1、XX公司上网行为管理解决方案文档编号文档版本V1.0撰写文档状态发布发起时间发布时间一、应用背景随着信息技术、特别是网络技术的普及,互联网已经渗透到工作和生活的各方面。公司员工使用QQ聊天、网上购物、在线欣赏音乐和电影,通过BT等P2P 工具下载互联网资源、收发个人邮件、在论坛上舞文弄墨只要员工有兴趣,他们就能在上班时间尽情享受互联网带来的乐趣。互联网一方面能够帮助企业提高生产力、促进企业发展;另一方面也在企业管理、工作效率、信息安全、法律遵从、IT投资等方面给企业提出了严峻的问题与挑战。针对用户互联网访问行为的管控,为贵公司带来了全面而灵活的上网行为管理解决方案。帮助企业有选择的禁止、监控B
2、T,炒股,聊天,MSN,管理QQ,监控邮件,带宽流量等,减少病毒,对员工上网进行正确引导。二、网络架构概述XX公司现有网络拓扑结构WAN:一条6M ADSL,两条4M ADSL路由器:一台飞鱼星VE900交换机:一台D-LINK DES1024A,一台TP-LINK TL-SF1024D,全部不带网管功能 8K报表计算机:现用44台三、XX公司在上网行为及计算机管理需求就员工的非工作上网行为而言,可为分为四大类行为:一类是获取与工作无关的资讯活动,如浏览新闻、看小说、看图片等;二类是从网络上下载与工作内容无关的数据流,如下载音乐、电影等,以及利用可移动存储设备带走公司相关资料;三类是从事获取个
3、人收益的活动,如网上购物、炒股、兼职、发布广告等活动;四类是进行虚拟世界的沟通活动,如上网聊天、BBS论坛、撰写博客、收发私人邮件等。;另外据反映,有员工突破网络限制,进行非工作上网行为。这些举动无疑影响了公司正常运营,降低了员工工作效率,还会造成带宽紧张,影响到整个企业的运营,也可能随之给企业带来的严重信息安全隐患。对于现代企业而言,网络无疑是一把棘手的双刃剑,如何改变员工滥用网络的难题,如何对员工上网行为进行有效的管理和控制,使员工上网行为朝着有利于企业大方向发展?四、上网行为管理的解决方案对于员工在公司的非工作上网行为,提供以下两个阶段的解决方案:第一阶段:宽松自觉管理模式 经实地调研网
4、络架构和所有设备后总结,在不改变现有所有设备的状态下,先根据公司的要求在现有的路由器上(飞鱼星路由器:VE900SERIES),进行网页访问过滤、网络应用控制、带宽流量管理和过滤聊天软件,限制非法下载等工具。经查询,该路由器已经具有上述功能,但需要进行更进一步的调整,添加策略以及加强安全控制。然后在正在使用并指定的员工机上进行进一步的网络限制及绑定,于此同时,利用安装软件或调整每台计算机的策略与权限,进一步限制员工的上网行为以及利用可移动存储设备带走公司相关资料等非工作行为。此阶段实施后,已可以基本杜绝员工的非工作上网行为,如需再进一步监控员工的上网行为,可实施第二阶段的工作。第二阶段:实时监
5、控行为模式可在现有的路由器(飞鱼星路由器:VE900SERIES)之后,交换机(D-LINK DES1024A和 TP-LINKTL-SF1024D)之前,加装上网行为管理设备。其最主要的几个关键的系统功能:1、实时监测上网行为提供实时的上网行为监测,可根据用户上网情况,不停刷新上网监控屏幕。企业网络内的所有上网情况,都会及时显现在监控屏幕中。管理人员也可以随时查看本网络某时段哪些组或哪些用户在上网,及每个用户历史上网记录。由此,管理人员可以实时了解企业内员工的上网情况,公司员工主要访问的站点,以及常有的网络活动行为,如是否经常有下载游戏、在线看网络电视等耗用网络资源、影响OA、ERP、CRM
6、、视频会议等关键应用的上网行为发生。实时查看网络流量2、控制管理上网行为可以帮助用户选择性地控制IP终端上网情况。对于一些不允许上网的机器,管理人员可以直接远程操作,禁止其连接Internet网。也可以提供用户上网策略,如上网时段、上网IP、上网地址等。同时,可禁止和屏蔽网上地址,譬如互联网上游戏IP地址、不良信息的IP地址等。3、过滤游戏和流媒体可以实时控制和限制游戏和流媒体程序,帮助用户减少带宽占用,并解决工作时间因游戏、电影等网络娱乐而导致的“工作效率低下”问题。过滤游戏、电影等网络娱乐活动,其真正目的是为了保障企业关键核心业务的正常运转,而不是单一为了限制员工上班时间“开小差”。众所周
7、知,越来越多的企业业务已经离不开整个网络的支持,视频会议、网上定单、在线交流、网上交易系统等等,无一不需网络高效、稳定运行做保障。而员工无意间的“开小差”行为,已经严重挤占了企业关键业务正常运转的空间,也导致网络管理人员会因“网络速度过慢、系统太差、网络出现运行故障”等问题坐立不安、四处查探问题原因。4、IP-MAC地址绑定通过对IP-MAC地址进行绑定,网络管理人员就可以对网络内的机器按照级别、职务、部门等类别进行权限划分和功能设定,从而确保每个IP在充分使用网络资源的同时,尽量保持网络资源的均衡分配和合理使用。同时防止局域网内IP源地址欺骗,欺骗可允许防火墙后面未经授权的用户获取受保护的信
8、息,也可以使计算资源参与对网络外的受害者进行毁灭性的拒绝服务攻击5、IP流量分析IP流量分析功能可以实时的查看每个IP通过的流量。该流量分析可以提供流量统计、服务器流量统计和记录查询。对于系统的流量统计,SiteView EIM按照日期分别提供流入/流出统计图、内部/外部统计图、本地主机连接数统计(大量流进问题主机分析)以上两阶段的方案实施后,将彻底控制员工的上网行为,同时也能实时地监控到员工的日常使用网络情况以及现有环境的网络运行状况。公司的网络在无人值守的情况下,依然顺畅,只需定时查看文件日志,即可达到管理目的。附件1:上网行为管理设备和本地数据服务器需求上网行为管理设备:推荐:深信服AC
9、系列上网行为管理产品深信服 M5000-AC适用范围内网用户数在100人以下的小型网络适用软件环境Windows操作系统适用硬件环境标准1U机架式结构,重量:3.5Kg,尺寸(cm):42.722.94.45;标准接口:100BASE-T (RJ-45)*4,串口:RS232*1本地数据服务器推荐:IBM System x3620 M3(7376I03)基本参数产品类别机架式产品结构2U处理器CPU类型Intel 至强5600CPU型号Xeon E5606CPU频率2.13GHz标配CPU数量1颗最大CPU数量2颗制程工艺32nm三级缓存8MB总线规格QPI 4.8GT/sCPU核心四核CPU
10、线程数四核主板主板芯片组Intel 5500扩展槽2PCI-E x8(二代插槽)1PCI-E x4(二代插槽)内存内存类型DDR3内存容量4GB内存描述14GB 1.35V DDR3 RDIMM内存内存插槽数量12最大内存容量96GB存储标配硬盘容量标配不提供内部硬盘架数最大支持8块3.5英寸热插拔硬盘热插拔盘位支持热插拔RAID模式RAID 0,1网络网络控制器集成双端口千兆网卡管理及其他系统管理集成IMM,选的Virtual Media Key用于远程呈现支持系统支持Windows Server 2008 R2,2008,2003 R2,2003 SBS R2Red Hat Enterpr
11、ise LinuxSUSE Linux Enterprise ServerVMware ESXi 4.0 嵌入式虚拟机管理程序电源性能电源类型热插拔电源电源功率纠错460W附件2:项目实施执行报价序号名称单位数量单价金额(元)1路由器综合实施台13003002企业计算机策略及权限实施台44502200合计2500可选购产品序号名称单位数量单价金额(元)1IBM System x3620 M3服务器台114800148002深信服 M5000-AC台1需订购3McAfee 企业版杀毒软件套15005004服务器安装台/次13003005上网行为管理设备实施台/次1500500备注:1.路由器综合实施仅限于现有设备设置,如发生设备更换,则另行收费2.企业计算机策略及权限实施仅限于一台计算机一次服务,如同一计算机发生系统软件或硬件变更,则另行收费3.企业计算机策略及权限实施只对客户计算机现有系统内进行策略及权限修改,不涉及客户计算机其他数据的任何操作,实施时需IT人员监督3.所有款项完工后三日内验收合格后付清4.实施质量保修一年