文档介绍：上网行为管理系统方案一、 需求背景集团内部网络基础建设已基本完成,但缺少相应的监控手段,从安全保密角度无法审计每位员工网络的行为。虽然防火墙已经部署,但作为一个安全产品,它可以有效的防御一些外来的攻击,但对公司员工上网行为处于一种透明状态,防火墙无法做到主体安全的管理,对于员工的行为控制也束手无策。H前结合公司的网络安全管理规定制度,信息管理小心在网络交换机上制定了ACL访问控制策略,通过关闭非必要端口的方式来控制员工的上网行为。但是这种方式维护起来非常繁琐,工作量较大,且随着互联网应用的丰富,这种ACL的管理方式越来越无法满足精细化的上网控制。冃前应公司安全保密要求,需在公司内部合理的审计员工的上网行为,需对员工的对外发送信息,如:论坛发帖、外发邮件的内容、网站信息的浏览等等,做到实时监管,一旦发现员工有损害公司利益的行为或从事非法活动,立刻得以定位,并对其进行处理。二、 需求分析实名制管理的需求公司内部网络的使用者构成复杂,不仅有内部常驻员工,可能还会流动人员、分支机构人员等。如果外来人员随意接入,可能出现不遵从公司的上网规定的行为,不良行为风险将转嫁给接入公司。而对于公司内部人员,如果无法将互联网行为与真实的人关联起来,则内部出现不良行为后无法定位到人,无法对当事人进行及时的纠正。针对以上需求,我们需要有效的方法对使用公司网络的用户进行身份认证,对合法用户放行而拒绝非法接入。同吋,结合有效的识别手段,将互联网行为与真实人员关联,使于定位互联网行为的主体。防互联网泄密的需求电子邮件、即时聊天以及论坛发帖等网络应用,为人们沟通信息提供了极大的便利,但也可能成为员工泄密的工具。公司内部员工可能掌握着一些皱感数据,这些重要信息可能通过网络“轻易而快速”地传递到外部,对公司造成重大损失。另外,P2P分亨、木马入侵也可能造成无感知的被动信息泄密,如果不能及吋阻断这类情况,同样会对公司带来泄密隐患。针对以JL需求,我们需要有效的方法对通过各种途径外发的信息进行审计与过滤控制,避免内部机密信息被外发并留存相应记录便于查证。同时,严格控制P2P与木马的侵入,避免被动泄密。规避法律风险的需求互联网充斥着各种良莠不齐的信息,公司员工在获取有用信息的同吋,也容易被不良内容侵蚀。员工从公司内网访问互联网不良资源,比如访问色情、赌博、犯罪网站等,或通过公司内网向互联网发布一些过激言论、反动信息等,不仅会为公司形象带来负面影响,甚至如果触犯了国家的法律招致有关部门的调查,还会牵连公司面临法律风险。针对以上需求,我们需要有效的方法实现对分类网址的访问控制,同吋对员工的网页访问进行记录留存。同吋,对外发信息进行审计与过滤控制,避免外发不良言论并留存相应记录便于查证。保障工作效率的需求互联网上各类应用带來工作的便利的同时,也为工作效率带來的挑战。在线聊天、浏览娱乐类网站、网络视频、网络游戏、在线炒股、博客、微博等无时无刻不在占用正常的工作时间,敲击键盘和点击鼠标的“忙碌”表项背后却是低下的工作效率。在高度网络化的现代办公环境里,办公室可能成为“舒适的网吧”,人力资源在无形屮浪费巨大,公司运行效率也因此大大降低。针对以上需求,我们需要有效的方法对员工在工作时间使用的应用、访问的网站进行分类管理,并引导员工合理、高效的使用互联网,从而达到提升工作效率的F1的。代替原來部署在交换机上的ACL策略,实现对员工上网行为的灵活控制。防私接及终端识别管理的需求为了更好的实现对员工的管理,不同员工我们会分配不同的丄网权限。但部分员工会私自增加小路由器或使用软件实现网络共亨,为其他人或移动设备提供网络接入,这对我们的一方面对我们内网安全造成了很大影响,另一方面上网权限的分配也极容易被打破和绕过。另外,为了方便员工办公,集团内部实现了无线覆盖,这就势必迎来移动终端设备的接入,这就要求我们必须有技术手段可以识别接入网络的终端设备的类型,针对不同的终端采取不同的管理策略,加强网络安全管理。统一集中管理的需求由于公司需要对下属多个分支机构进行管理,所以在木建议方案屮,对于上网行为管理设备的需求,主要集屮在分支机构,对于这些部署在公司各个分支机构的上网行为管理设备来说,如何实现总部集屮对所有设备的统一管理、实施策略的统一下发回收、升级色的统一分发等也是网络管理员十分关注的问题。针对以上需求,我们需要集屮管理平台的介入,完成在总部对所有远端的分支机构设备的管理。日志存储的需求公安部82号令即《互联网安全保护技术措施规定》明确要求“记录并留存用户访问的互联网地址或域名”、“在公共信息服务屮发现、停止传输违法信息,并保留和关记录,能够记录并留存发布的信息内容及发布时间”、“应当具有至少保存六十天记录备份的功能”。因此公司在对上网行为进行管理的同时,需要遵从上述的要求,留存相应的日志记录。针