隨著Internet接入的普及和帶寬的增加。一方面員工上網(wǎng)條件得到改善,另一方面也給公司帶來(lái)更高的網(wǎng)絡(luò)使用危險(xiǎn)性、復(fù)雜性和混亂性。內(nèi)網(wǎng)用戶(hù)訪問(wèn)互聯(lián)網(wǎng)多樣化資源信息方便易行,同時(shí)很有可能受到網(wǎng)絡(luò)上木馬、病毒等的攻擊,從而造成內(nèi)網(wǎng)的癱瘓。另外在上班工作時(shí)間非法使用郵件、瀏覽非法Web網(wǎng)站、進(jìn)行音樂(lè)和電影等BT下載、在線收看流媒體的員工正在日益增加。從事與工作無(wú)關(guān)的活動(dòng),不僅影響工作效率,而且占用了帶寬資源,很有可能使得企業(yè)的重要業(yè)務(wù)得不到保障,更有甚者,發(fā)表不良、反動(dòng)言論,嚴(yán)重影響公司的企業(yè)形象。
在企業(yè)內(nèi)網(wǎng)建設(shè)一個(gè)高效性、安全性和規(guī)范性的上網(wǎng)行為管理系統(tǒng),可以提高員工工作效率,有效降低非工作上網(wǎng)行為,保障網(wǎng)絡(luò)資源合理使用;減少安全風(fēng)險(xiǎn),避免上網(wǎng)導(dǎo)致的病毒、惡意代碼給企業(yè)帶來(lái)的潛在風(fēng)險(xiǎn);同時(shí)提高網(wǎng)絡(luò)可管理性,便于網(wǎng)絡(luò)與行政管理。
一、網(wǎng)絡(luò)現(xiàn)狀與問(wèn)題
目前,大型企業(yè)網(wǎng)絡(luò)現(xiàn)狀拓?fù)淙鐖D1所示。企業(yè)內(nèi)網(wǎng)核心交換機(jī)通過(guò)防火墻與IP城域網(wǎng)連接,以訪問(wèn)互聯(lián)網(wǎng),F(xiàn)有網(wǎng)絡(luò)網(wǎng)關(guān)處通過(guò)部署防火墻解決網(wǎng)絡(luò)安全問(wèn)題。但是隨著員工的增多,缺乏規(guī)劃的管理逐漸暴露出諸多問(wèn)題:
圖1 網(wǎng)絡(luò)現(xiàn)狀拓?fù)鋱D
(1)安全問(wèn)題:在互聯(lián)網(wǎng)應(yīng)用方面,HTTP、SMTP、FTP、POP3等協(xié)議,幾乎每天都面臨不同的安全風(fēng)險(xiǎn),病毒、蠕蟲(chóng)、垃圾郵件、木馬程序、網(wǎng)絡(luò)釣魚(yú)等惡意行為也在伺機(jī)攻擊企業(yè)的IT系統(tǒng)。
(2)保密問(wèn)題:客戶(hù)資料、商業(yè)信息、企業(yè)秘密等機(jī)密文件,可能輕易地通過(guò)E-mail、QQ、MSN、BBS等網(wǎng)絡(luò)行為向外發(fā)送,防火墻對(duì)此是無(wú)法恥的,這就導(dǎo)致重要焦斟泄,造成安全隱患。
(3)管理問(wèn)題:網(wǎng)絡(luò)游戲、聊天交友、BT下載、在線音樂(lè)、在線電影等不適當(dāng)?shù)木W(wǎng)絡(luò)行為不但影響了員工的工作效率,而且還占用企業(yè)大量的網(wǎng)絡(luò)出口帶寬資源。給企業(yè)正常的網(wǎng)絡(luò)業(yè)務(wù)帶來(lái)極大的影響。
企業(yè)上網(wǎng)的解決方案
為對(duì)訪問(wèn)互聯(lián)網(wǎng)敏感信息的內(nèi)容進(jìn)行檢查、過(guò)濾和控制,屏蔽來(lái)自互聯(lián)網(wǎng)的惡意代碼、非法網(wǎng)頁(yè)和有害信息,應(yīng)在企業(yè)內(nèi)網(wǎng)互聯(lián)網(wǎng)出口部署上網(wǎng)行為管理系統(tǒng)網(wǎng)關(guān)設(shè)備,并實(shí)現(xiàn)與終端管理平臺(tái)用戶(hù)目錄集成,構(gòu)建完整的終端與用戶(hù)行為的管理體系。上網(wǎng)行為管理系統(tǒng)網(wǎng)關(guān)設(shè)備具備以下特征:
(1)提供全面準(zhǔn)確的通信內(nèi)容管理、網(wǎng)絡(luò)行為管理手段;
(2)滿足高性能要求,提供強(qiáng)大的分析和處理能力,保證正常網(wǎng)絡(luò)通信的質(zhì)量;
(3)具備高可靠的自身安全性,保證網(wǎng)絡(luò)、自身設(shè)備的高可用性;
(4)提供方便靈活的部署方式,豐富的系統(tǒng)管理能力。
上網(wǎng)行為管理系統(tǒng)的部署應(yīng)以現(xiàn)有網(wǎng)絡(luò)改動(dòng)最小為原則,簡(jiǎn)化部署過(guò)程,減少鏈路或業(yè)務(wù)中斷時(shí)間。根據(jù)不同的部署方式有不同的建設(shè)方案:
1.旁掛方式
考慮到互聯(lián)網(wǎng)訪問(wèn)的要求高可用性及實(shí)時(shí)性,系統(tǒng)性能不能降低原有網(wǎng)絡(luò)帶寬,延遲,抖動(dòng)等性能指標(biāo),同時(shí)不改變用戶(hù)習(xí)慣,新增上網(wǎng)行為管理器物理旁接在現(xiàn)有網(wǎng)絡(luò)互聯(lián)網(wǎng)出口處。為保障系統(tǒng)高可用性,上網(wǎng)行為管理器采用雙機(jī)冗余部署方式,設(shè)備發(fā)生故障時(shí),不影響訪問(wèn)互聯(lián)網(wǎng)。旁掛方式網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。
圖2 旁掛方式網(wǎng)絡(luò)拓?fù)鋱D
上網(wǎng)行為管理器通過(guò)辦公用戶(hù)互聯(lián)網(wǎng)核心交換機(jī)現(xiàn)網(wǎng)多余的SPAN端I=/流量映射方式,使上網(wǎng)行為管理系統(tǒng)獲取辦公用戶(hù)的互聯(lián)網(wǎng)訪問(wèn)流量并進(jìn)行分析和策略過(guò)濾控制,或者采用路由方式進(jìn)行流量分析和策略過(guò)來(lái)控制,都不會(huì)對(duì)現(xiàn)有網(wǎng)絡(luò)的處理速度產(chǎn)生影響。
另外,新增1臺(tái)服務(wù)器,作為日志存儲(chǔ)服務(wù)器,提供存儲(chǔ)6個(gè)月以上的報(bào)告能力。該新增服務(wù)器在本系統(tǒng)中起外置存儲(chǔ)作用,故無(wú)需雙機(jī)備份。
2.串接方式
新增上網(wǎng)行為管理器物理串接在網(wǎng)關(guān)NAT設(shè)備和核心交換機(jī)之間,可以對(duì)上網(wǎng)行為管理系統(tǒng)的數(shù)據(jù)進(jìn)行上網(wǎng)安全過(guò)濾、上網(wǎng)行為控制和審計(jì)。串接方式網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。
為保障系統(tǒng)高可用性,上網(wǎng)行為管理器采用雙機(jī)冗余網(wǎng)橋(透明)模式部署,且設(shè)備發(fā)生故障時(shí)自動(dòng)切換為中繼設(shè)備,除上網(wǎng)行為管理功能失效外,不影響訪問(wèn)互聯(lián)網(wǎng)。
圖3 串接方式網(wǎng)絡(luò)拓?fù)鋱D
另外。新增1臺(tái)服務(wù)器,作為日志存儲(chǔ)服務(wù)器,,提供存儲(chǔ)6個(gè)月以上的報(bào)告能力。該新增服務(wù)器在本系統(tǒng)中起外置存儲(chǔ)作用,故無(wú)需雙機(jī)備份。
三、方案對(duì)比
以上兩種方案中,旁掛方式的優(yōu)點(diǎn)在于無(wú)需對(duì)現(xiàn)網(wǎng)作調(diào)整、不會(huì)降低原有網(wǎng)絡(luò)性能指標(biāo)、不改變用戶(hù)習(xí)慣。施工容易,缺點(diǎn)是需在三層交換機(jī)上作端口影像。串接方式的優(yōu)點(diǎn)是無(wú)需在三層交換機(jī)上作端口影像,效率較高,但會(huì)影響現(xiàn)網(wǎng)數(shù)據(jù)流量等性能指標(biāo)、且涉及業(yè)務(wù)割接,施工難度大。
綜合分析,由于旁掛方式無(wú)需對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行調(diào)整且不會(huì)降低現(xiàn)網(wǎng)性能指標(biāo)、施工比較簡(jiǎn)單方便等優(yōu)勢(shì),因此采用旁掛方式實(shí)施。
系統(tǒng)實(shí)現(xiàn)功能
上網(wǎng)行為管理系統(tǒng)包含了上網(wǎng)安全過(guò)濾、上網(wǎng)行為控制、報(bào)告和審計(jì)、集中管理和委派權(quán)限、報(bào)警機(jī)制等功能。
(1)上網(wǎng)安全過(guò)濾:管理上網(wǎng)行為的一個(gè)重要原因就是提升上網(wǎng)安全性,系統(tǒng)可以提供多種安全強(qiáng)化能力,主動(dòng)過(guò)濾含有惡意插件、危險(xiǎn)腳本、木馬、病毒的惡意網(wǎng)站,即使內(nèi)網(wǎng)終端感染木馬、病毒、被黑客控制,系統(tǒng)同樣可以識(shí)別、封堵并報(bào)警。
系統(tǒng)提供惡意網(wǎng)站過(guò)濾、惡意網(wǎng)站庫(kù)快速更新、惡意代碼的實(shí)時(shí)掃描識(shí)別與控制、代理回避技術(shù)過(guò)濾、客戶(hù)端危險(xiǎn)流量識(shí)別、定位與控制、多種控制動(dòng)作、非80端口惡意流量偵測(cè)。
(2)上網(wǎng)行為控制:系統(tǒng)能夠識(shí)別用戶(hù)訪問(wèn)網(wǎng)頁(yè)、P2P下載、聊天、炒股等行為,并能結(jié)合對(duì)象化的上網(wǎng)策略對(duì)用戶(hù)的上網(wǎng)行為進(jìn)行靈活的控制。系統(tǒng)可提供基于用戶(hù)、用戶(hù)組、IP、IP段以及時(shí)間、工作日等多種策略元素進(jìn)行管理策略設(shè)置。例如:工作時(shí)間段不允許用戶(hù)瀏覽與工作無(wú)關(guān)網(wǎng)站,而在下班時(shí)問(wèn)段或周末則不做控制;不同的用戶(hù)、用戶(hù)組實(shí)現(xiàn)不同的分時(shí)段控制策略等。
系統(tǒng)可提供控制動(dòng)作提供阻止、提示警告、僅監(jiān)控等多種管理方式,可實(shí)現(xiàn)基于訪問(wèn)時(shí)間長(zhǎng)度、流量份額、文件類(lèi)型、關(guān)鍵詞過(guò)濾等多種方式對(duì)用戶(hù)的互聯(lián)網(wǎng)訪問(wèn)進(jìn)行管理。
(3)報(bào)告和審計(jì):系統(tǒng)具備報(bào)告記錄與統(tǒng)計(jì)分析功能,可使管理員方便直觀地看到當(dāng)前網(wǎng)絡(luò)訪問(wèn)的網(wǎng)絡(luò)流量、風(fēng)險(xiǎn)趨勢(shì)等總體情況,也能夠針對(duì)一個(gè)或多個(gè)用戶(hù)、用戶(hù)組、IP網(wǎng)段進(jìn)行詳細(xì)統(tǒng)計(jì),對(duì)這些統(tǒng)計(jì)對(duì)象的指定時(shí)間段、指定網(wǎng)站類(lèi)型、指定應(yīng)用類(lèi)型的上網(wǎng)行為進(jìn)行審計(jì)。
(4)集中管理和委派權(quán)限:系統(tǒng)可對(duì)各分公司上網(wǎng)策略、日志審計(jì)進(jìn)行集中的管理,也可以基于角色對(duì)各種管理權(quán)限進(jìn)行委派,不同角色的權(quán)限可進(jìn)行靈活的劃分,同時(shí)提供對(duì)各類(lèi)管理員操作記錄的審計(jì)功能。
(5)報(bào)警機(jī)制:系統(tǒng)可實(shí)時(shí)監(jiān)控用戶(hù)訪問(wèn)情況與系統(tǒng)狀況,出現(xiàn)異常情況時(shí)可自動(dòng)告警。系統(tǒng)提供多種報(bào)警機(jī)制、自定義異常報(bào)警機(jī)制。系統(tǒng)可實(shí)現(xiàn)與網(wǎng)管系統(tǒng)結(jié)合功能提供標(biāo)準(zhǔn)管理接口,支持SNMP協(xié)議,支持網(wǎng)管系統(tǒng)的配置、故障、性能、安全等各方面所需的管理能力。
四、實(shí)施效果
企業(yè)上網(wǎng)行為系統(tǒng)部署后,不同的部門(mén)設(shè)置不同的互聯(lián)網(wǎng)訪問(wèn)策略,對(duì)可訪問(wèn)的互聯(lián)網(wǎng)內(nèi)容做了嚴(yán)格的限制,不同崗位的員工擁有相應(yīng)的互聯(lián)網(wǎng)訪問(wèn)權(quán)限,對(duì)每一項(xiàng)互聯(lián)網(wǎng)業(yè)務(wù)按需分配了網(wǎng)絡(luò)帶寬,保證了主要業(yè)務(wù)的暢通無(wú)阻,對(duì)所有部門(mén)的上網(wǎng)行為進(jìn)行了實(shí)時(shí)監(jiān)控管理,保留詳細(xì)用戶(hù)訪問(wèn)記錄備查。通過(guò)一段時(shí)間的使用發(fā)現(xiàn),公司內(nèi)網(wǎng)越來(lái)越穩(wěn)定,網(wǎng)絡(luò)速度明顯改善。阻止了不良網(wǎng)站的訪問(wèn),減少惡意軟件的侵?jǐn)_,終端故障率降低。由于控制了網(wǎng)絡(luò)游戲的使用,員工工作效率有較大提高。同時(shí),系統(tǒng)加強(qiáng)了對(duì)E—mail、BBS等外發(fā)信息的監(jiān)管,減少了企業(yè)機(jī)密信息外泄的可能。通過(guò)對(duì)上網(wǎng)行為的分析,可以掌控各部門(mén)的上網(wǎng)使用情況,提高網(wǎng)絡(luò)可管理性,便于網(wǎng)絡(luò)與行政管理。
五、結(jié)束語(yǔ)
企業(yè)上網(wǎng)行為管理系統(tǒng)的建設(shè)為企業(yè)提供了一個(gè)高效、安全和規(guī)范的互聯(lián)網(wǎng)環(huán)境。系統(tǒng)建成并實(shí)施后,為企業(yè)提供完整的解決方案來(lái)實(shí)現(xiàn)統(tǒng)一的用戶(hù)管理。員工更高的工作效率來(lái)提高企業(yè)的整體創(chuàng)新和管理能力,促使企業(yè)向知識(shí)型、學(xué)習(xí)型企業(yè)發(fā)展,實(shí)現(xiàn)企業(yè)的管理規(guī)范化,有效地支持企業(yè)的戰(zhàn)略發(fā)展。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:企業(yè)上網(wǎng)行為管理系統(tǒng)的應(yīng)用
本文網(wǎng)址:http://www.guhuozai8.cn/html/support/1112154213.html