隨著Internet接入的普及和帶寬的增加。一方面員工上網(wǎng)條件得到改善，另一方面也給公司帶來(lái)更高的網(wǎng)絡(luò)使用危險(xiǎn)性、復(fù)雜性和混亂性。內(nèi)網(wǎng)用戶訪問(wèn)互聯(lián)網(wǎng)多樣化資源信息方便易行，同時(shí)很有可能受到網(wǎng)絡(luò)上木馬、病毒等的攻擊，從而造成內(nèi)網(wǎng)的癱瘓。另外在上班工作時(shí)間非法使用郵件、瀏覽非法Web網(wǎng)站、進(jìn)行音樂(lè)和電影等BT下載、在線收看流媒體的員工正在日益增加。從事與工作無(wú)關(guān)的活動(dòng)，不僅影響工作效率，而且占用了帶寬資源，很有可能使得企業(yè)的重要業(yè)務(wù)得不到保障，更有甚者，發(fā)表不良、反動(dòng)言論，嚴(yán)重影響公司的企業(yè)形象。

    在企業(yè)內(nèi)網(wǎng)建設(shè)一個(gè)高效性、安全性和規(guī)范性的上網(wǎng)行為管理系統(tǒng)，可以提高員工工作效率，有效降低非工作上網(wǎng)行為，保障網(wǎng)絡(luò)資源合理使用；減少安全風(fēng)險(xiǎn)，避免上網(wǎng)導(dǎo)致的病毒、惡意代碼給企業(yè)帶來(lái)的潛在風(fēng)險(xiǎn)；同時(shí)提高網(wǎng)絡(luò)可管理性，便于網(wǎng)絡(luò)與行政管理。

一、網(wǎng)絡(luò)現(xiàn)狀與問(wèn)題

    目前，大型企業(yè)網(wǎng)絡(luò)現(xiàn)狀拓?fù)淙鐖D1所示。企業(yè)內(nèi)網(wǎng)核心交換機(jī)通過(guò)防火墻與IP城域網(wǎng)連接，以訪問(wèn)互聯(lián)網(wǎng)。現(xiàn)有網(wǎng)絡(luò)網(wǎng)關(guān)處通過(guò)部署防火墻解決網(wǎng)絡(luò)安全問(wèn)題。但是隨著員工的增多，缺乏規(guī)劃的管理逐漸暴露出諸多問(wèn)題：

圖1 網(wǎng)絡(luò)現(xiàn)狀拓?fù)鋱D

    (1)安全問(wèn)題：在互聯(lián)網(wǎng)應(yīng)用方面，HTTP、SMTP、FTP、POP3等協(xié)議，幾乎每天都面臨不同的安全風(fēng)險(xiǎn)，病毒、蠕蟲(chóng)、垃圾郵件、木馬程序、網(wǎng)絡(luò)釣魚(yú)等惡意行為也在伺機(jī)攻擊企業(yè)的IT系統(tǒng)。

    (2)保密問(wèn)題：客戶資料、商業(yè)信息、企業(yè)秘密等機(jī)密文件，可能輕易地通過(guò)E-mail、QQ、MSN、BBS等網(wǎng)絡(luò)行為向外發(fā)送，防火墻對(duì)此是無(wú)法恥的，這就導(dǎo)致重要焦斟泄，造成安全隱患。

    (3)管理問(wèn)題：網(wǎng)絡(luò)游戲、聊天交友、BT下載、在線音樂(lè)、在線電影等不適當(dāng)?shù)木W(wǎng)絡(luò)行為不但影響了員工的工作效率，而且還占用企業(yè)大量的網(wǎng)絡(luò)出口帶寬資源。給企業(yè)正常的網(wǎng)絡(luò)業(yè)務(wù)帶來(lái)極大的影響。

    企業(yè)上網(wǎng)的解決方案

    為對(duì)訪問(wèn)互聯(lián)網(wǎng)敏感信息的內(nèi)容進(jìn)行檢查、過(guò)濾和控制，屏蔽來(lái)自互聯(lián)網(wǎng)的惡意代碼、非法網(wǎng)頁(yè)和有害信息，應(yīng)在企業(yè)內(nèi)網(wǎng)互聯(lián)網(wǎng)出口部署上網(wǎng)行為管理系統(tǒng)網(wǎng)關(guān)設(shè)備，并實(shí)現(xiàn)與終端管理平臺(tái)用戶目錄集成，構(gòu)建完整的終端與用戶行為的管理體系。上網(wǎng)行為管理系統(tǒng)網(wǎng)關(guān)設(shè)備具備以下特征：

    (1)提供全面準(zhǔn)確的通信內(nèi)容管理、網(wǎng)絡(luò)行為管理手段；

    (2)滿足高性能要求，提供強(qiáng)大的分析和處理能力，保證正常網(wǎng)絡(luò)通信的質(zhì)量；

    (3)具備高可靠的自身安全性，保證網(wǎng)絡(luò)、自身設(shè)備的高可用性；

    (4)提供方便靈活的部署方式，豐富的系統(tǒng)管理能力。

    上網(wǎng)行為管理系統(tǒng)的部署應(yīng)以現(xiàn)有網(wǎng)絡(luò)改動(dòng)最小為原則，簡(jiǎn)化部署過(guò)程，減少鏈路或業(yè)務(wù)中斷時(shí)間。根據(jù)不同的部署方式有不同的建設(shè)方案：

    1．旁掛方式

    考慮到互聯(lián)網(wǎng)訪問(wèn)的要求高可用性及實(shí)時(shí)性，系統(tǒng)性能不能降低原有網(wǎng)絡(luò)帶寬，延遲，抖動(dòng)等性能指標(biāo)，同時(shí)不改變用戶習(xí)慣，新增上網(wǎng)行為管理器物理旁接在現(xiàn)有網(wǎng)絡(luò)互聯(lián)網(wǎng)出口處。為保障系統(tǒng)高可用性，上網(wǎng)行為管理器采用雙機(jī)冗余部署方式，設(shè)備發(fā)生故障時(shí)，不影響訪問(wèn)互聯(lián)網(wǎng)。旁掛方式網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖2 旁掛方式網(wǎng)絡(luò)拓?fù)鋱D

    上網(wǎng)行為管理器通過(guò)辦公用戶互聯(lián)網(wǎng)核心交換機(jī)現(xiàn)網(wǎng)多余的SPAN端I=／流量映射方式，使上網(wǎng)行為管理系統(tǒng)獲取辦公用戶的互聯(lián)網(wǎng)訪問(wèn)流量并進(jìn)行分析和策略過(guò)濾控制，或者采用路由方式進(jìn)行流量分析和策略過(guò)來(lái)控制，都不會(huì)對(duì)現(xiàn)有網(wǎng)絡(luò)的處理速度產(chǎn)生影響。

    另外，新增1臺(tái)服務(wù)器，作為日志存儲(chǔ)服務(wù)器，提供存儲(chǔ)6個(gè)月以上的報(bào)告能力。該新增服務(wù)器在本系統(tǒng)中起外置存儲(chǔ)作用，故無(wú)需雙機(jī)備份。

    2.串接方式

    新增上網(wǎng)行為管理器物理串接在網(wǎng)關(guān)NAT設(shè)備和核心交換機(jī)之間，可以對(duì)上網(wǎng)行為管理系統(tǒng)的數(shù)據(jù)進(jìn)行上網(wǎng)安全過(guò)濾、上網(wǎng)行為控制和審計(jì)。串接方式網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。

    為保障系統(tǒng)高可用性，上網(wǎng)行為管理器采用雙機(jī)冗余網(wǎng)橋(透明)模式部署，且設(shè)備發(fā)生故障時(shí)自動(dòng)切換為中繼設(shè)備，除上網(wǎng)行為管理功能失效外，不影響訪問(wèn)互聯(lián)網(wǎng)。

圖3 串接方式網(wǎng)絡(luò)拓?fù)鋱D

    另外。新增1臺(tái)服務(wù)器，作為日志存儲(chǔ)服務(wù)器，，提供存儲(chǔ)6個(gè)月以上的報(bào)告能力。該新增服務(wù)器在本系統(tǒng)中起外置存儲(chǔ)作用，故無(wú)需雙機(jī)備份。

三、方案對(duì)比

    以上兩種方案中，旁掛方式的優(yōu)點(diǎn)在于無(wú)需對(duì)現(xiàn)網(wǎng)作調(diào)整、不會(huì)降低原有網(wǎng)絡(luò)性能指標(biāo)、不改變用戶習(xí)慣。施工容易，缺點(diǎn)是需在三層交換機(jī)上作端口影像。串接方式的優(yōu)點(diǎn)是無(wú)需在三層交換機(jī)上作端口影像，效率較高，但會(huì)影響現(xiàn)網(wǎng)數(shù)據(jù)流量等性能指標(biāo)、且涉及業(yè)務(wù)割接，施工難度大。

    綜合分析，由于旁掛方式無(wú)需對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行調(diào)整且不會(huì)降低現(xiàn)網(wǎng)性能指標(biāo)、施工比較簡(jiǎn)單方便等優(yōu)勢(shì)，因此采用旁掛方式實(shí)施。

    系統(tǒng)實(shí)現(xiàn)功能

    上網(wǎng)行為管理系統(tǒng)包含了上網(wǎng)安全過(guò)濾、上網(wǎng)行為控制、報(bào)告和審計(jì)、集中管理和委派權(quán)限、報(bào)警機(jī)制等功能。

    (1)上網(wǎng)安全過(guò)濾：管理上網(wǎng)行為的一個(gè)重要原因就是提升上網(wǎng)安全性，系統(tǒng)可以提供多種安全強(qiáng)化能力，主動(dòng)過(guò)濾含有惡意插件、危險(xiǎn)腳本、木馬、病毒的惡意網(wǎng)站，即使內(nèi)網(wǎng)終端感染木馬、病毒、被黑客控制，系統(tǒng)同樣可以識(shí)別、封堵并報(bào)警。

    系統(tǒng)提供惡意網(wǎng)站過(guò)濾、惡意網(wǎng)站庫(kù)快速更新、惡意代碼的實(shí)時(shí)掃描識(shí)別與控制、代理回避技術(shù)過(guò)濾、客戶端危險(xiǎn)流量識(shí)別、定位與控制、多種控制動(dòng)作、非80端口惡意流量偵測(cè)。

    (2)上網(wǎng)行為控制：系統(tǒng)能夠識(shí)別用戶訪問(wèn)網(wǎng)頁(yè)、P2P下載、聊天、炒股等行為，并能結(jié)合對(duì)象化的上網(wǎng)策略對(duì)用戶的上網(wǎng)行為進(jìn)行靈活的控制。系統(tǒng)可提供基于用戶、用戶組、IP、IP段以及時(shí)間、工作日等多種策略元素進(jìn)行管理策略設(shè)置。例如：工作時(shí)間段不允許用戶瀏覽與工作無(wú)關(guān)網(wǎng)站，而在下班時(shí)問(wèn)段或周末則不做控制；不同的用戶、用戶組實(shí)現(xiàn)不同的分時(shí)段控制策略等。

    系統(tǒng)可提供控制動(dòng)作提供阻止、提示警告、僅監(jiān)控等多種管理方式，可實(shí)現(xiàn)基于訪問(wèn)時(shí)間長(zhǎng)度、流量份額、文件類型、關(guān)鍵詞過(guò)濾等多種方式對(duì)用戶的互聯(lián)網(wǎng)訪問(wèn)進(jìn)行管理。

    (3)報(bào)告和審計(jì)：系統(tǒng)具備報(bào)告記錄與統(tǒng)計(jì)分析功能，可使管理員方便直觀地看到當(dāng)前網(wǎng)絡(luò)訪問(wèn)的網(wǎng)絡(luò)流量、風(fēng)險(xiǎn)趨勢(shì)等總體情況，也能夠針對(duì)一個(gè)或多個(gè)用戶、用戶組、IP網(wǎng)段進(jìn)行詳細(xì)統(tǒng)計(jì)，對(duì)這些統(tǒng)計(jì)對(duì)象的指定時(shí)間段、指定網(wǎng)站類型、指定應(yīng)用類型的上網(wǎng)行為進(jìn)行審計(jì)。

    (4)集中管理和委派權(quán)限：系統(tǒng)可對(duì)各分公司上網(wǎng)策略、日志審計(jì)進(jìn)行集中的管理，也可以基于角色對(duì)各種管理權(quán)限進(jìn)行委派，不同角色的權(quán)限可進(jìn)行靈活的劃分，同時(shí)提供對(duì)各類管理員操作記錄的審計(jì)功能。

    (5)報(bào)警機(jī)制：系統(tǒng)可實(shí)時(shí)監(jiān)控用戶訪問(wèn)情況與系統(tǒng)狀況，出現(xiàn)異常情況時(shí)可自動(dòng)告警。系統(tǒng)提供多種報(bào)警機(jī)制、自定義異常報(bào)警機(jī)制。系統(tǒng)可實(shí)現(xiàn)與網(wǎng)管系統(tǒng)結(jié)合功能提供標(biāo)準(zhǔn)管理接口，支持SNMP協(xié)議，支持網(wǎng)管系統(tǒng)的配置、故障、性能、安全等各方面所需的管理能力。

四、實(shí)施效果

    企業(yè)上網(wǎng)行為系統(tǒng)部署后，不同的部門設(shè)置不同的互聯(lián)網(wǎng)訪問(wèn)策略，對(duì)可訪問(wèn)的互聯(lián)網(wǎng)內(nèi)容做了嚴(yán)格的限制，不同崗位的員工擁有相應(yīng)的互聯(lián)網(wǎng)訪問(wèn)權(quán)限，對(duì)每一項(xiàng)互聯(lián)網(wǎng)業(yè)務(wù)按需分配了網(wǎng)絡(luò)帶寬，保證了主要業(yè)務(wù)的暢通無(wú)阻，對(duì)所有部門的上網(wǎng)行為進(jìn)行了實(shí)時(shí)監(jiān)控管理，保留詳細(xì)用戶訪問(wèn)記錄備查。通過(guò)一段時(shí)間的使用發(fā)現(xiàn)，公司內(nèi)網(wǎng)越來(lái)越穩(wěn)定，網(wǎng)絡(luò)速度明顯改善。阻止了不良網(wǎng)站的訪問(wèn)，減少惡意軟件的侵?jǐn)_，終端故障率降低。由于控制了網(wǎng)絡(luò)游戲的使用，員工工作效率有較大提高。同時(shí)，系統(tǒng)加強(qiáng)了對(duì)E—mail、BBS等外發(fā)信息的監(jiān)管，減少了企業(yè)機(jī)密信息外泄的可能。通過(guò)對(duì)上網(wǎng)行為的分析，可以掌控各部門的上網(wǎng)使用情況，提高網(wǎng)絡(luò)可管理性，便于網(wǎng)絡(luò)與行政管理。

五、結(jié)束語(yǔ)

    企業(yè)上網(wǎng)行為管理系統(tǒng)的建設(shè)為企業(yè)提供了一個(gè)高效、安全和規(guī)范的互聯(lián)網(wǎng)環(huán)境。系統(tǒng)建成并實(shí)施后，為企業(yè)提供完整的解決方案來(lái)實(shí)現(xiàn)統(tǒng)一的用戶管理。員工更高的工作效率來(lái)提高企業(yè)的整體創(chuàng)新和管理能力，促使企業(yè)向知識(shí)型、學(xué)習(xí)型企業(yè)發(fā)展，實(shí)現(xiàn)企業(yè)的管理規(guī)范化，有效地支持企業(yè)的戰(zhàn)略發(fā)展。    

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：企業(yè)上網(wǎng)行為管理系統(tǒng)的應(yīng)用

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112154213.html