分析上网行为管理软件与硬件的差别所在

分析上网行为管理软件与硬件的差别所在（15篇）

1.分析上网行为管理软件与硬件的差别所在 篇一

上网行为管理市场分析

作为近年来中国网络安全市场增长最快的产品，“上网行为管理”受到业界的广泛关注。各大企业和厂商都越来越多的关注上网行为管理市场.上网行为管理的巨大金矿吸引了多家厂商的角逐。以北京万任科技公司为首的总舵厂商对上网行为管理的物理特性、功能特性、增值特性和性能指标等都有研究，但是业界并没有形成统一定论，这在一定程度上影响了用户的选型和应用。

商业智能引领上网行为管理发展方向

在网络愈加发达的今天，很多企业的业务和办公环境都和互联网紧密关联，从海量的用户数据中挖掘出有价值的信息，为企业管理决策提供有力的支撑将是上网行为管理产品的发展趋势，而上网行为管理产品也将从一个网络设备逐步升级为企业管理助手。

传统上网行为管理都具备日志统计功能，但只是记录用户上网行为的日志数据，并不能从海量数据中进行分析提取，并形成直观可视的量化报告，从而帮助企业分析员工的工作效率、离职风险等。

例如北京万任科技上网行为管理产品的智能数据分析模型能够分析出网络健康指数报告、工作效率指数报告、带宽利用指数报告、行为合规指数报告等，为企业管理者提供决策支持。

随着互联网应用的大量普及，用户对上网行为管理的网页识别率、应用识别率都提出了更高的要求，同时传统的日志统计方式已经不能满足用户日益复杂的需求，上网行为管理急需改变，商业智能关联分析已经成为下一代上网行为管理的新方向。

2.分析上网行为管理软件与硬件的差别所在 篇二

1 思想上的引导

随着高等学校、中等职业学校的扩招和普通高中的发展, 中等职业学校“优质”生源不断萎缩, 所招学生素质参差不齐。中职学生通过上网学习的自治能力要比本科生差, 往往是上网基本上是玩游戏、聊天、等娱乐性多而真正学习的少, 中职学校学生网络管理已成为学校最重视也最头疼的问题, 网络是一把双刃剑, 不仅是我们获取知识的最有效的工具, 但同时也有一些有害信息, 我们中职教育工作者要正确引导学生在思想上应该科学、健康、文明、正确地利用互联网络, 趋利避害, 健康成长, 利用现代信息技术获取健康科学的知识信息, 消除互联网络对学生的不良影响, 倡导良好上网行为习惯, 营造健康、文明的校园网络文化氛围。

2 制度上的管理

中职学校在信息化建设的同时, 应建立健全学生校园网管理制度, 制定学校学生上网管理规定等相关规定, 从制度上约束学生正确的上网行为。

(1) 成立辅导员辅导制度, 辅导员要大力开展对学生的网络道德教育和良好上网习惯的培养, 通过多种形式使学生认识到网络的利弊, 让学生清楚不良上网习惯对自己身心的危害性, 引导学生正确地使用网络, 把网络作为学习知识和提高素质的有效工具。

(2) 学校团青、学生会要组织经常性的专题教育活动。通过活动培养广大学生健康、文明地使用互联网络的自觉性, 使学生不断提高辨别是非和拒绝不良信息侵害的能力。

(3) 成立相关的部门, 对在校学生的上网活动加以指导和管理, 充分发挥其在提高学生专门技能和良好学习习惯的主阵地作用, 以健康实效的集体活动将学生的兴趣与爱好引导到成高素质人才、做合格社会公民上来。

(4) 在教学评价上增加学生通过网络学习的考评成绩鼓励学生使用网络教学平台。教师可根据学生在线学习的课时数, 增加学生成绩。

(5) 加强学生上网行为管理, 建立由学生工作负责人牵头、辅导员为主、班主任、学生干部广泛参与的管理队伍和管理机制, 严格考勤制度, 严查学生住宿情况, 严肃学生行为督查, 严格执行校规校纪。各级辅导员要掌握有迷恋网络行为学生情况, 采取针对性措施进行教育和矫正。对有不良上网习惯、经教育无效的学生, 还应请专家和心理辅导机构参与共同教育。

3 技术上管控

对学生的上网行为管理, 在校内最有效的方法是通过学校的信息化建设从网络入口和出口两个环节加强监控管理, 同时防范由于学校对所有员工和学生外网开放导致众多网络威胁。

(1) 技术上实现的目标:通过软件及硬件建设规范学生上网行为, 禁止访问不良网站, 增加内网机密信息的保护机制, 保护内部数据, 防止机密信息泄漏, 对聊天工具、下载工具、网游软件的管控、带宽管理, 提升带宽利用率;通过关键字过滤、网页过滤等手段净化校园网内网不堪的言论等。同时提供灵活详细的上网行为统计报表, 以便管理员掌握学校的互联网使用情况, 及时制定合理的管理策略, 规范网络应用。

(2) 实现的途径之一——采用软件部署, 软件实现的主要技术在于在高性能网关路由器上, 增加深度包检测 (DPI) 功能, 有些软件采用非广播技术、内核驱动技术和带自主研发Kercap引擎等, 通过分析网络应用特征码, 配合智能带宽管理、自动行为管控等综合策略, 全面管理聊天、在线视频、股票、游戏、P2P下载、暴力及色情等非法网站的过滤, 并配合WAN口流量统计、LAN侧用户流量统计、并发session统计等功能, 提供综合的管理手段。优点:部署方便、安装容易、维护简单、升级快速, 成本适当, 但软件易受攻击稳定性安全性差、管理人数较少。目前在学校使用的这类软件有护航360、上海互普信息技术有限公司互普威盾等, 中职学校可根据经济情况和同时上网的情况部署带自主研发Kercap引擎的软件。

(3) 实现的途径之二——采用硬件部署, 硬件其实是安装了管理软件的一台高性能计算机其重点在于软件和硬件相结合, 硬件部署优点是功能强大, 专业性强, 管理人数较多, 部署简单、升级方便、故障率低, 但价格高, 维护复杂, 管理员素质要求较高等缺点。一般学校规模大信息点多建议采用硬件部署, 硬件部署一般采用串接与旁路之分, 这主要看学校对上网行为的管理程度来决定。串接:控制和管理的效果好, 但是容易造成单点故障;旁路:不容易造成单点故障, 但是控制和管理的效果不理想;目前国内主流的厂商提供的产品都比较稳定, 单点故障率较小, 因此在条件允许的情况下采用串接方式部署。硬件系统技术上内置国内最全的应用识别规则库, 最大的网页地址库, 结合深度内容检测技术、网页智能识别等专利技术, 为学校解决网页过滤、封堵与学校无关的网络应用需求。通过上网行为分析, 实时掌握校内学生互联网使用状况可以避免很多隐藏的风险。有些学生长期沉迷于聊天、看电影、玩游戏, 不仅是学习效率的杀手, 同时造成网速缓慢、信息外泄的可能。通过带宽流量管理实时了解、统计、分析互联网使用状况, 并根据分析结果对管理策略做调整和优化。学校信息部门可以制定全面的信息收发监控策略, 有效控制关键信息的传播范围, 以及避免可能引起的法律风险。同时学校可实时了解系统的运行情况, 方便快速定位和排除故障;通过日志管理记录内网用户登录QQ、退出MSN的信息、发送/接受邮件的信息;查看到内网用户所访问过的网站域名, 可以实时了解内网用户的上网行为等。目前市场上的这类产品较多, 学校推荐使用网康科技、网域科技等公司的产品。

总之, 中职学校学生上网行为管理比其他各类学生更难管理, 它是一个系统工程, 需要我们个人、学校、全社会共同参与, 对于学生我们要在思想上正确引导, 在制度上加强管理, 在技术上加以管控, 多方面齐抓共管, 使网络真正成为我们学习的有效工具。

摘要：介绍和分析了中职学生上网行为管理的方法, 重点从学校校园信息化建设上制定和规范学生上网行为, 对于中职学生上网行为管理问题提出了解决策略, 认为学生上网管理必须要从管理、软件、硬件, 等多方面同时入手, 同时让学生、学校、全社会共同参与, 使中职学校的校园网真正成为学生学习获取知识的平台。

3.企业上网行为管理的管理对象 篇三

在网络化办公、信息化高速发展、网络应用层出不穷的今天，如果企业局域网缺乏管理、员工不加监管、随意使用网络，会出现员工工作效率低下、企业信息泄露等危险。所以企业对员工上网行为的管理，是大势所趋。以小草上网行为管理软路由为代表的企业局域网管理软件为企业提供了专业的上网行为管理技术手段。

小草上网行为管理软路由认为，企业网络管理主要集中在以下几个方面：

网址分类管理功能，允许屏蔽与工作无关的网站或非法网站，并可对所有人员访问的网站进行阻断、记录和警告；

IP地址组功能，实现了管理人员对不同部门员工的管理，使得管理人员可轻松监管整个网络；

聊天软件过滤功能，企业可放行规定的工作通讯软件的正常使用，过滤非法即时通讯软件的使用，并对所有人员登陆的QQ等进行监控和记录；

邮件监控功能，员工在使用邮件客户端通过POP3/SMTP协议收发邮件时，进行收发邮件的镜像和监控，确保企业机密信息安全；

股票软件过滤功能，阻断了企业员工上班期间对股市的关注，提高工作认真度和工作效率；

WEB安全功能，能有效减少员工访问网页时被各类木马病毒文件感染的几率，同时还能防止用户在网络论坛上发言发帖，避免给企业带来法律风险；

游戏过滤功能，可禁止企业员工在上班期间对网游肆无忌惮的操作，并可减少对网络带宽资源的占用；

系统日志功能，使得管理者可定期获得所有员工的网上行为访问记录，便于管理人员进一步分析和规划网络的使用。

4.上网行为管理方案 篇四

一．网络管理概述

1.网络管理的目的

在一般情况下，网络管理的主要目的是为了提高网络可用性、改进网络性能、减少和控制网络费用以及增强网络安全性等。2.网络管理的要素

网络管理平台的建设主要与业务需求的结合。完整而理想的网络管理解决方案，应该根据应用环境和网络对业务流程，以及用户需求的端到端关联关系，来管理网络及其所有设备。3.网络资源管理

网络资源就是指网络中的硬件设备、整个环境中运行的软件（包括服务器与电脑的应用软件）以及所提供的服务等。网络管理系统必须将它们表示出来，才能对其进行管理。在好的网管软件中，当前的网络拓扑和各个硬件系统都以图形的方式显示在一个图上，而且各种信息都会动态地在上面显示，非常方便监视与管理。

4.软件资源管理和软件分发

网络管理系统的软件资源管理和软件分发功能，是指优化管理信息的收集，对企业所拥有的软件授权数量和安装地点进行管理。软件分发则是通过网络把新软件分发到各个站点，并完成安装和配置工作。5.应用管理

应用管理用于测量和监督特定的应用软件及其对网络传输流量的影响。网络管理员通过应用管理可以跟踪网络用户和运行的应用软件，改善网络的响应时

间。

二、网络管理要具备的六大基本功能

网络管理一般包括性能、故障、配置、计费、安全和行为六方面功能。

1.性能管理

主要考察网络运行的好坏。性能管理使网络管理员能够监视网络运行的参数，如吞吐率、响应时间、网络的可用性等。2.故障管理

检测、定位和排除网络硬件和软件中的故障。当出现故障时，该功能确认故障，并记录故障，找出故障的位置并尽可能地排除这些故障。3.配置管理

掌握和控制网络的状态，包括网络内各个设备的状态及其连接关系。配置管理的典型方法是，用逻辑图来描绘所有的网络设备及其逻辑关系，并将网络的确切物理布局，以适当的比例映射到这个逻辑图上。用精心设计的各种图标来表示各种网络对象，而这些图标又往往涂上不同颜色表示相应设备的不同状态。4.计费管理

记录各个用户和应用程序对网络资源的使用情况。计账管理提供计算一个特定网络或网段的运行成本的手段。5.安全管理

是对网络资源及其重要信息访问的约束和控制，包括验证网络用户的访问权限和优先级、检测和记录未授权用户企图进行的不应有的操作。6.行为管理

上网行为管理是指帮助用户控制和管理对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。

三、上网行为管理的技术功能及产品

上网行为管理技术是专用于防止非法信息恶意传播，避免相关机密、商业信息、科研成果泄漏，并可实时监控、管理网络资源使用情况，提高整体工作效率。上网行为管理软硬件系列适用于需实施内容审计与行为监控、行为管理的网络环境，尤其是按等级进行计算机信息系统安全保护的相关单位或部门。上网行为管理通过软硬件能实现的功能有： 1.上网人员管理

上网身份管理：利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性

上网终端管理：检查主机的注册表/进程/硬盘文件的合法性，确保接入企业网的终端PC的合法性和安全性

移动终端管理：检查移动终端识别码，识别智能移动终端类型/型号，确保接入局域网的移动终端的合法性

上网地点管理：检查上网终端的物理接入点，识别上网地点，确保上网地点的合法性

2.上网浏览管理

搜索引擎管理：利用搜索框关键字的识别、记录、阻断技术，确保上网搜索内容的合法性，避免不当关键词的搜索带来的负面影响。

网址URL管理 ：利用网页分类库技术，对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性。（URL：统一资源定位器）

网页正文管理：利用正文关键字识别、记录、阻断技术，确保浏览正文的合法性

文件下载管理：利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性 3.上网外发管理

普通邮件管理：利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性

WEB邮件管理 ：利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性

网页发帖管理：利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性

即时通讯管理：利用对MSN、飞信、QQ、skype、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性

其他外发管理：针对FTP、TELNET等传统协议的外发信息进行内容关键字识别、记录、阻断确保外发信息的合法性 4.上网应用管理

上网应用阻断：利用不依赖端口的应用协议库进行应用的识别和阻断

上网应用累计时长限额：针对每个或多个应用分配累计时长、一天内累计使用时间达到限额将自动终止访问

上网应用累计流量限额：针对每个或多个应用分配累计流量、一天内累计使用流量达到限额将自动终止访问 5.上网流量管理

上网带宽控制：为每个或多个应用设置虚拟通道上限值，对于超过虚拟通道上限的流量进行丢弃

上网带宽保障：为每个或多个应用设置虚拟通道下限值，确保为关键应用保留必要的网络带宽

上网带宽借用：当有多个虚拟通道时，允许满负荷虚拟通道借用其他空闲虚拟通道的带宽

上网带宽平均：每个用户平均分配物理带宽、避免单个用户的流量过大抢占其他用户带宽 6.上网行为分析

上网行为实时监控：对网络当前速率、带宽分配、应用分布、人员带宽、人员应用等进行统一展现

上网行为日志查询：对网络中的上网人员/终端/地点、上网浏览、上网外发、上网应用、上网流量等行为日志进行精准查询，精确定位问题

上网行为统计分析：对上网日志进行归纳汇总，统计分析出流量趋势、风险趋势、泄密趋势、效率趋势等直观的报表，便于管理者全局发现潜在问题 7.上网隐私保护

日志传输加密：管理者采用SSL加密隧道方式访问设备的本地日志库、外部日志中心，防止黑客窃听

管理三权分立：内置管理员、审核员、审计员账号。管理员无日志查看权限，但可设置审计员账号；审核员无日志查看权限，但可审核审计员权限的合法性后

才开通审计员权限；审计员无法设置自己的日志查看范围，但可在审核员通过权限审核后查看规定的日志内容

精确日志记录：所有上网行为可根据过滤条件进行选择性记录，不违规不记录，最小程度记录隐私 8.设备容错管理

死机保护：设备带电死机 / 断电后可变成透明网线，不影响网络传输。一键排障：网络出现故障后，按下一键排障物理按钮可以直接定位故障是否为上网行为管理设备引起，缩短网络故障定位时间

双系统冗余：提供硬盘+Flash卡双系统，互为备份，单个系统故障后依旧可以保持设备正常使用。9.风险集中告警

告警中心：所有告警信息可在告警中心页面中统一的集中展示

分级告警：不同等级的告警进行区分排列，防止低等级告警淹没关键的高等级告警信息。

告警通知：告警可通过邮件、语音提示方式通知管理员，便于快速发现告警风险。

10.上网行为管理产品

深信服上网行为管理（AC）是中国上网行为管理第一品牌，可以防止与业务无关的网络行为，杜绝带宽资源滥用，加快上网速率，提升工作效率。在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为提供解决方案。

网康上网行为管理能帮助客户最大化利用互联网价值，为网络管理者提供各种互联网接入环境的身份认证、合规准入、网页过滤、应用控制、带宽管理、内容审计、外发过滤，行为分析等功能。

小草网管软件综合智能动态带宽保障，服务器流量分析与保障、虚拟多设备管理等多项突破性技术，涵盖流量分析、带宽管理、上网行为管理、DMZ区服务器管理，专线集中管理、企业级防火墙与路由器、负载均衡等功能，在网络性能、质量、安全等方面为客户提供完整的解决方案。

产品对比：从产品形态来看，上网行为管理分为硬件和软件2种，但是国内以硬件为主流，国外以软件为主流；

硬件的优势：部署简单、升级方便、故障率低

硬件的劣势：成本较高,维护复杂,维修需要专业认识

软件的优势：成本适当,维护简单、安装容易、升级快速,可以在随便找个机器部署.软件的劣势：对于国企和政府来说，没有一个东西不放心,所以国内政府偏硬件，企业偏软件。

四、深信服上网行为管理（AC）功能及部署方案 1.AC产品功能

1.1 身份认证

1.1.1 映射组织行政结构

为了给不同用户、不同部门授予差异化的互联网访问、控制、审计权限，需要规划和建立组织的用户分组结构。

一般组织均有自己的行政结构，AC可以完全按照组织的行政结构建立树形用户分组，实现父组、子组等多层嵌套的要求。在完成用户组的创建后，即可创建用户，并将用户分配到指定的用户组中，以实现网络访问权限的授予与继承。用户创建的过程简单方便，除手工输入帐户方式外，AC能够根据OU或Group读取AD域控服务器上用户组织结构，并保持与AD的自动同步，方便管理员管理。

此外，AC支持账户自动创建功能，依据管理员分配好的IP段与用户组的对应关系，基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC，并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件，过AC的账户导入功能更加快捷的创建用户和分组信息。

用户帐号还支持有效期限定，账号过期则自动失效，支持多人共用同一帐号等，丰富的帐号策略使得管理员可以根据实际情况自由地合理调整。1.1.2 建立身份认证体系

有效区分用户，是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础。AC支持丰富的身份认证方式：

■ 本地认证：Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定 ■ 第三方认证：AD、LDAP、Radius、POP3、PROXY等； ■ 双因素认证：USB-Key认证；

■ 单点登录：AD、POP3、Proxy、HTTP POST等；

■ 强制认证：强制指定IP段的用户必须使用单点登录（如必须登录AD域等）

丰富的认证方式，帮助组织管理员有效区分用户，建立组织身份认证体系，进而形成树形用户分组，映射组织行政结构，实现用户与行为的一一对应，方便 5

管理员实施上网行为管理解决方案。

AC支持为未认证通过的用户分配受限的互联网访问权限，将通过Web认证的用户重定向至显示指定网页，方便组织管理员发布通知。1.2 应用权限管理 1.2.1应用控制策略 1.2.1.1 识别是管理的基础

全面的应用识别帮助管理员透彻了解网络应用现状和用户行为，保障管理效果。

AC多种应用识别技术，全面识别各种应用，进而有效管控和审计。主要包括： a)URL识别： AC内置千万级静态URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术； b)应用规则识别库：AC拥有国内最大的应用识别库，该库由深信服应用规则研发团队定期维护，保证库处于最新状态；该库支持360种以上网络主流应用，680条以上规则 能识别40种以上IM、50种以上P2P/P2P流媒体、100种以上游戏、20种以上OA、15种以上网银、20种以上股票行情软件、15种以上股票交易软件、10种以上木马、10种以上代理软件； c)文件类型识别：识别并过滤HTTP、FTP、mail方式上传下载的文件，即使删除文件扩展名、篡改扩展名、压缩、加密后再上传，AC同样能识别和报警；

d)深度内容检测：IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等，基于数据包特征精准识别，且支持管理员自行定义新规则，以及深信服科技及时更新和快速响应；

e)智能识别：种类泛滥的P2P行为，静态“应用识别规则”已经捉襟见肘，通过P2P智能识别，识别不常见、未来可能出现的P2P行为，进而封堵、流控和审计。

通过强大的应用识别技术，无论网页访问行为、文件传输行为、邮件行为、应用行为等AC都能帮助组织实现对上网行为的封堵、流控、审计等管理。1.2.1.2 上网策略对象化

AC支持完美映射组织的行政结构，管理员可依据组织结构添加管理策略。上网策略对象化，同一条上网策略可被多个用户/用户组复用，同一用户/用户组可关联使用多条策略，实现策略和用户/用户组的双向关联，方便管理员调整。对于父组、子组的

上网策略不仅仅支持基于生效时间、用户/用户组、应用类型，支持模板形 6

式复制，更支持策略有效期，管理员可手动设定策略的过期时间，逾期自动失效，有效实现策略的回收管理。此外，AC支持将策略的查看、编辑权限分配给指定管理员，实现策略的分级管理。1.2.1.3 灵活的授权

AC支持基于生效时间、用户/用户组、应用类型的授权，帮助组织实现上网权限与工作职责的匹配，防止越权访问与泄密风险，一方面管控与业务无关的上网行为，提升员工工作效率，一方面过滤不良信息、阻止异常行为，防止法律与泄密风险。

AC更兼顾了管理与人性化的需求，对于某些不便添加权限控制策略的部门或者是企业文化较为宽松的组织，AC提供了“智能提醒”功能，管理员可设定允许特定用户使用指定应用的时长、流速，一旦用户使用指定应用的时长、速度超限后，AC自动弹出提醒窗口，提醒用户注意违规行为，敦促用户自觉规范，达到促进自我管理的目的，减少管理带来的摩擦。1.2.2 Web应用控制 1.2.2.1 URL访问控制

网页浏览是员工主要互联网行为之一，在URL过滤方面，AC采用“静态URL库+URL智能识别+云系统”三重识别体系。

首先，AC内置千万级预分类URL地址库，该库由深信服URL研发小组专人负责维护，收集新增网页并经由人工审核分类，包含互联网上数十种分类站点，覆盖了95%以上用户访问量最高的网址。

其次，互联网网页容量爆炸性增长，静态URL库不足以有效应对。因此，AC支持基于内容关键字的过滤手段，可基于管理员指定的多关键字过滤用户搜索行为、网页访问行为、发帖行为等。更提供了人工智能的网页智能分析系统（Intelligent Webpage Analysis System, IWAS）能够根据已知网址、正文内容、关键字、代码特征等对网进行学习和智能分类，真正帮助组织完善网页访问行为的管理。1.2.2.2 SSL内容管理

SSL(Secure Socket Layer)协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此，一方面，越来越多的网页使用SSL加密，如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站，而因为采用了加密技术，普通的管理产品无法对其内容进行识别管理，导致管理漏洞；另一方面，互联网上存在大量伪造的网上银行、网上购物页面，此类网页利用了网银、网上购物等

普遍采用第三方权威机构颁发的数字证书以实现SSL加密的特性，伪造虚假证书以骗取用户信任，警惕性不高的用户容易在毫不知情的情况下泄露自己的账户信息，导致直接或间接的经济损失。

AC可以对SSL网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等，防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户，此功能亦应用于过滤SSL加密的色情、反动站点，证券炒股站点等。1.2.2.3 代理翻墙管控

许多组织统一采用Microsoft ISA、CCproxy、Sygate等代理服务器上网，也有的组织明文规定禁止内网用户私用代理上网，但仍有用户将浏览器等应用配置公网服务器、私装代理软件代理他人上网，甚至使用自由门、无界浏览器、IPN等加密代理行为。由于防火墙等设备对内网用户的管理是基于目的地址和端口的，无法有效区分正常上网的流量和通过代理服务器上网的员工流量。对于如上情况，AC的深度内容检测技术能有效识别用户数据中包含的代理上网流量，通过代理识别模块可以识别从用户端发送到达代理服务器之间的应用数据，进而对用户的网络行为进行管控和记录。1.2.3文件传输控制

利用网络来进行文件传输是许多用户每天的必修课，而在文件传输过程中存在种种管理和安全隐患，如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知，有意泄密者甚至会将外发文件的后缀名修改、删除，或者加密、压缩该文件，然后通过HTTP、FTP、Email附件等形式外发。

AC支持管控文件外发行为，如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点，基于关键字、文件类型控制上传/下载行为，封堵QQ/MSN等IM传文件，允许使用webmail收邮件而禁止发送邮件等。其中，仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给组织造成的损失，单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型，即便存在修改、删除外发文件后缀名，或者加密、压缩文件文件外发的行为，AC也能发现并且告警，保护组织的信息资产安全。1.2.4 邮件收发控制

Email不仅是组织重要的沟通方式之一，同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件，对于将文件修改

后缀名、删除后缀名，或者压缩、加密后作为Email附件外发，试图躲过拦截与审查的行为，AC能够识别并进行报警。同时，对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件，并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。1.3 带宽管理 1.3.1流量可视化

AC为IT管理员提供了网络流量可视化方案，登陆AC控制台后，管理员可以查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况（包括DOS攻击、ARP欺骗等）等信息，直观了解当前网络运行状况。

此外，数据中心（Network Database Center，NDC）对内网用户的各种网络行为流量进行记录、审计，借助图形化报表直观显示统计结果等，帮助管理员了解流量TOP N用户、TOP N应用等，并自动形成报表文档，定时发送到指定邮箱，让IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况，了解流控策略效果，为带宽管理的决策提供准确依据。1.3.2 流量管理

当您了解了带宽的使用情况，并对带宽进行优化和分配后，我们即将对用户(组)的上网行为做进一步的管理和控制。1.3.2.1 多线路复用和智能选路

很多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过AC特有的多线路复用及带宽叠加技术，AC复用多条链路形成一条互联网总出口，提升整体带宽水平。再结合多线路智能选路专利技术，AC将出网流量自动匹配最佳出口。1.3.2.2 基于应用/网站/文件类型的智能流量管理

AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。精细智能的流量管理既防止带宽滥用，提升带宽使用效率。1.3.2.3 多级父子通道嵌套技术

AC采用“基于队列的流控技术”，即建立管道，将不同的控制对象分配到不同的管道里。该技术的好处是控制灵活，大通道中可以多层嵌套小管道，分别基于不同的用户、时间、应用协议、网站、文件类型等对象建立不同的通道，对于结构复杂又希望实现差异化控制的组织来说可以做到更为精确的控制。

1.3.2.4 动态带宽分配

组织管理员往往既希望在网络应用高峰期保障核心用户、核心业务带宽，限制无关应用占用资源，又希望在带宽空闲时实现资源的充分利用。为此，AC支持带宽的“自由竞争”与“动态分配”，除了基于父子通道进行流量控制之外，还可以根据在线的用户数量将带宽动态分配给在线用户。1.3.2.5 P2P的智能识别与灵活控制

通过封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。AC凭借P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，对不常见和未来将出现的P2P亦能管控。

对于某些企业文化较为宽松的组织，完全封堵P2P可能实施困难，AC的P2P流量控制技术能限制指定用户的P2P所占用的带宽，既允许指定用户使用P2P，又不会滥用带宽，充分满足管理的灵活性。1.4 日志记录与报表分析

记录员工的网络工作效率、分析网络应用情况、提供管理依据等。1.5 安全防护 1.5.1终端安全

网络世界中安全事件数量急剧攀升，内网中断、不稳定将直接影响用户的上网行为，所以需要AC保证网关自身安全，并强化内网可靠性、可用性。1.5.1.1 防火墙

AC内置基于状态检测技术的企业级防火墙，对进出组织的数据包提供过滤和控制。NAT（Network Address Translation）功能，代理内网员工上网和实现静态端口映射。1.5.1.2 网关防病毒

AC的网关防病毒功能集成知名厂商的防病毒引擎（防病毒引擎每天自动升级），从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀，亦可查杀压缩包（zip，rar，gzip等）中的病毒。1.5.1.3 终端安全级别检测

借助网络准入规则专利技术（专利号ZL200510037455.1），AC将按照管理员要求检查每位员工防病毒软件安装、运行、更新情况、操作系统版本、补丁情况、注册表键值、终端程序运行情况、终端目录盘下文件情况等，不满足预设安全级别的终端将不允许访问互联网，从而提升整个内网的可靠性和可用性。

1.5.2网络准入控制 近年来，在企业网中，新的安全威胁层出不穷，给组织带来各种风险：

深信服科技推出了轻量级NAC（网络准入控制）解决方案，只需在出口处部署一台硬件网关，通过向内网终端自动推送一个轻量级的客户端控件，即可实现对接入内网终端的网络准入控制和安全隔离，执行安全级别检查，限制非法外联线路，禁用USB拷贝功能。

1.5.3 危险插件恶意脚本过滤 非法网站假冒可信软件如防病毒软件、插入非法软件，通过恶意广告、垃圾博客、恶意点对点文件传播等，当用户发现时，用户端已经被安装恶意插件，被强迫浏览黑客指定的网站，或者被利用攻击某个站点，终端信息已被外发，损失已造成。

究其根源，在于用户访问不可信的资源，如现在非常流行的是通过浏览器自动安装ActiveX控件来进行恶意插件的传播。AC通过对 ActiveX控件的签名进行过滤，防止不被信任的插件安装到内网机器当中，从而解决通过IE浏览器乱装控件的问题，起到保护内网安全的作用。还有形形色色的病毒、木马，而这些危害绝大部分都是危险脚本造成的。AC通过对内网用户访问的网页脚本进行特征识别，在脚本下载到浏览器执行前进行拦截，从而起到保护内网安全的作用。1.5.3.1 危险插件过滤

 能识别那些下载文件是会自动安装的插件，包括所有通过浏览器自动下载的文件。

 能根据插件白名单对插件进行过滤，内置常用安全插件列表供用户选择，还可以自定义白名单（支持插件名称、证书名称和域名）。

 能根据插件证书的合法性进行过滤，包括：检查插件签名是否过期，对插件签名进行证书链控制。

 能记录控件过滤日志，包括被过滤控件名称及被拒绝的原因，并能在数据中心查出来。

 能够实现二次提示，第一次出现时做拦截，第二次实现时给出提示。1.5.3.2 恶意脚本过滤功能：

 可以过滤注册表的写操作；  可以过滤文件的写操作；  过滤危险对象和危险调用；

 能够实现二次提示，第一次出现时做拦截，第二次实现时给出提示。

1.5.4 异常流量控制

■ 异常流量感知 随U盘等潜入组织内网的木马、间谍软件等为了隐藏自己，通常会通过常用的TCP 80、443、25、110等端口泄漏内网机密数据及接受黑客控制。传统设备防火墙等解决方案在开放了常用端口后并不能识别该端口中传输的数据及内容，AC的异常流量感知技术能够识别常用端口中的如上异常流量，并能够实时报警，帮助管理员掌控网络，防范风险。

2.AC产品的部署模式 2.1网关模式（路由模式）

AC以网关模式部署在组织网络中，所有流量都通过AC处理，实现对内网用户上网行为的流量管理、行为控制、日志审计等功能。2.2网桥模式

单网桥模式：以网桥模式部署在组织网络中，如同连接在出口网关和内网交换机之间的“智能网线”，实现对内网用户上网行为的流量管理、行为控制、日志审计、安全防护等功能。

多网桥模式：组织考虑到网络的稳定性、可靠性，往往采用双机、双线路构建基础网络。AC支持多路桥接模式，适应组织的多机网络环境要求。2.3旁路模式

AC以旁路模式部署在组织网络中，与交换机镜像端口相连，实施简单，完全不影响原有的网络结构，降低了网络单点故障的发生率。2.4多机模式

5.路由器上网行为管理 篇五

除了迟到、旷工，上网行为也要纳入到行政管理了，这是目前一些企业的网络应用需求。为此，越来越多的组网设备开始提供上网行为管理的功能。

上班不能玩游戏、不能私人聊天、不能炒股、不能发送可能泄漏公司商业秘密的邮件。。这些问题其实是一个职业素质的基本问题，但企业管理者由于各种原因，对此经常无可奈何。路由器上网行为管理正是迎合了这个需要，以电子化手段进行铁面无私的管理，行政措施得以有效的贯彻。

但是，上网行为管理功能的产品出现的时间不长，很多用户在应用中有一定的误区，产品选购上也无所适从。本文旨在上网行为管理功能的应用价值、技术实现、产品选择等方面做一个粗略的探讨。

一、上网行为管理的应用价值

首先应该明确的是，上网行为管理产品不是组网安全设备，而是行政管理的手段。上网行为管理是一种约束和规范企业员工遵守工作纪律、提高工作效率、保护公司隐私的工具，是行政管理的电子化辅助手段。具备上网行为管理功能的路由器无疑对企业网络访问的制度化管理起到了良好的辅助作用，从这一点上来说上网行为管理的应用对企业是有益的。诚然，精心部署上网行为管理，对企业网络的稳定性、可靠性有一定的帮助，但这是非常不够的。网络的稳定可靠不能仅仅依靠上网行为管理来实现，而主要还是要依靠专业的网络安全设备和方案。可是目前，在一些用户心中，依然对上网行为管理产品的作用存在一些模糊不清的认识：

误区一：上网行为管理能让网络不掉线 网络掉线是整个网络架构不健全的反应，是因为以太网本身的先天缺陷造成的。上网行为管理虽然解决了无序上网的问题，客观上对网络净化起到一些作用，但绝不是根本的手段。网络问题要从网络结构本身加以解决，解决网络掉线、卡滞等问题，应该使用类似欣向免疫墙之类的专业方案，那才是从根源着手的有效办法。误区二：上网行为管理能防病毒侵害

网络病毒的传播防不胜防，挂马成为了庞大产业。所以，靠上网行为的约束，期望杜绝病毒的侵入，在目前中国的网络环境下是杯水车薪。真正抵御病毒侵害要采取综合的手段，在网络层面，要部署防毒墙、垃圾邮件过滤、防火墙、免疫墙、UTM等，在单机层面，要安装杀毒软件、定期升级操作系统补丁等措施。所以，尽管上网行为管理对防范病毒侵害很重要，但也只能是一个辅助措施。

误区三：上网行为管理能控制网速

封QQ、封P2P、封视频，通过限制大容量的下载保证带宽的合理使用，这些都是权宜之计，不是一个完善可靠的办法。限制应用不能从根本上解决带宽管理问题，因为网络上的内容太丰富了，抢占带宽的流量无法一一识别并限制。在网络管理的技术方面，对带宽的管理是通过QoS实现的，而不是通过限制应用的方式。带宽管理的方法在很多路由器中都有提供，有传统的平均分配法、有自适应调节算法、还有“人少时快、人多时均”的欣向智能带宽算法等等。这些都是从专业角度进行的，对控制网速根本有效的办法。

因此，综上所述，上网行为管理功能解决不了网络的稳定性、可靠性问题，对网络本身的管理也不是根本的办法。应用上网行为管理后，企业的网络状况会有一定好转，但恐怕只是暂时的。上网行为管理最大的效用就是在行政管理上，它通过提高员工的工作效率为企业创造价值，这才是上网行为管理路由器得到欢迎的主要原因。

二、上网行为管理的技术实现

上网行为管理的技术实现大概分为几个部分：IP分组管理、特定应用封锁、行为审计、行为记录等。IP分组管理是实现上网行为管理的基础，对于每个特定的分组分配不同的上网权限，对各种不同部门、不同业务、不同人员的上网行为管理进行要求，这样才能适应企业的应用状况。那种不依赖分组的“一键封锁”是不能全面满足用户需求的。所以，分组管理和权限策略在路由器中设计为多重搭配组合的模式。

欣向免疫路由分组成员管理

特定应用封锁技术包括静态过滤、协议型封锁二种模式。静态过滤是通过封锁特定应用的网络服务器IP和端口，达到应用无法连接到服务器的目的，实现行为封锁的一种方式。这种功能其实在路由器中早就存在，它是“外网IP过滤”、“端口过滤”、“URL关键字过滤”等几个功能的组合。上网行为管理就是厂家把应用项目提出来，预制进产品中，通过一个在界面上的名字表达这个功能。这样做法就是方便了用户，不必让用户自己去查找要封锁项目的相关信息，再一条一条地在路由器上配置保存，这大大提高了产品的易用性。

而协议型封锁是通过对要封锁的协议进行分析，识别上网行为身份，进行对该协议的拦截，实现行为封锁的一种方式。这是编制在产品的执行程序中的，用户无法自己设置和干预。包括QQ、某些游戏、P2P等的部分应用，它们虽然有相对固定的服务器IP群，但它们的连接方式是靠协议握手，动态地变换IP和端口，甚至有些P2P应用连IP都是不确定的。这就需要协议型封锁的方式进行处理。从技术实现的角度来看，静态过滤是较容易的手段，而协议型封锁对产品设计的能力要求要高得多。协议型封锁既要吃透应用协议的内部过程，又要在实现的同时照顾路由器的转发效率，照顾多WAN情况下的负载均衡，算法上是比较复杂的。当前的网络设备市场，提供上网行为管理功能的路由器很多，表面上是大家都有上网行为管理功能，但实际上由于技术实现方式的不同，导致了有的上网行为管理功能只是空架子、有漏洞、不实用。

如果使用简单的静态过滤方式，而不是协议型封锁来实现上网行为管理，功能虽然提供了，而效果是不能令人满意的。遗憾的是，很多上网行为管理路由器就是这么做的。

拿大家熟悉的QQ来说，我们登陆QQ时，都需要连接网络上的QQ服务器进行帐号和密码的认证、好友列表的获取、未在线聊天内容的下载等等。通过获取网络中的所有QQ服务器列表，然后通过路由器进行这些服务器IP的过滤处理，这样QQ帐号密码认证不了，当然也就实现了拦截QQ的目的。

这种封QQ的方式存在两个问题：

1、当网络中特定应用添加或变更服务器IP时，就会出现行为管理失效，路由器不得不进行软件升级，效果不彻底，应用麻烦。

2、当使用代理服务器进行应用访问的中转时，由于认证和访问信息通过第三方中转，自然失去了上网行为管理的效果。网络上公布有大量的“QQ代理服务器”IP，就是用来破解此种行为管理的，QQ聊天软件也提供了绕过此种封锁的代理服务器设置（如图），区分上网行为管理设备是否彻底就可以通过QQ代理登陆的方式进行测试区分，所以静态过滤的方式对行为管理是不彻底的，无效的。

QQ代理服务器设置

而协议型封锁方式由于直接分析网络数据协议，所以无论如何设置代理都能直接识别封锁，效果彻底，然而此种行为管理方式需要的技术较高，路由器中很少使用。而已知的，欣向免疫墙路由器就是采用了协议分析的上网行为管理手段，这是很难得的。它采用了全新的应用层协议分析，根据不同应用的协议特征，对特定上网行为进行分析确认。由于采用了协议分析，行为管理真正做到了准确无误。基于协议的上网行为管理功能的实现，对路由器设计有较高的要求。尤其是多WAN环境下，不管是静态过滤还是协议封锁，都需要考虑对负载均衡的影响，也就是说，上网行为管理的启用，不能牺牲多WAN带宽汇聚的功能。有一些路由器在实现上网行为功能的时候，把内网IP固定地绑在某一个WAN口上，或者按照IP均衡的方式进行分配，这就失去了多WAN带宽叠加的应用效果。

欣向采用的是多年领先的基于身份绑定的第四代多WAN技术。作为第一个推出多WAN路由器的厂家，欣向一直从事多WAN下的应用协议分析，以保证各种网络访问在多WAN接入下的优化处理。在实现上网行为管理功能的时候，欣向路由对行为管理的有效性、路由转发效率、CPU负荷、多WAN带宽汇聚等进行综合考虑，是比较周全的方案，在这个方面无疑是占据了领先的高度。

欣向免疫墙路由器分组上网行为管理

三、上网行为管理的产品选择

由于存在着用户对上网行为管理功能的需求，很多网络设备开始提供这样的功能。不仅仅在路由器，在防火墙、安全网关、UTM、接入服务器等各种设备中都能见到上网行为管理功能的影子，甚至还有一些专门的上网行为管理设备卖的也很不错。

虽然存在的就是合理的，但对于用户来说，要根据自己的应用需求进行选择，要根据自身网络状况、投资额度、现有设备的功能组合、网络的优化升级等作整体的规划，最后考虑产品的优劣，从而进行正确的选择。

下面提供一些建议供企业朋友们参考。

对上网行为管理要求较高，管理严苛的较大型企业，应该选择专用的上网行为管理设备。这种设备不提供其他复杂的上网功能，也没有过多涉及防火防毒网络安全内容，它的主要功能就是上网行为管理，术业有专攻，它在产品功能上比较丰富，服务支撑比较到位。

至于防火墙、UTM中提供的上网行为管理功能，也是很可取的方案，它适用于一些信息化程度较高的企业，准备或已经部署了相关设备的情况下，启用附带的上网行为管理功能可以节省部署专用设备的资金。

选择宽带路由器中的上网行为管理功能，适用于大多数的中小企业。接入路由器是企业网络的大门，在大门处加一个门岗做上网行为管理，是简单易行的办法。但是，路由器主要的功能是高速数据转发，由于CPU负载能力和成本的限制，路由器功能设计不可能主次颠倒，在上网行为管理上不可能做到很强，所以不要对他抱有太多的期望值，够用好用就可以了。如果单纯因为上网行为管理去选择路由器，很可能会本末倒置。这就两难了。虽然上网行为管理在地位上应该是路由功能的附属，但对于大多数中小企业用户来说，这个功能确实又是需要的。同时企业网络又要解决网络的稳定、可靠、安全的问题，又不能牺牲网络接入的性能，尤其是一些用户还有多WAN带宽汇聚能力的要求。在IT投资不可能太大的情况下，那又该如何选择一台优质的路由器，同时满足多种需求呢？ 强烈的建议是：配备带有上网行为管理的免疫墙路由器。

当前的企业网络普遍存在网络速度慢、网络掉线、卡滞等问题。很多企业都将其归咎于BT下载、QQ视频等的频繁使用，导致盲目上马上网行为管理设备，实则不然。以上网络应用仅是占用了大量的网络带宽，而企业路由器都有带宽管理功能，如果是因为特定行为访问导致的带宽不足，启用路由器带宽管理后就该没有问题了。但实际情况是，启用了带宽管理以上网络问题还存在，购置了新的上网行为管理设备网络问题还没有解决！

这主要是因为企业网络的免疫安全问题被忽视了！据统计，80%的网络问题都是由内网引起的。由于以太网的先天缺陷以及路由设备的脆弱，黑客能够充分利用协议漏洞对网络系统进行破坏，ARP、SYN攻击等就是基于这样的原理。补上协议漏洞、提高管理手段，对终端进行强制性管理，从而对网络进行整体的管控，使病毒的发作无法窜扰到网络上来，这样才能彻底解决网络问题。网络问题必须网络解决，提高网络免疫安全要有全面性和强制性。网络免疫技术由欣向首次提出并应用于路由器设备，欣全向公司基于这样的技术思路，让免疫墙路由器不仅在宽带接入端起到安全管理的作用，也能够深入到整个内网的每一个终端进行控制和保护。同时，在内网中还有一台监控中心，对整个内网的运行进行统计、显示、控制、告警、策略分发等工作，全网的状态时时刻刻一目了然。以免疫墙路由器组建企业内网，可以达到普通路由器难以企及的应用效果，在上网的稳定、高速、安全、可管理能力上，远远超过了普通路由的组网方案。

有了网络安全和稳定的运行基础，网络行为管理才能显示其更加细致的应用访问控制优势，才能真正满足中小企业对网络应用的多种需求。没有稳定可靠，上网行为管理就无从谈起，所谓皮之不存毛之焉在。欣向免疫墙路由器 总结

是否部署上网行为管理要依据企业的具体情况。如果企业网络稳定，并且有网络访问行为控制的要求，那么选择合适的上网行为管理设备是必要的。

6.分析上网行为管理软件与硬件的差别所在 篇六

1 对象与方法

1.1 对象

本研究在平凉市中职生中进行, 随机抽取平凉农业学校、平凉信息工程学校、平凉工专、平凉师范4所中等职业学校的在校学生 (共600名) 作为研究对象。这4所学校办学历史悠久, 其中两所是国家重点职业学校, 两所是省重点学校, 能够较好地代表本地区的总体状况。由于三年级学生多在外实习或准备对口升学考试, 所以抽样在一二年级学生中展开, 具体见表1。

1.2 方法

本研究主要采用问卷调查法和随机访谈法。参考“李克特量表”自制调查问卷, 当场发放填写, 当场回收。发放问卷600份, 有效收回596份, 有效回收率为99.33%。

1.3 数据处理

将调查数据输入Excel 2003软件, 进行分析处理。

2 结果及分析

2.1 中职生手机上网情况 (见表2)

2.1.1 手机上网率较高

中职生手机拥有率达到99.33%, 几乎人手一机, 使用手机上网的学生占被调查总数的89.93%。其余10.07%的学生不用手机上网或因经济负担, 或因手机不具备上网功能。中职生对手机上网兴趣如此浓厚的主要原因是因为其普遍是寄宿制生活, 宿舍内不配备电脑, 学校机房管理相对较严, 他们无法找到电脑满足上网愿望, 所以选择手机作为替代品。且手机上网可以不受时间、空间的限制, 费用低廉, 有49.00%的学生表示每月10元的流量费比较便宜, 不会构成负担;而到网吧上网3小时就得支付6元。大部分学生每天都会用手机上网, 有37.08%的学生每天上网3小时以上, 64.09%的学生每天多次手机上网, 由此可见, 手机上网已成为中职生课余生活的主要内容。

2.1.2 手机上网目的是娱乐

在对手机上网活动内容的调查中, 我们发现选择QQ聊天的人数最多, 占89.26%, 其次是玩游戏、看小说, 分别占80.54%和61.58%;选择上网查学习资料的只有20人, 占3.36%。这说明中职生主要使用的是手机上网的娱乐功能。使用手机上网的学生中, 男生占47.00%, 女生占53.00%, 比例相当;在上网意向上, 男生多以玩游戏、听音乐等活动为主, 女生多以QQ聊天、看小说等活动为主, 虽存在着较大差别, 但都以娱乐为主要目的。

2.1.3 对手机上网造成的影响认识不明确

在访谈中, 许多喜好手机上网的学生表示手机上网不会影响学习生活, 只有39.00%的学生认为上网会影响学习。但在我们的观察中, 大部分经常手机上网的学生的成绩都会受到影响, 因沉迷网络游戏而导致成绩急剧下降的学生也不在少数。调查发现, 有37.08%的学生每天会手机上网3小时以上, 甚至会通宵上网, 由此可以看出很多学生不能克制自己, 不能合理安排好学习与娱乐的时间。2.1.4产生一定的依赖性调查数据显示, 中职生已离不开手机上网, 并产生了一定的依赖性, 有16.95%的学生表示如果一天不用手机上网会感到非常不适应, 有61.91%的学生会感到有点不适应;有43.12%的学生表示在上课时, 如果教师不制止, 便不收起手机。部分学生上网时精神亢奋, 下网时烦躁不安, 无法专心做其他事, 手机流量费也逐渐增加。

2.2 手机上网对中职生的影响

2.2.1 有利影响

(1) 拓宽知识面, 有利于知识的扩展。互联网信息含量大, 互换性强, 能在很短时间内实现全球信息共享。学生通过互联网可以及时获得需要的有用的信息, 为学习、生活带来了极大的便利。

(2) 加强对外交流。访谈中, 有53.50%的学生认为通过手机上网可以认识新朋友。而通过网络交友已成为继通过同学、老乡关系拓展人际交往之后的另一主要方式。

(3) 随时随地获得与学习相关的信息。尽管学习这一功能, 没有得到充分利用, 但绝大多数学生都认同网络对他们的学习有帮助作用, 认为在网络上可以轻松地找到需要的学习资源。值得提出的是, 许多学习困难的学生, 学电脑和做网页却一点也不“困难”。可见, 他们学习落后的主要原因是由于其个性类型和能力倾向不适合某种教学模式。可以说, 互联网为这些“差生”提供了一个发挥自身聪明才智的广阔天地[2]。

2.2.2 负面影响

(1) 影响身体健康。手机在工作状态下会产生电磁辐射, 这些辐射对人体的神经系统、心脏和视力产生影响。长时间注视手机屏幕可导致视力下降、肩背肌肉劳损、生物钟紊乱、睡眠节律紊乱、消化不良、体能下降、免疫功能下降, 这严重影响了中职生的身体健康。

(2) 影响心理健康。中职生长时间沉迷于互联网的虚拟世界, 就会对网络产生强烈的依赖感, 而与现实社会疏远, 对外界、他人冷漠, 缺乏生活的热情, 形成封闭人格。由于在现实与虚拟世界之间的心理落差加大, 常常处于激烈的心理冲突之中, 会导致情绪低落、悲观、消极。

(3) 影响学业成绩。37.08%的学生每天使用手机上网在3小时以上, 而要实现如此长时间的上网只能利用上课、休息时间, 这必然会打乱学习计划, 分散注意力, 进而导致成绩下滑。调查显示, 58.71%的学生认为手机上网会对自己的学习带来负面影响;4.64%的学生曾因手机上网逃课、旷课;14.21%的学生曾使用手机作弊, 助长了不良学习风气。

(4) 影响行为修养。调查显示, 15.27%的学生每月手机上网费用在30元以上, 34.06%的学生认为1 000元以上的手机配置才能满足自己的需要。面对手机上网费用的日益增长, 有些学生欺骗父母, 用掉学费、生活费, 借款, 甚至偷窃、抢劫, 走上犯罪道路。

3 原因分析

3.1 自身因素

(1) 逃避。中职生大多是中考失败者, 学业状况的不理想使他们陷入深深的烦恼之中, 同时他们对未来仍然怀有美好的愿望, 但来自家庭、学校、社会的重重压力, 使心理承受能力有限的中职生无法面对。而手机上网恰好给他们提供了一个宣泄内心苦闷, 逃避现实的机会。通过网络游戏的晋级得分、在虚拟社区扮演重要角色、与陌生人聊天发泄心中郁闷等方式, 可轻松获得别人认同, 实现人生梦想, 产生成就感, 心理得到满足。

(2) 好奇。中职生正处于对外部世界的探索阶段, 求知欲强, 易于接受新鲜事物, 特别是大部分中职生来自相对落后封闭的农村, 对网络世界非常陌生, 而新鲜的资讯、刺激的文章、逼真的游戏, 无不诱惑着他们, 使他们沉溺其中, 难以自拔。

(3) 孤独。中职生大多十五六岁, 初次远离父母亲人, 处于“心理断奶期”, 寄宿制生活和陌生的环境, 使缺乏生活自理能力的他们无所适从, 产生了强烈的孤独感。他们渴望一个和谐的人际环境, 渴望得到同学的关注, 但由于缺乏人际交往的经验和技巧, 无法与他人进行良好的沟通, 内心感到压抑、孤独, 只有通过上网和网友聊天, 发泄心中的郁闷。

(4) 盲从。“大家都在用手机上网, 我也想试试”的从众心理使手机上网的人数越来越多, 甚至有些学生还以在课堂上上网为荣, 加以炫耀。

3.2 外部因素

3.2.1 社会因素

在应试教育体制下, 学校、家庭和社会总是以学习成绩的好坏来衡量、判断一个学生的好坏, 这使得中职生长期生活在被忽视的环境中, 得不到外界的认可, 导致不健康心理和不健全人格的形成。中职生从家庭、学校得不到想要的安全感、成就感、尊重和自信, 就转向了网络世界。

此外, 随着科技和经济的发展, 手机拥有率逐步提高, 功能不断提升;运营商为了拓展业务, 不断优惠手机使用费用及上网费用;互动性、娱乐性强的手机网络游戏的开发和网上聊天室的诱惑, 都为中职生沉溺网络提供了机会和条件。

3.2.2 学校因素

中职学校学生学习压力轻, 且缺少父母的监督;学校专业课程设置脱离学生的实际学习能力, 某些课程设置过于陈旧, 无法引起学生的学习兴趣;教师对学生缺少必要的管理, 甚至放纵学生在课堂上使用手机上网。

4 建议

4.1 学生方面

认识到学习是首要任务, 没有扎实的知识基础和过硬的工作技能, 很难立足社会。虽然网络是现代文明的标志, 但过分沉迷就是对生命的浪费, 所以要学会处理二者的关系, 视个人情况合理安排上网时间, 不要因上网而影响学习和生活。学会控制上网时间, 增强上网的目的性和计划性;根据学习要求和生活规律安排上网时间, 有针对性、目的性地上网, 减少无目的的随意浏览, 不做或少做无关的事, 约束自己的行为。

4.2 教师方面

一是正确引导、端正学生手机上网的态度。通过教育让学生充分了解手机上网的利弊, 明确如何正确合理地利用手机上网来提高自身学习能力、综合素质, 培养学生手机上网的自控能力和自律的习惯。在上网意向上, 使学生不再沉溺于搜索古今奇闻、名人轶事, 或是陷于游戏、聊天不能自拔, 影响课堂教学。二是提高教学水平和教学艺术, 增强课堂教学的吸引力。教师有较高的教学水平和教学艺术, 才能让学生把注意力集中到教学内容上, 有听课的欲望;枯燥无味的课堂教学, 会让那些学习目的不明确、自控力差的学生用手机上网来打发时间。三是制定课堂规则, 加强课堂管理。教师要对学生使用手机情况作出严格规定, 对课堂中出现的违规现象采取措施及时有效地制止, 将学生的注意力引回到课堂学习中[3]。

4.3 学校方面

网络本身并无对错, 但要避免其负面影响。学校要担负起相关责任。一是要大力开展校园文化建设, 组织开展有趣的校园文体活动, 丰富学生的课余生活, 发挥校园文化的导向、熏陶、约束和调节功能, 营造良好的校园文化氛围, 满足学生的娱乐和休闲需求。二是要大力倡导和加强社团和班级文化建设, 加强学生的自我教育、自我管理、自我服务。和谐健康的社团和班级文化能够增进学生之间的感情, 为学生培养特长、施展才能提供机会, 从而化解学生的孤僻、自卑等不良心理倾向, 帮助“网络型心理障碍”学生走出阴影。三是要注重心理咨询工作的开展。通过心理咨询帮助学生认识网络对身心健康的影响, 缓解其理想与现实的矛盾, 使其恢复心理平衡, 塑造健全人格。

参考文献

[1]徐彦.对部分大学生手机上网的实证调查[J].山东青年政治学院院报, 2011, 3 (2) :52-56.

[2]黄明, 闫淑楠.浅谈手机上网对当代大学生的影响[J].科技信息, 2009 (14) :51.

7.上网行为管理企业现状4 篇七

调查发现，八个国家和地区内有 83%的受访员工在办公时间内浏览与工作无关的网站，但在中国表现得尤为突出: 中国员工每周花在网上处理私人事务的时间更长，高达5.6小时！而亚太地区这一数字是4.2小时。中国还在以下几个方面数字较为惊人：中国员工每周多花

7.6小时来使用IM、玩游戏、P2P或流动媒体；员工上网下载音乐方面比拉美高16%；上网进入聊天室和玩在线游戏两方面分别比其他国家高约8%和12%;在同为发展中国家的印度，只有26% 员工上网浏览个人信件，而在中国，这个数字则是60%！

而从整体的调查情况来看，全球很多企业都没有具备必需的保护措施以对抗日趋严重的网上威胁。高达92%的被访IT主管表示，相信其公司网络已经受到保护，能够防止各种网上安全威胁。96%的中国IT主管更对他们已安装的防毒软件保护极有信心。但是，50% 的中国IT主管不得不承认其公司内的工作站曾经受到间谍软件感染。此外，44%的中国IT主管表示他们公司的计算机系统正遭受到基于网络的病毒攻击，例如JS Scob的攻击。

8.分析上网行为管理软件与硬件的差别所在 篇八

一、提高工作效率：

通过深信服AC细致的上网授权，可以让员工在不同时段拥有不同的上网权限，这就为“如何正确地做事”提供一个方法和工具。员工养成最好的上网习惯之后，员工的工作效率就会得到大幅提高。

二、网络带宽足够用

通过深信服精准的流量控制，让每一个与工作有关的网络应用得到最佳的流量分配，让与工作无关的带宽控制到最小，使得网络带宽得到最充分有效的利用。经过深信服精准的流控之后，网络带宽无需不断扩容，降低企业的网络带宽投入成本，并且又能保障企业每个部门的网络应用得到充分的保障。

三、让上网行为有据可查

当出现违法违规网络行为时，通过深信服AC全面的审计功能，能够查找违规人、违规时间和违规行为，这些记录可以作为法律依据对相关违规人追究法律责任。

四、让网络可视

通过深信服的图形报表功能，让管理人员了解网络资源状况和员工的网络应用情况。根据这些报表，管理者可以制定改善策略，更好的为精益管理服务。

五、保障日志安全

全面记录员工的上网行为是一把双刃剑，如果这些日志在企业内部流通或传播出去，将会给企业带来损害。因此保障这些日志的安全将是非常重要的工作。深信服AC考虑到这些日志的重要性，用户可以增加一个日志审查USBkey，为查询这些日志提供多一个安全身份认证。没有这个日志审查USBkey，即使超级管理员，也无法查看日志。只有拥有这个日志审查USBkey，并结合用户名和密码，才能访问日志（包括内置或外置数据中心），从而保障日志的安全。

六、保障企业商业机密不外泄

9.浅谈企业上网行为管理的实现 篇九

关键词：上网行为管理,脚本编程,数据包分析

随着网络的不断的发展, 每个公司都会因工作需要开通Internet, 但同时问题产生了, 员工经常在上班时间聊QQ、炒股、玩游戏或者浏览与工作无关的网页, 严重影响工作效率。一些公司采用严厉的制度规范员工, 但效果不理想;一些公司索性限制Internet使用, 这样一来, 员工认为工作起来不方便。现在问题来了, 如果开通网络, 员工不好管理, 严格限制?员工又需要使用网络收发邮件, 查询资料。怎么管理员工上网的行为?解决之道应该是有堵有疏, 在满足员工日常工作需要的基础上又能够限制与工作无关的网络行为, 于是上网行为管理就出现了。

什么是上网行为管理, 顾名思义就是管理上网行为, 它致力于规范、分析、审计内网用户网络行为, 提升工作绩效。目前上网行为管理可以通过几种技术手段实现:一是通过客户端安装的管理软件, 这些软件按照预先设定好的策略控制客户端的上网行为;二是透过对网络数据的分析, 在网络设备上进行限制来规范上网行为。以下对这两种方式分别说明。

1. 通过客户端软件来管理的C/S结构上网行为管理。

这类软件一般都应一个服务器端来定义、分发策略, 管理客户端分组等。通过对客户端网络软件的分析 (比如软件可执行文件名, 或者根据执行文件计算出的特征码) 来收集用户的各种应用, 然后在策略服务器上定义对每种访问网络的应用程序客户端采取什么措施 (允许、阻止、记录通信等, 可以看做是能够在服务器端定义策略的客户端防火墙) , 甚至可以直接阻止网络程序的运行。比如某个员工属于采购部门, 要使用即时通讯和客户联系或者使用浏览器收发邮件, 通过对客户端应用分析发现了QQ应用和浏览器IE, 管理员就可以在服务器上对采购部的客户端设置策略, 发现QQ和IE使用网络时, 客户端程序不阻断网络通信, 也可以限定IE能够访问的URL。软件还可以记录每次客户端访问的URL并定期或定量传送到服务器上, 管理员就可以利用客户端发来的日志分析该员工的上网行为。但是当该员工使用炒股软件时, 客户端程序发现该软件策略定义为阻止的, 就阻断它的网络通信或者阻止炒股软件运行, 导致炒股软件无法正常使用。这类软件由于在客户端运行, 还可以监视客户端电脑的其它行为, 比如运行了什么软件、客户端电脑的屏幕监视、聊天记录查看邮件审查等等。甚至可以限定某些硬件的使用比如移动硬盘、.光驱等。同时也可以使用编程技术比如VB脚本, 通过使用WMI (Windows Management Instrumentation) 对Windows客户端电脑的系统配置进行修改 (修改桌面背景, 代理服务器设置等) 。

基于客户端控制的上网行为管理在企业中使用可以有效管理客户端的各种应用, 甚至可以监控客户端的各种操作。但是为了能够识别各种应用软件并及时定义相应策略, 网络管理员必须要分析客户端的应用程序, 同一软件的不同版本都要分别识别。基于文件名的识别有时更要区别文件所在路径等信息, 比较耗时。不过也可以使用软件厂商提供的常见软件列表, 在此基础上按照企业的实际情况修改。再者由于要和服务器经常通信来更新策略和上传日志, 客户端会占用客户端系统资源和网络带宽, 对日志的分析也要在服务器收集到后才能进行。企业员工对于安装在自己计算机上的监控软件也会存在抵触情绪。如果是大规模部署维护人员的工作量较大, 客户端计算机的运行环境 (软件, 网络环境) 也会影响部署进度, 不同的客户端操作系统的运行效果也不尽相同。

2. 使用网络设备过滤数据包限制上网行为。

这种方式主要是基于对各种网络应用软件的数据包分析, 通过分析得出软件网络数据的特点, 然后根据设备上的策略对不同软件的数据包采取不同的措施 (允许、拒绝或记录) 。还是以QQ和IE为例, QQ程序通讯时, 会通过特定网络端口 (实际可能要复杂的多, 比如在发送的数据包里特定偏移量包含某特定的字符或字符串) , 在数据包通过该网络设备时, 设备通过分析发现该数据包是QQ软件的, 然后再从数据包中得出发送的源IP或MAC, 发现源IP是属于采购部门 (预先在策略中定义) 的, 对照相应的策略对该数据包放行。如果是IE程序, 通过分析数据包得到了目的URL就可以按策略处理数据包。但如果检测到数据包是某已知的炒股软件就可以丢弃该数据包, 客户端的炒股软件就会提示无法连接服务器, 超时。这种方式对于不加密的网络数据可以简单的进行记录, 在了解解密算法的情况下也可以记录加密的网络数据。从而就可以实现对员工上网行为的记录分析、邮件的审核、聊天记录的审核等等。通过网络设备还可以实现对每个客户端的带宽、流量、最大连接数的限制;限定可访问的URL、IP和域名等。

基于网络设备数据包分析的上网行为管理在企业中使用不需要在客户端部署软件, 对操作系统依赖度较低。可以实时查看、分析上网记录, 有效限制客户端对网络资源的使用, 同时对员工来讲是透明的。但是为了识别各种网络软件, 分析各种网络软件的数据包并总结其规律, 对于网络管理员的要求比较高;从设备供应商获取网络软件列表实时性较差, 对于新出现的网络应用不容易及时管理, 有时同样功能的不同软件就不会被限制, 出现漏网之鱼。

以上就是对两类上网行为管理方式的简要说明, 可以看出基于客户端控制的上网行为管理能够实现比较多的监控功能, 客户端可以分散部署, 集中配置, 但是会占用客户端的系统资源和部分网络资源, 员工易产生抵触情绪。基于网络设备的上网行为管理对用户透明, 可以控制网络资源的使用, 但由于在设备上要完成数据包的分析记录, 对设备配置有要求, 如果设备性能不高会降低上网速度;只能够控制通过该设备的网络通信, 不适用机构分散的企业使用, 同时由于对网络软件的识别难度较高, 实时性略差。使用这两种方式都要求预先定义计算机分组, 比较常见的分组计算机方法就是按照部门划分VLAN, 或者在计算机名中包含部门信息。其次它们的共通之处还有要识别网络应用程序, 虽然识别的方式不同, 也可以从厂商处获得程序列表更新, 但想要更适合本企业的情况就要求管理员要对操作系统和网络协议有一定深度的了解。比如Windows注册表、Windows命令的调用和Windows脚本的使用, 网络数据包的分析要对TCP/IP协议的数据包格式深入了解, 还有路由器的端口映射和抓包软件的使用等。

其实这些都是实现上网行为管理的技术手段, 要管理好员工的上网行为, 首要是提高员工的自觉性, 让员工自我约束其行为, 其次才是使用制度和技术手段结合进行疏堵。这样才能够更有效的提高工作效率和合理使用网络资源。

参考文献

[1] (美) 金斯利-休斯 (Kingsley-Hughes, A) , 金斯利-休斯 (Kingsley-Hughes, K) , 瑞德 (Read, D) 著;富弘毅, 陈钢译。VBScript程序员参考手册 (第3版) [M]。北京:清华大学出版社, 2009-2-1第1版

10.上网行为管理方案建议书 篇十

上网行为管理方案建议书

上网行为管理方案建议书

一、引言

根据Dynamic Markets Limited对全球办公室上网情况的调查：在上班时间，中国员工每周比其他国家的员工多花7.6小时来使用即时通讯(Instant Messenger)工具、玩游戏、P2P下载或在线媒体。中国员工上网下载音乐的时间比拉美国家高16%，进入聊天室和玩在线游戏花费的时间分别比其他国家高约8%和12%。在互联网发达的印度，只有26% 员工在工作场合浏览个人信件，而在中国，这个数字则是60%！

办公网中的办公效率问题

日益发达的互联网让员工有了更多的选择，网上聊天、网上购物、在线视频、论坛灌水、BT电影……上班时间，员工很难不受众多网络娱乐的诱惑，大家在或多或少地利用工作时间进行非业务操作。以上行为实实在在地存在于我们的办公网中。事实上，我们很多企业员工打开电脑的第一件事便是开迅雷，下载电影、视频、游戏；也有为数不少的员工痴迷股海，一心扑在大盘上面；而我们的员工在在线视频、在线小游戏、娱乐网站、热门论坛上花费的时间更是惊人。凡此种种，无不给我们有限的带宽资源带来了巨大的流量压力，给员工的办公效率打了一个大大的问号。

二、上网行为管理解决方案介绍——合理封堵非业务网络应用

随着现代企业管理理念和信息技术水平的提升，如何有效管理与利用互联网资源，这已成为现代企业管理的重要衡量标准。与此同时，上网行为管理的理念愈发深入人心，提升员工网络业务的办公效率，这已经成为企业IT管理者关心的首要问题。

XX 公司

上网行为管理方案建议书

如上图，企业通过以网关、网桥、或旁路模式部署上网行为管理设备，可以有效对内网员工的各种网络应用行为进行管理。上班时间，封掉影响业务效率的非业务应用及相关网站；对挤占公司带宽资源的应用进行流量控制，确保主流的办公应用带宽资源，以提高业务应用的办公效率……具体而言，上网行为管理系统封堵非业务网络应用解决方案，将给我们带来下述价值：

1、全方位封堵p2p，确保正常办公业务带宽

P2P应用给用户带来了前所未有的速度体验与资源共享，但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题，其所带来的负作用日渐凸显。鉴于此，上网行为管理设备通过检测网络软件数据包特征码，可以对常用软件进行彻底封堵，包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的P2P软件，上网行为管理系统独有的网络行为智能分析技术使其同样难逃法网。

有些部门和领导因业务需要使用P2P，在全面封堵的同时，上网行为管理设备还可以提供 P2P流控功能，即允许指定用户使用P2P，但对其占用的带宽进行控制。对不同用户，按时间段进行P2P应用封堵、带宽分配与流量控制，上网行为管理设备可有效平衡公司内部架构要求、提升核心业务办公效率。

2、针对性应用管控，对事张驰有度

现在，网络应用不断推陈出新，IT管理人员难以及时收集网络及软件版本，并制定相应管理策略；他们即使花费了大量的精力实现了收集工作，也很难实现对其全面的识别和管理。

为此，上网行为管理系统针对不断更新的网络应用软件来收集软件类型与版本，不断更新自己的应用规则识别库。

XX 公司

上网行为管理方案建议书

3、选择性内容过滤，方式灵活

除针对网络应用软件外，上网行为管理设备还内置了千万条级的URL库，对URL库按照20个大类进行了划分。基于此，IT管理者可以方便地对娱乐、购物、游戏、影视等网站进行控制和屏蔽，同时用户可手工输入新分类和新URL地址，这进一步增强了网管人员工作的灵活性。

同时，上网行为管理设备针对通过HTTP、FTP等上传下载的电影等大文件，可以根据关键字如 avi、rmvb、mpeg进行文件过滤，以保证核心业务的带宽。

4、差异化权限划分，构建和谐组织

对于以上管控，上网行为管理设备可根据不同用户、不同部门的差异化网络使用权限，人性化管控整个企业。如给销售部门足够的网页浏览权限，以方便其网上寻找客户资源，而对后勤人员则封掉P2P应用、游戏与炒股网站等。

三、客户现状

企业目前没有防火墙，现有200个用户端，内部网络划分为多个不同网段，目前企业希望能实现简单的方式控制办公电脑上外网。

四、方案建议

据上所述，如果客户对上网行为管理要求不高，仅需要限制办公电脑上外网，建议用户可以采购防火墙或者企业级带有网管功能的路由器，稍加设置便可实现。如果客户的上网行为管理要求如上网行为管理解决方案所述，建议客户采购专业的上网行为管理设备，上网行为管理设备推荐宝创金盾。

五、产品介绍

11.分析上网行为管理软件与硬件的差别所在 篇十一

在网络已经关系到企业生产发展的时代，企业需要通过上网行为管理系统对企业内部员工的上网行为进行控制，促进员工合理有效地使用网络，避免网络资源的浪费，增强网络的安全性稳定性。小草上网行为管理软路由也认为员工才是企业网络管理的重中之重！

企业可通过上网行为管理软件来了解网络资源的使用情况，通过有效的管理策略规范员工的上网行为，优化网络的使用，帮助企业网络资源发挥其应有的作用。

小草上网行为管理软路由可以有效的管控上网下载，下载电影、软件，或者在线音乐、在线视频等行为，这些严重占用网络带宽，网络堵塞，是必须管控的！

员工访问了不明网站，病毒、蠕虫、木马、恶意代码及间谍软件等就会通过网页、Email、聊天工具、下载软件等方式，侵入到内网的各个角落，严重影响了网络的正常使用。

互联网丰富的内容总是在分散员工注意力，炒股、聊天、购物、游戏等，无关的视频、语音、文档的上传和下载，必然带来严重的生产力悄悄地流失，导致企业整体工作效率下降。

通过MSN传文件、邮件、论坛、博客等导致内部机密信息泄漏的事件越来越普遍，企业的机密信息很可能会被在职甚至离职员工有意或无意地泄露出去，威胁到企业的生存。

与法律相违背的行为都有可能发生在企业内部，如何在犯罪发生后进行举证，是企业非常烦恼的事情。另外，国家推出的法律法规，如“互联网安全保护技术措施规定(公安部第82号令)”，对企业尤其是互联网经营企业，提出了新的网络管理要求。

小草上网行为管理软路由正是解决以上问题的专业软件，在上网行为管理、流量控制、软路由等功能方面，领先其他的行业软件。

12.浅谈上网行为管理在网络中应用 篇十二

关键词：上网,行为管理,网络应用

1 背景介绍

随着近些年的信息化建设不断深化, 为应用部门提供了便利的工作手段和信息共享方式, 然而要确保应用网络的安全、高效与稳定, 应用信息中心还面临着可能存在的以下几个方面的问题:

1.1 对BBS发贴, 上网的行为等进行关键字过滤

1.2 对于员工上网行为进行管控, 恶意网站的过滤, 色情, 反动网站的过滤等等保障内网安全

1.3 对流量进行控制, 为领导划分出专用带宽, 保障网络通畅

1.4 为视频或是VOIP等会议划分等核心业务进行带宽保障

1.5 对应用各个环节进行行为日志的记录, 避免法律风险

故计算机网络需要一套全面的上网行为管理解决方案, 来应对所遇到的这些问题, 上网行为管理在网络中应用变得越来越重要。

2 上网行为管理解决方案

2.1 对P2P行为的全面管控

上网行为管理内置的应用协议库中下载软件类内置了主流的P2P各种软件, 像BT、e Mule、迅雷、百度下吧、PP点点通等;P2P流媒体类包括了QQLive、PPLive、My See、沸点电视、蚂蚁电视等。上网行为管理除了能够对已知的、常见的P2P行为进行识别外, 根据上网行为管理基于统计学的智能检测技术, 也能够准确识别未知的、不常见的P2P行为, 对各种P2P行为进行全面的识别。上网行为管理除了能够对识别出的各种P2P行为进行完全的封堵外, 还可以根据需求对各种应用进行细致的流量控制。

2.2 细致的流量控制功能

基于应用类型 (如:BT、e Mule、PPLive等) 的流量控制;基于网站类型 (如:新闻类、娱乐类、体育类) 的流量控制;基于文件类型 (如:电影类、图片类、音乐类) 的流量控制;基于用户组/用户的流量控制;带宽资源分配支持动态保证、预留保证、最高限制、平均分配、自由竞争等。

上网行为管理具有多线路复用技术, 可支持多条公网线路, 扩展机构的Internet带宽, 多线路间互为备份, 提高可靠性;同时上网行为管理的多线路智能选路和负载均衡技术, 将内网用户的流量智能的分配到多条公网线路上, 解决跨运营商的带宽瓶颈问题。

2.3 全面封堵, 全面监控

2.3.1 URL的识别与控制:

(1) 内置千万级URL库, 更细粒度的分类, 包括娱乐、色情、反动、赌博等40余大类; (2) 支持手工添加URL并分类, 支持个性化需求的URL控制管理; (3) 能够识别非标准端口和动态端口的URL; (4) 支持对SSL加密网站的识别和过滤。

2.3.2 关键字网页过滤:

(1) 支持搜索引擎指定关键字过滤, 防止用户通过Google/百度等搜索关键字查找网页。 (2) 支持根据指定网页正文关键字过滤网页。

2.3.3 HTTP/FTP上传下载识别控制:

(1) 能够对用户向BBS、博客等发帖的内容进行识别监控并过滤; (2) 能够识别控制用户通过HTTP/FTP方式上传下载的文件类型。

2.3.4 邮件访问控制:

(1) 根据发件人、发送邮件标题和内容关键字、发送邮件附件类型等条件过滤外发邮件; (2) 根据邮件发送目标地址、发送邮件标题和内容关键字、邮件大小、附件个数等条件执行邮件延迟审计功能, 符合指定条件的邮件, 先拦截审计, 审计通过后发送, 审计不通过则过滤掉。

2.3.5 代理识别:

上网行为管理的代理识别技术能够有效的防止内部网络用户通过组织外部的代理服务器访问不量信息, 做到全面的识别控制。

2.4 提升工作效率需要提升工作效率, 就必须要对内部人员的

网络行为进行准确识别, 识别之后从而进行相应的网络应用访问控制管理。

上网行为管理内置了业界最大的应用识别库, 包含了24大类、370余条的应用识别规则。包括了下载工具类、流媒体类、炒股类、网络游戏类、IM聊天软件类等。包括了业界所有主流的应用软件, 同时上网行为管理也支持手工添加应用规则并分类。

面对互联网上日益泛滥、版本众多的P2P软件和P2P流媒体, 上网行为管理能够对P2P行为进行智能识别, 从而进行访问控制。

上网行为管理内置千万级的URL库, 细致的URL分类。可以控制用户访问URL的行为。

上网行为管理支持基于时间段的网络行为访问控制。时间段以半小时为单位, 时长可以自由设置, 时间段数量可以自由设置, 以一个星期为周期。比如可以设置上班时间不能访问网络, 下班时间可以访问网络。

上网行为管理支持基于用户组的访问控制, 不同的部门、不同的单位根据情况可以划分为不同的用户组, 不同的用户组分配不同的上网行为管理权限。

2.5 防范机密信息外泄上网行为管理内置应用识别规则中IM

软件类内置主流的IM软件, 像QQ、MSN、ICQ、Skype、Yahoo通、网易POPO等。上网行为管理能够完全封堵各种IM聊天软件, 能够控制使用IM软件传文件。不仅能够记录审计非加密聊天软件的聊天内容, 像MSN;也能够记录审计加密聊天软件的聊天内容, 像QQ。

外发邮件过滤:上网行为管理可以根据外发邮件的发件人、邮件的主题和内容关键字、外发邮件的附件类型等条件过滤邮件。

外发邮件延迟审计:上网行为管理可以根据外发邮件的目的地址、邮件的主题和内容关键字、外发邮件的大小、附件个数等条件延迟审计邮件, 审计通过后发送, 审计不通过则过滤掉。

上网行为管理能够根据关键字过滤BBS发帖内容、博客发帖内容等。

2.6 全面的网络审计功能对组织内部网络的各种使用情况进

行全面的审计, 那么首先需要定位内网的用户和终端, 保障内网用户身份的合法性和内网终端的安全性, 然后进行全面的审计。上网行为管理的身份认证系统保障了能够对每条日志信息定位到内网的每个用户和终端。

外置数据中心:上网行为管理除了具有内置数据中心外, 还具有独立外置数据中心。外置数据中心实现海量日志存储, 日志存储的空间不是由上网行为管理设备的存储空间决定的, 而是由存储日志的第三方日志服务器决定的;外置数据中心实现类似Google的内容检索, 快速定位关注的日志信息;主题订阅, 可以以天/周的周期定期向指定的邮件发送指定的日志发生事件。上网行为管理的外置数据中心还支持自动报表、各种图形化统计、全面的日志记录审计等功能。

流量统计日志:包括了基于用户组流量、用户流量、IP流量、应用流量、网站流量等统计, 并支持每种流量统计排名。支持上行下行流量统计及排名。

邮件统计日志:包括了基于用户组邮件、用户邮件、IP邮件等的统计, 并支持邮件统计排名, 收发邮件统计。

网络监控日志:包括了各种应用类型、网站类型、文件类型的访问日志, QQ聊天内容日志, BBS发帖的内容日志, URL访问日志、P2P下载日志、Em ail/We bm ail日志、上网时间统计等信息。全面记录审计各种内网用户网络行为日志。

2.7 保护内网安全上网行为管理作为专业的上网行为管理设

备, 内置了防火墙功能, 能够实现NAT功能, 防DOS攻击功能, 防ARP欺骗功能, 网关杀毒功能, 网络准入规则功能。有效的防止来自内网、外网的DOS攻击, 防止ARP欺骗内网泛滥, 抵御外网病毒入侵内网, 统一部署杀毒软件等。

2.8 多种部署方式上网行为管理支持网关模式、网桥模式、旁路模式、双进双出。

13.分析上网行为管理软件与硬件的差别所在 篇十三

企业员工上网无限制，耽误工作

如今，大多数企业员工上班都离不开电脑的辅助，方便办公的同时也带来了隐患，员工在管理员不在场时，肆无忌惮的利用公司电脑和网络，在上班时，长时间聊天、上网、购物、炒股等，工作随意敷衍了事。那要怎么样管理？

要想管理好员工合理上网，减少员工上班做与工作无关的事，提高工作效率，除了制定相关上网制度外，重要的还需要一套好的管理软件-上网行为管理软件，对员工是否自觉遵守公司制度进行监管。

网卫上网行为管理软件，对员工进行多画面监控

管理员利用上网行为管理软件，可以在远程电脑或者手机清楚了解全部或者某一员工当前工作状态，便于了解该员工是否专注于工作。利用实时画面，管理者可以看到员工电脑当前屏幕画面，对当前员工电脑实时操作清晰呈现。怎么使用网卫上网行为管理软件多画面监控操作

1、可以在上网行为管理软件的正规官网下载正版上网行为管理软件安装包，对员工端和电脑端进行解压安装，方法步骤是比较简单的。

2、登陆管理端，进入管理后台，添加管理员工端口用户，右侧功能列表点击多画面监控，就可以预览到全部员工端电脑实时操作，单击某一员工，可详细查看该员工实时工作状态

安装网卫上网行为管理软件的目的

1、安装上网行为管理软件，目的在于规范和管理员工良好上网行为，减少娱乐时间，掌握员工的动向

2、员工下意识地注意自己行为

3、公司管理上有序进行，公司工作氛围好

4、员工专注于工作，工作效率高，积极向上

5、员工工作能力提升，公司发展得更好

14.中小企业上网行为管理 篇十四

“团购”、“秒杀”、“微博”……越来越多的上班族生活，正被网络新产物包围。前程无忧最近对员工上班时的网络行为进行了一项调查。数据显示，接近一半的企业不允许员工在工作时间使用QQ、浏览开心网或淘宝网；最新的限制是不能看视频，主要采取 “封网”、“封端口”等技术手段，有些使用上网行为管理路由器，对员工的上网行为进行管理和控制，现在访问的页面，查看QQ聊天记录，禁止游戏炒股等。理由很简单——老板认为在工作期间上网会影响工作和破坏工作环境。

不过不少人力资源经理也表示，在蓬勃的互联网生活大潮下，很难堵住员工在工作时间里的个人网络行为。尽管一些企业已经在管理制度中明文规定，或者禁止一些部门员工工作时间不得炒股、看视频、上网购物，违者罚款甚至开除，但是收效并不理想。真正因此对员工 “下手”的寥寥无几。随着手机上网的普遍，员工的行为更难监管。

为了方便上网行为管理，将老板从繁重的管理工作中解放出来，全国第一台具备上网行为管理功能,可以查看QQ聊天记录，记录邮件内容，BBS内容，网站记录等的上网行为管理路由器应用而生。部署上网行为管理路由器可以对企业内部所有电脑实现实时监控，能够实时查看到员工屏幕，实时看到员工输入的文字内容，网站访问记录，流量记录等。该上网行为管理路由器除了监控功能外，亦具有管理功能，能够禁止对方电脑运行指定程序，禁止其访问某些网站等。更神奇的是该上网行为管理路由器可以监控办公室内所有电脑的，同时不会对别人正常使用电脑造成任何妨碍，是在别人没有任何感觉的情况下秘密进行的。很多小公司的老板因为这样的原因都不敢招聘员工，本来招聘员工是来分忧的，结果每天还必需花去更多的心思来管理他们，很多小老板就会想，我还不如把这些管理的时间用来自己去干员工干的那件工作，还要省心不少。歌手冷漠不是唱了一首叫“老板难当”的歌吗？真实反映了做老板的不容易。都说老板是资本家，榨取员工的剩余价值，须不知很多员工却是在榨取公司的剩余价值，得让公司来养着这些员工。很多员工可能觉得自己做得好，做得坏，反正老板也不知道，其实只要你兢兢业业上班，埋头苦干，认真把自己工作做得更好，到最后老板都是会知道的，可能一天两天无法显现出来，过半年，一年后，回过头来看这些一起进公司的人，区别就显现出来了。

15.分析上网行为管理软件与硬件的差别所在 篇十五

随着近年全球网络信息化大发展, 网络安全已成非常严峻的一个问题。各个企业、单位、学校在进行网络规划及部署时大量的使用安全设备来解决安全问题, 这些设备中比较典型的应用是防火墙及入侵检测设备。但是这些设备只能防御来自互联网上的攻击行为, 并不能改善以下几个问题:

1、对于单位员工的上网行为的管理及控制, 对于恶意反动、色情等网站的过滤, 并且保障内网安全。

2、对员工在论坛上发帖, 和上网行为等应用进行关键字过滤, 避免对企业、学校的声誉造成不良影响。

3、对企业的网络流量进行控制, 对不同的部门分配合适的专用通道, 做到大车用宽道, 小车用窄道, 对P2P等流量进行管控, 为视频会议等核心业务提供带宽保证。

4、对上网时段进行管控, 避免员工在工作时间浪费网络带宽, 降低工作效率。

5、按照国家规定对网络应用的各个环节提供日志记录, 规避法律风险。

所以, 为了解决以上不足, 故在网络应用中部署上网行为管理设备势在必行。

二、上网行为管理应用的必需性

1、员工子在工作时段利用网络每天用于处理私事的时间平均超过1小时。

超过一半的员工每天在工作时段上网浏览个人邮件;80%中层领导在工作时段浏览娱乐体育等站点, 使企业面临木马, 间谍软件与其它网络攻击的威胁。

2、中国企业员工不其它国家员工每天花更多的时间进行P2P下载, 看在线电影, 极大量的浪费了企业宝贵的网络带宽。同时大量的视频下载, 导致病毒木马程序进入企业内部网络, 威胁企业网络安全, 似的网络攻击急剧上升。

3、在工作时间大量员工使用即时通讯软件, 下载音乐、玩网游, 造成工作效率下降。

三、上网行为管理软件实施技术

1、流量控制功能

将根据企业出口带宽, 企业应用需求, 制定细致流控策略。根据流媒体应用, P2P应用, 网站应用等定义多条通道, 保证企业高层带宽。分配策略支持动态保证、预留保证、最高限制、平均分配、自由竞争。最大化利用网络带宽。而且主流设备支持多ISP线路, 可进行多线冗余, 负载均衡技术。

2、P2P行为控制

上网行为设备工作在OSI模型最高层, 应用层。能够对通的数据流进行协议分析。在上网行为设备内置的协议库中, 包含了主流P2P应用的特征库, 能够识别判断大多数P2P应用, 如BT、电驴、迅雷等下载工具, 及PPS、PPlive、QQlive等P2P流媒体软件。上网行为设备对未知的P2P协议可进行智能化监测, 通过智能分析能够识别可疑的P2P应用, 并进行管控。通过网管人员配置, 可疑根据各种应用进行灵活细致的管控。

3、防止企业机密信息泄露, 保证信息安全

随着互联网发展, 企业和外部信息沟通越来越频繁, 即时通信软件在给企业发展带来便利的同时, 也造成了信息外泄的危险, 使用上网行为管理可以规避这种风险。上网行为管理设备的特征库中应包含主流IM软件信息, 如QQ、ICQ、MSN、SKYPE等软件。上网行为管理设备能够对各种即时通信软件进行完全封堵。控制内网用户对外网传送文件, 并具有强大的记录审计功能。除能够记录非加密完整的聊天内容, 也能够记录加密的聊天记录。同时上网行为管理设备也能对外发邮件进行过滤, 根据邮件头部信息, 发件人, 主题和内容关键字及附件类型进行过滤。并进行外发邮件的延迟审计, 通过审计后邮件才能外发, 不能通过审计则过滤掉。

4、上网行为管控

(1) 关键字过滤:

上网行为管理可对反动色情等关键字进行过滤, 并支持绑定搜索引擎, 避免用户通过百度等搜索引擎搜索关键字来访问网页。避免给企业带来负面影响及安全风险。

(2) 网址的识别及控制

1) 上网行为管理设备具有强大地址库, 对色情、反动、赌博、暴力等网址进行分类。

2) 支持网关对地址手动添加及分类, 支持特殊需求的地址库控制与管理

3) 可对非标准端口及动态端口的地址进行判断及控制

4) 对SSL等加密网站进行识别和过滤

(3) 对论坛及博客发帖进行控制

能够对用户向论坛博客发帖的具体内容识别、过滤, 同时记录日志, 同时对上传的附件进行识别及过滤。

(4) 防止内网用户通过代理服务器访问非法网站。

上网行为管理设备科通过代理识别技术对内网用户通过外网代理服务器访问非法网站进行识别及过滤管理。

(5) 控制内网员工工作时间娱乐行为

上网行为管理设备通过内部特征库来对员工的网络应用进行协议分析。能够识别P2P下载、流媒体视频、炒股、网游、即时通信等应用。通过制定管控策略, 对员工在工作时段的各种应用进行管控, 如禁止在工作时段看流媒体视频, 下载电影。通过以上管控, 能够极大的提高员工工作效率, 同时避免了下载文件带来的木马病毒等风险。我们在进行策略配置时要考虑到设备的性能及特点, 灵活的进行配置。如通过地址库的细致分类, 控制员工对非法站点的访问。进行时段限制, 在非工作时间适当放宽标准, 丰富员工的业余生活。根据不同用户及组定义策略, 不同用户不同权限。

5、日志记录及网络审计功能

对内部网络使用情况进行全面审计, 保障内网员工身份合法性及终端安全。通过上网行为管理设备内置报表定期分析网络使用情况是否健康, 是否配置合理, 是否内网有非法攻击。通过认证系统保证对内网用户进行记录审计, 确保每个终端对应每条日志记录, 做到全面管控。

为了保证日志记录完整, 规避法律风险, 除内置数据记录外, 企业应具备外置数据中心。

外置数据中心具备大容量存储空间, 并应具有冗余功能, 实现海量日志存储。外置数据存储服务器应支持日志, 报表及统计审计功能。

具体日志记录应包含:

(1) 流量统计日志:包含IP流量用户级组使用流量, 各种网络应用分类流量等, 并能认图形报表。形式输出自动排序分类。 (2) 监控日志:包含网络应用分类、文件类型、网站访问等日志报表, 及即时通讯工具的聊天记录, 论坛发帖记录, P2P下载日志, 邮件日志, 上网时间等。要求将全部上网行为进行日志、记录并审计。

6、防火墙功能

现在大部分上网行为管理设备都内置了NAT防火墙功能。能够将企业内部网络与外部网络进行隔离, 保障了内网用户安全。同时防火墙内置了抗攻击功能, 可根据防火墙性能开启部分抗攻击功能。如抗拒绝服务攻击、抗地址欺骗、防病毒攻击等功能。

四、上网行为管理设备部署

上网行为设备最普遍的部署方式是透明网桥模式, 设备串接在核心交换机与路由器之间, LAN口接核心交换机, WAN口接路由器, 网桥上无须配置IP地址, 只是相当于一根网线, 企业无需对网络拓扑进行改变。

上网行为设备部署分为两种方案

1、硬件部署方案

通常场上众多, 产品采用嵌入式系统, 内置各厂商开发的网络操作系统, 价格昂贵。硬件上网行为管理设备的性能取决于CPU、内存网络接口及操作系统, 适用于大型网络。优点: (1) 运行稳定, 故障率极低, 因操作系统烧录在存储芯片中故不容易中毒, 恢复方便。 (2) 安装部署更加方便。 (3) 对操作系统无兼容性要求。缺点: (1) 价格昂贵, 从几万到几十万不等, 性价比不高。 (2) 升级困难, 当网络扩容后往往需要重新购买新的设备。

硬件解决方案推荐品牌——“深信服”, 该品牌市场占有率高, 功能强大。

2、软件部署方案

需要一台高性能服务器, 并具备三块高性能网卡。该方案主要是在服务器上安装专业上网行为管理软件, 来实现网络管控, 成本低廉, 使用与小型网络。优点: (1) 成本低廉, 网上有很多免费版软件。 (2) 升级性好, 网络扩大后可升级服务器硬件。缺点: (1) 稳定性差, 易出现故障。 (2) 免费版软件支持的终端数有限, 不适用大型网络。

软件解决方案推荐品牌——“Panbit”, 该软件免费版支持256个终端, 运行稳定, 足以满足中小型企业要求。

五、结束语

上网行为管理在现在的网路应用中具有重要的作用, 通过设备管控能够提升企业网络利用率, 员工作效率, 降低网络攻击的风险, 给企业带来高效、合理、安全的网络环境。

参考文献