公司员工上网行为解决方案

上网行为管理及网络安全解决方案

*****公司

FOR ****公司

一、需求概述

1.1 背景需求分析

随着Internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在IDC对全世界企业网络使用情况的调查中发现，在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT 下载或者在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。据IDC的数据统计，企业中员工30%至40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。尤其值得注意的是，中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。互联网滥用，给中国企业带来了巨大的损失。

这些员工随意使用网络将导致三个问题：(1)工作效率低下、(2)网络性能恶化、(3)网络泄密和违法行为。

企业网作为一个开放的网络系统，运行状况愈来愈复杂。企业的IT管理者如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题（如病毒、木马造成的网络异常），并进行快速的故障定位，这一切都是对企业网信息安全管理的挑战，这些问题包括：

IT管理员如何对企业网络效能行为进行统计、分析和评估？

IT管理员如何限制一些非工作上网行为和非正常上网行为（如色情网站），如何监控、控制和引导员工正确使用网络？

IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料？

IT管理员如何在万一发生问题时有一个证据或依据？

因此，如何有效地解决这些问题，以便提高员工的工作效率，降低企业的安全风险，减少企业的损失，已经成为中国企业迫在眉睫的紧要任务。当前内网安全管理也随之提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。越来越多的企事业单位需要对内网进行统一管理以调整网络资源的合理利用。

1.2 具体需求分析

某某有限公司访问控制详细需求分析：

随着业务的发展，信息化建设步伐的加快，某公司网络安全问题也日益严峻。虽然在网络出口处已部署了专门的防火墙设备，但无孔不入的病毒（尤其是木马病毒）、垃圾邮件仍然大肆泛滥，严重影响了企业应用系统的运行和公司业务的正常运作；另外，在针对内网的

安全方面（尤其是PC客户端准入安全检查），由于缺少专门的客户端安全检查设备，无法有效的保护整个局域网的安全性。

最为重要的是企业对员工的网络使用方面没有很好的限制方法，导致员工的工作效率低下，而且BT下载严重影响了企业内部关键应用的使用。

通过对某公司需求的了解，在内网行为方面在以下几个方面需要解决。

所面临的问题：

1.2.1 无法做到细致的访问控制

首先公司内部办公网络有着自己的网络服资源，将来又可能上其他系统如：OA系统、ERP系统、WEB服务器、邮件服务器等。并且公司的部门、人员组成十分复杂，无法对这些用户进行细致的分组规定他们访问的资源的权限。还有QQ、MSN、BT等网络资源同样无法进行有效的控制，导致用户可以任意的使用网络资源使员工效率降低，并且加大了企业的风险。

1.2.2 无法对内网用户的网络行为进行有效的监控

提到网络安全问题，大多数用户都只关注外网安全。但是其实企业的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。所以虽然公司内部已经部署了防火墙等安全设备，但是无法对内网用户的网络行为进行有效的监控，包括邮件、BBS上传、下载等。

1.2.3 没有很好的统计方法，无法得知内网的使用状况

管理员无法具体知道网络的使用情况只能听员工反映的情况，最多只能简单的记录一些IP访问情况，查寻与统计相当不方便。

1.2.4 无法保证客户端的安全性

由于员工的机器没有限制，所以无法保证在上网时的安全性，导致很容易从访问网站中感染病毒，木马，等不安全因素，从而影响整个内网用户的应用。

1.3 网络现状分析

某某有限公司目前在Internet出口处部署了防火墙设备，内部网络通过核心三层交换机，2层交换连接到各部门办公区域，由于为将来可能会上OA系统、ERP系统、WEB服务器、邮件服务器等，具体的部署结构图如下：

目前网络的使用情况：

某某有限公司内部办公网络办公用户大约在100人左右。在P2P流量控制方面没有下载带宽限制，内网有很多病毒，经常出现攻击事件，内网用户上网权限没有有效限制等。

鉴于以上情况，某某有限公司需部署一台上网行为管理设备实现以下需求：

1、对内部用户不同的部门划分不同的组并给予不同的上网权限，如经理以上级别的领导，要求内网行为不受限制；财务部门仅开放国税、地税等税务相关网站，其它任何访问Internet的活动均受限制。

2、开设公共区域，使没有上网权限的用户，可以通过自己的用户名、密码在这些PC

上进行有限的互联网活动，同时记录每个公共区域用户在互联网上的行为。

3、对终端用户PC机上的代理软件进行彻底封堵。

4、对内网用户所有的上网行为，包括MSN、QQ等聊天内容以及上传下载进行监控审计，通过集中报表的方式反应网络的使用情况。

二、解决方案

2.1 AC上网行为管理设备功能介绍

✓控制功能：细致的访问控制功能，有效管理用户上网

SINFOR AC安全网关不仅可以对员工访问WEB、FTP、MAIL等常用服务的内容进行控制，更可以对QQ、BT、MSN、SKYPE等各种P2P软件的行为进行限制和控制。丰富的报表功能还可以分析出企业的Internet的详细使用情况，为网络管理员和决策者分配和了解

员工网络资源提供有效数据支持。基于Web的和LDAP/Radius集成的用户认证功能，使得对上网用户的管理变得十分灵活方便。

表2.1：访问控制功能一览表

✓（二）报表功能：强大的数据报表中心，提供直观的上网数据统计

SINFOR AC网关拥有强大的数据中心，管理者可分组、用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网络流量、邮件、网络监控、IPS系统、准入规则、防火墙等详细信息，并可直接打印和导出报表。SINFOR AC网关强大的日志系统和丰富的报表功能，可详细分析出企业的Internet的详细使用情况，为网络管理员和决策者提供了最有效的数据支持。