中小企业员工互联网访问控制解决措施.docVIP

TONDNET 中小型企业员工网络管理解决方案 一、需求概述 1.1 背景需求分析 随着Internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在IDC对全世界企业网络使用情况的调查中发现，在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。据IDC的数据统计，企业中员工30%至40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。尤其值得注意的是，中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。互联网滥用，给中国企业带来了巨大的损失。 这些员工随意使用网络将导致三个问题：(1)工作效率低下、(2)网络性能恶化、(3)网络泄密和违法行为。 企业网作为一个开放的网络系统，运行状况愈来愈复杂。企业的IT管理者如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题（如病毒、木马造成的网络异常），并进行快速的故障定位，这一切都是对企业网信息安全管理的挑战，这些问题包括： IT管理员如何对企业网络效能行为进行统计、分析和评估？ IT管理员如何限制一些非工作上网行为和非正常上网行为（如色情网站），如何监控、控制和引导员工正确使用网络？ IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料？ IT管理员如何在万一发生问题时有一个证据或依据？ 因此，如何有效地解决这些问题，以便提高员工的工作效率，降低企业的安全风险，减少企业的损失，已经成为中国企业迫在眉睫的紧要任务。当前内网安全管理也随之提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。越来越多的企事业单位需要对内网进行统一管理以调整网络资源的合理利用。 1.2 具体需求分析 某某有限公司访问控制详细需求分析： 随着业务的发展，信息化建设步伐的加快，某公司网络安全问题也日益严峻。虽然在网络出口处已部署了专门的防火墙设备，但无孔不入的病毒（尤其是木马病毒）、垃圾邮件仍然大肆泛滥，严重影响了企业应用系统的运行和公司业务的正常运作；另外，在针对内网的安全方面（尤其是PC客户端准入安全检查），由于缺少专门的客户端安全检查设备，无法有效的保护整个局域网的安全性。 最为重要的是企业对员工的网络使用方面没有很好的限制方法，导致员工的工作效率低下，而且BT下载严重影响了企业内部关键应用的使用。 通过对某公司需求的了解，在内网行为方面在以下几个方面需要解决。 所面临的问题： 网络配置 支持网关模式、网桥模式及旁路接入模式，适应各种网络环境 网络服务 静态路由、DHCP/DNS服务、ADSL拨号、动态域名绑定等 准入控制 基于时间对象、地址对象及地址段对象进行网络接入控制 多线路加入 支持带宽叠加及丰富的分流策略及分流策略组合 用户管理 层次清晰 基于企事业单位部门员工的二级逻辑层次结构 审计等级 所有用户支持等级配置，并可继承该等级的安全审计策略 用户录入 域环境下支持AD域用户同步导入 支持标准格式的批量用户导入 丰富的用户认证模式：IP认证、M精技网管M5200认证、WEB认证及硬件绑定认证等 系统功能 安全认证 支持用户名密码认证，并可指定指定IP或M精技网管M5200才能登录 权限定制 用户可以根据自己的需求指定权限分配及管理的范围 安全注销 用户长时间没有界面动作，管理界面自动锁定 （二）报表功能：强大的数据报表中心，提供直观的上网数据统计 精技网管M5200网关拥有强大的数据中心，管理者可分组、用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网络流量、邮件、网络监控、IPS系统、准入规则、防火墙等详细信息，并可直接打印和导出报表。精技网管M5200网关强大的日志系统和丰富的报表功能，可详细分析出企业的Internet的详细使用情况，为网络管理员和决策者提供了最有效的数据支持。 表2.2：数据中心功能一览表 功能模块 功能 性能指标 数据中心 上网行为日志 网址访问日志、网页发送邮件日志、邮件工具发送邮件日志、邮件工具接收邮件日志、论坛发帖日志、搜索引擎搜索关键词日志、上网聊天日志、流量日志及上下线日志；所有日志支持各种查询条件及条件组合查询过滤； 桌面行为日志 资产管理、屏幕录像日志、桌面行为聊天（QQ/MSN/ICQ/SINA UC/阿里TM/飞信）日志、工作绩效日志、工作详细流水日志、IM文件传输日