隨著Internet接入的普及和帶寬的增加。一方面員工上網條件得到改善，另一方面也給公司帶來更高的網絡使用危險性、復雜性和混亂性。內網用戶訪問互聯(lián)網多樣化資源信息方便易行，同時很有可能受到網絡上木馬、病毒等的攻擊，從而造成內網的癱瘓。另外在上班工作時間非法使用郵件、瀏覽非法Web網站、進行音樂和電影等BT下載、在線收看流媒體的員工正在日益增加。從事與工作無關的活動，不僅影響工作效率，而且占用了帶寬資源，很有可能使得企業(yè)的重要業(yè)務得不到保障，更有甚者，發(fā)表不良、反動言論，嚴重影響公司的企業(yè)形象。

    在企業(yè)內網建設一個高效性、安全性和規(guī)范性的上網行為管理系統(tǒng)，可以提高員工工作效率，有效降低非工作上網行為，保障網絡資源合理使用；減少安全風險，避免上網導致的病毒、惡意代碼給企業(yè)帶來的潛在風險；同時提高網絡可管理性，便于網絡與行政管理。

一、網絡現(xiàn)狀與問題

    目前，大型企業(yè)網絡現(xiàn)狀拓撲如圖1所示。企業(yè)內網核心交換機通過防火墻與IP城域網連接，以訪問互聯(lián)網�，F(xiàn)有網絡網關處通過部署防火墻解決網絡安全問題。但是隨著員工的增多，缺乏規(guī)劃的管理逐漸暴露出諸多問題：

圖1 網絡現(xiàn)狀拓撲圖

    (1)安全問題：在互聯(lián)網應用方面，HTTP、SMTP、FTP、POP3等協(xié)議，幾乎每天都面臨不同的安全風險，病毒、蠕蟲、垃圾郵件、木馬程序、網絡釣魚等惡意行為也在伺機攻擊企業(yè)的IT系統(tǒng)。

    (2)保密問題：客戶資料、商業(yè)信息、企業(yè)秘密等機密文件，可能輕易地通過E-mail、QQ、MSN、BBS等網絡行為向外發(fā)送，防火墻對此是無法恥的，這就導致重要焦斟泄，造成安全隱患。

    (3)管理問題：網絡游戲、聊天交友、BT下載、在線音樂、在線電影等不適當的網絡行為不但影響了員工的工作效率，而且還占用企業(yè)大量的網絡出口帶寬資源。給企業(yè)正常的網絡業(yè)務帶來極大的影響。

    企業(yè)上網的解決方案

    為對訪問互聯(lián)網敏感信息的內容進行檢查、過濾和控制，屏蔽來自互聯(lián)網的惡意代碼、非法網頁和有害信息，應在企業(yè)內網互聯(lián)網出口部署上網行為管理系統(tǒng)網關設備，并實現(xiàn)與終端管理平臺用戶目錄集成，構建完整的終端與用戶行為的管理體系。上網行為管理系統(tǒng)網關設備具備以下特征：

    (1)提供全面準確的通信內容管理、網絡行為管理手段；

    (2)滿足高性能要求，提供強大的分析和處理能力，保證正常網絡通信的質量；

    (3)具備高可靠的自身安全性，保證網絡、自身設備的高可用性；

    (4)提供方便靈活的部署方式，豐富的系統(tǒng)管理能力。

    上網行為管理系統(tǒng)的部署應以現(xiàn)有網絡改動最小為原則，簡化部署過程，減少鏈路或業(yè)務中斷時間。根據不同的部署方式有不同的建設方案：

    1．旁掛方式

    考慮到互聯(lián)網訪問的要求高可用性及實時性，系統(tǒng)性能不能降低原有網絡帶寬，延遲，抖動等性能指標，同時不改變用戶習慣，新增上網行為管理器物理旁接在現(xiàn)有網絡互聯(lián)網出口處。為保障系統(tǒng)高可用性，上網行為管理器采用雙機冗余部署方式，設備發(fā)生故障時，不影響訪問互聯(lián)網。旁掛方式網絡拓撲結構如圖2所示。

圖2 旁掛方式網絡拓撲圖

    上網行為管理器通過辦公用戶互聯(lián)網核心交換機現(xiàn)網多余的SPAN端I=／流量映射方式，使上網行為管理系統(tǒng)獲取辦公用戶的互聯(lián)網訪問流量并進行分析和策略過濾控制，或者采用路由方式進行流量分析和策略過來控制，都不會對現(xiàn)有網絡的處理速度產生影響。

    另外，新增1臺服務器，作為日志存儲服務器，提供存儲6個月以上的報告能力。該新增服務器在本系統(tǒng)中起外置存儲作用，故無需雙機備份。

    2.串接方式

    新增上網行為管理器物理串接在網關NAT設備和核心交換機之間，可以對上網行為管理系統(tǒng)的數據進行上網安全過濾、上網行為控制和審計。串接方式網絡拓撲結構如圖3所示。

    為保障系統(tǒng)高可用性，上網行為管理器采用雙機冗余網橋(透明)模式部署，且設備發(fā)生故障時自動切換為中繼設備，除上網行為管理功能失效外，不影響訪問互聯(lián)網。

圖3 串接方式網絡拓撲圖

    另外。新增1臺服務器，作為日志存儲服務器，，提供存儲6個月以上的報告能力。該新增服務器在本系統(tǒng)中起外置存儲作用，故無需雙機備份。

三、方案對比

    以上兩種方案中，旁掛方式的優(yōu)點在于無需對現(xiàn)網作調整、不會降低原有網絡性能指標、不改變用戶習慣。施工容易，缺點是需在三層交換機上作端口影像。串接方式的優(yōu)點是無需在三層交換機上作端口影像，效率較高，但會影響現(xiàn)網數據流量等性能指標、且涉及業(yè)務割接，施工難度大。

    綜合分析，由于旁掛方式無需對現(xiàn)有網絡進行調整且不會降低現(xiàn)網性能指標、施工比較簡單方便等優(yōu)勢，因此采用旁掛方式實施。

    系統(tǒng)實現(xiàn)功能

    上網行為管理系統(tǒng)包含了上網安全過濾、上網行為控制、報告和審計、集中管理和委派權限、報警機制等功能。

    (1)上網安全過濾：管理上網行為的一個重要原因就是提升上網安全性，系統(tǒng)可以提供多種安全強化能力，主動過濾含有惡意插件、危險腳本、木馬、病毒的惡意網站，即使內網終端感染木馬、病毒、被黑客控制，系統(tǒng)同樣可以識別、封堵并報警。

    系統(tǒng)提供惡意網站過濾、惡意網站庫快速更新、惡意代碼的實時掃描識別與控制、代理回避技術過濾、客戶端危險流量識別、定位與控制、多種控制動作、非80端口惡意流量偵測。

    (2)上網行為控制：系統(tǒng)能夠識別用戶訪問網頁、P2P下載、聊天、炒股等行為，并能結合對象化的上網策略對用戶的上網行為進行靈活的控制。系統(tǒng)可提供基于用戶、用戶組、IP、IP段以及時間、工作日等多種策略元素進行管理策略設置。例如：工作時間段不允許用戶瀏覽與工作無關網站，而在下班時問段或周末則不做控制；不同的用戶、用戶組實現(xiàn)不同的分時段控制策略等。

    系統(tǒng)可提供控制動作提供阻止、提示警告、僅監(jiān)控等多種管理方式，可實現(xiàn)基于訪問時間長度、流量份額、文件類型、關鍵詞過濾等多種方式對用戶的互聯(lián)網訪問進行管理。

    (3)報告和審計：系統(tǒng)具備報告記錄與統(tǒng)計分析功能，可使管理員方便直觀地看到當前網絡訪問的網絡流量、風險趨勢等總體情況，也能夠針對一個或多個用戶、用戶組、IP網段進行詳細統(tǒng)計，對這些統(tǒng)計對象的指定時間段、指定網站類型、指定應用類型的上網行為進行審計。

    (4)集中管理和委派權限：系統(tǒng)可對各分公司上網策略、日志審計進行集中的管理，也可以基于角色對各種管理權限進行委派，不同角色的權限可進行靈活的劃分，同時提供對各類管理員操作記錄的審計功能。

    (5)報警機制：系統(tǒng)可實時監(jiān)控用戶訪問情況與系統(tǒng)狀況，出現(xiàn)異常情況時可自動告警。系統(tǒng)提供多種報警機制、自定義異常報警機制。系統(tǒng)可實現(xiàn)與網管系統(tǒng)結合功能提供標準管理接口，支持SNMP協(xié)議，支持網管系統(tǒng)的配置、故障、性能、安全等各方面所需的管理能力。

四、實施效果

    企業(yè)上網行為系統(tǒng)部署后，不同的部門設置不同的互聯(lián)網訪問策略，對可訪問的互聯(lián)網內容做了嚴格的限制，不同崗位的員工擁有相應的互聯(lián)網訪問權限，對每一項互聯(lián)網業(yè)務按需分配了網絡帶寬，保證了主要業(yè)務的暢通無阻，對所有部門的上網行為進行了實時監(jiān)控管理，保留詳細用戶訪問記錄備查。通過一段時間的使用發(fā)現(xiàn)，公司內網越來越穩(wěn)定，網絡速度明顯改善。阻止了不良網站的訪問，減少惡意軟件的侵擾，終端故障率降低。由于控制了網絡游戲的使用，員工工作效率有較大提高。同時，系統(tǒng)加強了對E—mail、BBS等外發(fā)信息的監(jiān)管，減少了企業(yè)機密信息外泄的可能。通過對上網行為的分析，可以掌控各部門的上網使用情況，提高網絡可管理性，便于網絡與行政管理。

五、結束語

    企業(yè)上網行為管理系統(tǒng)的建設為企業(yè)提供了一個高效、安全和規(guī)范的互聯(lián)網環(huán)境。系統(tǒng)建成并實施后，為企業(yè)提供完整的解決方案來實現(xiàn)統(tǒng)一的用戶管理。員工更高的工作效率來提高企業(yè)的整體創(chuàng)新和管理能力，促使企業(yè)向知識型、學習型企業(yè)發(fā)展，實現(xiàn)企業(yè)的管理規(guī)范化，有效地支持企業(yè)的戰(zhàn)略發(fā)展。    

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.oesoe.com/

本文標題：企業(yè)上網行為管理系統(tǒng)的應用

本文網址：http://www.oesoe.com/html/support/1112154213.html