网吧网络行为管理建议方案.doc

ge 内部网吧 网络行为管理建议方案 上海新网程信息技术有限公司上海新网程信息技术有限公司 网址 网址 2010年06月 XXXX 公司网络行为管理方案 1 目目 录录 1 前言前言 2 2 需求分析需求分析 4 2 1 现有网络结构 4 2 2 内部网吧上网管理需求 4 3 系统架构系统架构 6 4 系统功能系统功能 7 4 1 网络督察功能 7 5 技术特色技术特色 13 5 1 独创技术 13 5 2 系统特色 14 6 总结总结 16 附录一附录一 新网程及网络督察资质新网程及网络督察资质 17 附录二附录二 网络督察部分典型客户名单网络督察部分典型客户名单 21 XXXX 公司网络行为管理方案 2 1 前言前言 在过去的十多年里 互联网从最初的单纯地为国防 科研 教育所用的计 算机网络演变成现在的为众多的医院 企业 政府 组织 学校和个人所离不 开的全球网络 人们在网络上的应用从最初的发送文本电子邮件 浏览静态的 信息网页 发展到现在的多媒体 即时通信 视频音频通讯 了解世界的动态 销售 采购各种商品等 互联网的持续发展缩短了人与人之间的距离 改变了 人们的交流方式和工作习惯 互联网的影响力及给社会带来的好处不言而喻 但其带来的负面影响也是有目共睹 正因为互联网的方便性和隐蔽性 也给一 些不法之徒提供了很多可乘之机 如 通过网络从事色情 诈骗 赌博 传播 不良信息等事件时有所闻 网络如果不进行有效的监管 其后果可想而知 如何应对互联网带来的负面作用 难道是拒绝使用 这恐怕是不可能的 网络已经成为绝大部分公司企业和政府部门的不可缺少的工作手段 害怕互联 网的负面影响而隔离于互联世界之外无异于 闭关自守 那么 在使用互联网 的前提下 怎样使网络资源更好地发挥作用就摆在了所有网络管理者的面前了 如何保证人们的上网行为是合理的 有效的 如何有效实施主管部门的互联网管理政策 如何避免不法之徒通过互联网传播不良信息 如何保证一个健康 有序的网络环境 如何准确 及时发现异常的网络行为 应该说互联网的广泛应用和迅速发展给我们带来了挑战 管理得好可以维 护社会稳定 提高企事业单位的工作和生产效率 反之则可能激化社会矛盾 影响正常工作次序 公安部据此颁布第 82 号令 互联网安全保护技术措施规定 要求所有互联网联网单位或服务提供者需要部署保障互联网网络安全和信息 安全 防范违法犯罪的技术设施和技术方法 从而保障互联网网络安全和信息 安全 促进互联网健康 有序发展 维护国家安全 社会秩序和公共利益等 作为国内 网络行为管理 产品最早的研发单位之一 上海新网程信息技 XXXX 公司网络行为管理方案 3 术有限公司一直致力于各种上网行为管理 监控技术的研究 推出的 网络督 察 系列产品就是为了满足管理部门对各种网络行为的管理和监控的需要 完 全符合公安部 82 号令对管理的要求 目前 网络督察 已广泛地在政府机关 医疗单位 企事业单位 酒店宾馆 学校等投入使用 该产品以灵活而又贴近 用户的设计理念深受企事业单位的喜爱 本方案主要针对 内部网吧上网行为方面的需求介绍 新网程推出的 网络督察 解决方案 XXXX 公司网络行为管理方案 4 2 需求分析需求分析 2 1 现有网络结构现有网络结构 内部网吧目前网络结构如下图所示 核心交换 用户 INTERNET 防火墙 2 2 内部网吧内部网吧上网管理需求上网管理需求 通过与 内部网吧管理人员交流和新网程类似项目的 实施经验 我们觉得 内部网吧对于上网行为管理需求主 要集中在以下几个方面 XXXX 公司网络行为管理方案 5 1 实时监控 可以实现实时监控当前网络的使用情况 即时查看用户访问互联网各类应 用的信息 包括访问的时间 访问的协议 IP 地址 访问的内容 数据的流量 和所占带宽等 2 访问控制 提供完整的访问控制管理策略 可灵活地按用户角色或者按员工 部门以 及整个航天航空单位对上网行为进行控制 可以根据时间段 服务 网址 流 量等手段进行控制 3 内容监控 可对上网内容进行监控 包括邮件内容 WebMail 即时通信内容 QQ MSN ICQ 雅虎通等 BBS 发贴 FTP 和 Telnet 会话内容等 系统自 动按选择条件对监控的内容进行记录分类 对 BBS 发帖条件的封堵 对邮件 的条件封堵 4 上网统计分析 提供数十种统计报表对上网流量 时间等进行统计 可生成各类排行榜 并可以图表的方式从各个角度对员工上网情况进行分析 灵活的条件输入和结 果选择 几乎涵盖管理者的各种要求 统计结果可导出到 Excel 表格 方便进 行二次处理 5 带宽管理 可以按部门 个人以及服务类型等来制定策略对带宽进行管理 可将带宽 划分成若干个虚拟通道 设定每个通道的带宽 上 下载速度的限制 优先级 和管理策略 可以灵活控制每个人的上网带宽 6 身份认证 可以实现单位内所有上网人员的准入认证 没有认证授权的人员一律不能 上网 避免当前的随意接入局域网上网现象 7 还原精灵 网络督察可以和还原精灵结合起来使用桌面管理系统的功能 当某客户出 现系统问题 可以利用此功能还原客户端的完整数据 8 日志存储 所有日志可用存储 查询 9 权限管理 管理员有不同的系统管理和查询权限 总之 内部网吧需要一套能安装简单 满足需求 XXXX 公司网络行为管理方案 6 方便使用的上网行为管理系统 新网程所推荐的 网络督察 解决方案能满足 内部网吧的上述管理需求 3 系统架构系统架构 根据 内部网吧的需求和以往系统实施的经验 我们 设计了一套适应当前需要和兼顾对未来业务扩展进行有效支持的系统架构 结 构如下图所示 核心交换 用户 INTERNET 路由器 网络督察 网络督察作为上网行为管理设备部署网络出口干路 以透明网桥连接的方 式串接在核心交换与防火墙之间 进行网络行为管理 安全审计 信息过滤和 XXXX 公司网络行为管理方案 7 带宽管理 具体连接方式是 将网络督察的二个网口配置成网桥模式 ETH0 外网口连接到防火墙 ETH1 连接到核心交换机 这种网桥的部署方式可以对 访问 Internet 的用户进行有效的管理 并且安装简单 对原有网络拓扑结构不 需要做大的改动 对网络传输性能也基本没有影响 4 系统功能系统功能 网络督察是一个功能强大的网络行为管理系统 其所有功能都是面向管理 人员而设计的 其目的是为了解决内部局域网人员的上网管理 4 1 网络督察功能网络督察功能 用户管理 多种定位方式 用户管理 多种定位方式 系统支持以 IP 地址 MAC 地址 验证帐号等为参照的用户管理模式 并 可对用户分组多层管理 对不同人员可以设置免监控 不监控邮件内容等不同 的监控级别 例如 1 采用内部 IC 卡配合读卡器来定位 准确定位到真实的人用 2 采用网络督察客户端来定位 使用用户名和密码也可达到准备定位 到网吧的人员 每个人一个用户名和密码 实时监控实时监控 可以通过浏览器实时查看用户当前的上网情况 包括其访问的 IP 地址 网 XXXX 公司网络行为管理方案 8 址 服务类型 流量等等 了解网络目前应用状况 及时进行控制和调整 保 障网络正常运行 日志记录日志记录 详细记录用户的上网的各类日志 包括 HTTP SMTP POP3 Telnet FTP QQ MSN 游戏等数十种日志 同时记 录了访问时间 IP 地址 MAC 地址 流量等重要信息 日志可以按照要求保 留 90 天以上并可组合查询 XXXX 公司网络行为管理方案 9 访问控制访问控制 提供完整的访问控制管理策略 可灵活地按用户角色或者分组对用户上网 行为进行控制 可以根据时间段 服务 网址 流量等手段进行控制 可以封 堵常用的聊天软件 抄股软件等服务 并提供百万级的有害信息过滤网址库防 堵不良网站 异常管理异常管理 根据用户上网状态 如 IP 连接数 数据包特征 流量等情况 及时发现用 户上网电脑是否异常 自动告警或采取相应的控制措施 保障网络通畅 带宽管理 附加模块 带宽管理 附加模块 可以按组和服务类型等来制定策略对带宽进行管理 可将带宽划分成若干 个虚拟通道 设定每个通道的带宽 上 下载速度的限制 优先级和管理策略 保证等关键应用或重要人员的上网带宽 XXXX 公司网络行为管理方案 10 BYPASS 附加模块 附加模块 可以在系统断电或故障的时候自动将一对网口置成直连状态 保证网络畅 通 不影响正常业务 统计统计分析分析 提供数十种统计报表对上网流量 时间等进行统计 可生成各类排行榜 并可以图表的方式从各个角度对用户上网情况进行分析 统计结果可导出到 Excel 表格 方便进行二次处理 自动整理和备份自动整理和备份 对用户数据和系统数据进行自动备份和整理 系统将根据设定的各种数据 的保存时间定时自动整理 删除不必要的数据 从而保证系统可以长期稳定地 运行 系统还可以按要求对关键数据和存档数据进行本地或异地备份 备份的 信息可以离线查看 XXXX 公司网络行为管理方案 11 日志内容审计日志内容审计 能够对 HTTP SMTP POP3 WebMail Telnet FTP QQ MSN 等常 见应用记录其访问日志并对其内容进行还原 可根据进行实时分析 匹配 本地验证本地验证 可以实现单位内所有上网人员的准入认证 用户打开浏览器便会弹出上网 认证窗口 没有认证授权的人员一律不能上网 避免随意接入局域网上网 现象 XXXX 公司网络行为管理方案 12 XXXX 公司网络行为管理方案 13 5 技术特色技术特色 5 1 独创技术独创技术 新网程公司在 Linux 核心技术上有八年的研发经历 在网络行为管理领域 也有近五年的研发历史 网络督察是新网程公司技术上不断创新的结果 独有 的技术涵盖了网络行为管理产品各个方面 旁路侦听旁路侦听 网络督察对流经的数据并不截留而是直接转发 同时将数据镜像到内存进 行分析处理 发现有违规行为再对相关数据进行截留 数据经过网络督察的延 迟小于 0 2ms 因此完全不影响原有网络传输效率 网络零拷贝网络零拷贝 为在大流量的状态上保证抓包效率 采用网络零拷贝技术直接将流经网卡 的数据映射到内存区间 而不通过内核透传 减少系统资源消耗 使丢包率为 零 连线跟踪连线跟踪 网络督察对所有 IP 连接记录其状态变化信息 一方面增强实时监控效果 另一方面可简化同一连接数据分析处理过程 极大降低系统资源消耗 提高系 统吞吐能力 PAS 中间件中间件 通过中间件技术 合理分配系统资源 协调进程间通信 标准化数据库和 WEB 服务接口 自动清理系统废弃资源和重启僵死进程 大大加强系统的可靠 性 功能的可扩性 性能的更大化 协议分析和数据还原协议分析和数据还原 支持绝大部分常见互联网应用的协议分析和信息内容的数据还原 可以对 动态端口变化的协议进行跟踪识别 可自动识别通过 HTTP 或 SOCKS 代理做 跳板的数据包 访问控制访问控制 基于协议分析的动态控制 可在旁路安装方式下控制所有 TCP 应用和 QQ XXXX 公司网络行为管理方案 14 的 UDP 应用 在串接方式下通过 NetFilter 技术控制所有互联网应用 系统自维护系统自维护 系统内置完善的自动维护系统 可以自动检测进程运行情况 自动清理废 弃资源 自动整理磁盘空间 自动检测和修复文件和数据系统等等 保障系统 可靠稳定地运行 5 2 系统特色系统特色 网络督察吸收目前同类产品成功的经验 分析同类产品在功能和结构上的 不足 在设计上充分考虑了用户的实际需求 并在性能 功能 使用等各个方 面充分利用了当前最先进和成熟的计算机和网络技术 体现了许多独到的地方 专业软硬一体的监控设备专业软硬一体的监控设备 采用专门定制的并经严格测试硬件设备 符合工业控制标准 保证了网络 督察可以长期 稳定运行 不影响原有网络效率不影响原有网络效率 网络督察通过监控以太网上流动的数据包来实现对整个局域网的监控 采 用旁路侦听技术 所以并不影响整个网络的效率 也不需要对网络进行特殊的 配置 运行效率高运行效率高 网络督察是一个基于 Linux 系统开发的设备 在设计时我们采用了多进程 和共享内存技术等多种技术来提高运行效率 并将数据采集和处理分离 一方 面保证采集的数据的高效性和完整性 同时也可充分使用系统的资源对采集的 数据进行更复杂的处理 使系统在超大用户量和超大流量下都能高效运行 长时间可靠运行长时间可靠运行 网络督察的核心采用了新网程中间件产品 PAS 的进程管理技术 可以自动 对进程进行管理和监控 定时清理进程中的废弃资源 从而使系统可以长时间 运行而不会降低系统的效率 B S 系统结构系统结构 借助于新网程 PAS 软件的技术 整个系统的管理和设置全部基于 Web 方 XXXX 公司网络行为管理方案 15 式 在浏览器上就可以直接管理网络督察的运行 监控整个网络的运行状况 不需要额外的客户端软件 方便易用方便易用 网络督察的使用主要面向管理人员 没有非常深奥的技术词汇 界面使用 按照平常工作习惯 细腻且人性化 并在设计时我们尽量避免日后维护的工作 量 网络督察在安装和初始设置好以后 可以不需任何维护系统就能长时间运 行 功能全面易扩展功能全面易扩展 网络督察及其管理中心的功能充分实现了上海剀捷客户多方面的需求 完 整的日志记录 详细的数据分析和统计报表 灵活的控制机制 准确的布控告 警系统等等 并且系统采用模块化插件设计 可方便迅速按照客户需求定制 或根据产品发展需要扩展功能 实施经济实施经济 网络督察采用黑匣子硬件设计 性能高效外降低用户的维护成本 另外 根据特定客户提供客户确实有用的功能 保护客户的投资 安全保密安全保密 系统针对 Linux 内核进行优化剪裁 屏弃不需要的服务来减少安全漏洞 专注于网络安全方面的功能实现 数据传输都采用 128 位密钥加密通信技术 管理中心对网络督察节点的管理和操作都是隐秘的 XXXX 公司网络行为管理方案 16 6 总结总结 网络的迅猛发展 使 信息高速公路 已经成为现实 人们可以很轻松的 从互联网获得世界各地的信息 通过互联网生活和工作 互联网的发展前景充 满光明 但与此同时 网络上一小部分黄色 反动 暴力 迷信等信息也通过 互联网四处散布 对使用互联网的人们 造成了极坏的影响 必须及时的加以 监控和管理 新网程公司作为一个高速发展的高新科技企业 拥有国内外领先的技术和 一流的研究开发和项目实施人才 新网程公司重点研制开发的 网络督察 与 目前同类产品相比 在性能和功能方面有着明显的优势 本产品实际使用效果 明显 加强了监管单位内部的网络管理 及时知道网络运行情况 遇到网络故 障可以定位并采取措施控制 加强了单位上网行为管理 完整记录所有上网信 息 合理分配带宽 准入控制 另外 新网程公司不断听取客户的建议 吸收 同类产品的长处 总结自己的经验教训 不断推陈出新 创造更符合市场需要 和时代发展的产品 因此 只要选择新网程公司的 网络督察 系统 就能构筑一道网络安全 的坚固长城 XXXX 公司网络行为管理方案 17 附录一附录一 新网程及网络督察资质新网程及网络督察资质 新网程资质新网程资质 上海新网程信息技术有限公司是上海市首批获得软件企业认定 并获得高 新技术企业的认定 XXXX 公司网络行为管理方案 18 网络督察资质网络督察资质 网络督察产品获得的主要资质和通过的检测如下所示 XXXX 公司网络行为管理方案 19 XXXX 公司网络行为管理方案 20 XXXX 公司网络行为管理方案 21 附录二附录二 网络督察部分典型客户名单网络督察部分典型客户名单 上海信息化委员会 上海社会保障卡中心