（员工管理）公司员工上网行为解决方案上网行为管理及网络安全解决方案壹、需求概述1.1背景需求分析随着Internet的接入的普及和带宽的增加，壹方面员工上网的条件得到改善，另壹方面也给企业带来更高的网络使用危险性、复杂性和混乱。

于IDC对全世界企业网络使用情况的调查中发现，于上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT 下载或者于线收见流媒体的员工正于日益增加，令网络管理者头疼不已。

据IDC的数据统计，企业中员工30%至40%的上网活动和工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生于工作时间。

尤其值得注意的是，中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。

互联网滥用，给中国企业带来了巨大的损失。

这些员工随意使用网络将导致三个问题：(1)工作效率低下、(2)网络性能恶化、(3)网络泄密和违法行为。

企业网作为壹个开放的网络系统，运行情况愈来愈复杂。

企业的IT管理者如何及时了解网络运行基本情况，且对网络整体情况作出基本的分析，发现可能存于的问题（如病毒、木马造成的网络异常），且进行快速的故障定位，这壹切均是对企业网信息安全管理的挑战，这些问题包括：IT管理员如何对企业网络效能行为进行统计、分析和评估？IT管理员如何限制壹些非工作上网行为和非正常上网行为（如色情网站），如何监控、控制和引导员工正确使用网络？IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料？IT管理员如何于万壹发生问题时有壹个证据或依据？因此，如何有效地解决这些问题，以便提高员工的工作效率，降低企业的安全风险，减少企业的损失，已经成为中国企业迫于眉睫的紧要任务。

当前内网安全管理也随之提升到壹个新的高度，于防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。

越来越多的企事业单位需要对内网进行统壹管理以调整网络资源的合理利用。

1.2具体需求分析某某XX公司访问控制详细需求分析：随着业务的发展，信息化建设步伐的加快，某公司网络安全问题也日益严峻。

虽然于网络出口处已部署了专门的防火墙设备，但无孔不入的病毒（尤其是木马病毒）、垃圾邮件仍然大肆泛滥，严重影响了企业应用系统的运行和公司业务的正常运作；另外，于针对内网的安全方面（尤其是PC客户端准入安全检查），由于缺少专门的客户端安全检查设备，无法有效的保护整个局域网的安全性。

最为重要的是企业对员工的网络使用方面没有很好的限制方法，导致员工的工作效率低下，而且BT下载严重影响了企业内部关键应用的使用。

通过对某公司需求的了解，于内网行为方面于以下几个方面需要解决。

所面临的问题：1.2.1无法做到细致的访问控制首先公司内部办公网络有着自己的网络服资源，将来又可能上其他系统如：OA系统、ERP系统、WEB服务器、邮件服务器等。

且且公司的部门、人员组成十分复杂，无法对这些用户进行细致的分组规定他们访问的资源的权限。

仍有QQ、MSN、BT等网络资源同样无法进行有效的控制，导致用户能够任意的使用网络资源使员工效率降低，且且加大了企业的风险。

1.2.2无法对内网用户的网络行为进行有效的监控提到网络安全问题，大多数用户均只关注外网安全。

可是其实企业的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。

所以虽然公司内部已经部署了防火墙等安全设备，可是无法对内网用户的网络行为进行有效的监控，包括邮件、BBS上传、下载等。

1.2.3没有很好的统计方法，无法得知内网的使用情况管理员无法具体知道网络的使用情况只能听员工反映的情况，最多只能简单的记录壹些IP访问情况，查寻和统计相当不方便。

1.2.4无法保证客户端的安全性由于员工的机器没有限制，所以无法保证于上网时的安全性，导致很容易从访问网站中感染病毒，木马，等不安全因素，从而影响整个内网用户的应用。

1.3网络现状分析某某XX公司目前于Internet出口处部署了防火墙设备，内部网络通过核心三层交换机，2层交换连接到各部门办公区域，由于为将来可能会上OA系统、ERP系统、WEB服务器、邮件服务器等，具体的部署结构图如下：目前网络的使用情况：某某XX公司内部办公网络办公用户大约于100人左右。

于P2P流量控制方面没有下载带宽限制，内网有很多病毒，经常出现攻击事件，内网用户上网权限没有有效限制等。

鉴于之上情况，某某XX公司需部署壹台上网行为管理设备实现以下需求：1、对内部用户不同的部门划分不同的组且给予不同的上网权限，如经理之上级别的领导，要求内网行为不受限制；财务部门仅开放国税、地税等税务关联网站，其它任何访问Internet的活动均受限制。

2、开设公共区域，使没有上网权限的用户，能够通过自己的用户名、密码于这些PC上进行有限的互联网活动，同时记录每个公共区域用户于互联网上的行为。

3、对终端用户PC机上的代理软件进行彻底封堵。

4、对内网用户所有的上网行为，包括MSN、QQ等聊天内容以及上传下载进行监控审计，通过集中报表的方式反应网络的使用情况。

二、解决方案2.1AC上网行为管理设备功能介绍✓控制功能：细致的访问控制功能，有效管理用户上网SINFORAC安全网关不仅能够对员工访问WEB、FTP、MAIL等常用服务的内容进行控制，更能够对QQ、BT、MSN、SKYPE等各种P2P软件的行为进行限制和控制。

丰富的报表功能仍能够分析出企业的Internet的详细使用情况，为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。

基于Web的和LDAP/Radius集成的用户认证功能，使得对上网用户的管理变得十分灵活方便。

表2.1：访问控制功能壹览表✓（二）报表功能：强大的数据报表中心，提供直观的上网数据统计SINFORAC网关拥有强大的数据中心，管理者可分组、用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查见到网络流量、邮件、网络监控、IPS系统、准入规则、防火墙等详细信息，且可直接打印和导出报表。

SINFORAC网关强大的日志系统和丰富的报表功能，可详细分析出企业的Internet的详细使用情况，为网络管理员和决策者提供了最有效的数据支持。

表2.2：数据中心功能壹览表✓（三）带宽及流量管理功能：强大的QOS功能及流量分析SINFORAC安全网关强大的访问控制和QOS功能能够使得企业合理利用Internet资源，为不同的用户分配不同的带宽和上网权限，使得Internet资源得到有效利用，且大大提高员工的工作效率。

SINFORAC安全网关能够详细记录和分析所有流量的内容，包括http、ftp、mail、telnet 等常用软件的内容和常用IM软件的内容。

另外仍能按用户、用户组、协议和时间对Internet 流量进行统计分析，以优化员工对Internet的资源使用情况。

使得企业有限的带宽能得到最充分的利用，提高企业的网络利用率。

表2.3：QOS及流量控制功能壹览表✓（四）增值的安全防护功能：多重的安全防护，给网内设备予更有力的保护。

强大AC的病毒防护模块于通过网页过滤、应用控制、流量合理划分和监控审计后，需要的就是壹个和谐的内网环境。

内网用户中毒，感染局域网，导致业务中断，这于很多组织机构中曾经出现过。

AC为此为组织网络从外至内提供三道牢固的内网安全防线。

从进口杜绝来自外网的隐患，且节省下巨额的购买防毒设备的费用。

2.2设备选型及介绍根据对某某XX公司的网络结构了解，推荐使用深信服科技AC1100上网行为管理设备，它隶属于深信服上网行为管理AC1000产品系列。

AC1000系列设备是中端内网行为管理产品中的典范，是安全防范意识强、需要管理和控制互联网访问的用户的第壹选择。

目前已经成功运行于政府、教育科研、电信、金融证券、电网电力、石油石化、制造等行业。

终上所述，AC1100上网行为管理设备于这个项目上是十分合适的，以下是此设备的基本性能参数：SINFORM5100-AC性能参数表：重要性能指标：●吞吐速度：100Mbps●包转发速率：96,000●可管理用户数：100●且发会话数目：60,000●最大规则数目：2048●最大时间规则数目：128●最大QOS规则数目：128网络接口：●标准接口：100BASE-T(RJ-45)*4（WAN*2LAN*1DMZ*1）●扩展接口：无●串口：RS232*1硬件规格：●电源功率180W●尺寸(cm)：42.7(W)×32.9(D)×4.45(H)●重量：4.5Kg●1U机架式结构2.3具体实施某某XX公司的网络情况，AC系统部署图如下：部署总部网网桥模式网桥模式将SINFORAC等同于壹根连接于网关和交换机之间的“智能网线”。

此部署模式带来的价值于于：1、能够对所有流经AC的数据流进行审计、管理和控制。

2、对企业内部原有的网络部署结构无需任何改变，只需要分配壹条网线即可。

三、方案优点及价值某某XX公司的需求，通过深信服科技的上网行为管理SinforAC1100的具体实施，带来以下价值：3.1管理网络带宽网络流量管理AC上网行为管理产品通过审计、控制、优化和带宽叠加等功能，协助管理者全面分析和优化广域网带宽资源。

AC的数据中心（NetworkDataCenter，NDC）对局域网发生的所有网络行为进行记录、分析和趋势方案。

借助图形化的数据和报表，用户能够直观地了解到哪些服务占用了广域网宝贵的带宽资源，网页浏览，收发邮件，仍是疯狂的P2P下载。

同样，我们仍能够了解到哪个员工于网上购物方面表现出了异于常人的活跃，哪些部门于上班时间观见了最多的于线影片。

通过对网络使用情况的深入了解，管理者能够制定出最适合自身组织机构情况和的互联网访问策略。

由于AC提供对各种网络服务的拦截和管理，以往的拔网线、通报点名的强制性手段将成为过去，如何发挥AC的强大功能只取决于你的决心。

如果你于“彻底封杀某个服务”，仍是“完全放开这项服务”的决定中摇摆不定（例如P2P下载，其吞噬带宽的同时也带给了我们丰富的信息资源），你也能够选择对应用的流量进行调整。

P2P软件的控制P2P技术使人们能够高速获取海量的网络资源，而P2P软件对带宽的占用也使其招致种种恶言。

壹个2M以太网出口的局域网，只要有2个之上的员工不限速地使用BT，所有人的正常网络浏览均将成为不可完成的任务（MissionImpossible）。

每天，互联网上均会有人发布最新的P2P软件，这让大多数的P2P控制工具望尘莫及，它们往往只能封堵“昨天的BT软件”。

AC改变了这壹切。

通过对P2P下载软件的智能检测(专利号：200610156977.8），管理员甚至能够彻底封锁所有的P2P流量。