用戶、部門及其組合

時間段，如上班時間、下班時間、周末等

提供自定義協(xié)議，對特定的應(yīng)用進(jìn)行控制

對網(wǎng)絡(luò)應(yīng)用進(jìn)行封堵、允許

對一些用戶上網(wǎng)行為實行免監(jiān)控，對一些用戶的上網(wǎng)，實行暫時或永久屏蔽

對諸如操作系統(tǒng)軟件補(bǔ)丁升級、防病毒軟件升級的網(wǎng)站實行免監(jiān)控

總之，企業(yè)可以根據(jù)需要，合理分配不同部門、員工的上網(wǎng)權(quán)限，如什么時間、什么部門和人可以上外網(wǎng)、什么時間、什么部門和人不能上外網(wǎng)，以及通過策略控制實現(xiàn)哪些互聯(lián)網(wǎng)資源是可以訪問的，哪些互聯(lián)網(wǎng)資源是嚴(yán)格禁止使用，并且可以將所有與上網(wǎng)相關(guān)的行為記錄下來。例如，對企業(yè)研發(fā)、商務(wù)等關(guān)鍵部門的上網(wǎng)行為、聊天內(nèi)容和郵件內(nèi)容進(jìn)行記錄，以便事后審計，并在內(nèi)部起到威懾的效果。通過這些管控策略，規(guī)范員工的上網(wǎng)行為，從而提高員工的工作效率。

2. 保障和控制網(wǎng)絡(luò)流量，充分有效利用互聯(lián)網(wǎng)出口帶寬

互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用層出不窮，對帶寬資源的占用也越來越高，特別是以P2P為代表的下載軟件，如果不加限制，會嚴(yán)重消耗企業(yè)的帶寬資源，從而影響正常的業(yè)務(wù)數(shù)據(jù)的傳輸。上網(wǎng)行為管理系統(tǒng)應(yīng)支持應(yīng)用層的帶寬分配與流量管理，可以針對用戶或部門、按照時間段，對每一種應(yīng)用協(xié)議進(jìn)行帶寬限制。

上網(wǎng)行為管理系統(tǒng)就像一臺網(wǎng)絡(luò)協(xié)議分析儀，能夠識別并統(tǒng)計網(wǎng)絡(luò)上有哪些類型的數(shù)據(jù)在傳輸，哪些應(yīng)用在運(yùn)行，哪些協(xié)議在使用，哪些服務(wù)器的流量占用了主要的帶寬資源，哪個用戶的上網(wǎng)行為顯著消耗了帶寬等。根據(jù)這些量化的統(tǒng)計數(shù)據(jù)，通過預(yù)先設(shè)定若干個虛擬的帶寬通道，將帶寬通道與具體的用戶或網(wǎng)絡(luò)應(yīng)用綁定，從而對其流量進(jìn)行限制、整形，達(dá)到帶寬管理的目的。這些帶寬管理策略應(yīng)該能夠?qū)崿F(xiàn)如下功能：

針對每一個用戶/部門設(shè)置帶寬

針對每一種網(wǎng)絡(luò)應(yīng)用設(shè)置帶寬

防止個別成員獨(dú)占部門帶寬

優(yōu)先級設(shè)置

對突發(fā)流量進(jìn)行整形

3. 防止訪問色情、病毒等非法網(wǎng)站，降低設(shè)備染毒風(fēng)險

上網(wǎng)行為管理系統(tǒng)應(yīng)該可以針對來自內(nèi)部的攻擊進(jìn)行識別與防范。如果內(nèi)網(wǎng)發(fā)生ARP攻擊行為，引起網(wǎng)絡(luò)流量異常增加，該系統(tǒng)可以在第一時間識別感染ARP病毒的主機(jī)，并發(fā)送告警郵件給管理員，提示及時防范。此外，當(dāng)發(fā)生異常流量時，通過設(shè)置來源IP訪問的上傳包速率、上傳速率、新建連接速率、小包發(fā)送速率等多個閥值，對突發(fā)流量進(jìn)行帶寬整形，對危險主機(jī)進(jìn)行帶寬"抑制"，同時保障上網(wǎng)行為管理系統(tǒng)自身的請求響應(yīng)能力。對于超出閥值的流量，除了帶寬限制，還可以完全阻塞、或者只阻塞超出閥值部分的流量，對于異常流量的IP，可以設(shè)置加入黑名單進(jìn)行屏蔽。

4. 減少網(wǎng)管人員工作量，降低企業(yè)網(wǎng)管運(yùn)營成本

一方面，我們知道，要想使企業(yè)的網(wǎng)絡(luò)設(shè)備處于高效的利用狀態(tài)，就必須部署上網(wǎng)行為管理系統(tǒng)，從而加強(qiáng)對員工的上網(wǎng)行為進(jìn)行規(guī)范和管控，保證企業(yè)的網(wǎng)絡(luò)設(shè)備免受來自系統(tǒng)內(nèi)部的攻擊。這樣就能大大減少IT網(wǎng)管人員為維護(hù)企業(yè)的內(nèi)部網(wǎng)絡(luò)而疲于奔命。

另一方面，對于集團(tuán)用戶經(jīng)常是跨地域、跨區(qū)域的組織結(jié)構(gòu)，往往要部署多臺上網(wǎng)行為管理系統(tǒng)。在這種網(wǎng)絡(luò)環(huán)境中，需要統(tǒng)一的集中管理平臺，幫助管理員隨時了解各分支機(jī)構(gòu)的設(shè)備運(yùn)行狀態(tài)，統(tǒng)一制定、下發(fā)上網(wǎng)行為管理的策略，并定期收集各分支機(jī)構(gòu)用戶上網(wǎng)行為日志，從而節(jié)省企業(yè)網(wǎng)絡(luò)運(yùn)營和維護(hù)成本，便于網(wǎng)絡(luò)管理者統(tǒng)攬全局，提高對用戶互聯(lián)網(wǎng)行為管控的效率與力度。

5. 防止機(jī)密信息外泄，保證企業(yè)數(shù)據(jù)安全

對于上市公司以及知識敏感型企業(yè)，關(guān)鍵設(shè)計文檔、軟件源代碼、市場銷售計劃等核心機(jī)密文檔，可以通過電子郵件、MSN/QQ等在線聊天工具以及BBS論壇"輕易而快速"地傳遞到外部，給企業(yè)造成重大損失。

上網(wǎng)行為管理系統(tǒng)應(yīng)該可以完整地記錄內(nèi)網(wǎng)用戶網(wǎng)絡(luò)訪問的日志，包括上網(wǎng)時間、網(wǎng)絡(luò)流量、Web訪問記錄、接收與發(fā)送的郵件、IM聊天的內(nèi)容、論壇發(fā)帖內(nèi)容、網(wǎng)絡(luò)游戲記錄、P2P下載記錄，以及訪問在線視頻、在線炒股活動等等。同時，針對用戶上網(wǎng)行為以及相關(guān)內(nèi)容查詢統(tǒng)計，幫助管理員對用戶的網(wǎng)絡(luò)活動進(jìn)行較長時間的回溯與反查，從而全面了解員工的各種行為，為改進(jìn)網(wǎng)絡(luò)管理和防止企業(yè)機(jī)密信息外泄，保證企業(yè)安全提供詳實準(zhǔn)確的依據(jù)。

基于為企業(yè)打造低成本綠色網(wǎng)絡(luò)的設(shè)計理念，北京網(wǎng)康科技有限公司推出的互聯(lián)網(wǎng)控制網(wǎng)關(guān)（NetentSec Internet Control Gateway，簡稱網(wǎng)康ICG）是一款專業(yè)的上網(wǎng)行為管理產(chǎn)品，是面向企業(yè)用戶的軟硬件一體化的控制管理網(wǎng)關(guān)。網(wǎng)康ICG完全能夠按照上述五個方面的要求，規(guī)范和管控員工的上網(wǎng)行為，幫助客戶打造低成本的綠色網(wǎng)絡(luò)環(huán)境，盡享互聯(lián)網(wǎng)的應(yīng)用價值。

yajing