网络管理指导书
网络管理指导书之二:管控组织的网络应用,提高组织工作效率
一、管理组织网络应用中常见的难题
8:30 某公司员工小A准时到达办公室,打卡,边吃早餐边打开电脑
8:40 小A浏览了163、雅虎新闻后,发现电影“变形金刚2”已经首映这一消息
8:50 小A赶紧百度一下“变形金刚2”,发现大量视频、博客评论
9:00 小A看了N个视频片花,浏览了几个博客并留下自己的评论,和QQ好友讨论了一番
9:15 小A感慨完毕,打开开心网、QQ农场收收菜、种种地、养养牛……
9:25 小A终于打开公司邮箱,开始一天的工作,期间时不时接到IM好友发来的有趣图片,网址链接……

    网络的普及改变了组织的办公方式,而部分用户如员工小A在上班时间有意无意的与工作无关的网络行为,却将办公室变成了免费网吧。上下班打卡制度只能管控迟到早退,但员工身在办公室却未在上班时间从事工作行为,管理者苦于缺乏有效的管控手段,对此无能为力。
    于是,各种规章制度钉上办公室墙壁、组织用户讨论学习,甚至与员工签订保证协议,但缺乏技术保障的制度执行不力,工作效率依然低下,进而导致组织生产效益、竞争力受损:

 组织网络中充盈着各种各样的上网流量,管理员却区分不出谁是业务需要,谁在上网娱乐:无法区分员工/领导、需要/不需要上网的用户,无法区分业务应用流量和与业务无关的流量。按照职责要求,管理员应该进行相关管控,但是不能有效识别,一切设想都是空中楼阁。

 组织中各个部门分工不同,应用不同,如市场部需要使用IM与合作伙伴获得联系,需要浏览大量行业网站获得项目信息,而研发部门需要通过FTP服务器传输研发文档、设计图纸。按照组织的管理制度,管理员应为各部门量身制定网络开放策略。

 组织中,时常有第三方人员需要接入组织网络,或者需要为临时组成的项目组分配互联网访问权限时,但依赖基于IP、端口的传统控制手段灵活性不足,难以满足组织管理的需要。

 员工在网络应用方面的工作绩效缺乏科学的考核依据。当领导需要一份体现组织网络应用绩效的报告,作为员工考评依据时,IT部门由于缺乏相关的设备,不得不耗费大量精力去调查,到头来还无从下手整理。

 用户绕过管理的风险普遍存在。不能上网或权限受限的用户往往会想尽办法绕过管理,包括使用代理、翻墙软件、加密通道等防不胜防,高权限用户自开代理为低权限用户服务。导致管理难度加大。

 大型组织分支机构的上网管理常常会遭遇“山高皇帝远”、又缺乏专职网管人员的问题,一方面总部网管员常常接到来自区域的抱怨,但亲赴现场解决费时费力,一方面总部难以获知区域员工的网络应用情况。
    如何通过管理达成效率和组织竞争力的提升?现在组织需要创新的,前瞻性的解决方案:事前管理,事后总结。

二、深信服AC管控网络活动,提高组织工作效率

1.区分上网用户身份,识别各种上网行为
a.用户身份识别





AC允许根据组织IP段规划划分用户组,自动将识别到的用户归入相关管理组下。
AC支持内建上网账户、或与组织现有LDAP、AD、Radius等第三方认证服务器结合,通过弹出Web窗口实现上网用户身份认证与识别。
AC也支持无需用户手工操作的透明认证:如以用户的IP地址、MAC地址认证,以绑定的IP和MAC地址认证,或与组织原有AD域认证、代理认证、POP3邮箱认证结合实现透明认证等。
为避免领导上网帐号被盗用的风险,AC还提供USB-Key方式的双因素身份认证。
    设备操作路径:登陆设备—>上网行为管理—>认证选项设置;
    登陆设备—>上网行为管理—>组织结构—>用户信息编辑;


    丰富灵活的认证方式适应了各种网络环境、各种上网习惯的复杂要求。同时AC设备内以树型结构将用户分组,与组织的行政架构保持一致,为灵活的上网权限划分与分配奠定了基础。

b.网页分类,智能识别

    浏览网页是获取信息的基本途径,而互联网上数以亿计的网页中充斥着大量娱乐信息。AC内置千万级的预分类URL库,独有SSL加密网页识别技术”,有效识别钓鱼网站等非法网页,融入人工智能技术的“网页智能识别功能”,根据语义、网址、正文、代码等特征实现网页自动识别与归类,管理“互联网上一万亿”个网页。
设备操作路径:1.登陆设备—>对象设置—>URL组设置
    2.上网行为管理—>上网策略对象—>上网策略对象设置—>网页过滤

 

c.应用识别,流量特征识别

    AC内置国内最大的应用协议识别库,可识别和管理500多种网络应用,包括IM聊天、炒股、网游、在线影音娱乐、P2P下载等,甚至细化到IM文件传输,为上网权限的管控提供了基础。为了适应组织的管理需要,深信服为客户提供了协议自定义功能。
    基于应用的管理,大大减少了管理员的工作量:无需四处收集禁用应用的服务器IP地址列入黑名单,不必为了管理而禁用大量端口只开放常用端口,也不必为了屡禁不止的P2P下载头疼不已。
    设备操作路径:登陆设备—>对象设置—>应用识别规则设置


    互联网上新的应用软件、新的软件版本层出不穷,应用识别甚至不足以应付,AC的“流量特征识别”基于对包大小,发包频率,包大小分布等信息进行统计而成的特征,形成智能识别规则,即使不能识别,也能管控新的应用软件、新的软件版本。

2.灵活而全面的上网授权

a.基于时间、基于用户/用户组

    AC为管理员提供了个性化、人性化的管理手段,所有管理策略均支持基于时间、基于用户/用户组,管理员可以根据需要自行组合,如设置“周一到周五上午9:00-12:00,禁止研发部门员工浏览娱乐类网站,禁止使用IM聊天工具,仅开放FTP服务器和OA访问权限”、“上午9:00-12:00,禁止市场人员炒股、玩网游、看在线视频、使用P2P,但12:00-14:00期间开放权限”。

b.网页浏览控制

    AC可以控制用户URL访问权限,比如配置“上班时间,市场人员禁止浏览‘求职、交友、色情、暴力、体育、游戏’类网站”。
    设备操作路径:登陆设备—>上网行为管理—>上网策略对象—>网页过滤

 

c.看帖不能发帖功能

    对于用户经常访问的天涯、猫扑等论坛、BBS,AC可以彻底禁止访问,又可以基于关键字过滤发帖行为,还可实现只准看贴但不准发帖的人性化管理效果,灵活易用。
    设备操作路径:登陆设备—>上网行为管理—>上网策略对象—>网页过滤—>高级过滤

 

d.应用管理控制

    AC支持基于应用控制用户使用权限,管理员可根据组织中各部门职能、应用配置策略(以下仅供参考):
-上班时间,仅允许研发使用FTP和OA、VOIP系统,禁用其他互联网应用;
-上班时间,允许财务部门使用OA、订单、邮件IM等,但是禁用网游、炒股、IM传文件、webmail;
-上班时间,允许市场部门使用OA、webmail、IM、SSL等,禁用网游、炒股、在线视频、P2P;
    设备操作路径:登陆设备—>上网行为管理—>上网策略对象—>上网权限

 

e.文件传输管理

    AC可彻底封堵上传下载文件行为,但此措施推行阻力大、且妨碍了正常上传下载的使用。AC支持只允许用户到指定网站、FTP上传下载指定类型的文件,如只允许到华军软件园、新浪下载等站点下载应用程序,只允许市场人员到公司FTP服务器下载word文档,不允许下载设计图纸,禁止使用公司FTP当中转站传送影音类文件。
    设备操作路径:登陆设备—>上网行为管理—>上网策略对象—>文件类型

 

f.邮件管理

    为了规范组织邮件收发,防止泄密风险,AC可以帮助管理员进行相关管理,如“限制研发部门使用webmail,仅允许用户使用公司后缀的邮箱发送邮件”、“限制财务部门发送带有‘财务、报表’类关键字”的邮件。更多邮件管理详见《网络管理指导书之四:防范组织信息泄露,保障组织信息安全》
    设备操作路径:登陆设备—>上网行为管理—>上网策略对象—>邮件过滤

 

g.禁用代理

    为了避免用户使用代理、翻墙软件、加密通道绕开管理,AC可帮助管理员禁用代理、自由门、无界浏览器等。
    设备操作路径:登陆设备—>上网行为管理—>上网策略对象—>上网权限

 

h.临时权限开放

    当有第三方人员需要接入组织网络,或者需要为临时组成的项目组分配互联网访问权限时,网络管理员可以使用AC为用户建立临时账号,分配定时访问权限。一旦到期则帐户、权限自动失效,既做到了临时权限的灵活开放,又保障了权限到期后的回收管理。
    设备操作路径:登陆设备—>上网行为管理—>组织结构—>新增用户
    登陆设备—>上网行为管理—>上网策略对象


i.智能提醒超额使用的用户

    由于业务需要用户获得上网权限,但仍然存在缺乏管理而降低工作效率的可能性。AC可限制用户一天内总上网时长,或者当指定应用(如QQ聊天等)上网时长、上网流量超限后AC自动弹出告警窗口,提醒其自觉投入工作中。
    设备操作路径:登陆设备—>上网行为管理—>上网策略对象—>智能提醒

 

3、丰富的行为分析报表

分析组织员工上网行为,及时发现效率低下的现象
    AC支持上网日志统计分析(饼状、柱状、曲线图、报表),提供了工具帮助管理员掌控组织上网行为分布、时间分布、某用户上网明细等。比如管理员可设置查看指定时间段内,使用指定应用的用户排行,并支持递进查询。
    设备操作路径:登陆数据中心—>统计—>上网行为统计


    使用AC分析工具需要手动操作,而AC的“风险智能报表”能根据管理者预设上网行为特征和风险系数,如“离职风险”“”自动挖掘日志、自动发现工作效率低下风险的用户、自动发送给指定管理者

4.集中管理平台,统一分支机构的管理策略

    对于存在多个分支机构的单位,由于人员、精力有限加上区域分散,总部对分支机构的管理往往流于表面。对此,深信服推出SC集中管理平台,旨在提高AC集中管理的易用性。可以满足网监,教育局,集团客户等大型机构对其下属机构进行管理可监控的需求,同时也能保证下属机构管理有一定自主性。总部管理员通过SC,可为下属单位的AC设备统一下发管理策略,查看上网日志,极大地减少了工作量。