上網(wǎng)行為管理選型白皮書

    1、概述

　　上網(wǎng)行為管理產(chǎn)品基于用戶、時間、應(yīng)用、帶寬等元素對員工的上網(wǎng)行為進行全面而靈活的策略設(shè)置，把網(wǎng)絡(luò)風險管理從“被動式響應(yīng)管理”提升為“主動式預(yù)警管理”，從“防范管理”提升為“控制管理”，把網(wǎng)絡(luò)的“通信安全”提升為“應(yīng)用安全”。為了實現(xiàn)真正安全的網(wǎng)絡(luò)環(huán)境，企業(yè)需要“內(nèi)外兼修”，除了阻擋外部攻擊外，還應(yīng)該轉(zhuǎn)換視角，大力加強對內(nèi)的管理，對員工的上網(wǎng)行為進行規(guī)范管理。

　　隨著互聯(lián)網(wǎng)應(yīng)用的深入，企業(yè)對于互聯(lián)網(wǎng)的依賴正變得越來越強烈，成為企業(yè)高效運營、提高競爭力的基礎(chǔ)平臺。互聯(lián)網(wǎng)的開放性、交互性、延伸性為人們快速獲取知識、即時溝通以及跨地域交流在給企業(yè)提供極大的便利的同時，也給企業(yè)的日常經(jīng)營帶來了諸多挑戰(zhàn)。

• 員工長時間沉溺于娛樂新聞而不能盡快投入工作；
• 員工上班期間沉迷于聊天；
• 企業(yè)戰(zhàn)略計劃通過互聯(lián)網(wǎng)泄密給競爭對手；
•  內(nèi)網(wǎng)病毒依然泛濫，愈殺愈多；
• 網(wǎng)絡(luò)帶寬被非業(yè)務(wù)下載占滿，核心業(yè)務(wù)受到影響；
• 有過激的言論從企業(yè)網(wǎng)絡(luò)發(fā)出；
• 內(nèi)網(wǎng)用戶在工作PC上安裝非法軟件；

 　 ……

　　傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，如防火墻、入侵檢測系統(tǒng)、防病毒軟件、反垃圾郵件系統(tǒng)等，構(gòu)成企業(yè)網(wǎng)絡(luò)的邊界防護屏障，能夠有效地防護來自互聯(lián)網(wǎng)的攻擊，然而它們對于內(nèi)部員工上網(wǎng)行為不當引起的安全與管理隱患卻無能為力，表現(xiàn)在：

　　1.1 安全事件頻發(fā)

　　四通八達的網(wǎng)絡(luò)，方便的不僅僅是正常業(yè)務(wù)的傳輸，惡意代碼、病毒、蠕蟲、間諜軟件等等，也會搭乘“善良”的網(wǎng)頁、Email、聊天工具、下載工具便車，悄悄侵入到網(wǎng)絡(luò)的各個角落。防火墻無法有效過濾應(yīng)用層的內(nèi)容，不能阻擋這些網(wǎng)頁的下載，而防病毒工具由于滯后效應(yīng)，對于新的病毒以及惡意軟件常常無能為力。由于員工不安全的互聯(lián)網(wǎng)訪問而造成的病毒傳播與黑客入侵，已成為網(wǎng)絡(luò)安全的最大黑洞。

　　1.2 工作效率低下

　　為了在日益激烈的競爭中獲得優(yōu)勢，企業(yè)必須不斷開發(fā)新產(chǎn)品，改善服務(wù)質(zhì)量，提高工作效率，降低運營成本，但未加管理的互聯(lián)網(wǎng)應(yīng)用可能會大大降低員工的工作效率。據(jù)一項調(diào)查顯示，普通企業(yè)員工每天的互聯(lián)網(wǎng)訪問活動中40%與工作無關(guān)，在線聊天、瀏覽新聞娛樂、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)游戲、炒股、博客等無時無刻不在占用正常的工作時間。在高度網(wǎng)絡(luò)化的現(xiàn)代辦公環(huán)境里，辦公室可能成為“舒適的網(wǎng)吧”，人力資源在無形中浪費巨大。

　　1.3 敏感信息泄露

　　電子郵件、MSN/QQ以及BBS論壇等網(wǎng)絡(luò)應(yīng)用，已經(jīng)成為提高工作效率的工具，但如果不加監(jiān)管，也可能成為泄密的工具。對于政府機關(guān)、上市公司以及知識敏感型企業(yè)，關(guān)鍵設(shè)計文檔、軟件源代碼、市場銷售計劃等核心機密文檔，可以通過電子郵件與在線聊天工具“輕易而快速”地傳遞到外部，給組織造成重大損失。

　　1.4 帶寬資源浪費

　　據(jù)一項統(tǒng)計，在互聯(lián)網(wǎng)活動未加管理的企業(yè)中，寶貴的帶寬資源超過70％被文件、視頻下載等占用，盡管帶寬一擴再擴，卻總是很快又擁擠不堪。這不僅造成帶寬資源大量浪費，還使得企業(yè)正常業(yè)務(wù)得不到應(yīng)有的帶寬保證。由于缺乏有效的識別與控制手段，網(wǎng)絡(luò)管理員往往不能及時地定位并管理下載源。

　　1.5 導(dǎo)致法律風險

　　互聯(lián)網(wǎng)充斥著各種良莠不齊的信息，企業(yè)員工在獲取有用信息的同時，也易被不良內(nèi)容侵蝕。為了加強對互聯(lián)網(wǎng)的控制和管理，國務(wù)院、人大常委會、公安部、信息產(chǎn)業(yè)部皆相繼出臺法律法規(guī)明文規(guī)定，接入互聯(lián)網(wǎng)的單位和企業(yè)要采用相應(yīng)的技術(shù)手段對互聯(lián)網(wǎng)的使用進行控制和管理。對于互聯(lián)網(wǎng)資源的非法訪問，比如訪問色情、賭博、犯罪網(wǎng)站、發(fā)表反動言論、泄露重大機密等，都會觸犯相關(guān)法律，給企業(yè)帶來法律風險。

　　員工的不當網(wǎng)絡(luò)行為引發(fā)的問題無法通過傳統(tǒng)的網(wǎng)絡(luò)安全防護手段實現(xiàn)，必須通過專業(yè)的上網(wǎng)行為管理產(chǎn)品解決。何為上網(wǎng)行為管理？簡而言之，就是對員工主體的基于內(nèi)容的網(wǎng)絡(luò)訪問行為進行管理，包含如下幾個要素：

• 上網(wǎng)的人是誰（Who：哪個部門哪個員工）；
• 上網(wǎng)的時間（When：工作日/周末，上班時間/午間休息/夜間，上午/下午）；
• 訪問了哪些網(wǎng)絡(luò)資源（Where：瀏覽網(wǎng)頁、下載文件、發(fā)送郵件、聊天、游戲等）；
• 具體內(nèi)容是什么（What：網(wǎng)頁的內(nèi)容、郵件的內(nèi)容、聊天的內(nèi)容）；
• 占用的帶寬和流量是多大（How much）。

　　2、功能及特點

　　上網(wǎng)行為管理能實現(xiàn)對企業(yè)用戶的上網(wǎng)行為進行監(jiān)控和管理，那么從技術(shù)上又是如何來實現(xiàn)的呢？

　　1.1 技術(shù)原理

　　這里我們從一個簡單的消息發(fā)送來解答上網(wǎng)行為管理產(chǎn)品的技術(shù)實現(xiàn)。比如一條信息，你好，是如何正確地從A電腦的QQ中傳輸?shù)紹電腦的QQ中的呢？信息的傳輸過程大概是這樣的：QQ1生成了一條內(nèi)容為“你好”的信息，這條信息從OSI的第7層開始被逐層加工，當你好傳到傳輸層時（第四層），有兩個重要的參數(shù)會被附加在這條信息上——源端口號和目的端口號。端口號的作用是標識數(shù)據(jù)，因為一臺電腦發(fā)出的和收到的數(shù)據(jù)量是非常大的，如何區(qū)分這些數(shù)據(jù)是哪個程序發(fā)出的、發(fā)給對方電腦哪個程序是很重要的。

　　經(jīng)過第四層后，你好被加上了傳輸層的包頭，這時數(shù)據(jù)來到了第三層，網(wǎng)絡(luò)層。網(wǎng)絡(luò)層繼續(xù)在數(shù)據(jù)外邊附加控制信息。網(wǎng)絡(luò)層包頭中有兩個重要的參數(shù)，源IP地址和目的IP地址。被加工過的數(shù)據(jù)稱為數(shù)據(jù)包。

　　經(jīng)過第三層后，數(shù)據(jù)包來到了第二層，數(shù)據(jù)鏈路層。數(shù)據(jù)鏈路層繼續(xù)在數(shù)據(jù)包外邊附加控制信息，其中有兩個重要的參數(shù)，源MAC地址與目地MAC地址。被加工過的數(shù)據(jù)包稱為數(shù)據(jù)幀。數(shù)據(jù)幀再被轉(zhuǎn)化為bit流就可以在物理網(wǎng)絡(luò)上傳輸了。當目地MAC主機收到數(shù)據(jù)幀后，就像“剝洋蔥”一樣，一層一層剝?nèi)タ刂菩畔�，在剝到第四層時發(fā)現(xiàn)，端口號指出，你好這條消息應(yīng)該被提交給QQ2。以上描述可能并不十分嚴謹，但數(shù)據(jù)在網(wǎng)絡(luò)中大概就是這樣被傳輸?shù)摹?/p>

　　管理MAC地址：MAC地址工作在OSI模型的第二層。這個地址被烙在網(wǎng)卡上，它就像是每臺電腦相對固定的身份證一樣，每當電腦與對端設(shè)備進行通信時，雙方的MAC地址總會出現(xiàn)在數(shù)據(jù)幀中。這就相當于數(shù)據(jù)幀有了身份信息，而且這一信息就在數(shù)據(jù)幀的最外圍，所以對數(shù)據(jù)幀進行管理是最簡單的。但其實MAC地址很容易被修改——不是真的重新燒錄網(wǎng)卡上的地址，而是在操作系統(tǒng)層面進行“軟”修改。修改了MAC地址，相關(guān)的管理策略也就失效了。

　

圖1 技術(shù)原理

　　管理IP地址：IP地址工作在OSI模型的第三層，這個地址是我們手動為網(wǎng)卡指定的，修改起來也更加方便。管理IP地址要比管理MAC地址方便一些，也更有效率，比如，可以對一個IP地址段進行策略套用。但不足也同樣明顯，修改IP地址比修改MAC地址更容易，所以基于IP地址的安全策略很容易被“繞過”。

　　管理端口號：端口號與具體的應(yīng)用程序有關(guān)，所以基于端口號的策略的有效性要比其它兩種稍強一些。比如，一臺在192.168.2.0網(wǎng)絡(luò)中的服務(wù)器開放了Telnet端口（23號端口），但不希望192.168.1.0網(wǎng)絡(luò)的電腦訪問，一種方法是可以在路由器上設(shè)置一條策略，禁止所有來自192.168.1.0的 Telnet請求通過。這樣的話，192.168.1.0網(wǎng)絡(luò)中的某臺電腦，無論怎樣修改IP地址、MAC地址都是無法訪問服務(wù)器的。原因很簡單，因為在此情境中，所有Telnet請求都必須訪問23號端口。基于端口號的管理策略在某些情況下是比較有效的，但這僅是在少數(shù)情況下。因為多數(shù)應(yīng)用所使用的不是固定的端口號，比如QQ、MSN、BT等等。所謂有效的管理策略都是基于不可變條件元素的，但傳統(tǒng)的網(wǎng)絡(luò)管理工具所基于的條件元素都是可修改的，所以它們很難有效管理QQ、MSN、BT。

　　應(yīng)用層協(xié)議：之所以上網(wǎng)行為管理路由器可以有效的管理QQ、MSN、BT等，是因為這類設(shè)備使用了不同的條件元素，即應(yīng)用層協(xié)議。每個應(yīng)用層協(xié)議都是為了服務(wù)于某一類應(yīng)用，比如，BT客戶端有很多，包括比特精靈，比特慧星等，但它們所使用的其實都是bittorrent協(xié)議。協(xié)議比MAC地址、IP地址、端口號都要穩(wěn)定，實際上對于用戶來講是不可修改的，所以基于應(yīng)用層協(xié)議的管理策略十分有效。對應(yīng)用層協(xié)議進行識別，基于此再套用管理策略，這就是上網(wǎng)行為管理的本質(zhì)。上網(wǎng)行為管理路由器的工作原理正是對應(yīng)用層協(xié)議進行識別，然后套用預(yù)置的策略，如果策略被應(yīng)用，用戶幾乎無法繞過。

　　1.2 關(guān)鍵技術(shù)

　　1.2.1 識別技術(shù)

　　識別是管理的基礎(chǔ)，識別能力是評判一款上網(wǎng)行為管理產(chǎn)品專業(yè)度的重要標準。業(yè)內(nèi)優(yōu)秀的上網(wǎng)行為管理產(chǎn)品識別率普遍可以達到85%~90%甚至更高。

　　用戶識別

　　用戶身份識別是實施管理的依據(jù)，主流上網(wǎng)行為管理產(chǎn)品所支持的用戶識別技術(shù)包括本地認證、第三方認證、多因素認證、軟件免認證、硬件免認證、單點登錄技術(shù)、強制認證、臨時用戶、用戶自注冊等。

　　終端安全識別

　　終端識別技術(shù)包括終端硬件識別和終端安全狀況識別等。終端硬件識別主要是資產(chǎn)管理系統(tǒng)的工作，我們不做過多關(guān)注。終端安全識別包括進程、注冊表、操作系統(tǒng)與補丁、殺毒軟件與病毒庫升級、多網(wǎng)卡狀態(tài)、應(yīng)用程序檢測等。

　　應(yīng)用識別

　　上網(wǎng)行為管理產(chǎn)品的應(yīng)用識別能力是重中之重，是產(chǎn)品發(fā)揮管理控制功能的根基。主流的識別技術(shù)有兩種：DPI，也稱“深度數(shù)據(jù)包檢測”，即基于數(shù)據(jù)包組成內(nèi)容特征的應(yīng)用識別；DFI，也稱“深度流特征檢測”，建立在應(yīng)用特征的統(tǒng)計學(xué)規(guī)律基礎(chǔ)上的行為識別，是具有智能特性的識別技術(shù)。

　　HTTPS非法網(wǎng)站識別

　　HTTPS被廣泛應(yīng)用于通訊安全，如目前幾乎100%的金融類網(wǎng)站，部分門戶網(wǎng)站均使用了HTTPS加密方式。大量釣魚、掛馬網(wǎng)站也使用HTTPS加密，而傳統(tǒng)安全產(chǎn)品無法對HTTPS加密過的釣魚、掛馬網(wǎng)站進行識別，導(dǎo)致安全管理上存在嚴重漏洞。為解決此問題，部分上網(wǎng)行為管理產(chǎn)品提供了相應(yīng)的SSL加密網(wǎng)站的甄別技術(shù)，將HTTPS類型非法網(wǎng)站排除在訪問對象之外，保障網(wǎng)絡(luò)安全。

　　網(wǎng)頁智能識別

　　大中型上網(wǎng)行為管理廠商多數(shù)都有研發(fā)團隊負責網(wǎng)頁分類與URL庫更新，以此作為網(wǎng)頁過濾控制的依據(jù)。但是，2009年“互聯(lián)網(wǎng)網(wǎng)頁數(shù)量達到336億個，年增長率超過100%”（CNNIC），靠人工手動分類的方式已遠遠跟不上網(wǎng)頁的增長速度，加上大量的私博和社交網(wǎng)頁并未被傳統(tǒng)的URL庫收歸，導(dǎo)致即使這些網(wǎng)頁存在問題也很難被發(fā)現(xiàn)。為此，技術(shù)領(lǐng)先的上網(wǎng)行為管理廠商提供基于關(guān)鍵字、基于網(wǎng)頁分類特征的識別技術(shù)（如賭博類網(wǎng)站往往都有相似的關(guān)鍵字和結(jié)構(gòu)），將人工分類的技巧“傳授”給產(chǎn)品，讓產(chǎn)品“學(xué)習(xí)”之后，將新訪問的不在庫中的網(wǎng)頁自動分類入庫。

　　行為智能識別

　　網(wǎng)絡(luò)應(yīng)用層出不窮，每天都有新軟件、已有軟件的新版本面世，尤其是P2P軟件，僅靠已有的應(yīng)用識別庫來識別具有一定的滯后性。為此，上網(wǎng)行為管理產(chǎn)品應(yīng)具備基于應(yīng)用行為規(guī)律的智能識別技術(shù)，即便出現(xiàn)新的未知軟件、未知版本，也能將其識別、管控。

　　威脅識別

　　來自網(wǎng)絡(luò)的安全威脅如：帶毒掛馬的網(wǎng)頁/郵件、黑客入侵、可信好友發(fā)來的潛在威脅的鏈接，來自組織內(nèi)部的威脅：終端中毒發(fā)起攻擊、異常外發(fā)流量、異常端口掃描行為等等，帶來管理和安全問題。為此，威脅識別技術(shù)能及時發(fā)現(xiàn)、封鎖、統(tǒng)計異常流量和異常終端，幫助組織提前規(guī)避風險。

　　1.2.2 流控技術(shù)

　　“基于TCP窗口整形的流控技術(shù)”和“基于隊列的流控技術(shù)”是目前專業(yè)流控產(chǎn)品采用的較多兩種技術(shù)。

　　基于TCP窗口整形的流控技術(shù)

　　基于TCP窗口整形的流控技術(shù)，通過調(diào)整TCP滑動窗口的大小來控制流量，該技術(shù)的優(yōu)勢在于控制尺度比較精確，但是采用此技術(shù)的產(chǎn)品往往性能有限（一般不能支撐超過1G的流量），一旦逼近極限就會出現(xiàn)較大誤差。

　　基于隊列的流控技術(shù)

　　顧名思義，“基于隊列的流控技術(shù)”就是建立管道，將不同的控制對象分配到不同的管道里。該技術(shù)的好處是控制靈活，大通道中可以多層嵌套小管道，分別對應(yīng)不同的用戶、時間、應(yīng)用協(xié)議、網(wǎng)站、文件類型等對象建立不同的通道，對于結(jié)構(gòu)復(fù)雜又希望實現(xiàn)差異化控制的組織來說可以做到更為精確的控制。隊列技術(shù)采用數(shù)據(jù)包調(diào)度，能實現(xiàn)了對大流量的很好的控制。

　　1.2.3 云技術(shù)

　　在上網(wǎng)行為管理領(lǐng)域，云技術(shù)已得到應(yīng)用，如通過互聯(lián)網(wǎng)上已部署的產(chǎn)品發(fā)現(xiàn)、統(tǒng)計網(wǎng)絡(luò)管理中出現(xiàn)的外來威脅、內(nèi)在危險、未識別的流量/應(yīng)用、行業(yè)應(yīng)用特征、用戶行為習(xí)慣等，基于“云”網(wǎng)絡(luò)共享信息，為產(chǎn)品的優(yōu)化改進提供依據(jù)，以便更好地提升用戶體驗。

　　1.3 功能特點

　　上網(wǎng)行為管理是指幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)的使用，包括對網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析等功能。

　　1.3.1 網(wǎng)頁訪問過濾

　　互聯(lián)網(wǎng)上的網(wǎng)頁資源非常豐富，如果員工長時間訪問如色情、賭博、病毒等具有高度安全風險的網(wǎng)頁，以及購物、招聘、財經(jīng)等與工作無關(guān)的網(wǎng)頁，將極大的降低生產(chǎn)效率。通過上網(wǎng)行為管理產(chǎn)品，用戶可以根據(jù)行業(yè)特征、業(yè)務(wù)需要和企業(yè)文化來制定個性化的網(wǎng)頁訪問策略，過濾非工作相關(guān)的網(wǎng)頁。

　　1.3.2 網(wǎng)絡(luò)應(yīng)用控制

　　聊天、看電影、玩游戲、炒股票等等，互聯(lián)網(wǎng)上的應(yīng)用可謂五花八門，如果員工長期沉迷于這些應(yīng)用，也將成為企業(yè)生產(chǎn)效率的巨大殺手，并可能造成網(wǎng)速緩慢、信息外泄的可能。通過上網(wǎng)行為管理產(chǎn)品，用戶可以制定有效的網(wǎng)絡(luò)應(yīng)用控制策略，封堵與業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)應(yīng)用，引導(dǎo)員工在合適的時間做合適的事。

　　1.3.3 帶寬流量管理

　　P2P下載、在線游戲、在線看電影電視等都在搶占著有限的帶寬資源。面對日益緊張的帶寬資源，除了增加預(yù)算擴充帶寬以外，企業(yè)還可以選擇合理化分配和管理帶寬。通過上網(wǎng)行為管理產(chǎn)品，用戶可以制定精細的帶寬管理策略，對不同崗位的員工、不同網(wǎng)絡(luò)應(yīng)用劃分帶寬通道，并設(shè)定優(yōu)先級，合理利用有限的帶寬資源，節(jié)省投入成本。

　　1.3.4 信息內(nèi)容審計

　　發(fā)郵件、泡BBS、寫B(tài)log、聊IM已經(jīng)司空見慣，然而信息的機密性、健康性、政治性等問題也隨之而來。通過上網(wǎng)行為管理產(chǎn)品，用戶可以制定全面的信息收發(fā)監(jiān)控策略，有效控制關(guān)鍵信息的傳播范圍，以及避免可能引起的法律風險。

　　1.3.5 上網(wǎng)行為分析

　　隨著互聯(lián)網(wǎng)上的活動愈演愈烈，實時掌握員工互聯(lián)網(wǎng)使用狀況可以避免很多隱藏的風險。通過上網(wǎng)行為管理產(chǎn)品，用戶可以實時了解、統(tǒng)計、分析互聯(lián)網(wǎng)使用狀況，并根據(jù)分析結(jié)果對管理策略做調(diào)整和優(yōu)化。

　　1.3.6 日志管理

　　通過日志的分類顯示，可以讓用戶只看到自己關(guān)心的系統(tǒng)日志，而不需要從所有日志信息中慢慢篩選，從而更好的讓用戶了解系統(tǒng)的運行情況，方便快速定位和排除故障；通過網(wǎng)頁日志，用戶可以查看到內(nèi)網(wǎng)用戶所訪問過的網(wǎng)站域名，可以實時了解內(nèi)網(wǎng)用戶的上網(wǎng)行為。

　　1.4 部署模式

　　1.4.1 網(wǎng)關(guān)模式

　　網(wǎng)關(guān)模式置于出口網(wǎng)關(guān)，所有數(shù)據(jù)流直接經(jīng)由設(shè)備端口通過，適合可更改網(wǎng)絡(luò)架構(gòu)的客戶。在此模式設(shè)備的所有功能都有效，包括防火墻、NAT、路由、流量控制/帶寬管理、上網(wǎng)行為管理、內(nèi)容過濾、用戶訪問控制、數(shù)據(jù)中心、統(tǒng)計報告、安全擴展功能、應(yīng)用層VPN、遠程集中接入等。在此模式下，可提供多至4個WAN的廣域網(wǎng)線路接入，支持策略路由，負載均衡，南北通，充分利用用戶的帶寬價值。支持跨三層的IP/MAC綁定。

　

圖2 網(wǎng)關(guān)模式

　　1.4.2 網(wǎng)橋模式

　　網(wǎng)橋模式透明橋模式如同集線器的作用，設(shè)備置于網(wǎng)關(guān)出口之后，設(shè)置簡單、透明，適合客戶不希望更改網(wǎng)絡(luò)架構(gòu)情況。在此模式設(shè)備的所有功能都有效，包括防火墻、NAT、路由、流量控制/帶寬管理、上網(wǎng)行為管理、內(nèi)容過濾、用戶訪問控制、數(shù)據(jù)中心、統(tǒng)計報告、安全擴展功能、應(yīng)用層VPN、遠程集中接入等。在此模式下，可提供多至4對(四進四出)的透明橋接入，支持分橋的負載均衡，充分核心交換的VLAN子網(wǎng)隔離。支持跨三層的IP/MAC綁定。

 

圖3 網(wǎng)橋模式

　　1.4.3 多網(wǎng)橋模式

　　多網(wǎng)橋模式在客戶存在多個VLAN或者采用核心交換熱備的情況，可提供多至4對(四進四出)的透明橋接入，支持分橋的負載均衡，監(jiān)控核心交換的多VLAN子網(wǎng)流量。且支持跨三層的IP/MAC綁定。在此模式設(shè)備的所有功能都有效，包括防火墻、NAT、路由、流量控制/帶寬管理、上網(wǎng)行為管理、內(nèi)容過濾、用戶訪問控制、數(shù)據(jù)中心、統(tǒng)計報告、安全擴展功能、應(yīng)用層VPN、遠程集中接入等。

 

圖4 多網(wǎng)橋模式

　　1.4.4 旁路模式

　　旁路模式在旁路模式中，NM設(shè)備與交換機鏡像端口相連，通過對網(wǎng)絡(luò)出口的交換機進行鏡像映射，設(shè)備獲得鏈路中的數(shù)據(jù)“拷貝”，主要用于監(jiān)聽、審計局域網(wǎng)中的數(shù)據(jù)流及用戶的網(wǎng)絡(luò)行為。通過監(jiān)聽和分析來記錄各項數(shù)據(jù)，適合客戶不能斷網(wǎng)情況，部署簡單，無需改變網(wǎng)絡(luò)結(jié)構(gòu)，降低了網(wǎng)絡(luò)單點故障的發(fā)生率。在此模式設(shè)備的流量控制功能不能生效，上網(wǎng)行為管理、數(shù)據(jù)中心、統(tǒng)計報告、應(yīng)用層VPN、遠程集中接入等功能有效。

圖5 旁路模式

　　1.4.5 雙機熱備模式

　　雙機熱備模式組織為了網(wǎng)絡(luò)穩(wěn)定可靠，采用了雙機VRRP部署，NM支持兩臺以上設(shè)備同時以主機模式、主備模式運行，完美支持組織的VRRP環(huán)境，起到設(shè)備冗余與負載均衡的作用。

 

圖6 雙機熱備模式

　　3.業(yè)界廠商

　　4、主流廠商

　　4.1 深信服

　　4.1.1 企業(yè)簡介

　　深信服科技有限公司是中國領(lǐng)先的前沿網(wǎng)絡(luò)設(shè)備供應(yīng)商，于2000年成立于深圳，致力于通過提供企業(yè)級網(wǎng)絡(luò)設(shè)備，幫助企業(yè)業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)型，主營產(chǎn)品包括IPSec VPN、SSL VPN、上網(wǎng)行為管理、上網(wǎng)優(yōu)化、應(yīng)用交付、廣域網(wǎng)加速、流量控制等多條產(chǎn)品線，并在VPN、SSL VPN、內(nèi)容安全和上網(wǎng)行為管理市場保持著領(lǐng)先的地位。

　　4.1.2 產(chǎn)品特點

　　在上網(wǎng)行為管理領(lǐng)域，深信服上網(wǎng)行為管理2013年市場占有率為39.3%（數(shù)據(jù)來源IDC），已連續(xù)8年市場占有率第一，成為中國唯一一家進入Gartner SWG魔力象限的廠商，并且率先獲得國內(nèi)最高信息安全等級EAL3認證。深信服擁有多項專利及技術(shù)優(yōu)勢，包括SSL內(nèi)容識別與管理、P2P智能流控與動態(tài)流控、應(yīng)用標簽化和應(yīng)用功能細分控制、域環(huán)境下策略與權(quán)限劃分、無線網(wǎng)絡(luò)管理與營銷增值、外發(fā)文件深度識別、數(shù)據(jù)中心認證key、異常流量感知。這些技術(shù)的融入使得深信服上網(wǎng)行為管理產(chǎn)品能讓用戶對有線和無線網(wǎng)絡(luò)進行更好的管理。

　　P2P流控和動態(tài)流控技術(shù)

　　深信服P2P智能流控技術(shù)實現(xiàn)對P2P下載和上傳的全面管控。同時，當整體帶寬處于空閑狀態(tài)時，深信服動態(tài)流控功能可將通道的最大帶寬限制上浮，滿足當前對帶寬需求大的業(yè)務(wù)。而當帶寬回到繁忙時，又回收上浮的這部分帶寬，保證業(yè)務(wù)正常進行，實現(xiàn)帶寬利用最大化。

　　應(yīng)用標簽化和應(yīng)用功能細分控制

　　深信服應(yīng)用控制功能能夠從應(yīng)用分類等多維度來指定策略，針對不同的應(yīng)用打上制定的標簽，管理員配置策略的時候，可以直接針對標簽組做策略，大大節(jié)省了管理員去上千種應(yīng)用中一個個找的時間。同時基于應(yīng)用功能的細分控制可以精確控制應(yīng)用的指定行為，避免傳統(tǒng)上網(wǎng)行為管理產(chǎn)品對應(yīng)用一刀切的管理缺陷，比如員工只能在網(wǎng)盤下載資料，但是不能上傳文件到網(wǎng)盤。既能滿足員工下載資料的需求，又能滿足內(nèi)部文件防泄密的需求。

　　域環(huán)境下策略與權(quán)限劃分

　　深信服支持直接在設(shè)備上對LDAP服務(wù)器（例如AD域）上的OU、域?qū)傩浴�安全組，直接配置策略；同時支持對管理員設(shè)置不同的OU組管理策略。外部組織的變動我們可以自動感知并生效，大大降低了管理員維護的工作量，大大降低了不同設(shè)備之間結(jié)合的故障率。

　　SSL內(nèi)容識別與管理

　　深信服擁有“基于網(wǎng)關(guān)、網(wǎng)橋防范網(wǎng)絡(luò)釣魚網(wǎng)站的方法”（專利號ZL200710072997.1）具有對SSL加密內(nèi)容的完全管控能力，支持識別、管控、審計經(jīng)由SSL加密的內(nèi)容，如支持基于關(guān)鍵字過濾SSL加密的搜索行為、發(fā)帖行為、網(wǎng)頁瀏覽行為，審計SSL加密行為如郵件發(fā)送行為，為組織打造堅固無漏洞的管理。

　　無線網(wǎng)絡(luò)管理與營銷增值

　　在無線網(wǎng)絡(luò)環(huán)境下，用戶可通過微信認證、短信認證、二維碼認證等功能接入到無線網(wǎng)絡(luò)中，在認證和接入過程可通過頁面定向跳轉(zhuǎn)與信息推送，達到商業(yè)營銷推廣或公告信息發(fā)布的目的，同時可大量、快速的增加微信公共賬號粉絲量，實現(xiàn)有線和無線網(wǎng)絡(luò)一體化管理與營銷增值。

　　異常流量感知與告警

　　深信服異常流量感知技術(shù)是對于異常流量行為進行識別并報警，幫助IT管理者主動發(fā)現(xiàn)組織內(nèi)網(wǎng)潛藏的安全威脅，提升組織內(nèi)網(wǎng)可靠性和可用性。

　　免審計Key功能

　　企業(yè)高層在創(chuàng)建賬戶時使用 DKEY認證，并勾選“啟用DKEY防監(jiān)控”選項，為總裁生成“免審計Key”。高層人員使用“免審計Key”認證后，系統(tǒng)就免除對高層人員的所有記錄。如果“非善意”人員私下取消配置界面上的“啟用DKEY防監(jiān)控”選項，高層人員再插入“免審計Key”后系統(tǒng)會自動彈出警告，且禁止高層人員訪問網(wǎng)絡(luò)，徹底保障信息安全。

　　數(shù)據(jù)中心認證Key

　　深信服數(shù)據(jù)中心認證Key可實現(xiàn)A管理員登錄數(shù)據(jù)中心后只能審計、查看A用戶組的行為日志，同時配發(fā)啟用數(shù)據(jù)中心認證Key功能后，如果沒有該“數(shù)據(jù)中心認證Key”，A管理員登錄數(shù)據(jù)中心后只能查看統(tǒng)計、趨勢等概要信息，只有插入“數(shù)據(jù)中心認證Key”后A管理員才能審計、查詢A用戶組的MSN聊天內(nèi)容、Email正文等詳細日志信息。通過將該“數(shù)據(jù)中心認證Key”鎖入領(lǐng)導(dǎo)抽屜將實現(xiàn)行為日志審計查詢權(quán)限的嚴格控制。

　　4.1.3 典型客戶

　　政府：最高人民檢察院、外交部、公安部、商務(wù)部、國務(wù)院參事室

　　金融：招商銀行、中國人壽、華夏基金

　　教育：中國人民大學(xué)、中國政法大學(xué)

　　企業(yè)：南方航空、華潤集團、萬科集團、通用電氣、殼牌石油、豐田汽車

　　運營商：中國移動、中國聯(lián)通、中國電信

　　4.2 網(wǎng)康科技

　　4.2.1 企業(yè)簡介

　　北京網(wǎng)康科技有限公司是一家全球領(lǐng)先的網(wǎng)絡(luò)應(yīng)用層解決方案供應(yīng)商，以其卓越的網(wǎng)絡(luò)應(yīng)用層技術(shù)為核心，提供上網(wǎng)行為管理、智能流量管理、安全代理服務(wù)器、新一代應(yīng)用層VPN、移動互聯(lián)網(wǎng)業(yè)務(wù)分析等產(chǎn)品，保障客戶的網(wǎng)絡(luò)高效、順暢、安全、穩(wěn)定的運行。

　　4.2.2 產(chǎn)品特點

　　在上網(wǎng)行為管理領(lǐng)域，網(wǎng)康研發(fā)了“第三代網(wǎng)絡(luò)應(yīng)用識別技術(shù)”、“實時網(wǎng)頁過 濾技術(shù)”等獨有的網(wǎng)絡(luò)應(yīng)用管理技術(shù)，是全球第一款通過IPv6 Ready認證、首家獲得中國信息安全測評中心EAL3認證的上網(wǎng)行為管理產(chǎn)品，并通過了數(shù)項企業(yè)資質(zhì)認證。目前除上網(wǎng)行 為管理產(chǎn)品之外，還有智能流量管理產(chǎn)品、安全代理服務(wù)器，以及安全網(wǎng)關(guān)產(chǎn)品。

　　全球最大的中文網(wǎng)頁分類庫

　　URL 過濾是上網(wǎng)行為管理產(chǎn)品核心功能之一，網(wǎng)康 ICG擁有3000+萬條的URL數(shù)據(jù)以及150+種網(wǎng)頁分類 ，在 URL 覆蓋 的全面性、識別準確率、更新實效性、客戶同步及時性等方面，具有國際領(lǐng)先的明顯優(yōu)勢。

　　中國最大的網(wǎng)絡(luò)應(yīng)用識別庫

　　對網(wǎng)絡(luò)應(yīng)用的管理也是上網(wǎng)行為管理產(chǎn)品必不可少的核心功能。網(wǎng)康 ICG擁有應(yīng)用協(xié)議庫數(shù)量3000+，其中移動協(xié)議庫數(shù)量達480+， 能夠準確識別國內(nèi)主流的網(wǎng)絡(luò)應(yīng)用，是國內(nèi)第一款支持在線炒股交易與查看行情區(qū)別控制、支持迅雷 P2P 下載控制、支持針對QQ賬號定制策略、支持skype審計的上網(wǎng)行為管理產(chǎn)品。

　　高效內(nèi)容分析引擎

　　零拷貝（zero-copy）基本思想是：數(shù)據(jù)包從網(wǎng)絡(luò)設(shè)備到用戶程序空 間傳遞的過程中，減少數(shù)據(jù)拷貝次數(shù)，減少系統(tǒng)調(diào)用，提高 CPU 與內(nèi)存 的使用效率。實現(xiàn)零拷貝的最主要技術(shù)是 DMA 數(shù)據(jù)傳輸和內(nèi)存區(qū)域映射 技術(shù)。網(wǎng)康 ICG 采用零拷貝抓包技術(shù)，極大減少了CPU 的中斷調(diào)用，顯 著提高了包處理效率。

　　有效保證信息安全的三權(quán)分立模式

　　網(wǎng)康ICG獨特的三權(quán)分立管理功能，能夠為客戶提供更加安全、可靠的數(shù)據(jù)管理模式。三權(quán)分立模式最多可設(shè)置管理員，審核員，審計員四個角色。管理員可以創(chuàng)建審核員和審計員、做配置管理無論如但無權(quán)看審計日志；審核員可以審核管理員權(quán)限行為是否合法，但是不能看日志。審計員必須經(jīng)過超管授權(quán)且審核員驗證通過后才可以查看日志；不同角色擁有不同權(quán)限分工，避免了管理員權(quán)限獨大的情況，可以有效降低日志信息泄密風險。

　　精準的防共享接入功能

　　網(wǎng)康是首家實現(xiàn)“一拖N”防私接管理方案的廠商，防私接識別率高達99.5%。防共享接入功能可以有效的監(jiān)控用戶私接上網(wǎng)的終端設(shè)備類型、以及私接設(shè)備數(shù)量。客戶可以靈活的設(shè)置私接設(shè)備數(shù)量上限，私接設(shè)備超過私接數(shù)量上限后進行網(wǎng)絡(luò)封堵，網(wǎng)絡(luò)封堵時間可自由設(shè)置。并可以對重要IP設(shè)置用戶白名單，不受共享接入封堵限制。對于被封堵的IP可以很直觀的看到私接原因，網(wǎng)管可對封堵的IP進行手動解封，使客戶的操作更方便、簡潔。防共享接入幫助企業(yè)有效解決私接引起的安全問題，幫助運營商有效管控賬號共享上網(wǎng)行為。

　　精細化的流控管理

　　由于以 P2P 為代表的網(wǎng)絡(luò)下載軟件嚴重影響了企業(yè)網(wǎng)絡(luò)的帶寬使用， 使得基于應(yīng)用層的帶寬管理成為多數(shù)企業(yè)的迫切需求，從而帶寬管理與流 量控制也是上網(wǎng)行為管理產(chǎn)品的重要功能。網(wǎng)康 ICG 的7級虛擬通道有效支撐精細化的管理策略， 幫助企業(yè)實現(xiàn)帶寬的合理利用。

　　完整的BYOD解決方案

　　BYOD（Bring Your Own Device）是指攜帶自己的設(shè)備辦公，這些設(shè)備包括個人電腦、手機、平板電腦等（而更多的情況指手機或平板這樣 的移動智能終端設(shè)備）。網(wǎng)康 ICG 具有業(yè)界最完整的 BYOD 審計控制解決 方案，可對移動終端的類型及移動應(yīng)用網(wǎng)絡(luò)協(xié)議進行精確的識別，并可制 定策略實現(xiàn)審計、控制、日志記錄等功能。

　　快速的查詢統(tǒng)計與全面的分析報表

　　快速的查詢統(tǒng)計含蓋網(wǎng)頁訪問、郵件收發(fā)、IM 聊天、P2P 下載、論壇發(fā)帖、各類應(yīng)用信息、流量信息、在線娛樂、應(yīng)用時長等，為管理員和企業(yè)決策人員提供完整的用戶上網(wǎng)分析素材。

　　精細的分析報表可以以用戶、工具類型作為選擇條件，設(shè)置日期、時間段、排名依據(jù)等來生成報表。包括應(yīng)用排名統(tǒng)計、網(wǎng)站訪問排名統(tǒng)計、上網(wǎng)時長排名統(tǒng)計、應(yīng)用時長排名統(tǒng)計等分析報表。

　　4.2.3 典型客戶　

　　政府：國務(wù)院辦公廳、商務(wù)部、民政部、農(nóng)業(yè)部、國家稅務(wù)總局、海關(guān)總署

　　金融：中國人民銀行、中國農(nóng)業(yè)銀行、中國交通銀行、中國人壽、中國銀河證券

　　教育：中國人民大學(xué)、中國政法大學(xué) 、北京航空航天大學(xué)、國家圖書館、新東方教育

　　能源：國家電網(wǎng)公司、中國石油天然氣集團公司、國家核電技術(shù)公司

　　傳統(tǒng)企業(yè)：海爾集團、美的集團、中國國際航空公司、國美集團、小肥羊餐飲連鎖公司

　　IT企業(yè)：奇虎360、京東、百度、阿里巴巴、搜狐、聯(lián)想、新浪網(wǎng)

　　運營商：中國移動、中國聯(lián)通、中國電信

　　4.3 銳捷網(wǎng)絡(luò)

　　4.3.1 企業(yè)簡介

　　銳捷網(wǎng)絡(luò)，中國網(wǎng)絡(luò)解決方案領(lǐng)導(dǎo)品牌。銳捷網(wǎng)絡(luò)是一家擁有包括交換機、路由器、軟件、安全防火墻、無線產(chǎn)品、存儲等全系列的網(wǎng)絡(luò)設(shè)備產(chǎn)品線及解決方案的專業(yè)化網(wǎng)絡(luò)廠商，在國內(nèi)網(wǎng)絡(luò)設(shè)備及安全市場有著較強的市場知名度和影響力，銳捷網(wǎng)絡(luò)上網(wǎng)行為管理產(chǎn)品以路由、透明或混合模式部署在網(wǎng)絡(luò)的關(guān)鍵節(jié)點上，對數(shù)據(jù)進行2-7層的全面檢查和分析，并利用智能流控、智能阻斷、智能路由、智能DNS策略等技術(shù)提供強大的帶寬管理特性，配合創(chuàng)新的社交網(wǎng)絡(luò)行為精細化管理功能、清晰易管理日志等功能，同時具備了最精細的用戶上網(wǎng)行為的審計功能。銳捷統(tǒng)一上網(wǎng)行為管理與審計RG-UAC產(chǎn)品線提供不同檔次的多款型號，適用于數(shù)據(jù)中心、大型網(wǎng)絡(luò)邊界、中小型企業(yè)等業(yè)務(wù)應(yīng)用場景。

　　4.3.2 產(chǎn)品特點

　　1000+協(xié)議特征可識別90%上應(yīng)用

　　RG-ACE采用新一代DPI引擎，能夠準確識別包括P2P應(yīng)用、炒股軟件、流媒體、企業(yè)辦公、網(wǎng)絡(luò)游戲等在內(nèi)的超過1000種常規(guī)應(yīng)用，避免因誤識別造成斷網(wǎng)。

　　RG-ACE的帶寬嵌套、帶寬租用和非對稱流量識別技術(shù)，能夠?qū)�帶寬基于用戶、身份、時間進行靈活地分配。

　　滿足網(wǎng)絡(luò)實名管理與認證計費的需求

　　RG-ACE系列流量控制引擎與認證系統(tǒng)結(jié)合，可以實現(xiàn)基于用戶身份的實名流控、實名日志和認證計費；實名流控可以實現(xiàn)同一用戶無論何時何地、有線無線接入網(wǎng)絡(luò)，均能享受相同服務(wù)；實名日志能方便定位到人，可以滿足監(jiān)管部門的要求；認證計費可實現(xiàn)按流量、時長、服務(wù)質(zhì)量等差異化的計費服務(wù)。

　　豐富直觀的報表實現(xiàn)應(yīng)用和流量可視化管理

　　提供一年內(nèi)的應(yīng)用或協(xié)議流量的紀錄，并可按天、周、月、年時間段內(nèi)的應(yīng)用及協(xié)議的帶寬使用統(tǒng)計報告。包括：總帶寬分析報表、應(yīng)用帶寬分析報表、協(xié)議的帶寬分析報表、協(xié)議和流量方向（進入/出去）的帶寬分析報表、基于應(yīng)用和流量方向（進入/出去）的帶寬分析報表、基于IP地址的帶寬分析報表、用戶自定義報表等。

　　4.3.3 典型客戶

　　七匹狼、華祥苑、大連港、大連香巴拉咖啡廳、云南師范大學(xué)、第四軍醫(yī)大學(xué)、福州大學(xué)、濱湖數(shù)據(jù)中心、南京銀行

　　4.4 網(wǎng)域科技

　　4.4.1 企業(yè)簡介

　　深圳市網(wǎng)域科技有限公司是一家專業(yè)從事網(wǎng)絡(luò)信息安全領(lǐng)域產(chǎn)品的研發(fā)、生產(chǎn)、銷售及服務(wù)、國家高新技術(shù)、創(chuàng)新型企業(yè)。公司以誠信、務(wù)實、高效、創(chuàng)新、發(fā)展的十字方針為指導(dǎo)，在多個領(lǐng)域取得重大突破性成果。公司先后推出NetSys AC上網(wǎng)行為流量管理、NSYS IT運維安全審計（堡壘機）、NSYS 數(shù)據(jù)庫安全審計產(chǎn)品、文件加密軟件、VPN、 負載均衡、網(wǎng)域NETSYS ACF防火墻產(chǎn)品等系列產(chǎn)品，提供完善的解決方案。廣泛應(yīng)用于政府、運營商、金融、能源、教育、集團企業(yè)等眾多行業(yè)。愿與更多合作伙伴分享信息化的繁榮。

　　4.4.2 產(chǎn)品特點

　　能夠識別1000多種協(xié)議和應(yīng)用

　　常見的應(yīng)用一網(wǎng)打盡，包括IM即時通訊、P2P下載、流媒體、網(wǎng)絡(luò)電視、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)電話、股票交易、網(wǎng)絡(luò)游戲等15大類應(yīng)用協(xié)議。以協(xié)議分析為基礎(chǔ)，能識別95%以上的網(wǎng)絡(luò)流量，實現(xiàn)第七層應(yīng)用的細粒度管控。網(wǎng)域上網(wǎng)行為管理產(chǎn)品具有豐富的特征庫 ,即時更新的特征庫，特征庫豐富，對應(yīng)用特征進行實時有效準確的識別、 并多項專有技術(shù)專門針對P2P應(yīng)用進行有效的管控。

　　常用上網(wǎng)行為記錄

　　網(wǎng)頁瀏覽記錄：記錄訪問的網(wǎng)址、網(wǎng)頁標題、網(wǎng)頁內(nèi)容；

　　社交發(fā)貼：記錄論壇外發(fā)帖子行為，記錄博客外發(fā)帖子的行為；

　　郵件記錄：記錄外發(fā)Email(含常見WEB郵件)及接受正文及附件，郵件還原；

　　應(yīng)用記錄：記錄網(wǎng)游、炒股、P2P、IM聊天等各種應(yīng)用行為，含部分應(yīng)用的內(nèi)容記錄；

　　文件傳輸記錄：記錄FTP、TFTP、Telnet、網(wǎng)頁下載等文件的下載記錄；

　　更廣泛的內(nèi)容審計

　　除了基本用戶上網(wǎng)行為記錄、郵件審計、文件上傳下載之外，他還能審計加密的HTTPS上網(wǎng)行為，GMAIL、foxmail加密的郵件內(nèi)容審計。也能審計網(wǎng)絡(luò)用戶股票財經(jīng)、網(wǎng)絡(luò)游戲、音視頻下載記錄等內(nèi)容

　　更有深度的行為識別與過濾

　　細粒度的應(yīng)用層免監(jiān)控，包括免監(jiān)控QQ，免監(jiān)控MSN，飛信、郵件、論壇、網(wǎng)頁網(wǎng)址。深度地內(nèi)容審計與內(nèi)容過濾管控，發(fā)現(xiàn)網(wǎng)絡(luò)行為中的泄密行為，從事前防范、事中分級告警、事后審查等多方面報告分析，為組織保護信息資產(chǎn)安全，降低網(wǎng)絡(luò)風險。

　　用戶流量與市場配額管理【酒店應(yīng)用】

　　帶寬分配保障帶寬的靈活性可分配性通過應(yīng)用識別，或者策略路由來判斷流量的下一跳及策略，實現(xiàn)帶寬的管理和靈活分配分時段的用戶流量配額。分時段的用戶時長配額管理，結(jié)合豐富的用戶認證系統(tǒng)，能行為網(wǎng)吧、酒店的運營管理系統(tǒng)提供強力的支撐。

　　客戶端可信與網(wǎng)絡(luò)風險防范

　　內(nèi)置危險插件和惡意腳本特征庫，識別特征庫，過濾掛馬網(wǎng)站的訪問、封堵不良網(wǎng)站；從源頭上切斷病毒、木馬的潛入，再結(jié)合終端的安全可信與網(wǎng)絡(luò)準入，防范外在的DOS防御、ARP欺騙防護等多種安全手段，實現(xiàn)內(nèi)網(wǎng)、外網(wǎng)、透傳立體式安全護航，確保組織安全上網(wǎng)。

　　強大的流量分析、行為監(jiān)控報表分析統(tǒng)計能力

　　e地通可統(tǒng)計用戶在指定的時間段內(nèi)產(chǎn)生的總流量；統(tǒng)計用戶指定時間段、使用指定應(yīng)用協(xié)議產(chǎn)生的流量；并且實時監(jiān)控流量趨勢，以及應(yīng)用占用比例等數(shù)據(jù)；對各種網(wǎng)絡(luò)流量進行報表分析以及圖形化分析，包括柱狀圖、餅狀圖、折線圖、趨勢圖等，以使管理員可以直觀的了解內(nèi)網(wǎng)流量的使用。

　　黑名單和白名單功能

　　黑名單，可針對單IP，非法URL，以及其他諸多應(yīng)用實現(xiàn)封堵和重定向，保障內(nèi)網(wǎng)環(huán)境的綠色可靠 

　　上網(wǎng)行為管理自定義特征及關(guān)鍵字

　　通過自動定義的關(guān)鍵字、URL連接、文件類型、可有效的管控辦公人家的非法訪問，實現(xiàn)對其的有效管控

　　VPN網(wǎng)絡(luò)的搭建與互通

　　支持標準的PPTP、L2TP 以及IPSEC VPN，支持點對網(wǎng)和網(wǎng)對網(wǎng)接入，提供高安全的加密隧道方案。通過簡單配置，您就能輕松搭建安全的VPN連接；滿足了地域企業(yè)用戶對于數(shù)據(jù)傳輸?shù)谋憬菪�、安全性以及成本要求�?/p>

　　上網(wǎng)行為管理產(chǎn)品圖形化界面

　　針對客戶反饋和意見，自行開發(fā)和設(shè)計針對非網(wǎng)絡(luò)專業(yè)人員制定的友好型圖形化界面、方便管理、配置、監(jiān)控。讓界面更直觀、更簡潔、更貼切用戶的視眼。

　　4.4.3 典型客戶

　　國土資源部、長江水利委員會、中國煙草、中汽南方、招商地產(chǎn)、南方電網(wǎng)、中信銀行、安邦保險、湖南電信、深圳地鐵、虎彩集團、愛施德集團

　　4.5 溢信科技

　　4.5.1 企業(yè)簡介

　　溢信科技是業(yè)內(nèi)領(lǐng)先的內(nèi)網(wǎng)安全整體解決方案提供商，其自主研發(fā)的IP-guard內(nèi)網(wǎng)安全管理系統(tǒng)旨在幫助企業(yè)解決包括信息泄露、上網(wǎng)行為、系統(tǒng)維護等多種內(nèi)網(wǎng)安全問題，助力企業(yè)在信息化道路上穩(wěn)步發(fā)展。目前，公司已在日本、南非等海外多個地區(qū)設(shè)立了分公司，同時與歐美、印度、俄羅斯、烏克蘭及港臺等十多個國家和地區(qū)的企業(yè)進行合作，形成了遍布全球和國內(nèi)各大中小型城市的完整的銷售網(wǎng)絡(luò)和技術(shù)支持網(wǎng)絡(luò)。

　　4.5.2 產(chǎn)品特點

　　應(yīng)用程序管控

　　IP-guard過濾一切與工作無關(guān)的應(yīng)用程序，分時段或全天候阻止游戲、炒股、媒體播放、即時通訊、BT等程序的運行，讓用戶在工作時專心工作，休息時盡情放松，既提高用戶的工作積極性，又提升工作效率。

　　IP-guard詳細記錄程序運行的起始時間、用戶名、計算機等，統(tǒng)計程序使用總時間、前十或前二十名常用的應(yīng)用程序等，讓管理者對應(yīng)用程序的使用一清二楚。

　　網(wǎng)頁瀏覽管控

　　IP-guard可過濾黃色、暴力和惡意傳播病毒的網(wǎng)站，保證用戶在合規(guī)、合法范圍內(nèi)使用網(wǎng)頁，既不能訪問下載也不能上傳散播任何含色情暴力成分的內(nèi)容。這樣不但能讓企業(yè)規(guī)避法律風險，而且可以保護企業(yè)系統(tǒng)的安全。

　　為了方便管理者操作與管理，網(wǎng)站可以按類別進行管理，管理者可按需分時段屏蔽某類網(wǎng)站的訪問權(quán)限，使網(wǎng)站管理更靈活，更具人性化。

　　IP-guard詳細記錄網(wǎng)頁瀏覽的起始時間、用戶名、網(wǎng)頁標題、網(wǎng)頁地址等，統(tǒng)計瀏覽每一網(wǎng)站或每類網(wǎng)站的總時間，顯示前十或前二十名常訪網(wǎng)頁等，并以柱狀圖或餅狀圖的形式直觀顯示結(jié)果，讓管理者對用戶使用網(wǎng)頁的情況了若指掌。

　　網(wǎng)絡(luò)流量管控

　　IP-guard幫助企業(yè)管理者合理分配帶寬資源，防止流量干涸和網(wǎng)絡(luò)堵塞。它還可以限制P2P軟件的使用，力保網(wǎng)絡(luò)平穩(wěn)，保證業(yè)務(wù)暢順運作，避免工作效率因網(wǎng)絡(luò)堵塞而下降。

　　IP-guard從多維度統(tǒng)計流量的使用，統(tǒng)計前十名或前二十名使用流量最多的用戶，并配以直觀的柱狀圖和餅狀圖顯示，讓管理者對流量的使用情況一目了然。

　　即時通訊管控

　　IP-guard可防止企業(yè)文檔通過聊天工具外發(fā)出去，這樣不但可以保證流量不會被大量占用而影響網(wǎng)絡(luò)的正常使用，而且可以保障企業(yè)信息安全。

　　IP-guard記錄用戶聊天信息，讓企業(yè)管理者了解用戶使用聊天工具主要從事什么。同時，對聊天信息的監(jiān)督可以防止企業(yè)內(nèi)部信息外泄。即使發(fā)生外泄，管理者也能掌握充分的證據(jù)，以便事后追究法律責任。

　　郵件管控

　　IP-guard協(xié)助企業(yè)管理者有效管理郵件的使用，杜絕工作時間收發(fā)私人信件，透視往來信件的內(nèi)容，IP-guard可限制用戶只向指定的收件人發(fā)送郵件，限制發(fā)送附件或具有特定主題的郵件，限制發(fā)送具有特定名稱的附件或超過指定大小的郵件，保證工作時間內(nèi)只有商業(yè)信件往來，保障企業(yè)重要信息安全，預(yù)防有意或無意的泄密行為。

　　IP-guard詳細記錄郵件的標題、正文、附件、發(fā)件人、收件人、發(fā)送或接收時間，讓企業(yè)管理者清楚了解郵件的使用情況，規(guī)范郵件的使用，杜絕私人信件，防止企業(yè)內(nèi)部信息外泄。

　　屏幕監(jiān)控

　　企業(yè)管理者可以實時查看用戶的桌面行為，清楚用戶在工作時間內(nèi)利用電腦和網(wǎng)絡(luò)從事何種活動并掌握用戶無法抵賴的證據(jù)。管理者可以了解用戶究竟是在工作還是兼職，是在玩游戲還是聊天，大大方便管理者進行績效評估。IP-guard支持多屏監(jiān)控功能，企業(yè)管理者可以在同一時間內(nèi)集中監(jiān)控多臺計算機的桌面情況。

　　IP-guard使企業(yè)管理既高效又省時。生成錄像文件，可以方便進行回放。屏幕歷史記錄可被導(dǎo)出為視頻文件儲存在本地，企業(yè)管理者可以像看錄像一樣觀看用戶的桌面變動。

　　4.5.3 典型客戶

　　機械重工：三一重工、徐州重型機械、上柴動力、福田雷沃重工

　　電子光學(xué)：SONY、佳能、三安光電、MSI、豪雅鏡片、科沃斯

　　汽車汽配：奔馳汽車、大眾汽車、普利司通、北汽集團、大冶摩托

　　紡織服飾：歐時力、YKK、九牧王、美特斯邦威、七匹狼、紅豆集團

　　食品制造：金龍魚、娃哈哈、雪花啤酒、中糧集團、盼盼集團、格力高

　　日用化工：貝親、立白集團、金發(fā)科技、資生堂、泊萊雅、相宜本草

　　4.6 惠爾頓

　　4.6.1 企業(yè)簡介

　　深圳市惠爾頓信息技術(shù)有限公司自2006年成立始，即本著“凸顯寬帶潛能，增值網(wǎng)絡(luò)應(yīng)用”的經(jīng)營理念，作為“管理軟件網(wǎng)絡(luò)優(yōu)化”解決方案的提出者，全心致力于為全球范圍內(nèi)網(wǎng)絡(luò)通訊運營商及企事業(yè)用戶提供全面的網(wǎng)絡(luò)優(yōu)化解決方案，為管理軟件在網(wǎng)絡(luò)上的更安全、更快速、更穩(wěn)定、容易管理運行做持續(xù)的努力。

　　4.6.2 產(chǎn)品特點

　　惠爾頓主營產(chǎn)品包括VPN、上網(wǎng)行為管理、遠程接入、流量管理、下一代防火墻以及廣域網(wǎng)及加速。惠爾頓上網(wǎng)行為管理產(chǎn)品通過基于應(yīng)用類型、網(wǎng)站類別、文件類型、用戶/用戶組、時間段等細致的帶寬分配策略限制P2P、在線視頻、大文件下載等不良應(yīng)用所占用的帶寬，保障OA、ERP等辦公應(yīng)用獲得足夠的帶寬，提升上網(wǎng)速度和網(wǎng)絡(luò)辦公應(yīng)用的使用效率。

　　防止帶寬濫用，關(guān)鍵業(yè)務(wù)保暢

　　通過細致劃分帶寬資源，預(yù)留帶寬、帶寬限制、帶寬優(yōu)先級等多種手段保證核心業(yè)務(wù)系統(tǒng)的帶寬，限制非業(yè)務(wù)系統(tǒng)的帶寬，從而達到增值網(wǎng)絡(luò)應(yīng)用的目標。如果帶寬不夠，而關(guān)鍵業(yè)務(wù)無流量，非關(guān)鍵應(yīng)用則能通過帶寬借用的手段充分利用帶寬；也可以通過設(shè)置帶寬預(yù)留對帶寬要求較高的保證關(guān)鍵應(yīng)用(如VOIP、視頻會議)的帶寬。

　　惠爾頓上網(wǎng)行為管理產(chǎn)品通過基于應(yīng)用類型、網(wǎng)站類別、文件類型、用戶/用戶組、時間段等細致的帶寬分配策略限制P2P、在線視頻、大文件下載等不良應(yīng)用所占用的帶寬，保障OA、ERP等辦公應(yīng)用獲得足夠的帶寬，提升上網(wǎng)速度和網(wǎng)絡(luò)辦公應(yīng)用的使用效率。

　　非關(guān)鍵業(yè)務(wù)阻斷，提升網(wǎng)絡(luò)工作效率

　　采用DPI和DFI技術(shù)，細致分析互聯(lián)網(wǎng)應(yīng)用協(xié)議特征庫，特征庫包括15大類，超過1000+種PC端網(wǎng)絡(luò)協(xié)議以及600+智能手機移動應(yīng)用，包括影響生產(chǎn)力的網(wǎng)絡(luò)游戲、財經(jīng)股票、網(wǎng)絡(luò)TV、WEB視頻，尤其是對占用帶寬嚴重的P2P應(yīng)用。通過精確地協(xié)議識別實現(xiàn)對加速的、版本泛濫的、同一版本多變種的、特別的P2P應(yīng)用進行識別，實現(xiàn)高效阻斷。

　　惠爾頓上網(wǎng)行為管理產(chǎn)品可基于用戶/用戶組、應(yīng)用、時間等條件的上網(wǎng)授權(quán)策略可以精細管控所有與工作無關(guān)的網(wǎng)絡(luò)行為，并可根據(jù)各組織不同要求進行授權(quán)的靈活調(diào)整，包括基于不同用戶身份差異化授權(quán)、智能提醒等。

　　記錄上網(wǎng)軌跡，滿足法律法規(guī)要求

　　惠爾頓上網(wǎng)行為管理產(chǎn)品可以幫助組織機構(gòu)詳盡記錄用戶的上網(wǎng)軌跡，做到網(wǎng)絡(luò)行為有據(jù)可查，滿足組織機構(gòu)對網(wǎng)絡(luò)行為記錄的相關(guān)要求，規(guī)避可能的法規(guī)風險。對于常規(guī)的HTTP、郵件、WEB郵件、網(wǎng)絡(luò)論壇發(fā)帖、現(xiàn)在流行的微播、文件傳輸（FTP、telnet、tftp、Printer文件）、即時通訊（QQ、MSN、Yahoo通等）能細致的分析記錄內(nèi)容，通過內(nèi)容的記錄審核員工的上網(wǎng)行為，規(guī)避法律、法規(guī)風險。

　　惠爾頓上網(wǎng)行為管理產(chǎn)品通過風險智能報表來自動發(fā)現(xiàn)存在離職風險或有工作效率問題的員工，并通過關(guān)鍵字報表和熱貼報表來反映員工思想動態(tài)。風險智能報表能夠自動提示管理者關(guān)注離職傾向、泄密風險、工作效率降低等員工管理風險，而關(guān)鍵字報表和熱貼排行等報表將有助于組織深入了解員工的思想動態(tài)，并以此為基礎(chǔ)實施組織文化建設(shè)、制度改進等針對性措施，從而提高企業(yè)管理水平。

　　透明使用網(wǎng)絡(luò),為網(wǎng)絡(luò)優(yōu)化提供決策支撐

　　惠爾頓上網(wǎng)行為管理產(chǎn)品提供了豐富的網(wǎng)絡(luò)可視化報表，內(nèi)置各種網(wǎng)絡(luò)流量報表，從應(yīng)用、用戶、并發(fā)連接數(shù)、流量分析等多個角度展示用戶的流量、網(wǎng)速、帶寬占用。詳細的報告讓管理者清晰地掌握互聯(lián)網(wǎng)流量的使用情況，找到網(wǎng)絡(luò)故障的原因，分析網(wǎng)絡(luò)瓶頸，從而對精細化管理網(wǎng)絡(luò)并持續(xù)加以優(yōu)化提供了有效依據(jù)。

　　惠爾頓上網(wǎng)行為管理產(chǎn)品能夠?qū)崿F(xiàn)用戶網(wǎng)絡(luò)權(quán)限的細致分配以及帶寬的優(yōu)化管理，通過事前精細規(guī)范、事中智能提醒、事后報表呈現(xiàn)等手段實現(xiàn)有效管理；通過將是否具備上網(wǎng)權(quán)限與用戶對IT制度的遵從情況進行綁定，強制要求用戶遵從組織IT制度里的各項細則規(guī)定（如必須安裝指定的殺毒軟件或桌面管理軟件等），并且可以根據(jù)組織要求進行各種智能提醒，通過創(chuàng)新技術(shù)的應(yīng)用，讓IT管理制度融入每位用戶的日常工作中。

　　管控外發(fā)信息，防范泄密風險

　　惠爾頓上網(wǎng)行為管理產(chǎn)品充分考慮網(wǎng)絡(luò)使用中的主動泄密、被動泄密行為，從事前防范、事中告警、事后追蹤三方面防范泄密，為組織保護信息資產(chǎn)安全，智力資產(chǎn)安全，降低網(wǎng)絡(luò)風險。

　　通過部署惠爾頓上網(wǎng)行為管理產(chǎn)品，利用其內(nèi)置的危險插件和惡意腳本過濾技術(shù)過濾掛馬網(wǎng)站的訪問、封堵不良網(wǎng)站等，從源頭上切斷病毒、木馬的潛入，再結(jié)合終端安全強度檢查與網(wǎng)絡(luò)準入、DOS防御、ARP欺騙防護等多種安全手段，實現(xiàn)立體式安全護航，確保組織安全上網(wǎng)。

　　通過多種報表、圖表對業(yè)務(wù)流量展示，直接幫助企業(yè)定位業(yè)務(wù)流量，分析帶寬應(yīng)用，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況，采取有效措施。幫助企業(yè)減少帶寬濫用，優(yōu)化帶寬資源，降低運營成本，保障工作效率，降低安全風險，全面提升帶寬利用價值。

　　4.6.3 典型客戶

　　燕京啤酒、青島啤酒、北京交通大學(xué)、中國地質(zhì)大學(xué)、河北移動、中煤第五建設(shè)公司、和平財政局、北流市衛(wèi)生局

　　4.7 新網(wǎng)程

　　4.7.1 企業(yè)簡介

　　上海新網(wǎng)程信息技術(shù)股份有限公司成立于1998年8月，由清華學(xué)子和資深互聯(lián)網(wǎng)及網(wǎng)絡(luò)安全專家創(chuàng)立，是一家專門從事互聯(lián)網(wǎng)數(shù)據(jù)分析及網(wǎng)絡(luò)信息安全產(chǎn)品研發(fā)的高新技術(shù)企業(yè)。新網(wǎng)程是業(yè)內(nèi)為數(shù)不多的專注于互聯(lián)網(wǎng)各種技術(shù)研究達15年之久，并使用自己開發(fā)的中間件平臺進行產(chǎn)品研發(fā)的企業(yè)。15年來公司圍繞互聯(lián)網(wǎng)數(shù)據(jù)采集、數(shù)據(jù)分析及互聯(lián)網(wǎng)應(yīng)用開發(fā)各種軟硬一體的產(chǎn)品，所有產(chǎn)品均擁有自主知識產(chǎn)權(quán)。目前已推出“網(wǎng)絡(luò)督察上網(wǎng)行為管理系統(tǒng)、新網(wǎng)程互聯(lián)網(wǎng)信息安全審計平臺、新網(wǎng)程內(nèi)網(wǎng)管理系統(tǒng)、新網(wǎng)程 WIFI營銷應(yīng)用平臺”四大系列產(chǎn)品。

　　4.7.2 產(chǎn)品特點

　　精確定位上網(wǎng)用戶

　　網(wǎng)絡(luò)督察上網(wǎng)行為管理系統(tǒng)支持以單位、部門、組、用戶多級管理，根據(jù)單位實際網(wǎng)絡(luò)情況支持以IP地址、MAC地址、賬號驗證、Windows域帳號、VLAN ID、交換機端口、IC卡等多種模式來精確識別、定位用戶，按個人、分組或全體等層次對用戶的上網(wǎng)情況進行審計分析以及控制。

　　實時了解網(wǎng)絡(luò)運行狀況

　　對于企業(yè)管理者來說，實時網(wǎng)絡(luò)情況直接能夠反應(yīng)員工的工作狀態(tài)；對于系統(tǒng)管理員來說，更是其實施網(wǎng)絡(luò)維護的重要依據(jù)。因此，網(wǎng)絡(luò)督察上網(wǎng)行為管理系統(tǒng)提供了精準而全面的實時網(wǎng)絡(luò)監(jiān)控功能來滿足企業(yè)的各項管理需求。

　　通過瀏覽器實時查看用戶當前的上網(wǎng)情況，如當前在線的用戶，其訪問的IP地址信息、網(wǎng)址信息、應(yīng)用服務(wù)信息、流量、占用帶寬等等，并可實時查看用戶即時的聊天信息、外發(fā)表單（BBS）信息、網(wǎng)絡(luò)會話信息等。管理者可了解網(wǎng)絡(luò)目前應(yīng)用狀況，及時進行控制和調(diào)整，保障網(wǎng)絡(luò)正常運行。

　　靈活精細的上網(wǎng)控制手段

　　網(wǎng)絡(luò)督察上網(wǎng)行為管理系統(tǒng)提供完整的訪問控制管理策略，可靈活地按用戶角色或者分組對用戶上網(wǎng)行為進行有效地控制，可以根據(jù)日期、時間段、服務(wù)類型、網(wǎng)址、流量、IP地址、端口范圍等手段設(shè)置控制策略，并提供百萬級的有害信息過濾網(wǎng)址庫防堵不良網(wǎng)站。從而自動實施單位上網(wǎng)管理策略，規(guī)范員工上網(wǎng)行為，減少企業(yè)人員成本投入，避免員工的抵觸心態(tài)。

　　按需分配上網(wǎng)帶寬

　　網(wǎng)絡(luò)督察上網(wǎng)行為管理系統(tǒng)可以對用戶上網(wǎng)占用的帶寬進行管控，可以按網(wǎng)絡(luò)地址段、用戶組、個人或服務(wù)類型來制定策略對帶寬進行管理。可將帶寬劃分成若干個虛擬通道，設(shè)定每個通道的帶寬，上、下載速度的限制，優(yōu)先級和管理策略等，保證關(guān)鍵應(yīng)用或重要人員的上網(wǎng)帶寬，對有限的帶寬進行優(yōu)化使用、合理分配，將網(wǎng)絡(luò)資源使用發(fā)揮到最大。

　　完善的郵件內(nèi)容審計

　　網(wǎng)絡(luò)督察上網(wǎng)欣慰管理的郵件攔截功能能通過預(yù)先設(shè)定的規(guī)則，根據(jù)收發(fā)件人、主題、郵件正文、附件名稱等條件，對外發(fā)的郵件進行攔截、控制，避免員工以電子郵件的方式泄露關(guān)鍵信息。審核人員可以閱讀被攔截下的郵件的全文及附件，再決定發(fā)送、轉(zhuǎn)發(fā)或拒絕等。通過功能擴展可以對郵件病毒進行識別和查殺。

　　完整的信息內(nèi)容記錄

　　網(wǎng)絡(luò)督察上網(wǎng)行為管理系統(tǒng)對所有的上網(wǎng)行為和發(fā)送的信息內(nèi)容進行記錄存檔，一方面是單位寶貴的信息資料庫，另一方面也滿足國家法律法規(guī)的要求。記錄日志可以設(shè)定保留期限來循環(huán)記錄，也可以備份在遠程服務(wù)器上離線搜索查看。

　　豐富直觀的統(tǒng)計圖表

　　網(wǎng)絡(luò)督察上網(wǎng)行為管理系統(tǒng)能通過圖表等統(tǒng)計分析手段了解一段時期內(nèi)的網(wǎng)絡(luò)使用情況、帶寬占用情況和內(nèi)部的網(wǎng)絡(luò)行為是否符合單位的要求等，定位上網(wǎng)問題的所在，為管理提供強有力的決策依據(jù)。所有統(tǒng)計結(jié)果可直接打印，亦可導(dǎo)出到Excel表格，方便進行二次處理。

　　4.7.3 典型客戶

　　上海世博會、寶鋼集團、中國石油、百事可樂、交通銀行、中國人民銀行、交通大學(xué)

　　4.8 安達通

　　4.8.1 企業(yè)簡介

　　上海安達通成立于2002年，旗下產(chǎn)品包括VPN安全網(wǎng)關(guān)、全網(wǎng)行為管理網(wǎng)關(guān)、WEB應(yīng)用安全網(wǎng)關(guān)、帶寬管理網(wǎng)關(guān)、上網(wǎng)行為管理網(wǎng)關(guān)等，安達通全網(wǎng)行為管理TPN-2G 安全網(wǎng)關(guān)將上網(wǎng)行為管理、準入控制管理、IPSEC/SSL VPN 融為一體，借助處于網(wǎng)絡(luò)邊界位置的TPN-2G 安全網(wǎng)關(guān)可以有效的對用戶上網(wǎng)行為進行管理和審計，對接入用戶進行準入控制。通過與“主機威脅引擎”的聯(lián)動防御，將“本地局域網(wǎng)—遠程局域網(wǎng)—移動接入節(jié)點”的資源和安全策略進行統(tǒng)一管理，確保用戶網(wǎng)絡(luò)平臺的可信、可控、可管。

　　4.8.2 產(chǎn)品特點

　　帶寬管理

　　帶寬管理可有效提高用戶上網(wǎng)線路的利用率，保證用戶關(guān)鍵網(wǎng)絡(luò)業(yè)務(wù)的順暢。在TPN-2G 安全網(wǎng)關(guān)的流量控制中，采用了“應(yīng)用流控”和“用戶流控”相結(jié)合的方式，靈活搭配使用，全面解決各種環(huán)境下的帶寬分配需求。獨有的動態(tài)流控技術(shù)既可以有效防止惡意P2P下載、占用網(wǎng)絡(luò)帶寬的行為，又能保護正常的網(wǎng)絡(luò)訪問。

　　網(wǎng)絡(luò)應(yīng)用管控

　　網(wǎng)絡(luò)應(yīng)用管控功能可按時間段對各類網(wǎng)絡(luò)應(yīng)用的訪問進行限制或封堵，比如上班時間禁止使用網(wǎng)絡(luò)游戲和炒股軟件。并對違反控制策略的行為進行記錄。TPN-2G 安全網(wǎng)關(guān)提供應(yīng)用庫的在線升級功能。

　　內(nèi)容過濾

　　TPN-2G 安全網(wǎng)關(guān)的內(nèi)容過濾模塊可以對辦公郵件、論壇訪問、即時通信軟件等應(yīng)用進行關(guān)鍵字過濾和記錄。用戶可以方便地配置需要屏蔽的關(guān)鍵字（如：涉及政治的敏感關(guān)鍵字等）。

　　URL過濾

　　TPN-2G 安全網(wǎng)關(guān)的URL 過濾模塊可以對64 個大類超過2000W 條URL 地址的龐大URL 數(shù)據(jù)庫進行訪問管控。用戶可以方便地選擇需要的URL 地址庫進行屏蔽（如：有安全威脅的惡意網(wǎng)址、游戲網(wǎng)址、娛樂網(wǎng)址、財經(jīng)網(wǎng)址、體育網(wǎng)址、色情網(wǎng)址、暴力網(wǎng)址等）。同時，用戶也可以自行設(shè)定URL 的黑/白名單。

　　URL智能識別

　　URL 智能識別功能會大大提高網(wǎng)址的識別精確度，開啟URL 智能識別功能后，在內(nèi)置URL 庫中查詢不到的URL，會再次查詢智能URL 庫中的關(guān)鍵字，從而提高過來的有效性。

　　防火墻功能

　　TPN-2G 安全網(wǎng)關(guān)內(nèi)置防火墻模塊，可支持雙向地址轉(zhuǎn)換及狀態(tài)監(jiān)測的包過濾，可通過過濾不安全的服務(wù)而減低風險，極大地提高內(nèi)部網(wǎng)絡(luò)的安全性，由于只有經(jīng)過選擇并授權(quán)允許的應(yīng)用協(xié)議才能通過防火墻，使網(wǎng)絡(luò)環(huán)境變得更安全。支持防ARP 欺騙功能。

　　系統(tǒng)監(jiān)控功能

　　TPN-2G 安全網(wǎng)關(guān)可以即時對當前網(wǎng)絡(luò)的訪問情況和訪問歷史進行監(jiān)控，如：監(jiān)控上網(wǎng)情況（如：在線用戶，即時在訪問的網(wǎng)站，即時在使用的網(wǎng)絡(luò)應(yīng)用，即時的網(wǎng)絡(luò)流量和當前被網(wǎng)關(guān)阻斷的訪問等等。）

　　應(yīng)用審計功能

　　TPN-2G 安全網(wǎng)關(guān)可以對電子郵件（包括：POP3/SMTP 郵件和主流的Web 郵件）、論壇發(fā)帖和主流的即時通訊軟件進行內(nèi)容審計。

　　統(tǒng)計報表功能

　　TPN-2G 安全網(wǎng)關(guān)能夠針對不同的對象，靈活生成種類豐富的各式統(tǒng)計報表，以便管理人員分析使用。具體報表有：用戶上網(wǎng)報表、上網(wǎng)時長報表、流量分析報表、網(wǎng)站訪問報表、網(wǎng)絡(luò)應(yīng)用排名報表、搜索引擎報表、郵件收發(fā)報表、即時通信報表、論壇發(fā)帖報表、文件審計報表、威脅事件報表、工作效率報表等。統(tǒng)計報表提供表單、柱圖、餅圖、折線圖等多種報表樣式，簡單直觀。

　　4.8.3 典型客戶

　　上海市港務(wù)集團、上海市工商局、上海社會保障局、浙江省民政廳、王府井集團、上海市藥監(jiān)局、廣州市工商局、廣州地鐵集團、陜西煤運集團、四川水利集團、河北農(nóng)商銀行

　　5、選型要點

　　5.1 資質(zhì)評估

　　資質(zhì)是指由國家認可的權(quán)威第三方認證機構(gòu)，證明一個組織的產(chǎn)品、服務(wù)、管理體系符合相關(guān)標準、技術(shù)規(guī)范或其強制性要求的證明。目前上網(wǎng)行為管理產(chǎn)品資質(zhì)主要有公司資質(zhì)、產(chǎn)品資質(zhì)、測試報告、知識產(chǎn)權(quán)等方面。上網(wǎng)行為管理系統(tǒng)是否具有資質(zhì)，以及資質(zhì)的權(quán)威性都是產(chǎn)品競爭力的體現(xiàn)。因此，關(guān)注資質(zhì)是企業(yè)進行產(chǎn)品選型的第一步。上網(wǎng)行為管理產(chǎn)品的資質(zhì)主要關(guān)注以下四個方面：

　　5.1.1 企業(yè)資質(zhì)

　　對于產(chǎn)品所屬公司的資質(zhì)考察是產(chǎn)品選型的第一步。對于企業(yè)資質(zhì)的考察可關(guān)注該企業(yè)是否通過ISO9001質(zhì)量保證體系認證，ISO9001是ISO9000族標準所包括的一組質(zhì)量管理體系核心標準之一，ISO9001是迄今為止世界上最成熟的質(zhì)量框架，目前全球有161個國家/地區(qū)的超過75萬家組織正在使用這一框架。ISO9001用于證實組織具有提供滿足顧客要求和適用法規(guī)要求的產(chǎn)品的能力，目的在于增進顧客滿意。凡是通過認證的企業(yè)，在各項管理系統(tǒng)整合上已達到了國際標準，表明企業(yè)能持續(xù)穩(wěn)定地向顧客提供預(yù)期和滿意的合格產(chǎn)品。站在消費者的角度，公司以顧客為中心，能滿足顧客需求，達到顧客滿意，不誘導(dǎo)消費者。

　　在選型過程中，關(guān)于企業(yè)資質(zhì)的查詢需由供應(yīng)商提供相關(guān)證書信息，并到指定認證機構(gòu)查詢并確認信息。

　　5.1.2 產(chǎn)品資質(zhì)

　　上網(wǎng)行為管理產(chǎn)品在進入市場銷售之前，必須申請由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局頒發(fā)的《計算機信息系統(tǒng)安全專業(yè)產(chǎn)品銷售許可證》。由于該資質(zhì)是市場準入的強制標準，因此目前市場上的上網(wǎng)行為管理產(chǎn)品全部具有該資質(zhì)。除必須具備該資質(zhì)以外，對于上網(wǎng)行為管理產(chǎn)品的選型還需重點關(guān)注以下三個標準：

　　通過GA658-2006、GA659-2006、GA660-2006、GA661-2006、GA663-2006系列公共安全行業(yè)檢測標準

　　具備國家保密局《涉密信息系統(tǒng)產(chǎn)品檢測證書》，通過BMB15-2004保密檢測標準

　　具備中國信息安全認證中心的《ISCCC中國國家信息安全產(chǎn)品認證證書》，通過GB/T20945-2007檢測標準

　　在上網(wǎng)行為管理產(chǎn)品選型過程中，需優(yōu)先關(guān)注企業(yè)資質(zhì)、產(chǎn)品認證以及行業(yè)標準，產(chǎn)品認證越全面，通過的行業(yè)標準越多，表明產(chǎn)品的可靠性及技術(shù)性能越高。因此，對于產(chǎn)品資質(zhì)的評估，使用者在購買之前務(wù)必了解全面，才能綜合評估。

　　5.1.3 測試報告

　　一項產(chǎn)品資質(zhì)均需要對應(yīng)一份檢測報告的支持，在產(chǎn)品證書資質(zhì)相當?shù)那闆r下，這種檢測報告對用戶選型的指導(dǎo)意義不大。在上網(wǎng)行為管理領(lǐng)域，目前比較權(quán)威的測試報告是由中國軟件評測中心出具的《信息安全產(chǎn)品測試報告》。選型過程企業(yè)可要求供應(yīng)商提供相關(guān)評測報告作為選型參考。

　　5.1.4 知識產(chǎn)權(quán)

　　對于上網(wǎng)行為管理產(chǎn)品來說，知識產(chǎn)權(quán)主要包括軟件著作權(quán)和發(fā)明專利兩方面。軟件著作權(quán)目前主流廠商基本都是具有的，專利部分分為三大類：發(fā)明專利、實用新型專利和外觀設(shè)計專利，而其中發(fā)明專利在上網(wǎng)行為管理中占據(jù)核心地位。特別要注意的是反映產(chǎn)品技術(shù)的發(fā)明專利，因為發(fā)明專利反映了某一產(chǎn)品的核心創(chuàng)新性，而且是該產(chǎn)品獨占的，在一定期限內(nèi)享有的獨占實施權(quán)。在供應(yīng)商的上網(wǎng)行為管理白皮書中都會有對自身創(chuàng)新性技術(shù)的描述，企業(yè)可根據(jù)需求作重點分析和評估。

　　5.2 需求評估

　　需求評估的全面性和準確性關(guān)乎選型的成敗。因此，需求評估是產(chǎn)品選型最為關(guān)鍵的一步。做好需求評估，需要綜合業(yè)務(wù)特點以及企業(yè)管理者對于員工上網(wǎng)行為的管理需求。表3為上網(wǎng)行為管理產(chǎn)品選型評估表，企業(yè)可通過表3來全面分析并評估企業(yè)的需求。

　　5.3 性能評估

　　企業(yè)在決定購買上網(wǎng)行為管理產(chǎn)品前，可先向供應(yīng)商提交試用申請，一般而言，供應(yīng)商在確定企業(yè)有購買需求后，會提供幾周到幾個月不等的產(chǎn)品試用周期。這期間，供應(yīng)商會安排技術(shù)人員上門部署和調(diào)試系統(tǒng)，并組織對企業(yè)人員進行培訓(xùn)。產(chǎn)品試用期間應(yīng)該注意以下幾個問題：

　　結(jié)合企業(yè)需求對所需功能進行逐一測試，評估測試性能并記錄測試數(shù)據(jù)。

　　對暫時不用的功能進行隨機抽取測試，評估測試性能并記錄測試數(shù)據(jù)。

　　通過不斷調(diào)整設(shè)置策略來測試產(chǎn)品的穩(wěn)定性與可靠性。

　　導(dǎo)出日志，進行綜合性能評估。

　　一般而言，企業(yè)至少要試用兩家以上的產(chǎn)品，通過對比試用效果及測試數(shù)據(jù)來綜合評估哪一家的產(chǎn)品更適合企業(yè)的需求。

　　5.4 成本評估

　　除試用及性能評估之外，在購買產(chǎn)品前企業(yè)還需與供應(yīng)商進行充分溝通，包括：

　　1)供應(yīng)商根據(jù)企業(yè)需求給出綜合報價，詳細列明每一項費用，包括設(shè)備采購、部署實施、后期維護及產(chǎn)品升級等費用。

　　2)報價需全面涵蓋可能涉及的所有費用，若有費用無法在前期報價給出，需給出價格計算方式。

　　3)若同時有多家供應(yīng)商產(chǎn)品均滿足企業(yè)要求，企業(yè)可根據(jù)供應(yīng)商給出的報價進行綜合成本評估，評估因素包括廠商口碑、市場影響力以及售后服務(wù)評價等。

　　5.5 合同簽訂

　　在綜合進行資質(zhì)評估、需求評估、性能評估以及成本評估后，企業(yè)才可最后確定選型產(chǎn)品。在部署實施前，企業(yè)需與供應(yīng)商進行服務(wù)合同的敲定。

　　合同內(nèi)容至少需包括以下幾點：

　　1)合同金額及詳細的產(chǎn)品與服務(wù)報價

　　2)實施周期

　　3)驗收標準和方法

　　4)雙方責任

　　5)違約責任

　　6)付款方式

　　6、e-works研究院簡介

　　e-works研究院（e-works Research）是e-works（數(shù)字化企業(yè)網(wǎng)）研究、分析性質(zhì)的組織機構(gòu)。e-works研究院的研究領(lǐng)域方向立足于兩化融合所涵蓋的管理信息化、產(chǎn)品創(chuàng)新數(shù)字化、IT技術(shù)與應(yīng)用、數(shù)控技術(shù)等領(lǐng)域。e-works研究院是網(wǎng)聚了e-works專家、精英等智力資源強力打造的研究、分析品牌。

　　e-works Research致力于成為中國制造業(yè)與信息化進程中的智庫。作為全國首個制造業(yè)與信息化研究實驗室，e-works Research一直秉承客觀、中立的原則，對制造業(yè)與信息化的各領(lǐng)域進行深入觀察與研究。通過發(fā)布行業(yè)調(diào)查、白皮書、選型手冊，發(fā)表文章和演講，舉辦高層論壇、研討會等形式，與各級政府、高層企業(yè)管理者、信息化廠商伙伴們分享e-works Research的研究成果、預(yù)見行業(yè)發(fā)展趨勢、發(fā)現(xiàn)和評估戰(zhàn)略機遇、確保預(yù)期回報、制定發(fā)展計劃和確定業(yè)績評估標準等，以便在隨需應(yīng)變時代創(chuàng)造最大價值。

　　通過多年專注的積累，目前，e-works研究院擁有了一套科學(xué)、嚴謹?shù)恼{(diào)研、整理和分析方法，并通過與各級政府、企業(yè)、信息化廠商、其他研究機構(gòu)廣泛開展合作，已成功取得了多項研究成果。

　　作為專業(yè)的市場研究機構(gòu)，e-works Research整合業(yè)內(nèi)專家資源，將咨詢服務(wù)的所診斷出來的個性問題，放到產(chǎn)業(yè)層面上，通過溝通、調(diào)查、研究等最終形成相應(yīng)的產(chǎn)業(yè)分析報告，對中國制造業(yè)信息化相關(guān)技術(shù)、市場、應(yīng)用與產(chǎn)業(yè)發(fā)展起到了積極的推動作用。

　　e-works Research累計發(fā)布各類產(chǎn)業(yè)研究報告20余份：

• 制造執(zhí)行系統(tǒng)（MES）選型與實施指南(2013年)
• 中國制造業(yè)PLM產(chǎn)業(yè)發(fā)展報告（從2004年開始連續(xù)九年發(fā)布該報告。其中，從2009年開始，e-works與國際知名市場研究機構(gòu)CIMDATA合作，聯(lián)合在全球發(fā)布中英文版的中國制造業(yè)PLM研究報告）；
• 中國制造業(yè)信息化投資趨勢研究報告（2009-2014年四次）；
• 中國制造業(yè)SCM應(yīng)用研究報告（2009年、2011年兩次）；
• 中國制造業(yè)ERP產(chǎn)業(yè)發(fā)展報告（2005年、2007年、2008年三次）；
• 中國民營企業(yè)ERP應(yīng)用研究報告（2006年）；
• 中國制造業(yè)供應(yīng)鏈管理研究報告（2011年）；
• 中國制造業(yè)人力資源發(fā)展研究報告（2010年）；
• 中國制造業(yè)軟件維護市場研究報告（2009年）；
• 中國制造業(yè)虛擬現(xiàn)實及仿真應(yīng)用研究報告（2009，2010年）
• 中國CAE發(fā)展研究報告（2008年）等權(quán)威報告。

圖 e-works權(quán)威發(fā)布中英文PLM研究報告

　　先后有麥肯錫、IDC、IBM、羅克韋爾、達索系統(tǒng)、PTC、西門子PLM、安世亞太、聯(lián)想、金蝶、用友、CAXA、Autodesk、源訊等近百家企業(yè)購買了e-works的市場研究報告。此外，由于信息技術(shù)是一個前瞻性的新興技術(shù)，且技術(shù)含量比較高，推廣難度巨大，更為關(guān)鍵的是如何站在客戶需求的角度來對相應(yīng)的技術(shù)進行闡述，是廣大供應(yīng)商面臨的挑戰(zhàn)，為此e-works Research結(jié)合自身的專業(yè)性，從需求出發(fā)，先后幫助：

• IBM撰寫了IBM智慧工廠白皮書
• Kronos撰寫了中國勞動力管理白皮書
• 用友撰寫了用友U9 V2.0 ERP系統(tǒng)評估報告
• 金蝶公司撰寫了K/3 WISE 白皮書
• 用友PDM應(yīng)用白皮書
• 安世亞太PERA精益研發(fā)平臺評估報告
• SAGE集團SAGE CRM白皮書
• 西門子PLM數(shù)字化制造白皮書
• 惠普公司中小企業(yè)解決方案
• 中國制造業(yè)設(shè)計仿真一體化應(yīng)用研究報告等

圖 e-works Research研究系列評估報告

　　e-works Research網(wǎng)聚優(yōu)質(zhì)資源，客觀、中立、敏銳地洞察制造業(yè)與信息化的發(fā)展！

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標題：上網(wǎng)行為管理選型白皮書

本文網(wǎng)址：http://m.hanmeixuan.com/html/consultation/10839415228.html