《上网行为管理及日志审计方案完整篇》由会员分享,可在线阅读,更多相关《上网行为管理及日志审计方案完整篇(9页珍藏版)》请在金锄头文库上搜索。
1、上网行为管理及日志审计方案1非经营性场所网络行为管理建议方案红河州方程数码科技有限公司联系人:张祥2014年4月目录2. 需求分析(4)2.1现有网络结构(4)2.2非经营性场所上网管理需求3. 系统架构(6)4. 系统功能(7)4.1PAG 功能(7)5. 技术特色(13)5.1独创技术(13)5.2系统特色(14)6.总结(16)1.刖言在过去的十多年里,互联网从最初的单纯地为国防、科研、 教育所用的计算机网络演变成现在的为众多的医院、企业、政府、 组织、学校和个人所离不开的全球网络。人们在网络上的应用从 最初的发送文本电子邮件,浏览静态的信息网页,发展到现在的 多媒体、即时通信、视频音频
2、通讯,了解世界的动态,销售、采 购各种商品等。互联网的持续发展缩短了人与人之间的距离,改 变了人们的交流方式和工作习惯。互联网的影响力及给社会带来 的好处不言而喻,但其带来的负面影响也是有目共睹。正因为互 联网的方便性和隐蔽性,也给一些不法之徒提供了很多可乘之 机,如:通过网络从事色情、诈骗、赌博,传播不良信息等事件 时有所闻。网络如果不进行有效的监管,其后果可想而知。如何应对互联网带来的负面作用?难道是拒绝使用?这恐 怕是不可能的,网络已经成为绝大部分公司企业和政府部门的不 可缺少的工作手段,害怕互联网的负面影响而隔离于互联世界之 外无异于“闭关自守”那么,在使用互联网的前提下,怎样使 网络
3、资源更好地发挥作用就摆在了所有网络管理者的面前了。如何保证人们的上网行为是合理的、有效的?如何有效实施主管部门的互联网管理政策?如何避免不法之徒通过互联网传播不良信息?如何保证一个健康、有序的网络环境?如何准确、及时发现异常的网络行为?应该说互联网的广泛应用和迅速发展给我们带来了挑战,管 理得好可以维护社会稳定,提高企事业单位的工作和生产效率, 反之则可能激化社会矛盾,影响正常工作次序。公安部据此颁布 第82号令互联网安全保护技术措施规定要求所有互联网联 网单位或服务提供者需要部署保障互联网网络安全和信息安全、 防范违法犯罪的技术设施和技术方法,从而保障互联网网络安全 和信息安全,促进互联网健
4、康、有序发展,维护国家安全、社会 秩序和公共利益等。作为国内“网络行为管理”产品最早的研发单位之一,上海 云南盈资信息技术有限公司一直致力于各种上网行为管理、监控 技术的研究。推出的“PAG”系列产品就是为了满足管理部门对 各种网络行为的管理和监控的需要,完全符合公安部82号令对 管理的要求。目前“PAG”已广泛地在政府机关、医疗单位、企事业单位、酒店宾馆、学校等投入使用,该产品以灵活而又 贴近用户的设计理念深受企事业单位的喜爱。本方案主要针对非经营性场所上网行为方面的需求介绍云 南盈资推出的“PAG”解决方案。2. 需求分析2.1现有网络结构目前网络拓扑结构一般如下图所示:INTERNET防
5、火墙核心交换用户2.2上网管理需求通过多年云南盈资非经营性场所互联网管理的实施经验,我 们觉得非经营性场所对于上网行为管理需求主要集中在以下几 个方面:上网行为管理及日志审计方案1第2页1、实时监控可以实现实时监控当前网络的使用情况,即时查看用户访问 互联网各类应用的信息,包括访问的时间、访问的协议、IP地址、 访问的内容、数据的流量和所占带宽等。2、访问控制提供完整的访问控制管理策略,可灵活地按用户角色或者按 员工、部门以及整个航天航空单位对上网行为进行控制,可以根 据时间段、服务、网址、流量等手段进行控制。3、内容监控:(注具有相关隐私)可对上网内容进行监控,包括邮件内容、WebMail、
6、即时通信内容(QQ、MSN、ICQ、雅虎通等)、BBS发贴、FTP和Telnet 会话内容等。系统自动按选择条件对监控的内容进行记录分类,,4、上网统计分析提供数十种统计报表对上网流量、时间等进行统计,可生成 各类排行榜,并可以图表的方式从各个角度对员工上网情况进行 分析。灵活的条件输入和结果选择,几乎涵盖管理者的各种要求。 统计结果可导出到Excel表格,方便进行二次处理。5、带宽管理可以按部门、个人以及服务类型等来制定策略对带宽进行管 理。可将带宽划分成若干个虚拟通道,设定每个通道的带宽,上、 下载速度的限制,优先级和管理策略,可以灵活控制每个人的上 网带宽。6、身份认证可以实现单位内所有
7、上网人员的准入认证,没有认证授权的 人员一律不能上网。避免当前的随意接入局域网上网现象。总之,非经营性场所需要一套能安装简单、满足需求、方便 使用的上网行为管理系统,云南盈资所推荐的“PAG”解决方案能满足非经 营性场所的上述管理需求。3. 系统架构根据非经营性场所的需求和以往系统实施的经验,我们设计 了一套适应当前需要和兼顾对未来业务扩展进行有效支持的系 统架构。结构如下图所示:INTERNET路由器网络督察核心交换用户PAG作为上网行为管理设备部署网络出口干路,以透明网桥 连接的方式串接在核心交换与防火墙之间,进行网络行为管理、 安全审计、信息过滤和带宽管理。具体连接方式是:将PAG的 二
8、个网口配置成网桥模式,ETHO外网口连接到防火墙,ETH1 连接到核心交换机。这种网桥的部署方式可以对访问Internet的 用户进行有效的管理,并且安装简单,对原有网络拓扑结构不需 要做大的改动,对网络传输性能也基本没有影响。4. 系统功能PAG是一个功能强大的网络行为管理系统,其所有功能都是 面向管理人员而设计的,其目的是为了解决内部局域网人员的上 网管理。4.1 PAG功能用户管理系统支持以IP地址、MAC地址、验证帐号等为参照的用户 管理模式,并可对用户分组多层管理。对不同人员可以设置免监 控、不监控邮件内容等不同的监控级别。实时监控可以通过浏览器实时查看用户当前的上网情况,包括其访问
9、 的IP地址、网址、服务类型、流量等等,了解网络目前应用状 况,及时进行控制和调整,保障网络正常运行。日志记录详细记录用户的上网的各类日志,包括HTTP、SMTP、POP3、 Telnet、FTP、QQ、MSN、游戏等数十种日志,同时记录了访问 时间、IP地址、MAC地址、流量等重要信息,日志可以按照要求保留90天以上并可组 合查询。访问控制提供完整的访问控制管理策略,可灵活地按用户角色或者分 组对用户上网行为进行控制,可以根据时间段、服务、网址、流量等手段进 行控制,可以封堵常用的聊天软件、抄股软件等服务。并提供百万级的有害信息 过滤网址库防堵不良网站。异常管理根据用户上网状态,如IP连接数、数据包特征、流量等情 况,及时发现用户上网电脑是否异常,自动告警或采取相应的控 制措施,保障网络通畅。带宽管理(附加模块)可以按组和服务类型等来制定策略对带宽进行管理。可将带 宽划分成若干个虚拟通道,设定每个通道的带宽,上、下载速度 的限制,优先级和管理策略,保证等关键应用或重要人员的上网 带宽。
