員工上網(wǎng)管理之金典案例
公司員工上網(wǎng)管理之金典案例
(2020-02-05)河南鄭州科技市場IT產(chǎn)品配送網(wǎng)-鄭州電腦手機測評中心
上網(wǎng)行為管理的必要性和不同的人對上網(wǎng)行為管理的看法。其實從企業(yè)管理者的角度來說,上網(wǎng)行為管理的優(yōu)點是不言自喻的,對企業(yè)管理者來說,對員工的上網(wǎng)行為進行管理的最大目的在于保證業(yè)務系統(tǒng)的效能,即保證網(wǎng)絡暢通的策略是最符合企業(yè)需求的。對企業(yè)網(wǎng)絡管理員來說,也不用再為流量管理和非法協(xié)議的封堵而煩惱,只需要分析和設置關鍵應用,就可做到對全局的有效管理。而上網(wǎng)行為管理系統(tǒng)分為軟件方案和硬件方案,它們各有什么特點呢?該怎么部署呢?
先來“軟”的:上網(wǎng)行為管理軟件方案剖析
企業(yè)對員工的上網(wǎng)行為管理,主要存在三個方面的需求:一是控制員工上網(wǎng)時間長短和允許上網(wǎng)的時間段;二是限制員工訪問網(wǎng)站的范圍及使用的軟件;三是記錄員工的訪問日志和通信數(shù)據(jù),以便需要時進行查詢。對于第一種需求來說,硬件設備就很容易實現(xiàn),而對于后兩種應用,才是軟件方案與硬件方案的競爭點。從某種角度上來說,硬件設備容易出現(xiàn)故障,如接口的損壞、部件的損壞、使用成本比較高。而軟件方案不具有這些缺陷,它比硬件方案具有更良好的擴展性,企業(yè)用戶實施起來更方便,能進行更細致有效的管理!
目前,國內(nèi)上網(wǎng)行為管理軟件比較知名的有LaneCat網(wǎng)貓、百絡網(wǎng)警、聚生網(wǎng)管、網(wǎng)務通等,采用這些軟件都能夠對企業(yè)內(nèi)網(wǎng)的電腦的上網(wǎng)情況進行管理,像監(jiān)控QQ聊天和郵件信息、限制電腦的P2P下載、限制股票軟件和網(wǎng)絡游戲的運行、限制在線視頻及網(wǎng)頁瀏覽等。而這些上網(wǎng)行為管理軟件是怎樣來達到管理目的呢?
上網(wǎng)行為管理軟件技術
一款上網(wǎng)行為管理軟件的性能如何,主要體現(xiàn)在這三種基本技術上:底層抓包技術、數(shù)據(jù)包分析技術、表示層技術。
底層抓包是指捕獲網(wǎng)絡上傳送的數(shù)據(jù)包,而底層抓包技術的評判標準是抓包成功率,目前市面上的上網(wǎng)行為管理軟件大都使用Winpcap(Windows Packet Capture)底層抓包。Winpcap是一個免費公開的軟件系統(tǒng),是用于網(wǎng)絡封包抓取的一套工具,可適用于32位的操作平臺上解析網(wǎng)絡封包,它包含了核心的封包過濾,一個底層動態(tài)鏈接庫和一個高層系統(tǒng)函數(shù)庫,以及可用來直接存取封包的應用程序界面。不過據(jù)行內(nèi)技術人員透露,此款抓包軟件在千兆網(wǎng)絡流量下抓包成功率低。目前,也有一些上網(wǎng)行為管理軟件公司使用自己研發(fā)的底層抓包軟件,如LaneCat網(wǎng)貓軟件,這款軟件底層在千兆流量的沖擊下抓包成功率仍能達到99.99%。
如何識別員工在做什么,這就是上網(wǎng)行為管理軟件在抓取數(shù)據(jù)包后要進行的任務了,用專業(yè)的術語來說就是進行數(shù)據(jù)包分析。像郵局在檢測郵寄物品是否非法時,在獲得郵寄包裹后得利用先進技術在不打開包裹的情況下進行檢查,而檢測技術的性能直接決定著檢查成功率的高低。另外,數(shù)據(jù)包分析技術中的分析效率也直接決定著一款上網(wǎng)行為管理軟件的工作效率高低。
至于表示層技術,主要是指軟件的界面友好程度,像操作難易度、是否具有多國語言界面等,雖然這對于上網(wǎng)行為管理不起關鍵性的作用,但它的優(yōu)劣直接影響著用戶的選擇使用,因此一款優(yōu)秀的上網(wǎng)行為管理軟件在表示層技術上也不會疏忽大意
上網(wǎng)行為管理軟件的監(jiān)控方法
采用上網(wǎng)行為管理軟件,常有哪些方案來進行監(jiān)控呢?這是企業(yè)管理者在選擇上網(wǎng)行為管理軟件前就得了解清楚的,現(xiàn)在的上網(wǎng)行為管理軟件主要有三種監(jiān)控方案。
1.軟網(wǎng)關監(jiān)控
軟網(wǎng)關監(jiān)控方案就是把監(jiān)控主機當作網(wǎng)關,網(wǎng)內(nèi)出去的數(shù)據(jù)包都要經(jīng)過這臺電腦,由這臺電腦轉發(fā)至路由器,再由路由器轉發(fā)出去。對于采用這種方式來進行監(jiān)控的軟件最大的優(yōu)勢就是能夠對數(shù)據(jù)進行絕對的監(jiān)控,缺點就是在中型或大型網(wǎng)絡中,由于監(jiān)控主機本身性能所限,對網(wǎng)速有較大影響,另外,如果監(jiān)控主機一旦出現(xiàn)宕機等情況,會造成整個網(wǎng)絡中斷。這種監(jiān)控方法適合對上網(wǎng)行為管理要求嚴格,且被監(jiān)控電腦數(shù)量不太多(電腦數(shù)量適合在200臺以下)的企業(yè)使用。
2.ARP方式監(jiān)控
ARP方式監(jiān)控就是利用監(jiān)控主機一直發(fā)包,將監(jiān)控主機的MAC地址偽裝成路由器的MAC地址,把其它電腦的上網(wǎng)數(shù)據(jù)“欺騙”到這臺監(jiān)控主機上來,從而獲得其他電腦的上網(wǎng)數(shù)據(jù)進行分析及控制,對于允許的上網(wǎng)數(shù)據(jù),則通過監(jiān)控主機轉發(fā)至路由器上正常傳送。
ARP方式監(jiān)控的優(yōu)點就是可以在企業(yè)局域網(wǎng)中任意一臺電腦上部署,對于使用者來說安裝非常方便。但它的缺點也是顯而易見的,如果被監(jiān)控電腦安裝ARP防火墻后,監(jiān)控就可能會失去作用,另外上網(wǎng)數(shù)據(jù)由監(jiān)控主機轉發(fā),也會影響整個網(wǎng)絡的速度。像聚生網(wǎng)管就是采用該方式來進行監(jiān)控的,這種方案適合監(jiān)控電腦數(shù)量不多(數(shù)量在200臺以下),且監(jiān)控者便于隱蔽(像一些公司老板希望在辦公室內(nèi)對員工上網(wǎng)行為進行管理)的小型公司使用。
3.旁路偵聽型監(jiān)控
旁路偵聽型監(jiān)控就是通過共享式HUB或鏡像交換機自身的功能,把出口數(shù)據(jù)復制一份到監(jiān)控主機連接的那個端口,以達到監(jiān)控的目的。在電腦數(shù)量較少的情況下,共享式HUB能完全承載小型網(wǎng)絡,在網(wǎng)絡規(guī)模較大時,通過鏡像交換機的端口鏡像功能也完全能夠承載。因此旁聽偵聽型監(jiān)控的優(yōu)點是對網(wǎng)絡速度影響較小,同時管理的效果也很出色。采用這種監(jiān)控方法的代表有LaneCat網(wǎng)貓,對于中大型企業(yè)比較適用。
軟件方案實例剖析
在了解了上網(wǎng)行為管理軟件的相關技術和監(jiān)控方式后,對于企業(yè)或機關部門來說,如何根據(jù)自己的實際情況來進行部署呢?下面就以兩個最常見的案例進行分析,希望能給打算采購部署上網(wǎng)行為管理軟件方案的用戶一定指導。
北京世紀奧通科技有限公司
企業(yè)需求:該公司是一家中外合資企業(yè),因工作需要,員工要經(jīng)常訪問國外網(wǎng)站,用E-mail與國外客戶進行交流。由于公司內(nèi)部有部分員工上網(wǎng)下載與工作無關的影像文件及相關軟件,造成其他員工訪問國外網(wǎng)站速度過慢,嚴重影響了公司的正常辦公效率。公司管理者希望選擇簡單便捷、機動靈活、成本低廉的解決方案。
方案分析:經(jīng)過多方比較,用戶選擇了面向企業(yè)網(wǎng)絡應用管理的All-in-One多功能網(wǎng)絡管理軟件——網(wǎng)務通。它集成網(wǎng)關、防火墻、代理服務器等功能,更重要的是為企業(yè)用戶提供了網(wǎng)絡訪問行為管理、郵件管理、流量管理和網(wǎng)絡監(jiān)視等網(wǎng)絡應用管理功能。網(wǎng)務通不僅讓企業(yè)用戶把網(wǎng)絡用起來,更重要的是把網(wǎng)絡管起來,幫助企業(yè)用戶真正做到事前預防、事中監(jiān)控、事后追查。
網(wǎng)務通可提供針對網(wǎng)絡安全的Security SaaS 服務,可將軟件、方案、升級、更新和增值服務等以最小的成本提供給中小企業(yè)用戶。同時,作為基于標準化硬件的“軟件設備”,用戶很容易將它安裝到基于Intel架構的硬件平臺上,而不是只能安裝到某一特殊架構的廠商硬件平臺,升級性和擴展性較強。這樣的最大好處是減少了廠商的產(chǎn)品分發(fā)成本、運營成本和采購成本。另外,網(wǎng)務通還提供免費的全功能體驗版產(chǎn)品,保障企業(yè)前期以零成本將網(wǎng)絡管理運轉起來。
使用網(wǎng)務通網(wǎng)絡訪問控制功能,可解決企業(yè)員工上網(wǎng)管理中存在的問題,保證網(wǎng)絡的穩(wěn)定性。北京世紀奧通科技有限公司原來使用10MB光纖,因為有員工不規(guī)范下載致使網(wǎng)絡不穩(wěn)定,使用網(wǎng)務通后,現(xiàn)在使用2MB光纖就可員工的辦公需求,每年節(jié)約光纖接入費用近10萬元。
廣州某重工股份有限公司
企業(yè)需求:廣州某重工股份有限公司是一家多元化運作、跨地區(qū)經(jīng)營的現(xiàn)代化機械裝備制造企業(yè),該公司打造了信息網(wǎng)絡化的企業(yè)平臺,但因病毒、下載等原因,造成公司網(wǎng)絡系統(tǒng)部分時段性能低下,公司的需要綜合起來為4點:一是外網(wǎng)行為管理需求,針對不同部門、不同崗位的工作需要,能設置相應的“開關”;二是內(nèi)網(wǎng)行為管理需求,針對不同的計算機應用,對各類應用軟件、硬件進行監(jiān)控,并能實現(xiàn)開放與禁用;三是對計算機工作界面的監(jiān)控需求,針對特殊情況,可對特殊計算機屏幕進行錄像或實時監(jiān)控,可對指定計算機進行遠程控制操作;四是統(tǒng)計分析,要能對監(jiān)控的計算機的各類軟、硬件運行情況進行記錄,并能匯總統(tǒng)計分析。
方案分析:該公司對網(wǎng)絡監(jiān)控要求較高,同時其電腦數(shù)量在300臺以上,并對內(nèi)網(wǎng)和外網(wǎng)有不同要求。在綜合對比后,該公司選擇了LaneCat網(wǎng)貓,LaneCat網(wǎng)貓穩(wěn)定性強,功能強大。它分為內(nèi)網(wǎng)軟件和外網(wǎng)軟件兩套軟件,外網(wǎng)軟件可以針對不同部門、不同崗位的工作需要,設置相應的的管理方案,對流量(瞬時、段時)、網(wǎng)址、聊天工具、郵件、下載工具等進行開放與關閉,并進行記錄。內(nèi)網(wǎng)軟件能針對不同的計算機應用,對計算機的各類應用軟件、硬件進行監(jiān)控,并能實現(xiàn)開放與禁用。另外LaneCat網(wǎng)貓的內(nèi)網(wǎng)軟件和外網(wǎng)軟件可以安裝在同一臺機器上,以方便控制和管理.
在通過該方案進行管理時,由于它是將監(jiān)控軟件安裝在服務主機上,其它電腦都可登錄進行設置及管理,操作起來非常方便。并且對采用多線路連接外網(wǎng)的企業(yè)來說,它還能自動進行負載均衡,如發(fā)生某條線路斷線時能自動切換到備份線路,保障網(wǎng)絡不間斷。
“軟”的不行來“硬”的:上網(wǎng)行為管理硬件方案剖析
硬件方案的優(yōu)勢
整合性較強
上網(wǎng)行為管理硬件方案除了具有獨立的產(chǎn)品方案以外,還能夠和其他網(wǎng)絡安全設備整合在一起,如可將上網(wǎng)行為管理功能整合在防火墻或其他綜合安全網(wǎng)關類產(chǎn)品中,以滿足過程跟蹤、過程記錄、行為控制、報告報表、審計模塊、流量控制、智能限速策略等等要求。對于企業(yè)用戶而言,這種整合可以降低管理網(wǎng)絡安全設備的難度,降低后期維護成本,而在功能上又沒有損失。
處理性能強
上網(wǎng)行為管理對數(shù)據(jù)的處理方式非常復雜,如對一些應用協(xié)議的掃描,系統(tǒng)一般要將所有的數(shù)據(jù)報文攔截,然后通過算法重新組裝成具體的內(nèi)容,再根據(jù)具體的策略以及關鍵字設定等掃描內(nèi)容,如不符合設定,系統(tǒng)則將數(shù)據(jù)報文過濾。因此系統(tǒng)性能的高低,直接影響到處理效能以及網(wǎng)絡的吞吐轉發(fā)效率,一旦上網(wǎng)行為管理產(chǎn)品性能不足,不僅會影響網(wǎng)速,甚至會出現(xiàn)宕機、業(yè)務中斷的危險。因此,相對于上網(wǎng)行為管理軟件方案,硬件方案在處理性能上要強很多,硬件方案在出現(xiàn)故障時,也可以快速對產(chǎn)品進行替換。
系統(tǒng)適應性高
目前企業(yè)的內(nèi)部網(wǎng)絡都比較復雜,再加上客戶的各種復雜需求,上網(wǎng)行為管理系統(tǒng)的適應性強就很重要。上網(wǎng)行為管理硬件方案支持路由、網(wǎng)橋和旁路等多種部署模式,具有雙機備份、雙線路及HSRP等冗余網(wǎng)絡部署方式,適應任何復雜的網(wǎng)絡結構,可以實現(xiàn)集群,以達到高性能的目的,特別是支持統(tǒng)一身份認證,能和AD域、LDAP、Radius、數(shù)據(jù)庫認證等多種外部認證方式結合,且系統(tǒng)自身也可作為其它如ERP、OA等系統(tǒng)的身份認證設備。
硬件方案的部署方式
1.網(wǎng)關模式
網(wǎng)關模式部署是將上網(wǎng)行為管理產(chǎn)品置于出口網(wǎng)關,所有數(shù)據(jù)流直接經(jīng)由設備端口通過,經(jīng)策略判斷和監(jiān)控分析后,方可根據(jù)用戶權限予以放行或限制。對外,可結合多元化模塊,提供VPN接入和防火墻策略,對內(nèi)實現(xiàn)上網(wǎng)行為管理。
2.網(wǎng)橋模式
網(wǎng)橋模式也稱透明模式,在網(wǎng)橋模式的應用中,上網(wǎng)行為管理產(chǎn)品起到的如同集線器的作用,設備置于網(wǎng)關出口之后,數(shù)據(jù)流判斷方式如同網(wǎng)關模式,安裝中基本不會影響原有的網(wǎng)絡結構,設置簡單、透明.
3.旁路模式
在旁路模式中,通過對網(wǎng)絡出口的交換機進行端口映射,將數(shù)據(jù)流備份,引入旁路中的上網(wǎng)行為管理設備,通過數(shù)據(jù)監(jiān)聽和分析來記錄數(shù)據(jù)流中產(chǎn)生的各項數(shù)據(jù),并根據(jù)各項數(shù)據(jù)報表提供全面的審計服務功能。對外,可結合多元化模塊,提供VPN接入和防火墻策略,對內(nèi)實現(xiàn)上網(wǎng)行為管理。不過在此種配置下,防火墻功能不起作用,上網(wǎng)行為管理部分控制功能也不起作用。
硬件方案實例剖析
華北電網(wǎng)
企業(yè)需求:華北電網(wǎng)承擔著首都安全供電和整個華北地區(qū)電力供應與服務的重任,隨著企業(yè)信息化建設的推進,華北電網(wǎng)對業(yè)務可持續(xù)性的要求不斷提高。員工上網(wǎng)行為可能引發(fā)系統(tǒng)問題,P2P下載、游戲、在線炒股、病毒、木馬、黑客等應用,不僅導致網(wǎng)絡帶寬有效利用率不高,而且還存在一定的安全隱患。面對不斷增長的業(yè)務需求,如何規(guī)范不同網(wǎng)絡應用的優(yōu)先級,實現(xiàn)網(wǎng)絡流量、帶寬的總體規(guī)劃及精準控制,保障核心關鍵業(yè)務平穩(wěn)運行,是華北電網(wǎng)信息化主管面臨的新問題。建立統(tǒng)一的網(wǎng)絡控制管理平臺,為業(yè)務應用提供豐富、高速的帶寬,高效管理員工們的上網(wǎng)行為,實現(xiàn)網(wǎng)絡資源利用的最優(yōu)化,已成為華北電網(wǎng)發(fā)展中的大問題。對此,網(wǎng)康科技的開發(fā)人員與華北電網(wǎng)點相關人員共同商討了一套高效、高安全、高擴展的互聯(lián)網(wǎng)控制管理方案,構建了精細的互聯(lián)網(wǎng)管控平臺,降低互聯(lián)網(wǎng)接入風險,以保障電力接入服務安全可靠。
方案分析:通過對華北電網(wǎng)網(wǎng)絡的前期審計評估,了解實際應用的分布情況,網(wǎng)康科技的工程師采用NS15000作為上網(wǎng)行為管理設備,針對華北電網(wǎng)的需求做了針對性的管控策略:加強用戶入網(wǎng)認證,精細分配帶寬流量,有效過濾不良網(wǎng)站,靈活控制網(wǎng)絡應用,實現(xiàn)互聯(lián)網(wǎng)使用狀況全面管控、審計,從而規(guī)范內(nèi)部上網(wǎng)行為,降低互聯(lián)網(wǎng)接入風險,提升網(wǎng)絡帶寬的使用價值,網(wǎng)絡監(jiān)控架構如圖7。改造后的網(wǎng)絡管理系統(tǒng)具有以下幾個方面的突出特點:
通過自定義帶寬通道,管理系統(tǒng)對HTTP及關鍵業(yè)務系統(tǒng)作了正常使用的評估及相應的帶寬保障;同時通過強大的URL過濾數(shù)據(jù)庫,有效過濾了與工作無關的網(wǎng)址,保障華北電網(wǎng)關鍵業(yè)務在任何狀況下都不受影響,能夠順利進行,帶寬資源得到合理分配。
華北電網(wǎng)新建立的網(wǎng)絡管理系統(tǒng)對員工在上班時間使用P2P類軟件進行了流量限制,同時禁止看網(wǎng)絡電視,降低了這些應用對企業(yè)互聯(lián)網(wǎng)帶寬的占用。實施以來,網(wǎng)絡總流量下降50%,華北電網(wǎng)點網(wǎng)絡管理工作也變得更加簡單和智能,網(wǎng)管員能夠通過報表統(tǒng)計直觀地完成性能監(jiān)控、流量管理。
改造后的網(wǎng)絡管理系統(tǒng)啟用了ICG防護功能,針對員工機器中木馬或病毒后產(chǎn)生的異常流量進行自動屏蔽,異常IP被實時監(jiān)控,隨時報警功能讓網(wǎng)絡安全事故得以及時解除。同時,管理系統(tǒng)給管理員定位網(wǎng)絡故障提供快速有效的依據(jù)和手段,保證了華北電網(wǎng)業(yè)務系統(tǒng)的正常運行。
河北某高校
企業(yè)需求:據(jù)某項調(diào)查表明,大學生上網(wǎng)主要用于聊天者占34%,主要用于玩游戲者占28%,主要用于查資料者占30%,其他占8%。如此看來,62%的大學生在網(wǎng)上從事與學習、工作無關的活動。聊天、游戲等這樣的網(wǎng)絡娛樂不是不能提倡,但關鍵在于大學生能否自覺約束自己,能否把網(wǎng)絡娛樂當成一種適度的休閑方式,而不是沉溺其中。因此,掌握學生的上網(wǎng)情況,引導他們合理使用網(wǎng)絡資源,是當前教育信息化進程中必須解決的問題。河北某高校為了限制學生的上網(wǎng)行為,決定利用監(jiān)控、過濾等技術手段,創(chuàng)建綠色校園網(wǎng)絡環(huán)境。
方案分析:該高校經(jīng)過多方對比,選擇了冰峰網(wǎng)絡的上網(wǎng)行為管理硬件解決方案——網(wǎng)極星。通過一段時間的使用,該高校的網(wǎng)絡環(huán)境得到了凈化,杜絕了對不良網(wǎng)站的訪問,電腦感染病毒和受到攻擊的機率大大降低,P2P下載得到了有效控制,互聯(lián)網(wǎng)的帶寬得到了充分的利用。具體網(wǎng)絡監(jiān)控架構。
1.合理分配帶寬流量,BT、迅雷等P2P下載軟件得到有效控制,網(wǎng)絡總流量下降60%;
2.保障關鍵業(yè)務,遠程教育、視頻傳輸?shù)汝P鍵業(yè)務不再受到影響;
3.高風險和不良信息網(wǎng)站被禁止訪問,大大降低了病毒、蠕蟲的感染幾率;
4.異常流量、異常IP被監(jiān)控,隨時報警功能讓網(wǎng)絡安全事故得以及時解除;
網(wǎng)極星提供了詳細的互聯(lián)網(wǎng)活動監(jiān)控、統(tǒng)計報表,以便用戶掌握校園內(nèi)用戶對互聯(lián)網(wǎng)的使用狀況,及時對訪問策略做出正確的調(diào)整。
河南鄭州科技市場IT產(chǎn)品配送網(wǎng)----------DIY游戲電腦、辦公電腦聯(lián)系電話:17739760690(同微信)
