員工上網管理之金典案例
公司員工上網管理之金典案例
(2020-02-05)河南鄭州科技市場IT產品配送網-鄭州電腦手機測評中心
上網行為管理的必要性和不同的人對上網行為管理的看法。其實從企業管理者的角度來說,上網行為管理的優點是不言自喻的,對企業管理者來說,對員工的上網行為進行管理的最大目的在于保證業務系統的效能,即保證網絡暢通的策略是最符合企業需求的。對企業網絡管理員來說,也不用再為流量管理和非法協議的封堵而煩惱,只需要分析和設置關鍵應用,就可做到對全局的有效管理。而上網行為管理系統分為軟件方案和硬件方案,它們各有什么特點呢?該怎么部署呢?
先來“軟”的:上網行為管理軟件方案剖析
企業對員工的上網行為管理,主要存在三個方面的需求:一是控制員工上網時間長短和允許上網的時間段;二是限制員工訪問網站的范圍及使用的軟件;三是記錄員工的訪問日志和通信數據,以便需要時進行查詢。對于第一種需求來說,硬件設備就很容易實現,而對于后兩種應用,才是軟件方案與硬件方案的競爭點。從某種角度上來說,硬件設備容易出現故障,如接口的損壞、部件的損壞、使用成本比較高。而軟件方案不具有這些缺陷,它比硬件方案具有更良好的擴展性,企業用戶實施起來更方便,能進行更細致有效的管理!
目前,國內上網行為管理軟件比較知名的有LaneCat網貓、百絡網警、聚生網管、網務通等,采用這些軟件都能夠對企業內網的電腦的上網情況進行管理,像監控QQ聊天和郵件信息、限制電腦的P2P下載、限制股票軟件和網絡游戲的運行、限制在線視頻及網頁瀏覽等。而這些上網行為管理軟件是怎樣來達到管理目的呢?
上網行為管理軟件技術
一款上網行為管理軟件的性能如何,主要體現在這三種基本技術上:底層抓包技術、數據包分析技術、表示層技術。
底層抓包是指捕獲網絡上傳送的數據包,而底層抓包技術的評判標準是抓包成功率,目前市面上的上網行為管理軟件大都使用Winpcap(Windows Packet Capture)底層抓包。Winpcap是一個免費公開的軟件系統,是用于網絡封包抓取的一套工具,可適用于32位的操作平臺上解析網絡封包,它包含了核心的封包過濾,一個底層動態鏈接庫和一個高層系統函數庫,以及可用來直接存取封包的應用程序界面。不過據行內技術人員透露,此款抓包軟件在千兆網絡流量下抓包成功率低。目前,也有一些上網行為管理軟件公司使用自己研發的底層抓包軟件,如LaneCat網貓軟件,這款軟件底層在千兆流量的沖擊下抓包成功率仍能達到99.99%。
如何識別員工在做什么,這就是上網行為管理軟件在抓取數據包后要進行的任務了,用專業的術語來說就是進行數據包分析。像郵局在檢測郵寄物品是否非法時,在獲得郵寄包裹后得利用先進技術在不打開包裹的情況下進行檢查,而檢測技術的性能直接決定著檢查成功率的高低。另外,數據包分析技術中的分析效率也直接決定著一款上網行為管理軟件的工作效率高低。
至于表示層技術,主要是指軟件的界面友好程度,像操作難易度、是否具有多國語言界面等,雖然這對于上網行為管理不起關鍵性的作用,但它的優劣直接影響著用戶的選擇使用,因此一款優秀的上網行為管理軟件在表示層技術上也不會疏忽大意
上網行為管理軟件的監控方法
采用上網行為管理軟件,常有哪些方案來進行監控呢?這是企業管理者在選擇上網行為管理軟件前就得了解清楚的,現在的上網行為管理軟件主要有三種監控方案。
1.軟網關監控
軟網關監控方案就是把監控主機當作網關,網內出去的數據包都要經過這臺電腦,由這臺電腦轉發至路由器,再由路由器轉發出去。對于采用這種方式來進行監控的軟件最大的優勢就是能夠對數據進行絕對的監控,缺點就是在中型或大型網絡中,由于監控主機本身性能所限,對網速有較大影響,另外,如果監控主機一旦出現宕機等情況,會造成整個網絡中斷。這種監控方法適合對上網行為管理要求嚴格,且被監控電腦數量不太多(電腦數量適合在200臺以下)的企業使用。
2.ARP方式監控
ARP方式監控就是利用監控主機一直發包,將監控主機的MAC地址偽裝成路由器的MAC地址,把其它電腦的上網數據“欺騙”到這臺監控主機上來,從而獲得其他電腦的上網數據進行分析及控制,對于允許的上網數據,則通過監控主機轉發至路由器上正常傳送。
ARP方式監控的優點就是可以在企業局域網中任意一臺電腦上部署,對于使用者來說安裝非常方便。但它的缺點也是顯而易見的,如果被監控電腦安裝ARP防火墻后,監控就可能會失去作用,另外上網數據由監控主機轉發,也會影響整個網絡的速度。像聚生網管就是采用該方式來進行監控的,這種方案適合監控電腦數量不多(數量在200臺以下),且監控者便于隱蔽(像一些公司老板希望在辦公室內對員工上網行為進行管理)的小型公司使用。
3.旁路偵聽型監控
旁路偵聽型監控就是通過共享式HUB或鏡像交換機自身的功能,把出口數據復制一份到監控主機連接的那個端口,以達到監控的目的。在電腦數量較少的情況下,共享式HUB能完全承載小型網絡,在網絡規模較大時,通過鏡像交換機的端口鏡像功能也完全能夠承載。因此旁聽偵聽型監控的優點是對網絡速度影響較小,同時管理的效果也很出色。采用這種監控方法的代表有LaneCat網貓,對于中大型企業比較適用。
軟件方案實例剖析
在了解了上網行為管理軟件的相關技術和監控方式后,對于企業或機關部門來說,如何根據自己的實際情況來進行部署呢?下面就以兩個最常見的案例進行分析,希望能給打算采購部署上網行為管理軟件方案的用戶一定指導。
北京世紀奧通科技有限公司
企業需求:該公司是一家中外合資企業,因工作需要,員工要經常訪問國外網站,用E-mail與國外客戶進行交流。由于公司內部有部分員工上網下載與工作無關的影像文件及相關軟件,造成其他員工訪問國外網站速度過慢,嚴重影響了公司的正常辦公效率。公司管理者希望選擇簡單便捷、機動靈活、成本低廉的解決方案。
方案分析:經過多方比較,用戶選擇了面向企業網絡應用管理的All-in-One多功能網絡管理軟件——網務通。它集成網關、防火墻、代理服務器等功能,更重要的是為企業用戶提供了網絡訪問行為管理、郵件管理、流量管理和網絡監視等網絡應用管理功能。網務通不僅讓企業用戶把網絡用起來,更重要的是把網絡管起來,幫助企業用戶真正做到事前預防、事中監控、事后追查。
網務通可提供針對網絡安全的Security SaaS 服務,可將軟件、方案、升級、更新和增值服務等以最小的成本提供給中小企業用戶。同時,作為基于標準化硬件的“軟件設備”,用戶很容易將它安裝到基于Intel架構的硬件平臺上,而不是只能安裝到某一特殊架構的廠商硬件平臺,升級性和擴展性較強。這樣的最大好處是減少了廠商的產品分發成本、運營成本和采購成本。另外,網務通還提供免費的全功能體驗版產品,保障企業前期以零成本將網絡管理運轉起來。
使用網務通網絡訪問控制功能,可解決企業員工上網管理中存在的問題,保證網絡的穩定性。北京世紀奧通科技有限公司原來使用10MB光纖,因為有員工不規范下載致使網絡不穩定,使用網務通后,現在使用2MB光纖就可員工的辦公需求,每年節約光纖接入費用近10萬元。
廣州某重工股份有限公司
企業需求:廣州某重工股份有限公司是一家多元化運作、跨地區經營的現代化機械裝備制造企業,該公司打造了信息網絡化的企業平臺,但因病毒、下載等原因,造成公司網絡系統部分時段性能低下,公司的需要綜合起來為4點:一是外網行為管理需求,針對不同部門、不同崗位的工作需要,能設置相應的“開關”;二是內網行為管理需求,針對不同的計算機應用,對各類應用軟件、硬件進行監控,并能實現開放與禁用;三是對計算機工作界面的監控需求,針對特殊情況,可對特殊計算機屏幕進行錄像或實時監控,可對指定計算機進行遠程控制操作;四是統計分析,要能對監控的計算機的各類軟、硬件運行情況進行記錄,并能匯總統計分析。
方案分析:該公司對網絡監控要求較高,同時其電腦數量在300臺以上,并對內網和外網有不同要求。在綜合對比后,該公司選擇了LaneCat網貓,LaneCat網貓穩定性強,功能強大。它分為內網軟件和外網軟件兩套軟件,外網軟件可以針對不同部門、不同崗位的工作需要,設置相應的的管理方案,對流量(瞬時、段時)、網址、聊天工具、郵件、下載工具等進行開放與關閉,并進行記錄。內網軟件能針對不同的計算機應用,對計算機的各類應用軟件、硬件進行監控,并能實現開放與禁用。另外LaneCat網貓的內網軟件和外網軟件可以安裝在同一臺機器上,以方便控制和管理.
在通過該方案進行管理時,由于它是將監控軟件安裝在服務主機上,其它電腦都可登錄進行設置及管理,操作起來非常方便。并且對采用多線路連接外網的企業來說,它還能自動進行負載均衡,如發生某條線路斷線時能自動切換到備份線路,保障網絡不間斷。
“軟”的不行來“硬”的:上網行為管理硬件方案剖析
硬件方案的優勢
整合性較強
上網行為管理硬件方案除了具有獨立的產品方案以外,還能夠和其他網絡安全設備整合在一起,如可將上網行為管理功能整合在防火墻或其他綜合安全網關類產品中,以滿足過程跟蹤、過程記錄、行為控制、報告報表、審計模塊、流量控制、智能限速策略等等要求。對于企業用戶而言,這種整合可以降低管理網絡安全設備的難度,降低后期維護成本,而在功能上又沒有損失。
處理性能強
上網行為管理對數據的處理方式非常復雜,如對一些應用協議的掃描,系統一般要將所有的數據報文攔截,然后通過算法重新組裝成具體的內容,再根據具體的策略以及關鍵字設定等掃描內容,如不符合設定,系統則將數據報文過濾。因此系統性能的高低,直接影響到處理效能以及網絡的吞吐轉發效率,一旦上網行為管理產品性能不足,不僅會影響網速,甚至會出現宕機、業務中斷的危險。因此,相對于上網行為管理軟件方案,硬件方案在處理性能上要強很多,硬件方案在出現故障時,也可以快速對產品進行替換。
系統適應性高
目前企業的內部網絡都比較復雜,再加上客戶的各種復雜需求,上網行為管理系統的適應性強就很重要。上網行為管理硬件方案支持路由、網橋和旁路等多種部署模式,具有雙機備份、雙線路及HSRP等冗余網絡部署方式,適應任何復雜的網絡結構,可以實現集群,以達到高性能的目的,特別是支持統一身份認證,能和AD域、LDAP、Radius、數據庫認證等多種外部認證方式結合,且系統自身也可作為其它如ERP、OA等系統的身份認證設備。
硬件方案的部署方式
1.網關模式
網關模式部署是將上網行為管理產品置于出口網關,所有數據流直接經由設備端口通過,經策略判斷和監控分析后,方可根據用戶權限予以放行或限制。對外,可結合多元化模塊,提供VPN接入和防火墻策略,對內實現上網行為管理。
2.網橋模式
網橋模式也稱透明模式,在網橋模式的應用中,上網行為管理產品起到的如同集線器的作用,設備置于網關出口之后,數據流判斷方式如同網關模式,安裝中基本不會影響原有的網絡結構,設置簡單、透明.
3.旁路模式
在旁路模式中,通過對網絡出口的交換機進行端口映射,將數據流備份,引入旁路中的上網行為管理設備,通過數據監聽和分析來記錄數據流中產生的各項數據,并根據各項數據報表提供全面的審計服務功能。對外,可結合多元化模塊,提供VPN接入和防火墻策略,對內實現上網行為管理。不過在此種配置下,防火墻功能不起作用,上網行為管理部分控制功能也不起作用。
硬件方案實例剖析
華北電網
企業需求:華北電網承擔著首都安全供電和整個華北地區電力供應與服務的重任,隨著企業信息化建設的推進,華北電網對業務可持續性的要求不斷提高。員工上網行為可能引發系統問題,P2P下載、游戲、在線炒股、病毒、木馬、黑客等應用,不僅導致網絡帶寬有效利用率不高,而且還存在一定的安全隱患。面對不斷增長的業務需求,如何規范不同網絡應用的優先級,實現網絡流量、帶寬的總體規劃及精準控制,保障核心關鍵業務平穩運行,是華北電網信息化主管面臨的新問題。建立統一的網絡控制管理平臺,為業務應用提供豐富、高速的帶寬,高效管理員工們的上網行為,實現網絡資源利用的最優化,已成為華北電網發展中的大問題。對此,網康科技的開發人員與華北電網點相關人員共同商討了一套高效、高安全、高擴展的互聯網控制管理方案,構建了精細的互聯網管控平臺,降低互聯網接入風險,以保障電力接入服務安全可靠。
方案分析:通過對華北電網網絡的前期審計評估,了解實際應用的分布情況,網康科技的工程師采用NS15000作為上網行為管理設備,針對華北電網的需求做了針對性的管控策略:加強用戶入網認證,精細分配帶寬流量,有效過濾不良網站,靈活控制網絡應用,實現互聯網使用狀況全面管控、審計,從而規范內部上網行為,降低互聯網接入風險,提升網絡帶寬的使用價值,網絡監控架構如圖7。改造后的網絡管理系統具有以下幾個方面的突出特點:
通過自定義帶寬通道,管理系統對HTTP及關鍵業務系統作了正常使用的評估及相應的帶寬保障;同時通過強大的URL過濾數據庫,有效過濾了與工作無關的網址,保障華北電網關鍵業務在任何狀況下都不受影響,能夠順利進行,帶寬資源得到合理分配。
華北電網新建立的網絡管理系統對員工在上班時間使用P2P類軟件進行了流量限制,同時禁止看網絡電視,降低了這些應用對企業互聯網帶寬的占用。實施以來,網絡總流量下降50%,華北電網點網絡管理工作也變得更加簡單和智能,網管員能夠通過報表統計直觀地完成性能監控、流量管理。
改造后的網絡管理系統啟用了ICG防護功能,針對員工機器中木馬或病毒后產生的異常流量進行自動屏蔽,異常IP被實時監控,隨時報警功能讓網絡安全事故得以及時解除。同時,管理系統給管理員定位網絡故障提供快速有效的依據和手段,保證了華北電網業務系統的正常運行。
河北某高校
企業需求:據某項調查表明,大學生上網主要用于聊天者占34%,主要用于玩游戲者占28%,主要用于查資料者占30%,其他占8%。如此看來,62%的大學生在網上從事與學習、工作無關的活動。聊天、游戲等這樣的網絡娛樂不是不能提倡,但關鍵在于大學生能否自覺約束自己,能否把網絡娛樂當成一種適度的休閑方式,而不是沉溺其中。因此,掌握學生的上網情況,引導他們合理使用網絡資源,是當前教育信息化進程中必須解決的問題。河北某高校為了限制學生的上網行為,決定利用監控、過濾等技術手段,創建綠色校園網絡環境。
方案分析:該高校經過多方對比,選擇了冰峰網絡的上網行為管理硬件解決方案——網極星。通過一段時間的使用,該高校的網絡環境得到了凈化,杜絕了對不良網站的訪問,電腦感染病毒和受到攻擊的機率大大降低,P2P下載得到了有效控制,互聯網的帶寬得到了充分的利用。具體網絡監控架構。
1.合理分配帶寬流量,BT、迅雷等P2P下載軟件得到有效控制,網絡總流量下降60%;
2.保障關鍵業務,遠程教育、視頻傳輸等關鍵業務不再受到影響;
3.高風險和不良信息網站被禁止訪問,大大降低了病毒、蠕蟲的感染幾率;
4.異常流量、異常IP被監控,隨時報警功能讓網絡安全事故得以及時解除;
網極星提供了詳細的互聯網活動監控、統計報表,以便用戶掌握校園內用戶對互聯網的使用狀況,及時對訪問策略做出正確的調整。
河南鄭州科技市場IT產品配送網----------DIY游戲電腦、辦公電腦聯系電話:17739760690(同微信)
