隨著Internet接入的普及和帶寬的增加。一方面員工上網條件得到改善,另一方面也給公司帶來更高的網絡使用危險性、復雜性和混亂性。內網用戶訪問互聯網多樣化資源信息方便易行,同時很有可能受到網絡上木馬、病毒等的攻擊,從而造成內網的癱瘓。另外在上班工作時間非法使用郵件、瀏覽非法Web網站、進行音樂和電影等BT下載、在線收看流媒體的員工正在日益增加。從事與工作無關的活動,不僅影響工作效率,而且占用了帶寬資源,很有可能使得企業的重要業務得不到保障,更有甚者,發表不良、反動言論,嚴重影響公司的企業形象。
在企業內網建設一個高效性、安全性和規范性的上網行為管理系統,可以提高員工工作效率,有效降低非工作上網行為,保障網絡資源合理使用;減少安全風險,避免上網導致的病毒、惡意代碼給企業帶來的潛在風險;同時提高網絡可管理性,便于網絡與行政管理。
一、網絡現狀與問題
目前,大型企業網絡現狀拓撲如圖1所示。企業內網核心交換機通過防火墻與IP城域網連接,以訪問互聯網。現有網絡網關處通過部署防火墻解決網絡安全問題。但是隨著員工的增多,缺乏規劃的管理逐漸暴露出諸多問題:
圖1 網絡現狀拓撲圖
(1)安全問題:在互聯網應用方面,HTTP、SMTP、FTP、POP3等協議,幾乎每天都面臨不同的安全風險,病毒、蠕蟲、垃圾郵件、木馬程序、網絡釣魚等惡意行為也在伺機攻擊企業的IT系統。
(2)保密問題:客戶資料、商業信息、企業秘密等機密文件,可能輕易地通過E-mail、QQ、MSN、BBS等網絡行為向外發送,防火墻對此是無法恥的,這就導致重要焦斟泄,造成安全隱患。
(3)管理問題:網絡游戲、聊天交友、BT下載、在線音樂、在線電影等不適當的網絡行為不但影響了員工的工作效率,而且還占用企業大量的網絡出口帶寬資源。給企業正常的網絡業務帶來極大的影響。
企業上網的解決方案
為對訪問互聯網敏感信息的內容進行檢查、過濾和控制,屏蔽來自互聯網的惡意代碼、非法網頁和有害信息,應在企業內網互聯網出口部署上網行為管理系統網關設備,并實現與終端管理平臺用戶目錄集成,構建完整的終端與用戶行為的管理體系。上網行為管理系統網關設備具備以下特征:
(1)提供全面準確的通信內容管理、網絡行為管理手段;
(2)滿足高性能要求,提供強大的分析和處理能力,保證正常網絡通信的質量;
(3)具備高可靠的自身安全性,保證網絡、自身設備的高可用性;
(4)提供方便靈活的部署方式,豐富的系統管理能力。
上網行為管理系統的部署應以現有網絡改動最小為原則,簡化部署過程,減少鏈路或業務中斷時間。根據不同的部署方式有不同的建設方案:
1.旁掛方式
考慮到互聯網訪問的要求高可用性及實時性,系統性能不能降低原有網絡帶寬,延遲,抖動等性能指標,同時不改變用戶習慣,新增上網行為管理器物理旁接在現有網絡互聯網出口處。為保障系統高可用性,上網行為管理器采用雙機冗余部署方式,設備發生故障時,不影響訪問互聯網。旁掛方式網絡拓撲結構如圖2所示。
圖2 旁掛方式網絡拓撲圖
上網行為管理器通過辦公用戶互聯網核心交換機現網多余的SPAN端I=/流量映射方式,使上網行為管理系統獲取辦公用戶的互聯網訪問流量并進行分析和策略過濾控制,或者采用路由方式進行流量分析和策略過來控制,都不會對現有網絡的處理速度產生影響。
另外,新增1臺服務器,作為日志存儲服務器,提供存儲6個月以上的報告能力。該新增服務器在本系統中起外置存儲作用,故無需雙機備份。
2.串接方式
新增上網行為管理器物理串接在網關NAT設備和核心交換機之間,可以對上網行為管理系統的數據進行上網安全過濾、上網行為控制和審計。串接方式網絡拓撲結構如圖3所示。
為保障系統高可用性,上網行為管理器采用雙機冗余網橋(透明)模式部署,且設備發生故障時自動切換為中繼設備,除上網行為管理功能失效外,不影響訪問互聯網。
圖3 串接方式網絡拓撲圖
另外。新增1臺服務器,作為日志存儲服務器,,提供存儲6個月以上的報告能力。該新增服務器在本系統中起外置存儲作用,故無需雙機備份。
三、方案對比
以上兩種方案中,旁掛方式的優點在于無需對現網作調整、不會降低原有網絡性能指標、不改變用戶習慣。施工容易,缺點是需在三層交換機上作端口影像。串接方式的優點是無需在三層交換機上作端口影像,效率較高,但會影響現網數據流量等性能指標、且涉及業務割接,施工難度大。
綜合分析,由于旁掛方式無需對現有網絡進行調整且不會降低現網性能指標、施工比較簡單方便等優勢,因此采用旁掛方式實施。
系統實現功能
上網行為管理系統包含了上網安全過濾、上網行為控制、報告和審計、集中管理和委派權限、報警機制等功能。
(1)上網安全過濾:管理上網行為的一個重要原因就是提升上網安全性,系統可以提供多種安全強化能力,主動過濾含有惡意插件、危險腳本、木馬、病毒的惡意網站,即使內網終端感染木馬、病毒、被黑客控制,系統同樣可以識別、封堵并報警。
系統提供惡意網站過濾、惡意網站庫快速更新、惡意代碼的實時掃描識別與控制、代理回避技術過濾、客戶端危險流量識別、定位與控制、多種控制動作、非80端口惡意流量偵測。
(2)上網行為控制:系統能夠識別用戶訪問網頁、P2P下載、聊天、炒股等行為,并能結合對象化的上網策略對用戶的上網行為進行靈活的控制。系統可提供基于用戶、用戶組、IP、IP段以及時間、工作日等多種策略元素進行管理策略設置。例如:工作時間段不允許用戶瀏覽與工作無關網站,而在下班時問段或周末則不做控制;不同的用戶、用戶組實現不同的分時段控制策略等。
系統可提供控制動作提供阻止、提示警告、僅監控等多種管理方式,可實現基于訪問時間長度、流量份額、文件類型、關鍵詞過濾等多種方式對用戶的互聯網訪問進行管理。
(3)報告和審計:系統具備報告記錄與統計分析功能,可使管理員方便直觀地看到當前網絡訪問的網絡流量、風險趨勢等總體情況,也能夠針對一個或多個用戶、用戶組、IP網段進行詳細統計,對這些統計對象的指定時間段、指定網站類型、指定應用類型的上網行為進行審計。
(4)集中管理和委派權限:系統可對各分公司上網策略、日志審計進行集中的管理,也可以基于角色對各種管理權限進行委派,不同角色的權限可進行靈活的劃分,同時提供對各類管理員操作記錄的審計功能。
(5)報警機制:系統可實時監控用戶訪問情況與系統狀況,出現異常情況時可自動告警。系統提供多種報警機制、自定義異常報警機制。系統可實現與網管系統結合功能提供標準管理接口,支持SNMP協議,支持網管系統的配置、故障、性能、安全等各方面所需的管理能力。
四、實施效果
企業上網行為系統部署后,不同的部門設置不同的互聯網訪問策略,對可訪問的互聯網內容做了嚴格的限制,不同崗位的員工擁有相應的互聯網訪問權限,對每一項互聯網業務按需分配了網絡帶寬,保證了主要業務的暢通無阻,對所有部門的上網行為進行了實時監控管理,保留詳細用戶訪問記錄備查。通過一段時間的使用發現,公司內網越來越穩定,網絡速度明顯改善。阻止了不良網站的訪問,減少惡意軟件的侵擾,終端故障率降低。由于控制了網絡游戲的使用,員工工作效率有較大提高。同時,系統加強了對E—mail、BBS等外發信息的監管,減少了企業機密信息外泄的可能。通過對上網行為的分析,可以掌控各部門的上網使用情況,提高網絡可管理性,便于網絡與行政管理。
五、結束語
企業上網行為管理系統的建設為企業提供了一個高效、安全和規范的互聯網環境。系統建成并實施后,為企業提供完整的解決方案來實現統一的用戶管理。員工更高的工作效率來提高企業的整體創新和管理能力,促使企業向知識型、學習型企業發展,實現企業的管理規范化,有效地支持企業的戰略發展。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:企業上網行為管理系統的應用
相關文章
