關注以下四個方面:
5.1.1 企業資質
對于產品所屬公司的資質考察是產品選型的第一步。對于企業資質的考察可關注該企業是否通過ISO9001質量保證體系認證,ISO9001是ISO9000族標準所包括的一組質量管理體系核心標準之一,ISO9001是迄今為止世界上最成熟的質量框架,目前全球有161個國家/地區的超過75萬家組織正在使用這一框架。ISO9001用于證實組織具有提供滿足顧客要求和適用法規要求的產品的能力,目的在于增進顧客滿意。凡是通過認證的企業,在各項管理系統整合上已達到了國際標準,表明企業能持續穩定地向顧客提供預期和滿意的合格產品。站在消費者的角度,公司以顧客為中心,能滿足顧客需求,達到顧客滿意,不誘導消費者。
在選型過程中,關于企業資質的查詢需由供應商提供相關證書信息,并到指定認證機構查詢并確認信息。
5.1.2 產品資質
上網行為管理產品在進入市場銷售之前,必須申請由公安部公共信息網絡安全監察局頒發的《計算機信息系統安全專業產品銷售許可證》。由于該資質是市場準入的強制標準,因此目前市場上的上網行為管理產品全部具有該資質。除必須具備該資質以外,對于上網行為管理產品的選型還需重點關注以下三個標準:
通過GA658-2006、GA659-2006、GA660-2006、GA661-2006、GA663-2006系列公共安全行業檢測標準
具備國家保密局《涉密信息系統產品檢測證書》,通過BMB15-2004保密檢測標準
具備中國信息安全認證中心的《ISCCC中國國家信息安全產品認證證書》,通過GB/T20945-2007檢測標準
在上網行為管理產品選型過程中,需優先關注企業資質、產品認證以及行業標準,產品認證越全面,通過的行業標準越多,表明產品的可靠性及技術性能越高。因此,對于產品資質的評估,使用者在購買之前務必了解全面,才能綜合評估。
5.1.3 測試報告
一項產品資質均需要對應一份檢測報告的支持,在產品證書資質相當的情況下,這種檢測報告對用戶選型的指導意義不大。在上網行為管理領域,目前比較權威的測試報告是由中國軟件評測中心出具的《信息安全產品測試報告》。選型過程企業可要求供應商提供相關評測報告作為選型參考。
5.1.4 知識產權
對于上網行為管理產品來說,知識產權主要包括軟件著作權和發明專利兩方面。軟件著作權目前主流廠商基本都是具有的,專利部分分為三大類:發明專利、實用新型專利和外觀設計專利,而其中發明專利在上網行為管理中占據核心地位。特別要注意的是反映產品技術的發明專利,因為發明專利反映了某一產品的核心創新性,而且是該產品獨占的,在一定期限內享有的獨占實施權。在供應商的上網行為管理白皮書中都會有對自身創新性技術的描述,企業可根據需求作重點分析和評估。
5.2 需求評估
需求評估的全面性和準確性關乎選型的成敗。因此,需求評估是產品選型最為關鍵的一步。做好需求評估,需要綜合業務特點以及企業管理者對于員工上網行為的管理需求。表3為上網行為管理產品選型評估表,企業可通過表3來全面分析并評估企業的需求。
5.3 性能評估
企業在決定購買上網行為管理產品前,可先向供應商提交試用申請,一般而言,供應商在確定企業有購買需求后,會提供幾周到幾個月不等的產品試用周期。這期間,供應商會安排技術人員上門部署和調試系統,并組織對企業人員進行培訓。產品試用期間應該注意以下幾個問題:
結合企業需求對所需功能進行逐一測試,評估測試性能并記錄測試數據。
對暫時不用的功能進行隨機抽取測試,評估測試性能并記錄測試數據。
通過不斷調整設置策略來測試產品的穩定性與可靠性。
導出日志,進行綜合性能評估。
一般而言,企業至少要試用兩家以上的產品,通過對比試用效果及測試數據來綜合評估哪一家的產品更適合企業的需求。
5.4 成本評估
除試用及性能評估之外,在購買產品前企業還需與供應商進行充分溝通,包括:
1)供應商根據企業需求給出綜合報價,詳細列明每一項費用,包括設備采購、部署實施、后期維護及產品升級等費用。
2)報價需全面涵蓋可能涉及的所有費用,若有費用無法在前期報價給出,需給出價格計算方式。
3)若同時有多家供應商產品均滿足企業要求,企業可根據供應商給出的報價進行綜合成本評估,評估因素包括廠商口碑、市場影響力以及售后服務評價等。
5.5 合同簽訂
在綜合進行資質評估、需求評估、性能評估以及成本評估后,企業才可最后確定選型產品。在部署實施前,企業需與供應商進行服務合同的敲定。
合同內容至少需包括以下幾點:
1)合同金額及詳細的產品與服務報價
2)實施周期
3)驗收標準和方法
4)雙方責任
5)違約責任
6)付款方式
6、e-works研究院簡介
e-works研究院(e-works Research)是e-works(數字化企業網)研究、分析性質的組織機構。e-works研究院的研究領域方向立足于兩化融合所涵蓋的管理信息化、產品創新數字化、IT技術與應用、數控技術等領域。e-works研究院是網聚了e-works專家、精英等智力資源強力打造的研究、分析品牌。
e-works Research致力于成為中國制造業與信息化進程中的智庫。作為全國首個制造業與信息化研究實驗室,e-works Research一直秉承客觀、中立的原則,對制造業與信息化的各領域進行深入觀察與研究。通過發布行業調查、白皮書、選型手冊,發表文章和演講,舉辦高層論壇、研討會等形式,與各級政府、高層企業管理者、信息化廠商伙伴們分享e-works Research的研究成果、預見行業發展趨勢、發現和評估戰略機遇、確保預期回報、制定發展計劃和確定業績評估標準等,以便在隨需應變時代創造最大價值。
通過多年專注的積累,目前,e-works研究院擁有了一套科學、嚴謹的調研、整理和分析方法,并通過與各級政府、企業、信息化廠商、其他研究機構廣泛開展合作,已成功取得了多項研究成果。
作為專業的市場研究機構,e-works Research整合業內專家資源,將咨詢服務的所診斷出來的個性問題,放到產業層面上,通過溝通、調查、研究等最終形成相應的產業分析報告,對中國制造業信息化相關技術、市場、應用與產業發展起到了積極的推動作用。
e-works Research累計發布各類產業研究報告20余份:
- 制造執行系統(MES)選型與實施指南(2013年)
- 中國制造業PLM產業發展報告(從2004年開始連續九年發布該報告。其中,從2009年開始,e-works與國際知名市場研究機構CIMDATA合作,聯合在全球發布中英文版的中國制造業PLM研究報告);
- 中國制造業信息化投資趨勢研究報告(2009-2014年四次);
- 中國制造業SCM應用研究報告(2009年、2011年兩次);
- 中國制造業ERP產業發展報告(2005年、2007年、2008年三次);
- 中國民營企業ERP應用研究報告(2006年);
- 中國制造業供應鏈管理研究報告(2011年);
- 中國制造業人力資源發展研究報告(2010年);
- 中國制造業軟件維護市場研究報告(2009年);
- 中國制造業虛擬現實及仿真應用研究報告(2009,2010年)
- 中國CAE發展研究報告(2008年)等權威報告。
圖 e-works權威發布中英文PLM研究報告
先后有麥肯錫、IDC、IBM、羅克韋爾、達索系統、PTC、西門子PLM、安世亞太、聯想、金蝶、用友、CAXA、Autodesk、源訊等近百家企業購買了e-works的市場研究報告。此外,由于信息技術是一個前瞻性的新興技術,且技術含量比較高,推廣難度巨大,更為關鍵的是如何站在客戶需求的角度來對相應的技術進行闡述,是廣大供應商面臨的挑戰,為此e-works Research結合自身的專業性,從需求出發,先后幫助:
- IBM撰寫了IBM智慧工廠白皮書
- Kronos撰寫了中國勞動力管理白皮書
- 用友撰寫了用友U9 V2.0 ERP系統評估報告
- 金蝶公司撰寫了K/3 WISE 白皮書
- 用友PDM應用白皮書
- 安世亞太PERA精益研發平臺評估報告
- SAGE集團SAGE CRM白皮書
- 西門子PLM數字化制造白皮書
- 惠普公司中小企業解決方案
- 中國制造業設計仿真一體化應用研究報告等
圖 e-works Research研究系列評估報告
e-works Research網聚優質資源,客觀、中立、敏銳地洞察制造業與信息化的發展!
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:上網行為管理選型白皮書
本文網址:http://www.guhuozai8.cn/html/consultation/10839415228.html
相關文章
