《【2017年整理】中小企业员工互联网访问控制解决方案》由会员分享,可在线阅读,更多相关《【2017年整理】中小企业员工互联网访问控制解决方案(14页珍藏版)》请在金锄头文库上搜索。
1、TONDNET中小型企业员工网络管理解决方案 中小企业员工互联网访问控制解决方案深圳市中深同德信息技术有限公司一、需求概述1.1 背景需求分析 随着 Internet 的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在 IDC 对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法 Web 网站、进行音乐/电影等BT 下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。据 IDC 的数据统计,企业中员工 30%至 40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量
2、发生在工作时间。尤其值得注意的是,中国员工比其它地区的员工每周多花 7.6 小时的时间来使用 IM、玩游戏、P2P 软件或流动媒体。互联网滥用,给中国企业带来了巨大的损失。这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络泄密和违法行为。企业网作为一个开放的网络系统,运行状况愈来愈复杂。企业的 IT 管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括: IT 管理员如何对企业网络效能行为进行统计、分析和评估? IT 管理
3、员如何限制一些非工作上网行为和非正常上网行为(如色情网站),如何监控、控制和引导员工正确使用网络? IT 管理员如何杜绝员工通过电子邮件、MSN 等途径泄漏企业内部机密资料? IT 管理员如何在万一发生问题时有一个证据或依据?因此,如何有效地解决这些问题,以便提高员工的工作效率,降低企业的安全风险,减少企业的损失,已经成为中国企业迫在眉睫的紧要任务。当前内网安全管理也随之提升到一个新的高度,在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时,从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。越来越多的企事业单位需要对内网进行统一管理以调整网络资源的合理利用。1.2 具体需求分
4、析某某有限公司访问控制详细需求分析:随着业务的发展,信息化建设步伐的加快,某公司网络安全问题也日益严峻。虽然在网络出口处已部署了专门的防火墙设备,但无孔不入的病毒(尤其是木马病毒) 、垃圾邮件仍然大肆泛滥,严重影响了企业应用系统的运行和公司业务的正常运作;另外,在针对内 中小企业员工互联网访问控制解决方案深圳市中深同德信息技术有限公司网的安全方面(尤其是 PC 客户端准入安全检查) ,由于缺少专门的客户端安全检查设备,无法有效的保护整个局域网的安全性。最为重要的是企业对员工的网络使用方面没有很好的限制方法,导致员工的工作效率低下,而且 BT 下载严重影响了企业内部关键应用的使用。 通过对某公司
5、需求的了解,在内网行为方面在以下几个方面需要解决。所面临的问题:1.2.1 无法做到细致的访问控制首先公司内部办公网络有着自己的网络服资源,将来又可能上其他系统如:OA 系统、ERP 系统、WEB 服务器、邮件服务器等。并且公司的部门、人员组成十分复杂,无法对这些用户进行细致的分组规定他们访问的资源的权限。还有 QQ、MSN、BT 等网络资源同样无法进行有效的控制,导致用户可以任意的使用网络资源使员工效率降低,并且加大了企业的风险。1.2.2 无法对内网用户的网络行为进行有效的监控提到网络安全问题,大多数用户都只关注外网安全。但是其实企业的信息资产更多的不是被黑客窃取,而是通过内部泄漏的。所以
6、虽然公司内部已经部署了防火墙等安全设备,但是无法对内网用户的网络行为进行有效的监控,包括邮件、BBS 上传、下载等。1.2.3 没有很好的统计方法,无法得知内网的使用状况管理员无法具体知道网络的使用情况只能听员工反映的情况,最多只能简单的记录一些 IP 访问情况,查寻与统计相当不方便。1.2.4 无法保证客户端的安全性由于员工的机器没有限制,所以无法保证在上网时的安全性,导致很容易从访问网站中感染病毒,木马,等不安全因素,从而影响整个内网用户的应用。1.3 网络现状分析某某有限公司目前网络的使用情况:某某有限公司内部办公网络办公用户大约在 100 人左右。在 P2P 流量控制方面没有下载带宽限
7、制,内网有很多病毒,经常出现攻击事件,内网用户上网权限没有有效限制等。鉴于以上情况,某某有限公司需部署一台上网行为管理设备实现以下需求: 中小企业员工互联网访问控制解决方案深圳市中深同德信息技术有限公司1、对内部用户不同的部门划分不同的组并给予不同的上网权限,如经理以上级别的领导,要求内网行为不受限制;财务部门仅开放国税、地税等税务相关网站,其它任何访问Internet 的活动均受限制。2、开设公共区域,使没有上网权限的用户,可以通过自己的用户名、密码在这些 PC上进行有限的互联网活动,同时记录每个公共区域用户在互联网上的行为。3、对终端用户 PC 机上的代理软件进行彻底封堵。4、对内网用户所
8、有的上网行为,包括 MSN、QQ 等聊天内容以及上传下载进行监控审计,通过集中报表的方式反应网络的使用情况。二、解决方案 2.1 精技网管 M5200 上网行为管理设备功能介绍 控制功能:细致的访问控制功能,有效管理用户上网精技网管 M5200 安全网关不仅可以对员工访问 WEB、FTP、MAIL 等常用服务的内容进行控制,更可以对 QQ、BT、MSN、SKYPE 等各种 P2P 软件的行为进行限制和控制。丰富的报表功能还可以分析出企业的 Internet 的详细使用情况,为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。基于 Web 的和 LDAP/Radius 集成的用户认证功能
9、,使得对上网用户的管理变得十分灵活方便。表 2.1:访问控制功能一览表功能模块 功能 性能指标设备状态 直观显示设备总体状态,包括设备状态、接口状态及网络流量网络配置 支持网关模式、网桥模式及旁路接入模式,适应各种网络环境网络服务 静态路由、DHCP/DNS 服务、ADSL 拨号、动态域名绑定等准入控制 基于时间对象、地址对象及地址段对象进行网络接入控制多线路网络服务多线路加入 支持带宽叠加及丰富的分流策略及分流策略组合层次清晰 基于企事业单位部门 员工的二级逻辑层次结构审计等级 所有用户支持等级配置,并可继承该等级的安全审计策略用户管理用户录入域环境下支持 AD 域用户同步导入支持标准格式的
10、批量用户导入丰富的用户认证模式:IP 认证、M 精技网管 M5200 认证、WEB 认证及硬件绑定认证等系统功能 安全认证 支持用户名密码认证,并可指定指定 IP 或 M 精技网管 M5200 才能登 中小企业员工互联网访问控制解决方案深圳市中深同德信息技术有限公司录权限定制 用户可以根据自己的需求指定权限分配及管理的范围安全注销 用户长时间没有界面动作,管理界面自动锁定 (二)报表功能:强大的数据报表中心,提供直观的上网数据统计精技网管 M5200 网关拥有强大的数据中心,管理者可分组、用户、规则、协议等多种查询对象,按饼图、柱状图、曲线图等方式进行查询,可直观地查看到网络流量、邮件、网络监
11、控、IPS 系统、准入规则、防火墙等详细信息,并可直接打印和导出报表。精技网管 M5200 网关强大的日志系统和丰富的报表功能,可详细分析出企业的 Internet 的详细使用情况,为网络管理员和决策者提供了最有效的数据支持。表 2.2:数据中心功能一览表功能模块 功能 性能指标上网行为日志网址访问日志、网页发送邮件日志、邮件工具发送邮件日志、邮件工具接收邮件日志、论坛发帖日志、搜索引擎搜索关键词日志、上网聊天日志、流量日志及上下线日志;所有日志支持各种查询条件及条件组合查询过滤;桌面行为日志资产管理、屏幕录像日志、桌面行为聊天(QQ/MSN/ICQ/SINA UC/阿里 TM/飞信)日志、工
12、作绩效日志、工作详细流水日志、IM 文件传输日志、移动存储介质文件操作日志;所有日志支持各种查询条件及条件组合查询过滤数据挖掘支持对网址访问、网页邮件、发送邮件、接收邮件、论坛发帖、上网聊天、流量统计、网络应用、桌面聊天及文件传输日志数据进行深度挖掘,形成统计分析图表数据报表支持企业整体数据形成报表支持指定部门数据形成报表支持指定员工数据形成报表支持报表打印为 PDF 格式存储数据同步支持日志数据增量模式同步到指定数据服务器同步模式支持递增模式同步,保证及时员工离职,其日志数据可查询支持日志数据在线查询分析数据中心数据管理支持基本配置数据备份及配置数据恢复支持指定员工条件、指定时间条件及指定日
13、志条件进行数据删除日志自动删除(可根据存储天数、磁盘剩余空间及记录最大条数) 中小企业员工互联网访问控制解决方案深圳市中深同德信息技术有限公司 (三)强大的上网行为管理及桌面行为管理管理功能精技网管 M5200 安全网关强大的上网行为管理和桌面行为管理功能可以使得企业合理利用 Internet 资源,为不同的用户分配不同的带宽和上网权限,使得 Internet 资源得到有效利用,并大大提高员工的工作效率。精技网管 M5200 安全网关可以详细记录和分析所有流量的内容,包括http、ftp、mail、telnet 等常用软件的内容和常用 IM 软件的内容。另外还能按用户、用户组、协议和时间对 I
14、nternet 流量进行统计分析,以优化员工对 Internet 的资源使用情况。使得企业有限的带宽能得到最充分的利用,提高企业的网络利用率。表 2.3:上网行为管理及桌面行为管理功能一览表功能模块 功能 性能指标实时状态基于用户名实名的在线状态基于用户实名的上下行网络流量排名基于网络应用的网络流量排名基于网络中各种应用使用实时监控上网行为上网审计应用层过滤(内置近 500 种网络应用协议)URL 过滤(内置海量 URL 库) ,支持 HTTPS 网址审计论坛发帖搜索内容过滤文件上传下载限制邮件过滤(包括收发邮件及附件大小过滤) 中小企业员工互联网访问控制解决方案深圳市中深同德信息技术有限公司
15、IM 审计:支持指定特定的 QQ 或 MSN 账号可用带宽管理支持基于时间对象、应用对象及终端对象的带宽控制策略支持越阀值带宽使用时带宽惩罚支持基于优先级的带宽控制策略支持具有实时效果的临时性带宽惩罚控制实时状态 基于用户实名信息的用户状态,包括上线时长、终端 PC 基本信息工作状态 终端 PC 工作状态、查询内存信息、硬盘信息、网卡信息及进程信息等资产信息 终端 PC 的所有软硬件资产信息行为审计本地硬件资源审计,支持对串口、并口、红外接口审计本地软件资源审计,支持进程、注册表、本地 IP 等软件资源审计防非法外联,支持包括 3G 接入、 PPPOE 拨号、VPN 拨号及无线审计基于驱动模式的移动存储介质审计、对 U 盘、移动硬盘、存储卡等审计桌面行为远程运维基于多用户平铺实时屏幕查询,并支持远程窗口及进程管理不影响终端用户操作情况下,支持批量远程命令执行基于高效压缩算法的远程控制,支持多种分辨率远程控制远程文件维护,直接操作终端 PC 文件支持针对多用户下发通知 (四)强大的文档加密系统,彻底保障企业机密数据安全据互联网安全解决方案供应商 Check Point 及波耐蒙研究所(Ponemon Institute)共同最新发布的一份题为了解 21 世纪 IT 环境的安全复杂性的全球调研报告,全球有 77%的受
