上網行為管理系統

1、訪問控制需求：防範非法用户非法訪問、防範合法用户非授權訪問和防範假冒合法用户非法訪問。

2、入侵檢測系統需求：綜合安全網關可以對所有的訪問進行嚴格控制，但不能完全防止有些新攻擊或那些繞過綜合安全網關的攻擊。所以必須配備入侵檢測系統，對透過綜合安全網關的攻擊進行檢測並做相應反應。

3、安全審計系統需求：對互聯網進行全面控制管理，規範內網人員上網行為，提高人力資源效率，強化網絡安全，保護重要機密。

4、防病毒系統需求：針對防病毒危害性極大並且傳播極為迅速，必須配備從單機到服務器的整套防病毒軟件，實現全網的病毒安全防護。

5、其他需求：防止重要信息的電磁輻射或線路干擾等泄漏；加密需求；對重要的設備和系統進行備份等安全保護。

因此針對這些問題就需要提供高速、穩定、高安全性和管理性的網絡設備和服務，既要提供完備的網絡安全和管理控制的處理功能，滿足靈活多樣的網絡拓撲，又不能成為網絡瓶頸，影響網絡的正常通信帶寬和業務。但不幸地是，很多現有網絡安全設備因為需要處理繁重的安全檢查和加解密等工作，必將降低處理速度，犧牲網絡帶寬，同時由於很多惡意攻擊都是針對安全設備本身的，這對現有網絡設備的性能和可靠性都是一個挑戰。

總的來説，好的網絡管理需要解決以下的需求問題：

1、 如何確保網絡的高可用性。

2、 如何快速部署新的網絡服務。

3、 如何控制內網用户的行為。

4、如何瞭解網絡故障影響的用户。

主要功能

互聯網上的網頁資源非常豐富，如果員工長時間訪問如色情、賭博、病毒等具有高度安全風險的網頁，以及購物、招聘、財經等與工作無關的網頁，將極大的降低生產效率。

通過上網行為管理產品，用户可以根據行業特徵、業務需要和企業文化來制定個性化的網頁訪問策略，過濾非工作相關的網頁。

聊天、看電影、玩遊戲、炒股票等等，互聯網上的應用可謂五花八門，如果員工長期沉迷於這些應用，也將成為企業生產效率的巨大殺手，並可能造成網速緩慢、信息外泄的可能。

通過上網行為管理產品，用户可以制定有效的網絡應用控制策略，封堵與業務無關的網絡應用，引導員工在合適的時間做合適的事。

P2P下載、在線遊戲、在線看電影電視等都在搶佔着有限的帶寬資源。面對日益緊張的帶寬資源，除了增加預算擴充帶寬以外，企業還可以選擇合理化分配和管理帶寬。

通過上網行為管理產品，用户可以制定精細的帶寬管理策略，對不同崗位的員工、不同網絡應用劃分帶寬通道，並設定優先級，合理利用有限的帶寬資源，節省投入成本。

發郵件、泡BBS、寫Blog、聊IM已經司空見慣，然而信息的機密性、健康性、政治性等問題也隨之而來。

通過上網行為管理產品，用户可以制定全面的信息收發監控策略，有效控制關鍵信息的傳播範圍，以及避免可能引起的法律風險。

隨着互聯網上的活動愈演愈烈，實時掌握員工互聯網使用狀況可以避免很多隱藏的風險。

通過上網行為管理產品，用户可以實時瞭解、統計、分析互聯網使用狀況，並根據分析結果對管理策略做調整和優化。

通過上述功能可以有效的幫助企業有選擇的禁止、監控BT，炒股，聊天，MSN，管理QQ，監控郵件，帶寬流量等，減少病毒，對員工上網進行正確引導。

應用背景

一個100人的企事業單位，每人每天花2小時做私事，按時薪10元計算，一天給企業帶來的無形損失就達到2000元，一個月的損失至少達到40000元以上；而間接損失比如通過郵件、聊天泄露商業秘密，通過非法下載影響公司的正常網絡應用，帶來的損失根本無法估量；

計算機和互聯網在為企業帶來生產力的同時，也給企業的管理帶來了更大的挑戰。尤其對於一些大中型企業，隨着互聯網的日漸發達，遇到的問題也日漸突出。如果企業不加以重視，互聯網不但不能成為企業的生產力，還會成為企業的埋葬者。

1 、用户眾多，無法統一管理

網絡中用户數量眾多，不同部門對網絡的應用需求不一，從而很難對這些用户進行一刀切的方式進行管理，必須要能夠根據應用特點來準確引導網絡應用，這就大大增加了網絡管理的難度。

2 、管理困難， 難以有效度量網絡狀況

管理者不能直觀的看到內部發生的網絡行為，不能實時有效的進行統一管理，審計、分析、統計都變得相當困難，沒有清晰的上網行為管理數據提交領導部門以供決策參考。

3 、內部機密信息泄密

用户內部重要資料和秘密資料被有意或無意的通過網絡 Web、 Email、 QQ和 MSN等途徑向外散發，或被別有用心的人截獲而加以利用，給企業的信息 安全 帶來極大的隱患；同時不當信息的無意透露可能會給公司帶來極大的外部壓力。

4 、從事網絡違法行為，帶來法律風險

網上言論得不到規範，工作時間訪問色情網站、惡意發帖、發表反動言論等都會來法律風險。

5 、員工工作效率低，存在網絡怠工現象

根據中國社會科學院社會發展研究中心 2005 年中國 5城市互聯網使用狀況及影響調查報告的結果顯示，被訪網民使用最多的網絡資源是娛樂、新聞（ 65.9%），而真正用於學習和工作的比例還不到40%。

6 、網速和帶寬效率下降，辦公成本增加

使用P2P下載的行為日益增加，嚴重消耗網絡帶寬，正常業務的通訊得不到保障，只能通過增加辦公成本來增加帶寬，但是網速和帶寬沒有得到根本的改善，仍然存在一個人佔用帶寬，其它人無法使用網絡的情況。

企業管理者不能與員工面對面，你無法知道網絡的另一端那個人是什麼想法、什麼狀態。在網絡面前，企業管理呈現失控的狀態。

應用效果

●提升工作效率

上班時間從事私人活動，是辦公室皆知的秘密。管理者卻難以阻止員工在上班時間瀏覽無關網站、QQ聊天、在線炒股等工作無關的網絡行為，員工工作效率的下降將直接影響組織的競爭力。而通過可以把與工作無關的上網行為降低到最低，去除員工的分心，讓他們專注於工作中。

●提升帶寬利用率

對嚴重吞噬帶寬的P2P行為，不僅能徹底封堵，還能對其佔用的帶寬進行流量管控。基於用户(組)、時間段、應用類型的帶寬管理和帶寬通道劃分，結合智能QoS，既保證了業務應用對帶寬的需求，又避免了對帶寬的濫用，提升帶寬使用效率。

●提升內網安全級別

色情、反動網站的瀏覽和未知文件的下載安裝，導致病毒、木馬等被員工主動“邀請”進入內網，將過濾該行為，並提供網關殺毒功能從源頭消除威脅；源自內網的DOS攻擊、ARP欺騙等也將被徹底防禦；而組織內網使用低版本操作系統、不及時打補丁、不安裝指定的殺毒/防火牆軟件、安裝使用違規軟件的終端用户，亦能偵測發現，從而修復內網安全短板。

●保護組織信息資產安全

員工使用Email郵件可能將組織的信息機密發送到公網、甚至競爭對手，特有的“郵件延遲審計”專利技術，將徹底防範該泄密行為；員工的網絡發帖、webmail行為，同樣可以過濾和記錄；而對QQ、MSN等聊天內容的記錄和審計，將警示通過IM聊天工具泄密的行為。

●避免法律風險

員工利用組織的Internet連接，訪問反動、邪教等不良網站，發表非法言論，收集和發佈色情圖片等非法網絡活動，將導致組織違反法律法規、承受法律訴訟等。上網行為管理設備可以管控和過濾員工的此類行為，並詳細記錄和審計員工的各種網絡行為日誌，做到有據可查，使組織避免法律風險。

提供的數據中心，大量存儲內網用户的各種網絡行為日誌，圖形化的查詢、審計、統計、自動報表、內容檢索等功能，方便組織管理者瞭解和掌控您的網絡。

實施步驟

step1:企業要做好上網行為管理，必須先洞悉企業內使用互聯網的過程中存在哪些問題?因為不同企業面臨的問題不同，需要先了解到底有哪些問題?

step2:然後分析問題的根源，再製定有針對性的策略管控問題;上網行為管理策略必須是有針對性的、個性化的，這樣才能符合不同企業本身的管理制度、企業文化等的要求和需求;

step3:最後通過審計報表瞭解問題解決的程度和效果，再根據報表做管理策略優化，進而達到駕馭互聯網、實現上網行為管理的價值。

產品對比引硬件與軟件之分

從產品形態來看，一般的上網行為管理分為硬件和軟件2種，但是國內以軟件、硬件為主流，國外以軟件為主流;

硬件的優勢：部署簡單、升級方便、故障率低

硬件的劣勢：成本較高,運輸不方便,維護複雜,維修需要專業認識，技術支持不到位

軟件的優勢：成本適當,維護簡單、安裝容易、升級快速,可以在公司隨便找個機器部署.

軟件的劣勢：對於國企和政府來説，沒有一個東西不放心,所以國內政府偏硬件，企業偏軟件。

以上對比，並不是絕對的説法。隨着科技的發展和更新軟硬件結合模式越來越多。包括加入准入模式、VPN的上網行為管理,基於客户端的內網管理模式和文檔管理模式，為的是內外兼修，從各種方向去彌補單一產品的不足。企業應該根據自身的應用需求，去選擇自己需要而合理的方案。如果只是追求單一產品本身的應用，在信息化建設的綜合成本上一定會超出很多預算，無謂地增加了更多的信息化成本。

適用範圍

市面上能夠提供全面或部分上網行為管理功能的產品，已經有幾十種。產品適用範圍，通常分為3類。

1、適合同時上網PC數量低於50台。

這類產品一般以軟件和低端寬帶路由器集成QQ、MSN、BT等的過濾設備為主。此類監控設備產品通常成本低廉、穩定性較差，適合對上網行為管理有需求，但預算有限的用户。低端寬帶路由器集成針對部分常見應用或軟件的過濾功能，同樣以價格低廉勝出。在提供基本組網應用的同時，兼顧最基礎的上網行為管理需求，較容易被價格敏感的用户接受。

2、適合同時上網PC數量在50~200台之間。

這類產品一般也以純軟件架構為主，但是需要部署在性能相對較高的服務器上或者PC機上。通過綜合使用DPI深度數據包檢測和DFI深度流量檢測的方式，分析網絡應用特徵碼，配合智能帶寬管理、自動行為管控等綜合策略，全面管理聊天、在線視頻、股票、遊戲、P2P下載、暴力及色情等非法網站等的過濾，並配合WAN口流量統計、LAN側用户流量統計、併發session統計等功能，提供綜合的管理手段。通常價格較軟件產品或低端路由器略高，但功能更全面，性能更穩定，性價比較能夠為此等規模的企業用户所接受。如國內較為知名的聚生網管系統等。

3、適合200台以上的PC同時上網的管理。

這類產品通常是採用硬件與軟件結合的方式。即同樣的軟件版本，安裝在不同檔次的工業計算機上，經過反覆的測試後，根據所安裝的工業計算機的處理性能不同，可以涵蓋到200~500，500~1000，甚至更大範圍的併發應用。由於有性能更為強大的工業計算機作為處理平台，這類產品能夠提供的功能更加豐富，部分產品甚至可以緩存上網瀏覽或發送的內容，檢索出可能涉及泄露公司機密、觸犯法律或不適合上班時間處理的內容，進而採取相應的策略加以限制。對於規模較大的公司，IT管理對技術的依賴更加側重，需要管理的內容和管理的手段更加廣泛，以適應大批量管理的需要。此類產品由於其複雜的功能需要高性能的工業計算機才能夠支撐，因此起步價格通常因硬件成本的因素，只有規模和需求達到一定程度的中大型企業可以接受。也有部分此類廠家推出了適合中小規模用户的產品，功能上沒有太大的差異，只是選擇更為低廉的工業計算機進行處理，從而降低了整體成本和適用範圍，以滿足中小規模用户的需求。價格也相應的降到萬元以下。

政府、公安、軍隊、能源、電信、學校、企業、金融、IT產業等各行各業

根據軟件硬件產品、產品工業等級、產品硬件內核模組、產品管理規模、產品適用範圍的區分，產品定價的幅度也有極大的變化。

如低端產品線：價格從數百元至數千元不等。即便是軟件產品。也有高達十萬元的價位。而高端產品線，從主流廠商報價來看，從幾萬到幾十萬的價格不等。若是在高校、骨幹線路的應用方案中，為了滿足需求，採用雙核、四核、G級的硬件模組的設備其價位更高。

旁路與串接之分

從部署的方式來看，主要分為旁路與串接之分，這主要看用户對上網行為的管理程度來決定。

旁路：不容易造成單點故障，但是控制和管理的效果不理想;

串接：控制和管理的效果好，但是容易造成單點故障;

國內主流的廠商提供的產品都不是太穩定，單點故障率較高，建議用户在條件允許的情況下采用旁路的方式部署，同時這種方式對於以備份(郵件，聊天，網頁審計)為主的監控也是更好的選擇。

一直以來，很多用户都認為國外的產品和技術要優於國內廠商，但是上網行為管理產品並不如此。

上網行為管理產品是用來管理互聯網訪問內容和互聯網使用者的，這與企業的文化、管理制度、人文環境、法律法規都非常相關，例如：

國外與中國在成人內容上的分級不同，導致對成人內容的過濾結果不同;

國外與中國的流行網絡應用不同，有很多是隻有中國用户使用的網絡應用，而國外的產品往往不能支持對這些應用的控制和管理;

建議國內用户儘量選擇使用國內廠商推出的上網行為管理產品，畢竟中國的廠商更瞭解中國用户的互聯網環境和互聯網使用習慣。

系統的選擇

國內上網行為監控系統品牌眾多，產品功能各有千秋，如WorkWin、深信服等 ^[1]  ，作為企事業單位的網管人員如何選擇最能滿足企業需要的上網行為管理軟件，可以從以下幾個方面考慮：

1、 企業自身的網絡管理需要。網管人員首選要搞清楚自己單位內部網絡管理的核心需求，在尋找網管軟件時，必須以首先能夠滿足企業的核心需求為標準來選擇網管軟件。不要從一開始就貪大求全尋求功能全面的網管軟件，否則常常導致核心需求無法很好地滿足。

2、 企業自身網管人員的技能。對於沒有專門網管人員而由其他行政人員擔任網管的單位，我們建議不要採購較為複雜、需要專業技能的網管產品，否則常常由於操作複雜、技術要求高而導致無人會用、無法發揮產品功能的情況，造成投資的浪費，也無法實現網絡管理的最終目的。

3、 企業自身的預算。如果單位預算較多，可以選擇更能從長遠滿足單位上網管理需要的產品，做到投資一步到位，建立起較為完善的上網管理系統，從而可以實現持續、穩健的網絡管理;而對於預算有限的單位，在選擇上網行為管理系統的時候一定要本着實用、總體擁有成本最低的方案去選擇，例如國內比較適合中小企業網絡管理需要的聚生網管系統，在功能實用性、易部署性、易用性以及永久使用、免費升級的服務政策，可以很好地滿足當前國內中小型企業的網絡管理需要，實現最具性價比的網絡管理。

市場分析

市場研究機構IDC發佈《中國IT安全市場2009年下半年度分析》，做為 2008–2009 年成長最快的安全硬件市場之一，安全內容管理硬件市場並未讓人失望。在該市場中，最受用户歡迎的不是傳統的病毒防禦功能，而是 Web 過濾和Message安全。2009年下半年，安全內容管理硬件市場的市場規模為 US$ 22.0M，同比增長 127.7%。在安全內容管理硬件市場，有超過 17 家主流安全廠商可以提供該產品，排在第一位是深信服，市場佔比為 33.8%。

行業客户及大型客户在選擇上網行為管理產品的時候，往往會比較傾向於硬件產品，而中小企業、網吧等單位在選擇產品時，傾向於投入成本相對低廉的軟件產品。