用戶、部門及其組合

時(shí)間段，如上班時(shí)間、下班時(shí)間、周末等

提供自定義協(xié)議，對(duì)特定的應(yīng)用進(jìn)行控制

對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行封堵、允許

對(duì)一些用戶上網(wǎng)行為實(shí)行免監(jiān)控，對(duì)一些用戶的上網(wǎng)，實(shí)行暫時(shí)或永久屏蔽

對(duì)諸如操作系統(tǒng)軟件補(bǔ)丁升級(jí)、防病毒軟件升級(jí)的網(wǎng)站實(shí)行免監(jiān)控

總之，企業(yè)可以根據(jù)需要，合理分配不同部門、員工的上網(wǎng)權(quán)限，如什么時(shí)間、什么部門和人可以上外網(wǎng)、什么時(shí)間、什么部門和人不能上外網(wǎng)，以及通過(guò)策略控制實(shí)現(xiàn)哪些互聯(lián)網(wǎng)資源是可以訪問(wèn)的，哪些互聯(lián)網(wǎng)資源是嚴(yán)格禁止使用，并且可以將所有與上網(wǎng)相關(guān)的行為記錄下來(lái)。例如，對(duì)企業(yè)研發(fā)、商務(wù)等關(guān)鍵部門的上網(wǎng)行為、聊天內(nèi)容和郵件內(nèi)容進(jìn)行記錄，以便事后審計(jì)，并在內(nèi)部起到威懾的效果。通過(guò)這些管控策略，規(guī)范員工的上網(wǎng)行為，從而提高員工的工作效率。

2. 保障和控制網(wǎng)絡(luò)流量，充分有效利用互聯(lián)網(wǎng)出口帶寬

互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用層出不窮，對(duì)帶寬資源的占用也越來(lái)越高，特別是以P2P為代表的下載軟件，如果不加限制，會(huì)嚴(yán)重消耗企業(yè)的帶寬資源，從而影響正常的業(yè)務(wù)數(shù)據(jù)的傳輸。上網(wǎng)行為管理系統(tǒng)應(yīng)支持應(yīng)用層的帶寬分配與流量管理，可以針對(duì)用戶或部門、按照時(shí)間段，對(duì)每一種應(yīng)用協(xié)議進(jìn)行帶寬限制。

上網(wǎng)行為管理系統(tǒng)就像一臺(tái)網(wǎng)絡(luò)協(xié)議分析儀，能夠識(shí)別并統(tǒng)計(jì)網(wǎng)絡(luò)上有哪些類型的數(shù)據(jù)在傳輸，哪些應(yīng)用在運(yùn)行，哪些協(xié)議在使用，哪些服務(wù)器的流量占用了主要的帶寬資源，哪個(gè)用戶的上網(wǎng)行為顯著消耗了帶寬等。根據(jù)這些量化的統(tǒng)計(jì)數(shù)據(jù)，通過(guò)預(yù)先設(shè)定若干個(gè)虛擬的帶寬通道，將帶寬通道與具體的用戶或網(wǎng)絡(luò)應(yīng)用綁定，從而對(duì)其流量進(jìn)行限制、整形，達(dá)到帶寬管理的目的。這些帶寬管理策略應(yīng)該能夠?qū)崿F(xiàn)如下功能：

針對(duì)每一個(gè)用戶/部門設(shè)置帶寬

針對(duì)每一種網(wǎng)絡(luò)應(yīng)用設(shè)置帶寬

防止個(gè)別成員獨(dú)占部門帶寬

優(yōu)先級(jí)設(shè)置

對(duì)突發(fā)流量進(jìn)行整形

3. 防止訪問(wèn)色情、病毒等非法網(wǎng)站，降低設(shè)備染毒風(fēng)險(xiǎn)

上網(wǎng)行為管理系統(tǒng)應(yīng)該可以針對(duì)來(lái)自內(nèi)部的攻擊進(jìn)行識(shí)別與防范。如果內(nèi)網(wǎng)發(fā)生ARP攻擊行為，引起網(wǎng)絡(luò)流量異常增加，該系統(tǒng)可以在第一時(shí)間識(shí)別感染ARP病毒的主機(jī)，并發(fā)送告警郵件給管理員，提示及時(shí)防范。此外，當(dāng)發(fā)生異常流量時(shí)，通過(guò)設(shè)置來(lái)源IP訪問(wèn)的上傳包速率、上傳速率、新建連接速率、小包發(fā)送速率等多個(gè)閥值，對(duì)突發(fā)流量進(jìn)行帶寬整形，對(duì)危險(xiǎn)主機(jī)進(jìn)行帶寬"抑制"，同時(shí)保障上網(wǎng)行為管理系統(tǒng)自身的請(qǐng)求響應(yīng)能力。對(duì)于超出閥值的流量，除了帶寬限制，還可以完全阻塞、或者只阻塞超出閥值部分的流量，對(duì)于異常流量的IP，可以設(shè)置加入黑名單進(jìn)行屏蔽。

4. 減少網(wǎng)管人員工作量，降低企業(yè)網(wǎng)管運(yùn)營(yíng)成本

一方面，我們知道，要想使企業(yè)的網(wǎng)絡(luò)設(shè)備處于高效的利用狀態(tài)，就必須部署上網(wǎng)行為管理系統(tǒng)，從而加強(qiáng)對(duì)員工的上網(wǎng)行為進(jìn)行規(guī)范和管控，保證企業(yè)的網(wǎng)絡(luò)設(shè)備免受來(lái)自系統(tǒng)內(nèi)部的攻擊。這樣就能大大減少IT網(wǎng)管人員為維護(hù)企業(yè)的內(nèi)部網(wǎng)絡(luò)而疲于奔命。

另一方面，對(duì)于集團(tuán)用戶經(jīng)常是跨地域、跨區(qū)域的組織結(jié)構(gòu)，往往要部署多臺(tái)上網(wǎng)行為管理系統(tǒng)。在這種網(wǎng)絡(luò)環(huán)境中，需要統(tǒng)一的集中管理平臺(tái)，幫助管理員隨時(shí)了解各分支機(jī)構(gòu)的設(shè)備運(yùn)行狀態(tài)，統(tǒng)一制定、下發(fā)上網(wǎng)行為管理的策略，并定期收集各分支機(jī)構(gòu)用戶上網(wǎng)行為日志，從而節(jié)省企業(yè)網(wǎng)絡(luò)運(yùn)營(yíng)和維護(hù)成本，便于網(wǎng)絡(luò)管理者統(tǒng)攬全局，提高對(duì)用戶互聯(lián)網(wǎng)行為管控的效率與力度。

5. 防止機(jī)密信息外泄，保證企業(yè)數(shù)據(jù)安全

對(duì)于上市公司以及知識(shí)敏感型企業(yè)，關(guān)鍵設(shè)計(jì)文檔、軟件源代碼、市場(chǎng)銷售計(jì)劃等核心機(jī)密文檔，可以通過(guò)電子郵件、MSN/QQ等在線聊天工具以及BBS論壇"輕易而快速"地傳遞到外部，給企業(yè)造成重大損失。

上網(wǎng)行為管理系統(tǒng)應(yīng)該可以完整地記錄內(nèi)網(wǎng)用戶網(wǎng)絡(luò)訪問(wèn)的日志，包括上網(wǎng)時(shí)間、網(wǎng)絡(luò)流量、Web訪問(wèn)記錄、接收與發(fā)送的郵件、IM聊天的內(nèi)容、論壇發(fā)帖內(nèi)容、網(wǎng)絡(luò)游戲記錄、P2P下載記錄，以及訪問(wèn)在線視頻、在線炒股活動(dòng)等等。同時(shí)，針對(duì)用戶上網(wǎng)行為以及相關(guān)內(nèi)容查詢統(tǒng)計(jì)，幫助管理員對(duì)用戶的網(wǎng)絡(luò)活動(dòng)進(jìn)行較長(zhǎng)時(shí)間的回溯與反查，從而全面了解員工的各種行為，為改進(jìn)網(wǎng)絡(luò)管理和防止企業(yè)機(jī)密信息外泄，保證企業(yè)安全提供詳實(shí)準(zhǔn)確的依據(jù)。

基于為企業(yè)打造低成本綠色網(wǎng)絡(luò)的設(shè)計(jì)理念，北京網(wǎng)康科技有限公司推出的互聯(lián)網(wǎng)控制網(wǎng)關(guān)（NetentSec Internet Control Gateway，簡(jiǎn)稱網(wǎng)康ICG）是一款專業(yè)的上網(wǎng)行為管理產(chǎn)品，是面向企業(yè)用戶的軟硬件一體化的控制管理網(wǎng)關(guān)。網(wǎng)康ICG完全能夠按照上述五個(gè)方面的要求，規(guī)范和管控員工的上網(wǎng)行為，幫助客戶打造低成本的綠色網(wǎng)絡(luò)環(huán)境，盡享互聯(lián)網(wǎng)的應(yīng)用價(jià)值。

yajing