隨著Internet接入的普及和帶寬的增加。一方面員工上網(wǎng)條件得到改善,另一方面也給公司帶來更高的網(wǎng)絡(luò)使用危險性、復(fù)雜性和混亂性。內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)多樣化資源信息方便易行,同時很有可能受到網(wǎng)絡(luò)上木馬、病毒等的攻擊,從而造成內(nèi)網(wǎng)的癱瘓。另外在上班工作時間非法使用郵件、瀏覽非法Web網(wǎng)站、進(jìn)行音樂和電影等BT下載、在線收看流媒體的員工正在日益增加。從事與工作無關(guān)的活動,不僅影響工作效率,而且占用了帶寬資源,很有可能使得企業(yè)的重要業(yè)務(wù)得不到保障,更有甚者,發(fā)表不良、反動言論,嚴(yán)重影響公司的企業(yè)形象。
在企業(yè)內(nèi)網(wǎng)建設(shè)一個高效性、安全性和規(guī)范性的上網(wǎng)行為管理系統(tǒng),可以提高員工工作效率,有效降低非工作上網(wǎng)行為,保障網(wǎng)絡(luò)資源合理使用;減少安全風(fēng)險,避免上網(wǎng)導(dǎo)致的病毒、惡意代碼給企業(yè)帶來的潛在風(fēng)險;同時提高網(wǎng)絡(luò)可管理性,便于網(wǎng)絡(luò)與行政管理。
一、網(wǎng)絡(luò)現(xiàn)狀與問題
目前,大型企業(yè)網(wǎng)絡(luò)現(xiàn)狀拓?fù)淙鐖D1所示。企業(yè)內(nèi)網(wǎng)核心交換機(jī)通過防火墻與IP城域網(wǎng)連接,以訪問互聯(lián)網(wǎng)。現(xiàn)有網(wǎng)絡(luò)網(wǎng)關(guān)處通過部署防火墻解決網(wǎng)絡(luò)安全問題。但是隨著員工的增多,缺乏規(guī)劃的管理逐漸暴露出諸多問題:
圖1 網(wǎng)絡(luò)現(xiàn)狀拓?fù)鋱D
(1)安全問題:在互聯(lián)網(wǎng)應(yīng)用方面,HTTP、SMTP、FTP、POP3等協(xié)議,幾乎每天都面臨不同的安全風(fēng)險,病毒、蠕蟲、垃圾郵件、木馬程序、網(wǎng)絡(luò)釣魚等惡意行為也在伺機(jī)攻擊企業(yè)的IT系統(tǒng)。
(2)保密問題:客戶資料、商業(yè)信息、企業(yè)秘密等機(jī)密文件,可能輕易地通過E-mail、QQ、MSN、BBS等網(wǎng)絡(luò)行為向外發(fā)送,防火墻對此是無法恥的,這就導(dǎo)致重要焦斟泄,造成安全隱患。
(3)管理問題:網(wǎng)絡(luò)游戲、聊天交友、BT下載、在線音樂、在線電影等不適當(dāng)?shù)木W(wǎng)絡(luò)行為不但影響了員工的工作效率,而且還占用企業(yè)大量的網(wǎng)絡(luò)出口帶寬資源。給企業(yè)正常的網(wǎng)絡(luò)業(yè)務(wù)帶來極大的影響。
企業(yè)上網(wǎng)的解決方案
為對訪問互聯(lián)網(wǎng)敏感信息的內(nèi)容進(jìn)行檢查、過濾和控制,屏蔽來自互聯(lián)網(wǎng)的惡意代碼、非法網(wǎng)頁和有害信息,應(yīng)在企業(yè)內(nèi)網(wǎng)互聯(lián)網(wǎng)出口部署上網(wǎng)行為管理系統(tǒng)網(wǎng)關(guān)設(shè)備,并實(shí)現(xiàn)與終端管理平臺用戶目錄集成,構(gòu)建完整的終端與用戶行為的管理體系。上網(wǎng)行為管理系統(tǒng)網(wǎng)關(guān)設(shè)備具備以下特征:
(1)提供全面準(zhǔn)確的通信內(nèi)容管理、網(wǎng)絡(luò)行為管理手段;
(2)滿足高性能要求,提供強(qiáng)大的分析和處理能力,保證正常網(wǎng)絡(luò)通信的質(zhì)量;
(3)具備高可靠的自身安全性,保證網(wǎng)絡(luò)、自身設(shè)備的高可用性;
(4)提供方便靈活的部署方式,豐富的系統(tǒng)管理能力。
上網(wǎng)行為管理系統(tǒng)的部署應(yīng)以現(xiàn)有網(wǎng)絡(luò)改動最小為原則,簡化部署過程,減少鏈路或業(yè)務(wù)中斷時間。根據(jù)不同的部署方式有不同的建設(shè)方案:
1.旁掛方式
考慮到互聯(lián)網(wǎng)訪問的要求高可用性及實(shí)時性,系統(tǒng)性能不能降低原有網(wǎng)絡(luò)帶寬,延遲,抖動等性能指標(biāo),同時不改變用戶習(xí)慣,新增上網(wǎng)行為管理器物理旁接在現(xiàn)有網(wǎng)絡(luò)互聯(lián)網(wǎng)出口處。為保障系統(tǒng)高可用性,上網(wǎng)行為管理器采用雙機(jī)冗余部署方式,設(shè)備發(fā)生故障時,不影響訪問互聯(lián)網(wǎng)。旁掛方式網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。
圖2 旁掛方式網(wǎng)絡(luò)拓?fù)鋱D
上網(wǎng)行為管理器通過辦公用戶互聯(lián)網(wǎng)核心交換機(jī)現(xiàn)網(wǎng)多余的SPAN端I=/流量映射方式,使上網(wǎng)行為管理系統(tǒng)獲取辦公用戶的互聯(lián)網(wǎng)訪問流量并進(jìn)行分析和策略過濾控制,或者采用路由方式進(jìn)行流量分析和策略過來控制,都不會對現(xiàn)有網(wǎng)絡(luò)的處理速度產(chǎn)生影響。
另外,新增1臺服務(wù)器,作為日志存儲服務(wù)器,提供存儲6個月以上的報告能力。該新增服務(wù)器在本系統(tǒng)中起外置存儲作用,故無需雙機(jī)備份。
2.串接方式
新增上網(wǎng)行為管理器物理串接在網(wǎng)關(guān)NAT設(shè)備和核心交換機(jī)之間,可以對上網(wǎng)行為管理系統(tǒng)的數(shù)據(jù)進(jìn)行上網(wǎng)安全過濾、上網(wǎng)行為控制和審計。串接方式網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。
為保障系統(tǒng)高可用性,上網(wǎng)行為管理器采用雙機(jī)冗余網(wǎng)橋(透明)模式部署,且設(shè)備發(fā)生故障時自動切換為中繼設(shè)備,除上網(wǎng)行為管理功能失效外,不影響訪問互聯(lián)網(wǎng)。
圖3 串接方式網(wǎng)絡(luò)拓?fù)鋱D
另外。新增1臺服務(wù)器,作為日志存儲服務(wù)器,,提供存儲6個月以上的報告能力。該新增服務(wù)器在本系統(tǒng)中起外置存儲作用,故無需雙機(jī)備份。
三、方案對比
以上兩種方案中,旁掛方式的優(yōu)點(diǎn)在于無需對現(xiàn)網(wǎng)作調(diào)整、不會降低原有網(wǎng)絡(luò)性能指標(biāo)、不改變用戶習(xí)慣。施工容易,缺點(diǎn)是需在三層交換機(jī)上作端口影像。串接方式的優(yōu)點(diǎn)是無需在三層交換機(jī)上作端口影像,效率較高,但會影響現(xiàn)網(wǎng)數(shù)據(jù)流量等性能指標(biāo)、且涉及業(yè)務(wù)割接,施工難度大。
綜合分析,由于旁掛方式無需對現(xiàn)有網(wǎng)絡(luò)進(jìn)行調(diào)整且不會降低現(xiàn)網(wǎng)性能指標(biāo)、施工比較簡單方便等優(yōu)勢,因此采用旁掛方式實(shí)施。
系統(tǒng)實(shí)現(xiàn)功能
上網(wǎng)行為管理系統(tǒng)包含了上網(wǎng)安全過濾、上網(wǎng)行為控制、報告和審計、集中管理和委派權(quán)限、報警機(jī)制等功能。
(1)上網(wǎng)安全過濾:管理上網(wǎng)行為的一個重要原因就是提升上網(wǎng)安全性,系統(tǒng)可以提供多種安全強(qiáng)化能力,主動過濾含有惡意插件、危險腳本、木馬、病毒的惡意網(wǎng)站,即使內(nèi)網(wǎng)終端感染木馬、病毒、被黑客控制,系統(tǒng)同樣可以識別、封堵并報警。
系統(tǒng)提供惡意網(wǎng)站過濾、惡意網(wǎng)站庫快速更新、惡意代碼的實(shí)時掃描識別與控制、代理回避技術(shù)過濾、客戶端危險流量識別、定位與控制、多種控制動作、非80端口惡意流量偵測。
(2)上網(wǎng)行為控制:系統(tǒng)能夠識別用戶訪問網(wǎng)頁、P2P下載、聊天、炒股等行為,并能結(jié)合對象化的上網(wǎng)策略對用戶的上網(wǎng)行為進(jìn)行靈活的控制。系統(tǒng)可提供基于用戶、用戶組、IP、IP段以及時間、工作日等多種策略元素進(jìn)行管理策略設(shè)置。例如:工作時間段不允許用戶瀏覽與工作無關(guān)網(wǎng)站,而在下班時問段或周末則不做控制;不同的用戶、用戶組實(shí)現(xiàn)不同的分時段控制策略等。
系統(tǒng)可提供控制動作提供阻止、提示警告、僅監(jiān)控等多種管理方式,可實(shí)現(xiàn)基于訪問時間長度、流量份額、文件類型、關(guān)鍵詞過濾等多種方式對用戶的互聯(lián)網(wǎng)訪問進(jìn)行管理。
(3)報告和審計:系統(tǒng)具備報告記錄與統(tǒng)計分析功能,可使管理員方便直觀地看到當(dāng)前網(wǎng)絡(luò)訪問的網(wǎng)絡(luò)流量、風(fēng)險趨勢等總體情況,也能夠針對一個或多個用戶、用戶組、IP網(wǎng)段進(jìn)行詳細(xì)統(tǒng)計,對這些統(tǒng)計對象的指定時間段、指定網(wǎng)站類型、指定應(yīng)用類型的上網(wǎng)行為進(jìn)行審計。
(4)集中管理和委派權(quán)限:系統(tǒng)可對各分公司上網(wǎng)策略、日志審計進(jìn)行集中的管理,也可以基于角色對各種管理權(quán)限進(jìn)行委派,不同角色的權(quán)限可進(jìn)行靈活的劃分,同時提供對各類管理員操作記錄的審計功能。
(5)報警機(jī)制:系統(tǒng)可實(shí)時監(jiān)控用戶訪問情況與系統(tǒng)狀況,出現(xiàn)異常情況時可自動告警。系統(tǒng)提供多種報警機(jī)制、自定義異常報警機(jī)制。系統(tǒng)可實(shí)現(xiàn)與網(wǎng)管系統(tǒng)結(jié)合功能提供標(biāo)準(zhǔn)管理接口,支持SNMP協(xié)議,支持網(wǎng)管系統(tǒng)的配置、故障、性能、安全等各方面所需的管理能力。
四、實(shí)施效果
企業(yè)上網(wǎng)行為系統(tǒng)部署后,不同的部門設(shè)置不同的互聯(lián)網(wǎng)訪問策略,對可訪問的互聯(lián)網(wǎng)內(nèi)容做了嚴(yán)格的限制,不同崗位的員工擁有相應(yīng)的互聯(lián)網(wǎng)訪問權(quán)限,對每一項互聯(lián)網(wǎng)業(yè)務(wù)按需分配了網(wǎng)絡(luò)帶寬,保證了主要業(yè)務(wù)的暢通無阻,對所有部門的上網(wǎng)行為進(jìn)行了實(shí)時監(jiān)控管理,保留詳細(xì)用戶訪問記錄備查。通過一段時間的使用發(fā)現(xiàn),公司內(nèi)網(wǎng)越來越穩(wěn)定,網(wǎng)絡(luò)速度明顯改善。阻止了不良網(wǎng)站的訪問,減少惡意軟件的侵?jǐn)_,終端故障率降低。由于控制了網(wǎng)絡(luò)游戲的使用,員工工作效率有較大提高。同時,系統(tǒng)加強(qiáng)了對E—mail、BBS等外發(fā)信息的監(jiān)管,減少了企業(yè)機(jī)密信息外泄的可能。通過對上網(wǎng)行為的分析,可以掌控各部門的上網(wǎng)使用情況,提高網(wǎng)絡(luò)可管理性,便于網(wǎng)絡(luò)與行政管理。
五、結(jié)束語
企業(yè)上網(wǎng)行為管理系統(tǒng)的建設(shè)為企業(yè)提供了一個高效、安全和規(guī)范的互聯(lián)網(wǎng)環(huán)境。系統(tǒng)建成并實(shí)施后,為企業(yè)提供完整的解決方案來實(shí)現(xiàn)統(tǒng)一的用戶管理。員工更高的工作效率來提高企業(yè)的整體創(chuàng)新和管理能力,促使企業(yè)向知識型、學(xué)習(xí)型企業(yè)發(fā)展,實(shí)現(xiàn)企業(yè)的管理規(guī)范化,有效地支持企業(yè)的戰(zhàn)略發(fā)展。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://m.lukmueng.com/
本文標(biāo)題:企業(yè)上網(wǎng)行為管理系統(tǒng)的應(yīng)用
本文網(wǎng)址:http://m.lukmueng.com/html/support/1112154213.html
相關(guān)文章
