· 送手机是骗局(海融天宇公告) · 冒充海融天宇送手机是骗局(郑重 · 网巡NetPatrolPatrol上网行为管 · 中国驻美使馆谈网络安全:诉诸麦 · 中央网络安全和信息化领导小组第 · 2015中国网络安全论坛召开 中央

企业流量控制案例

建设标准的企业网络流量控制制度,减少因与工作无关的网络流量导致核心业务无法得到快速应用,提
中国国际贸易中心流量控制管理解决方案

面临的问题:带宽滥用
随着互联网的普及,企业业务几乎都依托于互联网进行。ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施,共同构成业务信息化平台。但是在内部网络中,除了这些关键业务系统外,还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用,形成了复杂的网络应用“脉络”。
在众多的网络应用中,尤以P2P应用的带宽侵蚀性最为强烈。据调查统计,P2P应用对带宽占用比大致是40%~60%,在极端情况下占用比会达到80%~90%。同时,再加上其他与工作无关的应用占用了带宽资源。因此,在日常办公当中带宽有效利用率不到30%。
工作效率低下
网络的普及改变了传统的办公方式,而企业内总有部分员工在上班时间有意无意的做与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购等,严重影响工作效率,从而导致企业竞争力的下降。
数据泄密
企业业务依托于互联网开展,ERP、CRM、OA、电子商务、视频会议等系统来自于全球高端厂商的开发,都承载着有关于企业的机密信息。在没有任何网络安全防护措施下,企业将承受机密信息外泄风险。因此,为了防止数据安全隐患,既要预防黑客入侵系统窃取资料,又要禁止企业内部员工主动外发资料。
违法行为
企业员工在日常办公中拥有访问互联网的权限,可通过QQ、MSN、论坛或微博等方式外发信息,如果包含了色情、赌博、反动等不良信息,都属于网络违规违法行为,企业或个人将承担法律责任。
安全隐患
互联网的开放给企业带来了信息共享的便利,为业务系统提供了传输平台,但是正因为互联网的开放,网络病毒、蠕虫、木马等不安全因素也随之出现。某些网络安全意识薄弱的员工,在互联网上随意打开网页、点击链接,中毒受感染,并且在内部网络中传播导致大范围严重影响。因此,如何避免来自互联网的侵袭,解决内网安全管理问题,是信息化系统建设中需要考虑的重点问题。

上网行为管理系统建设必须适应当前企业各项应用,又可面向未来信息化发展的需要,因此必须是高质量的。在建设过程中,需要遵循以下原则:
实用性和先进性
采用先进成熟的技术满足大规模数据、语音、视频综合业务需求,兼顾其他相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、语音、视频的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。
安全可靠性
为保证各项业务应用,系统必须具有高可靠性,尽量避免单点故障。要对结构、设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上,在系统设计方案中要应用网络管理手段,保证接入网络用户身份的合法性;采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。
灵活性和可扩展性
上网行为管理系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据企业不断深入发展的需要,方便灵活的扩展应用覆盖范围、扩大存储容量和增加系统功能。具备支持多种网络协议、多种物理接口的能力,提供技术升级、设备更新的灵活性。
开放性和互连性
具备与多种协议计算机通信网络互连互通的特性,确保本系统的基础设施的作用可以充分的发挥。在结构上真正实现开放,基于开放式标准,坚持统一规范的原则,从而为未来的发展奠定基础。设备及端口模块的选型须满足国内外相关的技术标准,并保证与业界主流的网络设备厂家的设备互联、互通。
经济性和投资保护
应以较高的性能价格比构建本系统,使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。
可管理性
由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以在方案设计中,必须具备全面的网络管理解决方案。网络设备必须采用智能化,可管理的设备,同时实现先进的分布式管理。最终能够实现监控、监测整个系统的运行情况,合理分配资源、动态配置策略、可以迅速确定故障点等。通过先进的管理策略、管理工具提高系统的运行性能、可靠性,简化维护工作,从而为办公、管理提供最有力的保障。
因此,系统建设需要从网络的稳定性、可靠性、先进性、扩展性、高性价比、易用性等多方面综合考虑。

设计思路

通过针对企业信息网络业务需求分析,结合上网行为管理系统建设原则,总结出本次方案的设计思路:
1. 在网络出口处部署上网行为管理系统,对企业网络的进出数据流量进行管理。
2. 根据企业组织架构和人员分布,建立用户组树形结构,匹配企业目前组织架构,为后续网络管理奠定基础。
3. 通过上网行为管理系统,对员工在日常办公中与工作无关的网络应用进行控制,例如禁止P2P下载、在线视频、浏览购物网站、网络游戏等。解决带宽滥用问题,提高带宽有效利用率。同时,禁止工作无关应用,提高企业员工工作效率,为企业带来效益增长。
4. 在部署上网行为管理系统后,通过定义关键字的方式,实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤,从而避免敏感信息泄露问题给企业带来经济损失。同时,有效防止不良信息外发行为,避免引起法律纠纷。
5. 通过利用上网行为管理系统中的安全功能,抵御外网安全攻击行为,有效隔离内网,提高内网安全性。
由于大规模部署了上网行为管理系统,因此,为了对整体系统实行有效管理,在总部部署一台集中管理设备,对全网的上网行为管理系统进行统一管理,降低管理成本,提高可管理性。

解决方案

通过在网络出口处部署上网行为管理系统(以下简称AC),对员工上网行为进行精细化控制管理。(在内网部署上网行为管理系统,旁挂于核心交换机,在核心交换机上通过端口镜像将上网流量引流到上网行为管理系统,从而实现行为审计。)

部署方式

1.1.1.1 网关模式

AC以网关模式部署于网络出口处,对内网用户上网行为进行识别与控制。 AC在网关模式下,具有路由选路、NAT地址转换等路由器功能,在网络出口充当“路由器”的角色,满足三层组网要求。针对外网有多条连接互联网线路时,AC具备的多线路智能选路和多线路复用专利技术,可为出口的

通过统计报表功能,将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果,并且支持导出PDF等文档、Email投递等功能,方便IT部门将统计结果向高层汇报。

应用价值

通过在网络出口部署深信服上网行为管理系统AC,对企业网络的进出数据流量进行管理。

提升工作效率

网页过滤策略
上班时间从事私人活动,管理者却难以阻止,如上班时间浏览购物网站、上微博、论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法,让管理者实现指定用户和部门在工作时间只能访问特定的网站,例如行业信息网站、公司门户网站等,而其他未经允许的网页浏览都将被拒绝。
IM(即时通讯)聊天软件的管理
上班时间使用QQ、MSN等私人聊天,不仅影响工作效率,还可能因IM传文件而引入病毒和向外泄密。面对的众多IM软件, AC通过检测应用数据包的特征字段,实现对IM聊天软件的管控,提升工作效率。
全面的行为管理
网页过滤、IM聊天等管控只是内网行为管理的一部分。面对用户上班即挂机下载,搜索最新网络新闻、图片,上班时间更新博客、上传图片、看在线视频、网络游戏等问题,AC支持应用识别规则库,包含1500多种应用,对员工上网行为进行全面管理。
上网时间管理
AC通过为不同部门、不同用户,基于时间段进行权限分配,也可以限制用户一天内总的上网时间,实现人性化管理。支持设定一定的上网时间值,当用户超过这个阀值时,将自动弹出提醒页面,提醒员工上班时间注意提高工作效率,不要从事与工作无关的网络活动。

提高带宽利用率

多线路策略
AC支持多线路复用、带宽叠加技术(专利号:200310112006X),企业通过AC同时连接多条公网线路,提升整体带宽水平。同时结合多线路智能选路技术(专利号:ZL03113974.4),做到流量的智能选路和负载均衡。
P2P软件的控制
P2P行为对带宽具有强烈的吞噬能力,而传统的流控功能在P2P应用上不起作用。AC提供P2P智能识别专利技术(专利号: 200610156977.8),不仅能识别和管控常用P2P软件及版本,对不常见的和未来将出现的P2P亦能管控。而AC提供的P2P流控技术,将限制指定用户开启P2P后占用的带宽。既允许用户使用P2P,又不会滥用带宽。
动态调节
AC支持动态流控功能,通过设定阈值,实现当整体带宽利用率过低时自动调整释放更多的带宽资源,让带宽得到有效利用,避免浪费,比传统单一、死板的流控方法更有效的提升带宽利用率。
带宽统计和管理
AC数据中心对内网用户的各种网络行为进行统计及趋势、报表等。借助图形化报表、曲线和统计结果,可以帮助IT管理者轻松掌控网络行为分布和带宽资源使用等情况。
同时,AC基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智能流控,细致划分与分配带宽资源,如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行为得到带宽保障,提升整个机构的带宽使用效率。

 避免泄密和法律风险

在部署上网行为管理系统后,通过定义关键字的方式,实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤,从而避免敏感信息泄露问题给企业带来经济损失。同时,有效防止不良信息外发行为,避免引来法律纠纷。即使发生了不良信息外发行为,也能够通过对内网用户上网行为实施记录审计,能够在发生网络违法事件的时候通过审计日志追查相关责任人,避免由企业承担相应法律责任。