公司员工上网行为解决方案

《公司员工上网行为解决方案》由会员分享，可在线阅读，更多相关《公司员工上网行为解决方案（19页珍藏版）》请在金锄头文库上搜索。

1、上网行为为管理及及网络安安全解决决方案*公司FOR *公司 一、需求求概述1.1 背景景需求分分析随着Innterrnett的接入入的普及及和带宽宽的增加加，一方方面员工工上网的的条件得得到改善善，另一一方面也也给企业业带来更更高的网网络使用用危险性性、复杂杂性和混混乱。在在IDCC对全世世界企业业网络使使用情况况的调查查中发现现，在上上班工作作时间里里非法使使用邮件件、浏览览非法WWeb网网站、进行音音乐/电电影等BBT下载载或者在在线收看看流媒体体的员工工正在日日益增加加，令网网络管理理者头疼疼不已。据IDDC的数数据统计计，企业业中员工工30%至400%的上上网活动动与工作作无关；而来自

2、自色情网网站访问问统计的的分析表表明：770%的的色情网网站访问问量发生生在工作作时间。尤其值值得注意意的是，中中国员工工比其它它地区的的员工每每周多花花7.66小时的的时间来来使用IIM、玩玩游戏、P2PP软件或或流动媒媒体。互互联网滥滥用，给给中国企企业带来来了巨大大的损失失。这些员工工随意使使用网络络将导致致三个问问题：(1)工工作效率率低下、(2)网络性性能恶化化、(33)网络络泄密和和违法行行为。企业网作作为一个个开放的的网络系系统，运运行状况况愈来愈愈复杂。企业的的IT管管理者如如何及时时了解网网络运行行基本状状况，并并对网络络整体状状况作出出基本的的分析，发发现可能能存在的的问题

3、（如如病毒、木马造造成的网网络异常常），并并进行快快速的故故障定位位，这一一切都是是对企业业网信息息安全管管理的挑挑战，这这些问题题包括：IT管理理员如何何对企业业网络效效能行为为进行统统计、分分析和评评估？IT管理理员如何何限制一一些非工工作上网网行为和和非正常常上网行行为（如如色情网网站），如如何监控控、控制制和引导导员工正正确使用用网络？IT管理理员如何何杜绝员员工通过过电子邮邮件、MMSN等等途径泄泄漏企业业内部机机密资料料？IT管理理员如何何在万一一发生问问题时有有一个证证据或依依据？因此，如如何有效效地解决决这些问问题，以以便提高高员工的的工作效效率，降降低企业业的安全全风险，减减

4、少企业业的损失失，已经经成为中中国企业业迫在眉眉睫的紧紧要任务务。当前前内网安安全管理理也随之之提升到到一个新新的高度度，在防防御从外外到内诸诸如病毒毒、黑客客入侵、垃圾邮邮件的同同时，从从内到外外诸如审审计、监监控、访访问控制制、访问问跟踪、流量限限制等问问题也日日益凸现现。越来来越多的的企事业业单位需需要对内内网进行行统一管管理以调调整网络络资源的的合理利利用。1.2 具体体需求分分析某某有限限公司访访问控制制详细需需求分析析：随着业务务的发展展，信息息化建设设步伐的的加快，某某公司网网络安全全问题也也日益严严峻。虽虽然在网网络出口口处已部部署了专专门的防防火墙设设备，但但无孔不不入的病病

5、毒（尤尤其是木木马病毒毒）、垃垃圾邮件件仍然大大肆泛滥滥，严重重影响了了企业应应用系统统的运行行和公司司业务的的正常运运作；另另外，在在针对内内网的安安全方面面（尤其其是PCC客户端端准入安安全检查查），由由于缺少少专门的的客户端端安全检检查设备备，无法法有效的的保护整整个局域域网的安安全性。最为重要要的是企企业对员员工的网网络使用用方面没没有很好好的限制制方法，导导致员工工的工作作效率低低下，而而且BTT下载严严重影响响了企业业内部关关键应用用的使用用。 通过对某某公司需需求的了了解，在在内网行行为方面面在以下下几个方方面需要要解决。所面临的的问题：1.2.1 无法法做到细细致的访访问控制制

6、首先公司司内部办办公网络络有着自自己的网网络服资资源，将将来又可可能上其其他系统统如：OOA系统统、ERRP系统统、WEEB服务务器、邮邮件服务务器等。并且公公司的部部门、人人员组成成十分复复杂，无无法对这这些用户户进行细细致的分分组规定定他们访访问的资资源的权权限。还还有QQQ、MSSN、BBT等网网络资源源同样无无法进行行有效的的控制，导导致用户户可以任任意的使使用网络络资源使使员工效效率降低低，并且且加大了了企业的的风险。1.2.2 无法法对内网网用户的的网络行行为进行行有效的的监控提到网络络安全问问题，大大多数用用户都只只关注外外网安全全。但是是其实企企业的信信息资产产更多的的不是被被

7、黑客窃窃取，而而是通过过内部泄泄漏的。所以虽虽然公司司内部已已经部署署了防火火墙等安安全设备备，但是是无法对对内网用用户的网网络行为为进行有有效的监监控，包包括邮件件、BBBS上传传、下载载等。1.2.3 没有有很好的的统计方方法，无无法得知知内网的的使用状状况管理员无无法具体体知道网网络的使使用情况况只能听听员工反反映的情情况，最最多只能能简单的的记录一一些IPP访问情情况，查查寻与统统计相当当不方便便。1.2.4 无法法保证客客户端的的安全性性由于员工工的机器器没有限限制，所所以无法法保证在在上网时时的安全全性，导导致很容容易从访访问网站站中感染染病毒，木木马，等等不安全全因素，从从而影响

8、响整个内内网用户户的应用用。1.3 网络络现状分分析某某有限限公司目目前在IInteerneet出口口处部署署了防火火墙设备备，内部部网络通通过核心心三层交交换机，22层交换换连接到到各部门门办公区区域，由由于为将将来可能能会上OOA系统统、ERRP系统统、WEEB服务务器、邮邮件服务务器等，具具体的部部署结构构图如下下：目前网络络的使用用情况：某某有限限公司内内部办公公网络办办公用户户大约在在1000人左右右。在PP2P流流量控制制方面没没有下载载带宽限限制，内内网有很很多病毒毒，经常常出现攻攻击事件件，内网网用户上上网权限限没有有有效限制制等。鉴于以上上情况，某某有限公司需部署一台上网行为

9、管理设备实现以下需求：1、对内内部用户户不同的的部门划划分不同同的组并并给予不不同的上上网权限限，如经经理以上上级别的的领导，要要求内网网行为不不受限制制；财务务部门仅仅开放国国税、地地税等税税务相关关网站，其其它任何何访问IInteerneet的活活动均受受限制。2、开设设公共区区域，使使没有上上网权限限的用户户，可以以通过自自己的用用户名、密码在在这些PPC上进进行有限限的互联联网活动动，同时时记录每每个公共共区域用用户在互互联网上上的行为为。3、对终终端用户户PC机机上的代代理软件件进行彻彻底封堵堵。4、对内内网用户户所有的的上网行行为，包包括MSSN、QQQ等聊聊天内容容以及上上传下载

10、载进行监监控审计计，通过过集中报报表的方方式反应应网络的的使用情情况。二、解决决方案2.1 ACC上网行行为管理理设备功功能介绍绍 控制功能能：细致致的访问问控制功功能，有有效管理理用户上上网SINFFOR AC安安全网关关不仅可可以对员员工访问问WEBB、FTTP、MMAILL等常用用服务的的内容进进行控制制，更可可以对QQQ、BBT、MMSN、SKYYPE等等各种PP2P软软件的行行为进行行限制和和控制。丰富的的报表功功能还可可以分析析出企业业的Innterrnett的详细细使用情情况，为为网络管管理员和和决策者者分配和和了解员员工网络络资源提提供有效效数据支支持。基基于Weeb的和和LD

11、AAP/RRadiius集集成的用用户认证证功能，使使得对上上网用户户的管理理变得十十分灵活活方便。表2.11：访问问控制功功能一览览表功能模块块功能性能指标标身份认证证IPMMAC绑绑定结合准入入规则功功能，可可实现跨跨三层交交换机的的IP-MACC绑定功功能WEB认认证WEB认认证的用用户名和和密码可可以使用用本地用用户密码码也可以以和LDDAP服服务器、Miccrossoftt 的AAD服务务器、RRadiius服服务器，PPOP33服务器器联动 单点登录录支持基于于Miccrossoftt ADD域的单单点登陆陆，用户户登陆域域以后，不不需要再再次在WWEB认认证页面面输入密密码客户端

12、安安全检查查网络准入入规则对上网的的终端进进行安全全检查，可可检查是是否安装装了防病病毒软件件、个人人防火墙墙软件或或病毒库库是否升升级、操操作系统统是否安安装安全全补丁以以及是否否运行了了某个不不该运行行的软件件上网权限限控制策略管理理分组、分分时段，有有选择性性的封堵堵各种上上网行为为代理检测测能识别采采用Htttp、Htttps、Soccks等等代理服服务器绕绕过防火火墙检查查的行为为，防止止访问非非法网站站P2P控控制允许管理理员有选选择性的的封堵各各种P22P和IIM软件件上网时长长限制在用户达达到管理理员设定定的最长长上网时时间后拒拒绝该用用户对互互联网的的继续访访问URL控控制数

13、十种多多达3000万条条URLL库，控控制对危危险、反反动、色色情等各各类站点点的访问问内容过滤滤关键字过过滤基于网址址/搜索索引擎以以及HTTTP上上传的关关键字过过滤功能能。如通通过WEEB发邮邮件、通通过BBBS发表表言论文件类型型过滤对HTTTP/ FTPP上传下下载的文文件做文文件类型型过滤邮件过滤滤可对发送送的邮件件做关键键字、邮邮箱地址址的过滤滤。保证证内部机机密信息息不外泄泄漏SSL证证书过滤滤及控制制通过对网网站的数数字证书书和数字字签名进进行审核核和对照照，利用用SSLL证书库库内置的的可信任任证书颁颁布机构构列表，对对SSLL连接的的证书内内容进行行可信度度评估，当当危险

14、站站点采用用了伪造造的数字字证书来来骗取内内网用户户信任时时，ACC可以判判断出其其本来面面目并进进行阻断断，避免免组织成成员蒙受受经济损损失。 （二）报报表功能能：强大大的数据据报表中中心，提提供直观观的上网网数据统统计SINFFOR AC网网关拥有有强大的的数据中中心，管管理者可可分组、用户、规则、协议等等多种查查询对象象，按饼饼图、柱柱状图、曲线图图等方式式进行查查询，可可直观地地查看到到网络流流量、邮邮件、网网络监控控、IPPS系统统、准入入规则、防火墙墙等详细细信息，并并可直接接打印和和导出报报表。SSINFFOR AC网网关强大大的日志志系统和和丰富的的报表功功能，可可详细分分析出

15、企企业的IInteerneet的详详细使用用情况，为为网络管管理员和和决策者者提供了了最有效效的数据据支持。表2.22：数据据中心功功能一览览表功能详细指标标流量统计计日志包含内网网流量统统计概要要、组流流量排行行、流量量日志、流量趋趋势等，用用饼状、柱型等等直观地地表示网网络内部部的流量量排名邮件日志志包含邮件件统计概概要、邮邮件排行行、邮件件查询、邮件趋趋势等功功能，可可详细统统计用户户所有收收发邮件件的具体体情况网络监控控日志包括监控控统计摘摘要、监监控排行行、监控控查询、监控趋趋势等功功能。管管理员可可详细监监控内网网用户使使用互联联网资源源的具体体使用情情况准入规则则日志包括准入入规则摘摘要、准准入排行行、准入入查询等等功能，管管理员可可对内部部网络的的违规机机器进行行详细统统计和查查看IPS日日志包含IPPS日志志摘要、IPSS排行、IPSS查询、IPSS趋势等等功能，可可显示详详细的网网络安全全情况防火墙日日志包含防火火墙摘要要、防火火墙排行行、