上網行為管理

上網行為管理

上網行為管理是指幫助網際網路用戶控制和管理對網際網路的使用。其包括對網頁訪問過濾、網路應用控制、帶寬流量管理、信息收發審計、用戶行為分析。

簡介


隨著計算機、寬頻技術的迅速發展,網路辦公日益流行,網際網路已經成為人們工作、生活、學習過程中不可或缺、便捷高效的工具。但是,在享受著電腦辦公和網際網路帶來的便捷同時,員工非工作上網現象越來越突出,企業普遍存在著電腦和網際網路路濫用的嚴重問題。網上購物、在線聊天、在線欣賞音樂和電影、P2P工具下載等與工作無關的行為佔用了有限的帶寬,嚴重影響了正常的工作效率。
上網行為管理產品及技術是專用於防止非法信息惡意傳播,避免國家機密、商業信息、科研成果泄漏的產品;並可實時監控、管理網路資源使用情況,提高整體工作效率。上網行為管理產品系列適用於需實施內容審計與行為監控、行為管理的網路環境,尤其是按等級進行計算機信息系統安全保護的相關單位或部門。
早期的上網行為管理產品幾乎都可以化身為URL過濾器,用戶所有訪問的網頁地址都會被系統監控、追蹤及記錄,如果是設定為合法地址的訪問則不做限制,如果是非法地址則會被禁止或發出警告,而且每一次對訪問行為的監控都是具體到每一個人的。這也就在一定程度上成為黑白名單的一種限定。此外,針對郵件收發行為的監控也一如URL過濾,成為了一種常規性的上網行為管理功能。

標準功能


上網人員管理

上網身份管理:利用IP/MAC識別方式、用戶名/密碼認證方式、與已有認證系統的聯合單點登錄方式準確識別確保上網人員合法性。
上網終端管理:檢查主機的註冊表/進程/硬碟文件的合法性,確保接入企業網的終端PC的合法性和安全性。
移動終端管理:檢查移動終端識別碼,識別智能移動終端類型/型號,確保接入企業網的移動終端的合法性。
上網地點管理:檢查上網終端的物理接入點,識別上網地點,確保上網地點的合法性。

上網瀏覽管理

搜索引擎管理:利用搜索框關鍵字的識別、記錄、阻斷技術,確保上網搜索內容的合法性,避免不當關鍵詞的搜索帶來的負面影響。
網址URL管理:利用網頁分類庫技術,對海量網址進行提前分類識別、記錄、阻斷確保上網訪問的網址的合法性。
網頁正文管理:利用正文關鍵字識別、記錄、阻斷技術,確保瀏覽正文的合法性。
文件下載管理:利用文件名稱/大小/類型/下載頻率的識別、記錄、阻斷技術確保網頁下載文件的合法性
.

上網外發管理

普通郵件管理:利用對SMTP收發人/標題/正文/附件/附件內容的深度識別、記錄、阻斷確保外發郵件的合法性。
WEB郵件管理:利用對WEB方式的網頁郵箱的收發人/標題/正文/附件/附件內容的深度識別、記錄、阻斷確保外發郵件的合法性。
網頁發帖管理:利用對BBS等網站的發帖內容的標題、正文關鍵字進行識別、記錄、阻斷確保外發言論的合法性
即時通訊管理:利用對MSN、飛信、QQ、skype、雅虎通等主流IM軟體的外發內容關鍵字識別、記錄、阻斷確保外發言論的合法性
其他外發管理:針對FTP、TELNET等傳統協議的外發信息進行內容關鍵字識別、記錄、阻斷確保外發信息的合法性
.

上網應用管理

上網應用阻斷:利用不依賴埠的應用協議庫進行應用的識別和阻斷
上網應用累計時長限額:針對每個或多個應用分配累計時長、一天內累計使用時間達到限額將自動終止訪問
上網應用累計流量限額:針對每個或多個應用分配累計流量、一天內累計使用流量達到限額將自動終止訪問
.

上網流量管理

上網帶寬控制:為每個或多個應用設置虛擬通道上限值,對於超過虛擬通道上限的流量進行丟棄
上網帶寬保障:為每個或多個應用設置虛擬通道下限值,確保為關鍵應用保留必要的網路帶寬
上網帶寬借用:當有多個虛擬通道時,允許滿負荷虛擬通道借用其他空閑虛擬通道的帶寬
上網帶寬平均:每個用戶平均分配物理帶寬、避免單個用戶的流量過大搶佔其他用戶帶寬

上網行為分析

上網行為實時監控:對網路當前速率、帶寬分配、應用分佈、人員帶寬、人員應用等進行統一展現
上網行為日誌查詢:對網路中的上網人員/終端/地點、上網瀏覽、上網外發、上網應用、上網流量等行為日誌進行精準查詢,精確定位問題
上網行為統計分析:對上網日誌進行歸納匯總,統計分析出流量趨勢、風險趨勢、泄密趨勢、效率趨勢等直觀的報表,便於管理者全局發現潛在問題。

上網隱私保護

日誌傳輸加密:管理者採用SSL加密隧道方式訪問設備的本地日誌庫、外部日誌中心,防止黑客竊聽
管理三權分立:內置管理員、審核員、審計員賬號。管理員無日誌查看許可權,但可設置審計員賬號;審核員無日誌查看許可權,但可審核審計員許可權的合法性后才開通審計員許可權;審計員無法設置自己的日誌查看範圍,但可在審核員通過許可權審核后查看規定的日誌內容
精確日誌記錄:所有上網行為可根據過濾條件進行選擇性記錄,不違規不記錄,最小程度記錄隱私

設備容錯管理

死機保護:設備帶電死機 / 斷電后可變成透明網線,不影響網路傳輸。
一鍵排障:網路出現故障后,按下一鍵排障物理按鈕可以直接定位故障是否為上網行為管理設備引起,縮短網路故障定位時間
雙系統冗餘:提供硬碟+Flash卡雙系統,互為備份,單個系統故障后依舊可以保持設備正常使用。

風險集中告警

告警中心:所有告警信息可在告警中心頁面中統一的集中展示
分級告警:不同等級的告警進行區分排列,防止低等級告警淹沒關鍵的高等級告警信息。
告警通知:告警可通過郵件、語音提示方式通知管理員,便於快速發現告警風險。

藍皮書


藍皮書綜述:作為近年來中國網路安全市場增長最快的產品之一,"上網行為管理產品"受到了業界的廣泛關注。但作為一種具有多種網際網路管控功能的產品,上網行為管理產品需要哪些基本功能、對於不同類型的用戶如何應用、如何在組織內部推行上網行為管理,業界都沒有明確的標準和指導。作為上網行為管理概念的提出者,同時也是中國上網行為管理市場的領導廠商深信服深入研究了一百個具有代表意義的網路樣本,通過分析其網路應用現狀和網路所處環境,以期對上述問題給予解讀,旨在為客戶提供網路安全管理辦法與參考建議,幫助客戶制定適合組織文化與網路現狀的IT管理制度,並採用相關技術手段保障制度的有效實施。

第一章總則

第一條 為了加強對網際網路上網服務營業場所的管理,規範經營者的經營行為,維護公眾和經營者的合法權益,保障網際網路上網服務經營活動健康發展,促進社會主義精神文明建設,制定本條例。
第二條 本條例所稱網際網路上網服務營業場所,是指通過計算機等裝置向公眾提供網際網路上網服務的網吧、電腦休閑室等營業性場所。
學校、圖書館等單位內部附設的為特定對象獲取資料、信息提供上網服務的場所,應當遵守有關法律、法規,不適用本條例。
第三條 網際網路上網服務營業場所經營單位應當遵守有關法律、法規的規定,加強行業自律,自覺接受政府有關部門依法實施的監督管理,為上網消費者提供良好的服務。
網際網路上網服務營業場所的上網消費者,應當遵守有關法律、法規的規定,遵守社會公德,開展文明、健康的上網活動。
第四條 縣級以上人民政府文化行政部門負責網際網路上網服務營業場所經營單位的設立審批,並負責對依法設立的網際網路上網服務營業場所經營單位經營活動的監督管理;公安機關負責對網際網路上網服務營業場所經營單位的信息網路安全、治安及消防安全的監督管理;工商行政管理部門負責對網際網路上網服務營業場所經營單位登記註冊和營業執照的管理,並依法查處無照經營活動;電信管理等其他有關部門在各自職責範圍內,依照本條例和有關法律、行政法規的規定,對網際網路上網服務營業場所經營單位分別實施有關監督管理。
第五條 文化行政部門、公安機關、工商行政管理部門和其他有關部門及其工作人員不得從事或者變相從事網際網路上網服務經營活動,也不得參與或者變相參與網際網路上網服務營業場所經營單位的經營活動。
第六條 國家鼓勵公民、法人和其他組織對網際網路上網服務營業場所經營單位的經營活動進行監督,並對有突出貢獻的給予獎勵。

第二章設立

第七條 國家對網際網路上網服務營業場所經營單位的經營活動實行許可制度。未經許可,任何組織和個人不得設立網際網路上網服務營業場所,不得從事網際網路上網服務經營活動。
第八條 設立網際網路上網服務營業場所經營單位,應當採用企業的組織形式,並具備下列條件:
(一)有企業的名稱、住所、組織機構和章程;
(二)有與其經營活動相適應的資金;
(三)有與其經營活動相適應並符合國家規定的消防安全條件的營業場所;
(四)有健全、完善的信息網路安全管理制度和安全技術措施;
(五)有固定的網路地址和與其經營活動相適應的計算機等裝置及附屬設備;
(六)有與其經營活動相適應並取得從業資格的安全管理人員、經營管理人員、專業技術人員;
(七)法律、行政法規和國務院有關部門規定的其他條件。
網際網路上網服務營業場所的最低營業面積、計算機等裝置及附屬設備數量、單機面積的標準,由國務院文化行政部門規定。
審批設立網際網路上網服務營業場所經營單位,除依照本條第一款、第二款規定的條件外,還應當符合國務院文化行政部門和省、自治區、直轄市人民政府文化行政部門規定的網際網路上網服務營業場所經營單位的總量和布局要求。
第九條 中學、小學校園周圍200米範圍內和居民住宅樓(院)內不得設立網際網路上網服務營業場所。
第十條 設立網際網路上網服務營業場所經營單位,應當向縣級以上地方人民政府文化行政部門提出申請,並提交下列文件:
(一)名稱預先核准通知書和章程;
(二)法定代表人或者主要負責人的身份證明材料;
(三)資金信用證明;
(四)營業場所產權證明或者租賃意向書;
(五)依法需要提交的其他文件。
第十一條 文化行政部門應當自收到設立申請之日起20個工作日內作出決定;經審查,符合條件的,發給同意籌建的批准文件。
申請人完成籌建后,持同意籌建的批准文件到同級公安機關申請信息網路安全和消防安全審核。公安機關應當自收到申請之日起20個工作日內作出決定;經實地檢查並審核合格的,發給批准文件。
申請人持公安機關批准文件向文化行政部門申請最終審核。文化行政部門應當自收到申請之日起15個工作日內依據本條例第八條的規定作出決定;經實地檢查並審核合格的,發給《網路文化經營許可證》。
對申請人的申請,文化行政部門經審查不符合條件的,或者公安機關經審核不合格的,應當分別向申請人書面說明理由。
申請人持《網路文化經營許可證》到工商行政管理部門申請登記註冊,依法領取營業執照后,方可開業。
第十二條 網際網路上網服務營業場所經營單位不得塗改、出租、出借或者以其他方式轉讓《網路文化經營許可證》。
第十三條 網際網路上網服務營業場所經營單位變更營業場所地址或者對營業場所進行改建、擴建,變更計算機數量或者其他重要事項的,應當經原審核機關同意。
網際網路上網服務營業場所經營單位變更名稱、住所、法定代表人或者主要負責人、註冊資本、網路地址或者終止經營活動的,應當依法到工商行政管理部門辦理變更登記或者註銷登記,併到文化行政部門、公安機關辦理有關手續或者備案。

第三章經營

第十四條 網際網路上網服務營業場所經營單位和上網消費者不得利用網際網路上網服務營業場所製作、下載、複製、查閱、發布、傳播或者以其他方式使用含有下列內容的信息:
(一)反對憲法確定的基本原則的;
(二)危害國家統一、主權和領土完整的;
(三)泄露國家秘密,危害國家安全或者損害國家榮譽和利益的;
(四)煽動民族仇恨、民族歧視,破壞民族團結,或者侵害民族風俗、習慣的;
(五)破壞國家宗教政策,宣揚邪教、迷信的;
(六)散布謠言,擾亂社會秩序,破壞社會穩定的;
(七)宣傳淫穢、賭博、暴力或者教唆犯罪的;
(八)侮辱或者誹謗他人,侵害他人合法權益的;
(九)危害社會公德或者民族優秀文化傳統的;
(十)含有法律、行政法規禁止的其他內容的。
第十五條 網際網路上網服務營業場所經營單位和上網消費者不得進行下列危害信息網路安全的活動:
(一)故意製作或者傳播計算機病毒以及其他破壞性程序的;
(二)非法侵入計算機信息系統或者破壞計算機信息系統功能、數據和應用程序的;
(三)進行法律、行政法規禁止的其他活動的。
第十六條 網際網路上網服務營業場所經營單位應當通過依法取得經營許可證的網際網路接入服務提供者接入網際網路,不得採取其他方式接入網際網路。
網際網路上網服務營業場所經營單位提供上網消費者使用的計算機必須通過區域網的方式接入網際網路,不得直接接入網際網路。
第十七條 網際網路上網服務營業場所經營單位不得經營非網路遊戲。
第十八條 網際網路上網服務營業場所經營單位和上網消費者不得利用網路遊戲或者其他方式進行賭博或者變相賭博活動。
第十九條 網際網路上網服務營業場所經營單位應當實施經營管理技術措施,建立場內巡查制度,發現上網消費者有本條例第十四條、第十五條、第十八條所列行為或者有其他違法行為的,應當立即予以制止並向文化行政部門、公安機關舉報。第二十條 網際網路上網服務營業場所經營單位應當在營業場所的顯著位置懸掛《網路文化經營許可證》和營業執照。
第二十一條 網際網路上網服務營業場所經營單位不得接納未成年人進入營業場所。
網際網路上網服務營業場所經營單位應當在營業場所入口處的顯著位置懸掛未成年人禁入標誌。
第二十二條 網際網路上網服務營業場所每日營業時間限於8時至24時。
第二十三條 網際網路上網服務營業場所經營單位應當對上網消費者的身份證等有效證件進行核對、登記,並記錄有關上網信息。登記內容和記錄備份保存時間不得少於60日,並在文化行政部門、公安機關依法查詢時予以提供。登記內容和記錄備份在保存期內不得修改或者刪除。
第二十四條 網際網路上網服務營業場所經營單位應當依法履行信息網路安全、治安和消防安全職責,並遵守下列規定:
(一)禁止明火照明和吸煙並懸掛禁止吸煙標誌;
(二)禁止帶入和存放易燃、易爆物品;
(三)不得安裝固定的封閉門窗柵欄;
(四)營業期間禁止封堵或者鎖閉門窗、安全疏散通道和安全出口;
(五)不得擅自停止實施安全技術措施。