1、概述
上网行为管理产品基于用户、时间、应用、带宽等元素对员工的上网行为进行全面而灵活的策略设置,把网络风险管理从“被动式响应管理”提升为“主动式预警管理”,从“防范管理”提升为“控制管理”,把网络的“通信安全”提升为“应用安全”。为了实现真正安全的网络环境,企业需要“内外兼修”,除了阻挡外部攻击外,还应该转换视角,大力加强对内的管理,对员工的上网行为进行规范管理。
随着互联网应用的深入,企业对于互联网的依赖正变得越来越强烈,成为企业高效运营、提高竞争力的基础平台。互联网的开放性、交互性、延伸性为人们快速获取知识、即时沟通以及跨地域交流在给企业提供极大的便利的同时,也给企业的日常经营带来了诸多挑战。
- 员工长时间沉溺于娱乐新闻而不能尽快投入工作;
- 员工上班期间沉迷于聊天;
- 企业战略计划通过互联网泄密给竞争对手;
- 内网病毒依然泛滥,愈杀愈多;
- 网络带宽被非业务下载占满,核心业务受到影响;
- 有过激的言论从企业网络发出;
- 内网用户在工作PC上安装非法软件;
……
传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,构成企业网络的边界防护屏障,能够有效地防护来自互联网的攻击,然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力,表现在:
1.1 安全事件频发
四通八达的网络,方便的不仅仅是正常业务的传输,恶意代码、病毒、蠕虫、间谍软件等等,也会搭乘“善良”的网页、Email、聊天工具、下载工具便车,悄悄侵入到网络的各个角落。防火墙无法有效过滤应用层的内容,不能阻挡这些网页的下载,而防病毒工具由于滞后效应,对于新的病毒以及恶意软件常常无能为力。由于员工不安全的互联网访问而造成的病毒传播与黑客入侵,已成为网络安全的最大黑洞。
1.2 工作效率低下
为了在日益激烈的竞争中获得优势,企业必须不断开发新产品,改善服务质量,提高工作效率,降低运营成本,但未加管理的互联网应用可能会大大降低员工的工作效率。据一项调查显示,普通企业员工每天的互联网访问活动中40%与工作无关,在线聊天、浏览新闻娱乐、网络视频、网络游戏、炒股、博客等无时无刻不在占用正常的工作时间。在高度网络化的现代办公环境里,办公室可能成为“舒适的网吧”,人力资源在无形中浪费巨大。
1.3 敏感信息泄露
电子邮件、MSN/QQ以及BBS论坛等网络应用,已经成为提高工作效率的工具,但如果不加监管,也可能成为泄密的工具。对于政府机关、上市公司以及知识敏感型企业,关键设计文档、软件源代码、市场销售计划等核心机密文档,可以通过电子邮件与在线聊天工具“轻易而快速”地传递到外部,给组织造成重大损失。
1.4 带宽资源浪费
据一项统计,在互联网活动未加管理的企业中,宝贵的带宽资源超过70%被文件、视频下载等占用,尽管带宽一扩再扩,却总是很快又拥挤不堪。这不仅造成带宽资源大量浪费,还使得企业正常业务得不到应有的带宽保证。由于缺乏有效的识别与控制手段,网络管理员往往不能及时地定位并管理下载源。
1.5 导致法律风险
互联网充斥着各种良莠不齐的信息,企业员工在获取有用信息的同时,也易被不良内容侵蚀。为了加强对互联网的控制和管理,国务院、人大常委会、公安部、信息产业部皆相继出台法律法规明文规定,接入互联网的单位和企业要采用相应的技术手段对互联网的使用进行控制和管理。对于互联网资源的非法访问,比如访问色情、赌博、犯罪网站、发表反动言论、泄露重大机密等,都会触犯相关法律,给企业带来法律风险。
员工的不当网络行为引发的问题无法通过传统的网络安全防护手段实现,必须通过专业的上网行为管理产品解决。何为上网行为管理?简而言之,就是对员工主体的基于内容的网络访问行为进行管理,包含如下几个要素:
- 上网的人是谁(Who:哪个部门哪个员工);
- 上网的时间(When:工作日/周末,上班时间/午间休息/夜间,上午/下午);
- 访问了哪些网络资源(Where:浏览网页、下载文件、发送邮件、聊天、游戏等);
- 具体内容是什么(What:网页的内容、邮件的内容、聊天的内容);
- 占用的带宽和流量是多大(How much)。
2、功能及特点
上网行为管理能实现对企业用户的上网行为进行监控和管理,那么从技术上又是如何来实现的呢?
1.1 技术原理
这里我们从一个简单的消息发送来解答上网行为管理产品的技术实现。比如一条信息,你好,是如何正确地从A电脑的QQ中传输到B电脑的QQ中的呢?信息的传输过程大概是这样的:QQ1生成了一条内容为“你好”的信息,这条信息从OSI的第7层开始被逐层加工,当你好传到传输层时(第四层),有两个重要的参数会被附加在这条信息上——源端口号和目的端口号。端口号的作用是标识数据,因为一台电脑发出的和收到的数据量是非常大的,如何区分这些数据是哪个程序发出的、发给对方电脑哪个程序是很重要的。
经过第四层后,你好被加上了传输层的包头,这时数据来到了第三层,网络层。网络层继续在数据外边附加控制信息。网络层包头中有两个重要的参数,源IP地址和目的IP地址。被加工过的数据称为数据包。
经过第三层后,数据包来到了第二层,数据链路层。数据链路层继续在数据包外边附加控制信息,其中有两个重要的参数,源MAC地址与目地MAC地址。被加工过的数据包称为数据帧。数据帧再被转化为bit流就可以在物理网络上传输了。当目地MAC主机收到数据帧后,就像“剥洋葱”一样,一层一层剥去控制信息,在剥到第四层时发现,端口号指出,你好这条消息应该被提交给QQ2。以上描述可能并不十分严谨,但数据在网络中大概就是这样被传输的。
管理MAC地址:MAC地址工作在OSI模型的第二层。这个地址被烙在网卡上,它就像是每台电脑相对固定的身份证一样,每当电脑与对端设备进行通信时,双方的MAC地址总会出现在数据帧中。这就相当于数据帧有了身份信息,而且这一信息就在数据帧的最外围,所以对数据帧进行管理是最简单的。但其实MAC地址很容易被修改——不是真的重新烧录网卡上的地址,而是在操作系统层面进行“软”修改。修改了MAC地址,相关的管理策略也就失效了。
图1 技术原理
管理IP地址:IP地址工作在OSI模型的第三层,这个地址是我们手动为网卡指定的,修改起来也更加方便。管理IP地址要比管理MAC地址方便一些,也更有效率,比如,可以对一个IP地址段进行策略套用。但不足也同样明显,修改IP地址比修改MAC地址更容易,所以基于IP地址的安全策略很容易被“绕过”。
管理端口号:端口号与具体的应用程序有关,所以基于端口号的策略的有效性要比其它两种稍强一些。比如,一台在192.168.2.0网络中的服务器开放了Telnet端口(23号端口),但不希望192.168.1.0网络的电脑访问,一种方法是可以在路由器上设置一条策略,禁止所有来自192.168.1.0的 Telnet请求通过。这样的话,192.168.1.0网络中的某台电脑,无论怎样修改IP地址、MAC地址都是无法访问服务器的。原因很简单,因为在此情境中,所有Telnet请求都必须访问23号端口。基于端口号的管理策略在某些情况下是比较有效的,但这仅是在少数情况下。因为多数应用所使用的不是固定的端口号,比如QQ、MSN、BT等等。所谓有效的管理策略都是基于不可变条件元素的,但传统的网络管理工具所基于的条件元素都是可修改的,所以它们很难有效管理QQ、MSN、BT。
应用层协议:之所以上网行为管理路由器可以有效的管理QQ、MSN、BT等,是因为这类设备使用了不同的条件元素,即应用层协议。每个应用层协议都是为了服务于某一类应用,比如,BT客户端有很多,包括比特精灵,比特慧星等,但它们所使用的其实都是bittorrent协议。协议比MAC地址、IP地址、端口号都要稳定,实际上对于用户来讲是不可修改的,所以基于应用层协议的管理策略十分有效。对应用层协议进行识别,基于此再套用管理策略,这就是上网行为管理的本质。上网行为管理路由器的工作原理正是对应用层协议进行识别,然后套用预置的策略,如果策略被应用,用户几乎无法绕过。
1.2 关键技术
1.2.1 识别技术
识别是管理的基础,识别能力是评判一款上网行为管理产品专业度的重要标准。业内优秀的上网行为管理产品识别率普遍可以达到85%~90%甚至更高。
用户识别
用户身份识别是实施管理的依据,主流上网行为管理产品所支持的用户识别技术包括本地认证、第三方认证、多因素认证、软件免认证、硬件免认证、单点登录技术、强制认证、临时用户、用户自注册等。
终端安全识别
终端识别技术包括终端硬件识别和终端安全状况识别等。终端硬件识别主要是资产管理系统的工作,我们不做过多关注。终端安全识别包括进程、注册表、操作系统与补丁、杀毒软件与病毒库升级、多网卡状态、应用程序检测等。
应用识别
上网行为管理产品的应用识别能力是重中之重,是产品发挥管理控制功能的根基。主流的识别技术有两种:DPI,也称“深度数据包检测”,即基于数据包组成内容特征的应用识别;DFI,也称“深度流特征检测”,建立在应用特征的统计学规律基础上的行为识别,是具有智能特性的识别技术。
HTTPS非法网站识别
HTTPS被广泛应用于通讯安全,如目前几乎100%的金融类网站,部分门户网站均使用了HTTPS加密方式。大量钓鱼、挂马网站也使用HTTPS加密,而传统安全产品无法对HTTPS加密过的钓鱼、挂马网站进行识别,导致安全管理上存在严重漏洞。为解决此问题,部分上网行为管理产品提供了相应的SSL加密网站的甄别技术,将HTTPS类型非法网站排除在访问对象之外,保障网络安全。
网页智能识别
大中型上网行为管理厂商多数都有研发团队负责网页分类与URL库更新,以此作为网页过滤控制的依据。但是,2009年“互联网网页数量达到336亿个,年增长率超过100%”(CNNIC),靠人工手动分类的方式已远远跟不上网页的增长速度,加上大量的私博和社交网页并未被传统的URL库收归,导致即使这些网页存在问题也很难被发现。为此,技术领先的上网行为管理厂商提供基于关键字、基于网页分类特征的识别技术(如赌博类网站往往都有相似的关键字和结构),将人工分类的技巧“传授”给产品,让产品“学习”之后,将新访问的不在库中的网页自动分类入库。
行为智能识别
网络应用层出不穷,每天都有新软件、已有软件的新版本面世,尤其是P2P软件,仅靠已有的应用识别库来识别具有一定的滞后性。为此,上网行为管理产品应具备基于应用行为规律的智能识别技术,即便出现新的未知软件、未知版本,也能将其识别、管控。
威胁识别
来自网络的安全威胁如:带毒挂马的网页/邮件、黑客入侵、可信好友发来的潜在威胁的链接,来自组织内部的威胁:终端中毒发起攻击、异常外发流量、异常端口扫描行为等等,带来管理和安全问题。为此,威胁识别技术能及时发现、封锁、统计异常流量和异常终端,帮助组织提前规避风险。
1.2.2 流控技术
“基于TCP窗口整形的流控技术”和“基于队列的流控技术”是目前专业流控产品采用的较多两种技术。
基于TCP窗口整形的流控技术
基于TCP窗口整形的流控技术,通过调整TCP滑动窗口的大小来控制流量,该技术的优势在于控制尺度比较精确,但是采用此技术的产品往往性能有限(一般不能支撑超过1G的流量),一旦逼近极限就会出现较大误差。
基于队列的流控技术
顾名思义,“基于队列的流控技术”就是建立管道,将不同的控制对象分配到不同的管道里。该技术的好处是控制灵活,大通道中可以多层嵌套小管道,分别对应不同的用户、时间、应用协议、网站、文件类型等对象建立不同的通道,对于结构复杂又希望实现差异化控制的组织来说可以做到更为精确的控制。队列技术采用数据包调度,能实现了对大流量的很好的控制。
1.2.3 云技术
在上网行为管理领域,云技术已得到应用,如通过互联网上已部署的产品发现、统计网络管理中出现的外来威胁、内在危险、未识别的流量/应用、行业应用特征、用户行为习惯等,基于“云”网络共享信息,为产品的优化改进提供依据,以便更好地提升用户体验。
1.3 功能特点
上网行为管理是指帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等功能。
1.3.1 网页访问过滤
互联网上的网页资源非常丰富,如果员工长时间访问如色情、赌博、病毒等具有高度安全风险的网页,以及购物、招聘、财经等与工作无关的网页,将极大的降低生产效率。通过上网行为管理产品,用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的网页。
1.3.2 网络应用控制
聊天、看电影、玩游戏、炒股票等等,互联网上的应用可谓五花八门,如果员工长期沉迷于这些应用,也将成为企业生产效率的巨大杀手,并可能造成网速缓慢、信息外泄的可能。通过上网行为管理产品,用户可以制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事。
1.3.3 带宽流量管理
P2P下载、在线游戏、在线看电影电视等都在抢占着有限的带宽资源。面对日益紧张的带宽资源,除了增加预算扩充带宽以外,企业还可以选择合理化分配和管理带宽。通过上网行为管理产品,用户可以制定精细的带宽管理策略,对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入成本。
1.3.4 信息内容审计
发邮件、泡BBS、写Blog、聊IM已经司空见惯,然而信息的机密性、健康性、政治性等问题也随之而来。通过上网行为管理产品,用户可以制定全面的信息收发监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律风险。
1.3.5 上网行为分析
随着互联网上的活动愈演愈烈,实时掌握员工互联网使用状况可以避免很多隐藏的风险。通过上网行为管理产品,用户可以实时了解、统计、分析互联网使用状况,并根据分析结果对管理策略做调整和优化。
1.3.6 日志管理
通过日志的分类显示,可以让用户只看到自己关心的系统日志,而不需要从所有日志信息中慢慢筛选,从而更好的让用户了解系统的运行情况,方便快速定位和排除故障;通过网页日志,用户可以查看到内网用户所访问过的网站域名,可以实时了解内网用户的上网行为。
1.4 部署模式
1.4.1 网关模式
网关模式置于出口网关,所有数据流直接经由设备端口通过,适合可更改网络架构的客户。在此模式设备的所有功能都有效,包括防火墙、NAT、路由、流量控制/带宽管理、上网行为管理、内容过滤、用户访问控制、数据中心、统计报告、安全扩展功能、应用层VPN、远程集中接入等。在此模式下,可提供多至4个WAN的广域网线路接入,支持策略路由,负载均衡,南北通,充分利用用户的带宽价值。支持跨三层的IP/MAC绑定。
图2 网关模式
1.4.2 网桥模式
网桥模式透明桥模式如同集线器的作用,设备置于网关出口之后,设置简单、透明,适合客户不希望更改网络架构情况。在此模式设备的所有功能都有效,包括防火墙、NAT、路由、流量控制/带宽管理、上网行为管理、内容过滤、用户访问控制、数据中心、统计报告、安全扩展功能、应用层VPN、远程集中接入等。在此模式下,可提供多至4对(四进四出)的透明桥接入,支持分桥的负载均衡,充分核心交换的VLAN子网隔离。支持跨三层的IP/MAC绑定。
图3 网桥模式
1.4.3 多网桥模式
多网桥模式在客户存在多个VLAN或者采用核心交换热备的情况,可提供多至4对(四进四出)的透明桥接入,支持分桥的负载均衡,监控核心交换的多VLAN子网流量。且支持跨三层的IP/MAC绑定。在此模式设备的所有功能都有效,包括防火墙、NAT、路由、流量控制/带宽管理、上网行为管理、内容过滤、用户访问控制、数据中心、统计报告、安全扩展功能、应用层VPN、远程集中接入等。
图4 多网桥模式
1.4.4 旁路模式
旁路模式在旁路模式中,NM设备与交换机镜像端口相连,通过对网络出口的交换机进行镜像映射,设备获得链路中的数据“拷贝”,主要用于监听、审计局域网中的数据流及用户的网络行为。通过监听和分析来记录各项数据,适合客户不能断网情况,部署简单,无需改变网络结构,降低了网络单点故障的发生率。在此模式设备的流量控制功能不能生效,上网行为管理、数据中心、统计报告、应用层VPN、远程集中接入等功能有效。
图5 旁路模式
1.4.5 双机热备模式
双机热备模式组织为了网络稳定可靠,采用了双机VRRP部署,NM支持两台以上设备同时以主机模式、主备模式运行,完美支持组织的VRRP环境,起到设备冗余与负载均衡的作用。
图6 双机热备模式
3.业界厂商
4、主流厂商
4.1 深信服
4.1.1 企业简介
深信服科技有限公司是中国领先的前沿网络设备供应商,于2000年成立于深圳,致力于通过提供企业级网络设备,帮助企业业务向互联网转型,主营产品包括IPSec VPN、SSL VPN、上网行为管理、上网优化、应用交付、广域网加速、流量控制等多条产品线,并在VPN、SSL VPN、内容安全和上网行为管理市场保持着领先的地位。
4.1.2 产品特点
在上网行为管理领域,深信服上网行为管理2013年市场占有率为39.3%(数据来源IDC),已连续8年市场占有率第一,成为中国唯一一家进入Gartner SWG魔力象限的厂商,并且率先获得国内最高信息安全等级EAL3认证。深信服拥有多项专利及技术优势,包括SSL内容识别与管理、P2P智能流控与动态流控、应用标签化和应用功能细分控制、域环境下策略与权限划分、无线网络管理与营销增值、外发文件深度识别、数据中心认证key、异常流量感知。这些技术的融入使得深信服上网行为管理产品能让用户对有线和无线网络进行更好的管理。
P2P流控和动态流控技术
深信服P2P智能流控技术实现对P2P下载和上传的全面管控。同时,当整体带宽处于空闲状态时,深信服动态流控功能可将通道的最大带宽限制上浮,满足当前对带宽需求大的业务。而当带宽回到繁忙时,又回收上浮的这部分带宽,保证业务正常进行,实现带宽利用最大化。
应用标签化和应用功能细分控制
深信服应用控制功能能够从应用分类等多维度来指定策略,针对不同的应用打上制定的标签,管理员配置策略的时候,可以直接针对标签组做策略,大大节省了管理员去上千种应用中一个个找的时间。同时基于应用功能的细分控制可以精确控制应用的指定行为,避免传统上网行为管理产品对应用一刀切的管理缺陷,比如员工只能在网盘下载资料,但是不能上传文件到网盘。既能满足员工下载资料的需求,又能满足内部文件防泄密的需求。
域环境下策略与权限划分
深信服支持直接在设备上对LDAP服务器(例如AD域)上的OU、域属性、安全组,直接配置策略;同时支持对管理员设置不同的OU组管理策略。外部组织的变动我们可以自动感知并生效,大大降低了管理员维护的工作量,大大降低了不同设备之间结合的故障率。
SSL内容识别与管理
深信服拥有“基于网关、网桥防范网络钓鱼网站的方法”(专利号ZL200710072997.1)具有对SSL加密内容的完全管控能力,支持识别、管控、审计经由SSL加密的内容,如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为,审计SSL加密行为如邮件发送行为,为组织打造坚固无漏洞的管理。
无线网络管理与营销增值
在无线网络环境下,用户可通过微信认证、短信认证、二维码认证等功能接入到无线网络中,在认证和接入过程可通过页面定向跳转与信息推送,达到商业营销推广或公告信息发布的目的,同时可大量、快速的增加微信公共账号粉丝量,实现有线和无线网络一体化管理与营销增值。
异常流量感知与告警
深信服异常流量感知技术是对于异常流量行为进行识别并报警,帮助IT管理者主动发现组织内网潜藏的安全威胁,提升组织内网可靠性和可用性。
免审计Key功能
企业高层在创建账户时使用 DKEY认证,并勾选“启用DKEY防监控”选项,为总裁生成“免审计Key”。高层人员使用“免审计Key”认证后,系统就免除对高层人员的所有记录。如果“非善意”人员私下取消配置界面上的“启用DKEY防监控”选项,高层人员再插入“免审计Key”后系统会自动弹出警告,且禁止高层人员访问网络,彻底保障信息安全。
数据中心认证Key
深信服数据中心认证Key可实现A管理员登录数据中心后只能审计、查看A用户组的行为日志,同时配发启用数据中心认证Key功能后,如果没有该“数据中心认证Key”,A管理员登录数据中心后只能查看统计、趋势等概要信息,只有插入“数据中心认证Key”后A管理员才能审计、查询A用户组的MSN聊天内容、Email正文等详细日志信息。通过将该“数据中心认证Key”锁入领导抽屉将实现行为日志审计查询权限的严格控制。
4.1.3 典型客户
政府:最高人民检察院、外交部、公安部、商务部、国务院参事室
金融:招商银行、中国人寿、华夏基金
教育:中国人民大学、中国政法大学
企业:南方航空、华润集团、万科集团、通用电气、壳牌石油、丰田汽车
运营商:中国移动、中国联通、中国电信
4.2 网康科技
4.2.1 企业简介
北京网康科技有限公司是一家全球领先的网络应用层解决方案供应商,以其卓越的网络应用层技术为核心,提供上网行为管理、智能流量管理、安全代理服务器、新一代应用层VPN、移动互联网业务分析等产品,保障客户的网络高效、顺畅、安全、稳定的运行。
4.2.2 产品特点
在上网行为管理领域,网康研发了“第三代网络应用识别技术”、“实时网页过 滤技术”等独有的网络应用管理技术,是全球第一款通过IPv6 Ready认证、首家获得中国信息安全测评中心EAL3认证的上网行为管理产品,并通过了数项企业资质认证。目前除上网行 为管理产品之外,还有智能流量管理产品、安全代理服务器,以及安全网关产品。
全球最大的中文网页分类库
URL 过滤是上网行为管理产品核心功能之一,网康 ICG拥有3000+万条的URL数据以及150+种网页分类 ,在 URL 覆盖 的全面性、识别准确率、更新实效性、客户同步及时性等方面,具有国际领先的明显优势。
中国最大的网络应用识别库
对网络应用的管理也是上网行为管理产品必不可少的核心功能。网康 ICG拥有应用协议库数量3000+,其中移动协议库数量达480+, 能够准确识别国内主流的网络应用,是国内第一款支持在线炒股交易与查看行情区别控制、支持迅雷 P2P 下载控制、支持针对QQ账号定制策略、支持skype审计的上网行为管理产品。
高效内容分析引擎
零拷贝(zero-copy)基本思想是:数据包从网络设备到用户程序空 间传递的过程中,减少数据拷贝次数,减少系统调用,提高 CPU 与内存 的使用效率。实现零拷贝的最主要技术是 DMA 数据传输和内存区域映射 技术。网康 ICG 采用零拷贝抓包技术,极大减少了CPU 的中断调用,显 著提高了包处理效率。
有效保证信息安全的三权分立模式
网康ICG独特的三权分立管理功能,能够为客户提供更加安全、可靠的数据管理模式。三权分立模式最多可设置管理员,审核员,审计员四个角色。管理员可以创建审核员和审计员、做配置管理无论如但无权看审计日志;审核员可以审核管理员权限行为是否合法,但是不能看日志。审计员必须经过超管授权且审核员验证通过后才可以查看日志;不同角色拥有不同权限分工,避免了管理员权限独大的情况,可以有效降低日志信息泄密风险。
精准的防共享接入功能
网康是首家实现“一拖N”防私接管理方案的厂商,防私接识别率高达99.5%。防共享接入功能可以有效的监控用户私接上网的终端设备类型、以及私接设备数量。客户可以灵活的设置私接设备数量上限,私接设备超过私接数量上限后进行网络封堵,网络封堵时间可自由设置。并可以对重要IP设置用户白名单,不受共享接入封堵限制。对于被封堵的IP可以很直观的看到私接原因,网管可对封堵的IP进行手动解封,使客户的操作更方便、简洁。防共享接入帮助企业有效解决私接引起的安全问题,帮助运营商有效管控账号共享上网行为。
精细化的流控管理
由于以 P2P 为代表的网络下载软件严重影响了企业网络的带宽使用, 使得基于应用层的带宽管理成为多数企业的迫切需求,从而带宽管理与流 量控制也是上网行为管理产品的重要功能。网康 ICG 的7级虚拟通道有效支撑精细化的管理策略, 帮助企业实现带宽的合理利用。
完整的BYOD解决方案
BYOD(Bring Your Own Device)是指携带自己的设备办公,这些设备包括个人电脑、手机、平板电脑等(而更多的情况指手机或平板这样 的移动智能终端设备)。网康 ICG 具有业界最完整的 BYOD 审计控制解决 方案,可对移动终端的类型及移动应用网络协议进行精确的识别,并可制 定策略实现审计、控制、日志记录等功能。
快速的查询统计与全面的分析报表
快速的查询统计含盖网页访问、邮件收发、IM 聊天、P2P 下载、论坛发帖、各类应用信息、流量信息、在线娱乐、应用时长等,为管理员和企业决策人员提供完整的用户上网分析素材。
精细的分析报表可以以用户、工具类型作为选择条件,设置日期、时间段、排名依据等来生成报表。包括应用排名统计、网站访问排名统计、上网时长排名统计、应用时长排名统计等分析报表。
4.2.3 典型客户
政府:国务院办公厅、商务部、民政部、农业部、国家税务总局、海关总署
金融:中国人民银行、中国农业银行、中国交通银行、中国人寿、中国银河证券
教育:中国人民大学、中国政法大学 、北京航空航天大学、国家图书馆、新东方教育
能源:国家电网公司、中国石油天然气集团公司、国家核电技术公司
传统企业:海尔集团、美的集团、中国国际航空公司、国美集团、小肥羊餐饮连锁公司
IT企业:奇虎360、京东、百度、阿里巴巴、搜狐、联想、新浪网
运营商:中国移动、中国联通、中国电信
4.3 锐捷网络
4.3.1 企业简介
锐捷网络,中国网络解决方案领导品牌。锐捷网络是一家拥有包括交换机、路由器、软件、安全防火墙、无线产品、存储等全系列的网络设备产品线及解决方案的专业化网络厂商,在国内网络设备及安全市场有着较强的市场知名度和影响力,锐捷网络上网行为管理产品以路由、透明或混合模式部署在网络的关键节点上,对数据进行2-7层的全面检查和分析,并利用智能流控、智能阻断、智能路由、智能DNS策略等技术提供强大的带宽管理特性,配合创新的社交网络行为精细化管理功能、清晰易管理日志等功能,同时具备了最精细的用户上网行为的审计功能。锐捷统一上网行为管理与审计RG-UAC产品线提供不同档次的多款型号,适用于数据中心、大型网络边界、中小型企业等业务应用场景。
4.3.2 产品特点
1000+协议特征可识别90%上应用
RG-ACE采用新一代DPI引擎,能够准确识别包括P2P应用、炒股软件、流媒体、企业办公、网络游戏等在内的超过1000种常规应用,避免因误识别造成断网。
RG-ACE的带宽嵌套、带宽租用和非对称流量识别技术,能够将带宽基于用户、身份、时间进行灵活地分配。
满足网络实名管理与认证计费的需求
RG-ACE系列流量控制引擎与认证系统结合,可以实现基于用户身份的实名流控、实名日志和认证计费;实名流控可以实现同一用户无论何时何地、有线无线接入网络,均能享受相同服务;实名日志能方便定位到人,可以满足监管部门的要求;认证计费可实现按流量、时长、服务质量等差异化的计费服务。
丰富直观的报表实现应用和流量可视化管理
提供一年内的应用或协议流量的纪录,并可按天、周、月、年时间段内的应用及协议的带宽使用统计报告。包括:总带宽分析报表、应用带宽分析报表、协议的带宽分析报表、协议和流量方向(进入/出去)的带宽分析报表、基于应用和流量方向(进入/出去)的带宽分析报表、基于IP地址的带宽分析报表、用户自定义报表等。
4.3.3 典型客户
七匹狼、华祥苑、大连港、大连香巴拉咖啡厅、云南师范大学、第四军医大学、福州大学、滨湖数据中心、南京银行
4.4 网域科技
4.4.1 企业简介
深圳市网域科技有限公司是一家专业从事网络信息安全领域产品的研发、生产、销售及服务、国家高新技术、创新型企业。公司以诚信、务实、高效、创新、发展的十字方针为指导,在多个领域取得重大突破性成果。公司先后推出NetSys AC上网行为流量管理、NSYS IT运维安全审计(堡垒机)、NSYS 数据库安全审计产品、文件加密软件、VPN、 负载均衡、网域NETSYS ACF防火墙产品等系列产品,提供完善的解决方案。广泛应用于政府、运营商、金融、能源、教育、集团企业等众多行业。愿与更多合作伙伴分享信息化的繁荣。
4.4.2 产品特点
能够识别1000多种协议和应用
常见的应用一网打尽,包括IM即时通讯、P2P下载、流媒体、网络电视、网络视频、网络电话、股票交易、网络游戏等15大类应用协议。以协议分析为基础,能识别95%以上的网络流量,实现第七层应用的细粒度管控。网域上网行为管理产品具有丰富的特征库 ,即时更新的特征库,特征库丰富,对应用特征进行实时有效准确的识别、 并多项专有技术专门针对P2P应用进行有效的管控。
常用上网行为记录
网页浏览记录:记录访问的网址、网页标题、网页内容;
社交发贴:记录论坛外发帖子行为,记录博客外发帖子的行为;
邮件记录:记录外发Email(含常见WEB邮件)及接受正文及附件,邮件还原;
应用记录:记录网游、炒股、P2P、IM聊天等各种应用行为,含部分应用的内容记录;
文件传输记录:记录FTP、TFTP、Telnet、网页下载等文件的下载记录;
更广泛的内容审计
除了基本用户上网行为记录、邮件审计、文件上传下载之外,他还能审计加密的HTTPS上网行为,GMAIL、foxmail加密的邮件内容审计。也能审计网络用户股票财经、网络游戏、音视频下载记录等内容
更有深度的行为识别与过滤
细粒度的应用层免监控,包括免监控QQ,免监控MSN,飞信、邮件、论坛、网页网址。深度地内容审计与内容过滤管控,发现网络行为中的泄密行为,从事前防范、事中分级告警、事后审查等多方面报告分析,为组织保护信息资产安全,降低网络风险。
用户流量与市场配额管理【酒店应用】
带宽分配保障带宽的灵活性可分配性通过应用识别,或者策略路由来判断流量的下一跳及策略,实现带宽的管理和灵活分配分时段的用户流量配额。分时段的用户时长配额管理,结合丰富的用户认证系统,能行为网吧、酒店的运营管理系统提供强力的支撑。
客户端可信与网络风险防范
内置危险插件和恶意脚本特征库,识别特征库,过滤挂马网站的访问、封堵不良网站;从源头上切断病毒、木马的潜入,再结合终端的安全可信与网络准入,防范外在的DOS防御、ARP欺骗防护等多种安全手段,实现内网、外网、透传立体式安全护航,确保组织安全上网。
强大的流量分析、行为监控报表分析统计能力
e地通可统计用户在指定的时间段内产生的总流量;统计用户指定时间段、使用指定应用协议产生的流量;并且实时监控流量趋势,以及应用占用比例等数据;对各种网络流量进行报表分析以及图形化分析,包括柱状图、饼状图、折线图、趋势图等,以使管理员可以直观的了解内网流量的使用。
黑名单和白名单功能
黑名单,可针对单IP,非法URL,以及其他诸多应用实现封堵和重定向,保障内网环境的绿色可靠
上网行为管理自定义特征及关键字
通过自动定义的关键字、URL连接、文件类型、可有效的管控办公人家的非法访问,实现对其的有效管控
VPN网络的搭建与互通
支持标准的PPTP、L2TP 以及IPSEC VPN,支持点对网和网对网接入,提供高安全的加密隧道方案。通过简单配置,您就能轻松搭建安全的VPN连接;满足了地域企业用户对于数据传输的便捷性、安全性以及成本要求。
上网行为管理产品图形化界面
针对客户反馈和意见,自行开发和设计针对非网络专业人员制定的友好型图形化界面、方便管理、配置、监控。让界面更直观、更简洁、更贴切用户的视眼。
4.4.3 典型客户
国土资源部、长江水利委员会、中国烟草、中汽南方、招商地产、南方电网、中信银行、安邦保险、湖南电信、深圳地铁、虎彩集团、爱施德集团
4.5 溢信科技
4.5.1 企业简介
溢信科技是业内领先的内网安全整体解决方案提供商,其自主研发的IP-guard内网安全管理系统旨在帮助企业解决包括信息泄露、上网行为、系统维护等多种内网安全问题,助力企业在信息化道路上稳步发展。目前,公司已在日本、南非等海外多个地区设立了分公司,同时与欧美、印度、俄罗斯、乌克兰及港台等十多个国家和地区的企业进行合作,形成了遍布全球和国内各大中小型城市的完整的销售网络和技术支持网络。
4.5.2 产品特点
应用程序管控
IP-guard过滤一切与工作无关的应用程序,分时段或全天候阻止游戏、炒股、媒体播放、即时通讯、BT等程序的运行,让用户在工作时专心工作,休息时尽情放松,既提高用户的工作积极性,又提升工作效率。
IP-guard详细记录程序运行的起始时间、用户名、计算机等,统计程序使用总时间、前十或前二十名常用的应用程序等,让管理者对应用程序的使用一清二楚。
网页浏览管控
IP-guard可过滤黄色、暴力和恶意传播病毒的网站,保证用户在合规、合法范围内使用网页,既不能访问下载也不能上传散播任何含色情暴力成分的内容。这样不但能让企业规避法律风险,而且可以保护企业系统的安全。
为了方便管理者操作与管理,网站可以按类别进行管理,管理者可按需分时段屏蔽某类网站的访问权限,使网站管理更灵活,更具人性化。
IP-guard详细记录网页浏览的起始时间、用户名、网页标题、网页地址等,统计浏览每一网站或每类网站的总时间,显示前十或前二十名常访网页等,并以柱状图或饼状图的形式直观显示结果,让管理者对用户使用网页的情况了若指掌。
网络流量管控
IP-guard帮助企业管理者合理分配带宽资源,防止流量干涸和网络堵塞。它还可以限制P2P软件的使用,力保网络平稳,保证业务畅顺运作,避免工作效率因网络堵塞而下降。
IP-guard从多维度统计流量的使用,统计前十名或前二十名使用流量最多的用户,并配以直观的柱状图和饼状图显示,让管理者对流量的使用情况一目了然。
即时通讯管控
IP-guard可防止企业文档通过聊天工具外发出去,这样不但可以保证流量不会被大量占用而影响网络的正常使用,而且可以保障企业信息安全。
IP-guard记录用户聊天信息,让企业管理者了解用户使用聊天工具主要从事什么。同时,对聊天信息的监督可以防止企业内部信息外泄。即使发生外泄,管理者也能掌握充分的证据,以便事后追究法律责任。
邮件管控
IP-guard协助企业管理者有效管理邮件的使用,杜绝工作时间收发私人信件,透视往来信件的内容,IP-guard可限制用户只向指定的收件人发送邮件,限制发送附件或具有特定主题的邮件,限制发送具有特定名称的附件或超过指定大小的邮件,保证工作时间内只有商业信件往来,保障企业重要信息安全,预防有意或无意的泄密行为。
IP-guard详细记录邮件的标题、正文、附件、发件人、收件人、发送或接收时间,让企业管理者清楚了解邮件的使用情况,规范邮件的使用,杜绝私人信件,防止企业内部信息外泄。
屏幕监控
企业管理者可以实时查看用户的桌面行为,清楚用户在工作时间内利用电脑和网络从事何种活动并掌握用户无法抵赖的证据。管理者可以了解用户究竟是在工作还是兼职,是在玩游戏还是聊天,大大方便管理者进行绩效评估。IP-guard支持多屏监控功能,企业管理者可以在同一时间内集中监控多台计算机的桌面情况。
IP-guard使企业管理既高效又省时。生成录像文件,可以方便进行回放。屏幕历史记录可被导出为视频文件储存在本地,企业管理者可以像看录像一样观看用户的桌面变动。
4.5.3 典型客户
机械重工:三一重工、徐州重型机械、上柴动力、福田雷沃重工
电子光学:SONY、佳能、三安光电、MSI、豪雅镜片、科沃斯
汽车汽配:奔驰汽车、大众汽车、普利司通、北汽集团、大冶摩托
纺织服饰:欧时力、YKK、九牧王、美特斯邦威、七匹狼、红豆集团
食品制造:金龙鱼、娃哈哈、雪花啤酒、中粮集团、盼盼集团、格力高
日用化工:贝亲、立白集团、金发科技、资生堂、泊莱雅、相宜本草
4.6 惠尔顿
4.6.1 企业简介
深圳市惠尔顿信息技术有限公司自2006年成立始,即本着“凸显宽带潜能,增值网络应用”的经营理念,作为“管理软件网络优化”解决方案的提出者,全心致力于为全球范围内网络通讯运营商及企事业用户提供全面的网络优化解决方案,为管理软件在网络上的更安全、更快速、更稳定、容易管理运行做持续的努力。
4.6.2 产品特点
惠尔顿主营产品包括VPN、上网行为管理、远程接入、流量管理、下一代防火墙以及广域网及加速。惠尔顿上网行为管理产品通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等细致的带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽,保障OA、ERP等办公应用获得足够的带宽,提升上网速度和网络办公应用的使用效率。
防止带宽滥用,关键业务保畅
通过细致划分带宽资源,预留带宽、带宽限制、带宽优先级等多种手段保证核心业务系统的带宽,限制非业务系统的带宽,从而达到增值网络应用的目标。如果带宽不够,而关键业务无流量,非关键应用则能通过带宽借用的手段充分利用带宽;也可以通过设置带宽预留对带宽要求较高的保证关键应用(如VOIP、视频会议)的带宽。
惠尔顿上网行为管理产品通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等细致的带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽,保障OA、ERP等办公应用获得足够的带宽,提升上网速度和网络办公应用的使用效率。
非关键业务阻断,提升网络工作效率
采用DPI和DFI技术,细致分析互联网应用协议特征库,特征库包括15大类,超过1000+种PC端网络协议以及600+智能手机移动应用,包括影响生产力的网络游戏、财经股票、网络TV、WEB视频,尤其是对占用带宽严重的P2P应用。通过精确地协议识别实现对加速的、版本泛滥的、同一版本多变种的、特别的P2P应用进行识别,实现高效阻断。
惠尔顿上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为,并可根据各组织不同要求进行授权的灵活调整,包括基于不同用户身份差异化授权、智能提醒等。
记录上网轨迹,满足法律法规要求
惠尔顿上网行为管理产品可以帮助组织机构详尽记录用户的上网轨迹,做到网络行为有据可查,满足组织机构对网络行为记录的相关要求,规避可能的法规风险。对于常规的HTTP、邮件、WEB邮件、网络论坛发帖、现在流行的微播、文件传输(FTP、telnet、tftp、Printer文件)、即时通讯(QQ、MSN、Yahoo通等)能细致的分析记录内容,通过内容的记录审核员工的上网行为,规避法律、法规风险。
惠尔顿上网行为管理产品通过风险智能报表来自动发现存在离职风险或有工作效率问题的员工,并通过关键字报表和热贴报表来反映员工思想动态。风险智能报表能够自动提示管理者关注离职倾向、泄密风险、工作效率降低等员工管理风险,而关键字报表和热贴排行等报表将有助于组织深入了解员工的思想动态,并以此为基础实施组织文化建设、制度改进等针对性措施,从而提高企业管理水平。
透明使用网络,为网络优化提供决策支撑
惠尔顿上网行为管理产品提供了丰富的网络可视化报表,内置各种网络流量报表,从应用、用户、并发连接数、流量分析等多个角度展示用户的流量、网速、带宽占用。详细的报告让管理者清晰地掌握互联网流量的使用情况,找到网络故障的原因,分析网络瓶颈,从而对精细化管理网络并持续加以优化提供了有效依据。
惠尔顿上网行为管理产品能够实现用户网络权限的细致分配以及带宽的优化管理,通过事前精细规范、事中智能提醒、事后报表呈现等手段实现有效管理;通过将是否具备上网权限与用户对IT制度的遵从情况进行绑定,强制要求用户遵从组织IT制度里的各项细则规定(如必须安装指定的杀毒软件或桌面管理软件等),并且可以根据组织要求进行各种智能提醒,通过创新技术的应用,让IT管理制度融入每位用户的日常工作中。
管控外发信息,防范泄密风险
惠尔顿上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为,从事前防范、事中告警、事后追踪三方面防范泄密,为组织保护信息资产安全,智力资产安全,降低网络风险。
通过部署惠尔顿上网行为管理产品,利用其内置的危险插件和恶意脚本过滤技术过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入,再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段,实现立体式安全护航,确保组织安全上网。
通过多种报表、图表对业务流量展示,直接帮助企业定位业务流量,分析带宽应用,及时发现网络中的异常情况,采取有效措施。帮助企业减少带宽滥用,优化带宽资源,降低运营成本,保障工作效率,降低安全风险,全面提升带宽利用价值。
4.6.3 典型客户
燕京啤酒、青岛啤酒、北京交通大学、中国地质大学、河北移动、中煤第五建设公司、和平财政局、北流市卫生局
4.7 新网程
4.7.1 企业简介
上海新网程信息技术股份有限公司成立于1998年8月,由清华学子和资深互联网及网络安全专家创立,是一家专门从事互联网数据分析及网络信息安全产品研发的高新技术企业。新网程是业内为数不多的专注于互联网各种技术研究达15年之久,并使用自己开发的中间件平台进行产品研发的企业。15年来公司围绕互联网数据采集、数据分析及互联网应用开发各种软硬一体的产品,所有产品均拥有自主知识产权。目前已推出“网络督察上网行为管理系统、新网程互联网信息安全审计平台、新网程内网管理系统、新网程 WIFI营销应用平台”四大系列产品。
4.7.2 产品特点
精确定位上网用户
网络督察上网行为管理系统支持以单位、部门、组、用户多级管理,根据单位实际网络情况支持以IP地址、MAC地址、账号验证、Windows域帐号、VLAN ID、交换机端口、IC卡等多种模式来精确识别、定位用户,按个人、分组或全体等层次对用户的上网情况进行审计分析以及控制。
实时了解网络运行状况
对于企业管理者来说,实时网络情况直接能够反应员工的工作状态;对于系统管理员来说,更是其实施网络维护的重要依据。因此,网络督察上网行为管理系统提供了精准而全面的实时网络监控功能来满足企业的各项管理需求。
通过浏览器实时查看用户当前的上网情况,如当前在线的用户,其访问的IP地址信息、网址信息、应用服务信息、流量、占用带宽等等,并可实时查看用户即时的聊天信息、外发表单(BBS)信息、网络会话信息等。管理者可了解网络目前应用状况,及时进行控制和调整,保障网络正常运行。
灵活精细的上网控制手段
网络督察上网行为管理系统提供完整的访问控制管理策略,可灵活地按用户角色或者分组对用户上网行为进行有效地控制,可以根据日期、时间段、服务类型、网址、流量、IP地址、端口范围等手段设置控制策略,并提供百万级的有害信息过滤网址库防堵不良网站。从而自动实施单位上网管理策略,规范员工上网行为,减少企业人员成本投入,避免员工的抵触心态。
按需分配上网带宽
网络督察上网行为管理系统可以对用户上网占用的带宽进行管控,可以按网络地址段、用户组、个人或服务类型来制定策略对带宽进行管理。可将带宽划分成若干个虚拟通道,设定每个通道的带宽,上、下载速度的限制,优先级和管理策略等,保证关键应用或重要人员的上网带宽,对有限的带宽进行优化使用、合理分配,将网络资源使用发挥到最大。
完善的邮件内容审计
网络督察上网欣慰管理的邮件拦截功能能通过预先设定的规则,根据收发件人、主题、邮件正文、附件名称等条件,对外发的邮件进行拦截、控制,避免员工以电子邮件的方式泄露关键信息。审核人员可以阅读被拦截下的邮件的全文及附件,再决定发送、转发或拒绝等。通过功能扩展可以对邮件病毒进行识别和查杀。
完整的信息内容记录
网络督察上网行为管理系统对所有的上网行为和发送的信息内容进行记录存档,一方面是单位宝贵的信息资料库,另一方面也满足国家法律法规的要求。记录日志可以设定保留期限来循环记录,也可以备份在远程服务器上离线搜索查看。
丰富直观的统计图表
网络督察上网行为管理系统能通过图表等统计分析手段了解一段时期内的网络使用情况、带宽占用情况和内部的网络行为是否符合单位的要求等,定位上网问题的所在,为管理提供强有力的决策依据。所有统计结果可直接打印,亦可导出到Excel表格,方便进行二次处理。
4.7.3 典型客户
上海世博会、宝钢集团、中国石油、百事可乐、交通银行、中国人民银行、交通大学
4.8 安达通
4.8.1 企业简介
上海安达通成立于2002年,旗下产品包括VPN安全网关、全网行为管理网关、WEB应用安全网关、带宽管理网关、上网行为管理网关等,安达通全网行为管理TPN-2G 安全网关将上网行为管理、准入控制管理、IPSEC/SSL VPN 融为一体,借助处于网络边界位置的TPN-2G 安全网关可以有效的对用户上网行为进行管理和审计,对接入用户进行准入控制。通过与“主机威胁引擎”的联动防御,将“本地局域网—远程局域网—移动接入节点”的资源和安全策略进行统一管理,确保用户网络平台的可信、可控、可管。
4.8.2 产品特点
带宽管理
带宽管理可有效提高用户上网线路的利用率,保证用户关键网络业务的顺畅。在TPN-2G 安全网关的流量控制中,采用了“应用流控”和“用户流控”相结合的方式,灵活搭配使用,全面解决各种环境下的带宽分配需求。独有的动态流控技术既可以有效防止恶意P2P下载、占用网络带宽的行为,又能保护正常的网络访问。
网络应用管控
网络应用管控功能可按时间段对各类网络应用的访问进行限制或封堵,比如上班时间禁止使用网络游戏和炒股软件。并对违反控制策略的行为进行记录。TPN-2G 安全网关提供应用库的在线升级功能。
内容过滤
TPN-2G 安全网关的内容过滤模块可以对办公邮件、论坛访问、即时通信软件等应用进行关键字过滤和记录。用户可以方便地配置需要屏蔽的关键字(如:涉及政治的敏感关键字等)。
URL过滤
TPN-2G 安全网关的URL 过滤模块可以对64 个大类超过2000W 条URL 地址的庞大URL 数据库进行访问管控。用户可以方便地选择需要的URL 地址库进行屏蔽(如:有安全威胁的恶意网址、游戏网址、娱乐网址、财经网址、体育网址、色情网址、暴力网址等)。同时,用户也可以自行设定URL 的黑/白名单。
URL智能识别
URL 智能识别功能会大大提高网址的识别精确度,开启URL 智能识别功能后,在内置URL 库中查询不到的URL,会再次查询智能URL 库中的关键字,从而提高过来的有效性。
防火墙功能
TPN-2G 安全网关内置防火墙模块,可支持双向地址转换及状态监测的包过滤,可通过过滤不安全的服务而减低风险,极大地提高内部网络的安全性,由于只有经过选择并授权允许的应用协议才能通过防火墙,使网络环境变得更安全。支持防ARP 欺骗功能。
系统监控功能
TPN-2G 安全网关可以即时对当前网络的访问情况和访问历史进行监控,如:监控上网情况(如:在线用户,即时在访问的网站,即时在使用的网络应用,即时的网络流量和当前被网关阻断的访问等等。)
应用审计功能
TPN-2G 安全网关可以对电子邮件(包括:POP3/SMTP 邮件和主流的Web 邮件)、论坛发帖和主流的即时通讯软件进行内容审计。
统计报表功能
TPN-2G 安全网关能够针对不同的对象,灵活生成种类丰富的各式统计报表,以便管理人员分析使用。具体报表有:用户上网报表、上网时长报表、流量分析报表、网站访问报表、网络应用排名报表、搜索引擎报表、邮件收发报表、即时通信报表、论坛发帖报表、文件审计报表、威胁事件报表、工作效率报表等。统计报表提供表单、柱图、饼图、折线图等多种报表样式,简单直观。
4.8.3 典型客户
上海市港务集团、上海市工商局、上海社会保障局、浙江省民政厅、王府井集团、上海市药监局、广州市工商局、广州地铁集团、陕西煤运集团、四川水利集团、河北农商银行
5、选型要点
5.1 资质评估
资质是指由国家认可的权威第三方认证机构,证明一个组织的产品、服务、管理体系符合相关标准、技术规范或其强制性要求的证明。目前上网行为管理产品资质主要有公司资质、产品资质、测试报告、知识产权等方面。上网行为管理系统是否具有资质,以及资质的权威性都是产品竞争力的体现。因此,关注资质是企业进行产品选型的第一步。上网行为管理产品的资质主要关注以下四个方面:
5.1.1 企业资质
对于产品所属公司的资质考察是产品选型的第一步。对于企业资质的考察可关注该企业是否通过ISO9001质量保证体系认证,ISO9001是ISO9000族标准所包括的一组质量管理体系核心标准之一,ISO9001是迄今为止世界上最成熟的质量框架,目前全球有161个国家/地区的超过75万家组织正在使用这一框架。ISO9001用于证实组织具有提供满足顾客要求和适用法规要求的产品的能力,目的在于增进顾客满意。凡是通过认证的企业,在各项管理系统整合上已达到了国际标准,表明企业能持续稳定地向顾客提供预期和满意的合格产品。站在消费者的角度,公司以顾客为中心,能满足顾客需求,达到顾客满意,不诱导消费者。
在选型过程中,关于企业资质的查询需由供应商提供相关证书信息,并到指定认证机构查询并确认信息。
5.1.2 产品资质
上网行为管理产品在进入市场销售之前,必须申请由公安部公共信息网络安全监察局颁发的《计算机信息系统安全专业产品销售许可证》。由于该资质是市场准入的强制标准,因此目前市场上的上网行为管理产品全部具有该资质。除必须具备该资质以外,对于上网行为管理产品的选型还需重点关注以下三个标准:
通过GA658-2006、GA659-2006、GA660-2006、GA661-2006、GA663-2006系列公共安全行业检测标准
具备国家保密局《涉密信息系统产品检测证书》,通过BMB15-2004保密检测标准
具备中国信息安全认证中心的《ISCCC中国国家信息安全产品认证证书》,通过GB/T20945-2007检测标准
在上网行为管理产品选型过程中,需优先关注企业资质、产品认证以及行业标准,产品认证越全面,通过的行业标准越多,表明产品的可靠性及技术性能越高。因此,对于产品资质的评估,使用者在购买之前务必了解全面,才能综合评估。
5.1.3 测试报告
一项产品资质均需要对应一份检测报告的支持,在产品证书资质相当的情况下,这种检测报告对用户选型的指导意义不大。在上网行为管理领域,目前比较权威的测试报告是由中国软件评测中心出具的《信息安全产品测试报告》。选型过程企业可要求供应商提供相关评测报告作为选型参考。
5.1.4 知识产权
对于上网行为管理产品来说,知识产权主要包括软件著作权和发明专利两方面。软件著作权目前主流厂商基本都是具有的,专利部分分为三大类:发明专利、实用新型专利和外观设计专利,而其中发明专利在上网行为管理中占据核心地位。特别要注意的是反映产品技术的发明专利,因为发明专利反映了某一产品的核心创新性,而且是该产品独占的,在一定期限内享有的独占实施权。在供应商的上网行为管理白皮书中都会有对自身创新性技术的描述,企业可根据需求作重点分析和评估。
5.2 需求评估
需求评估的全面性和准确性关乎选型的成败。因此,需求评估是产品选型最为关键的一步。做好需求评估,需要综合业务特点以及企业管理者对于员工上网行为的管理需求。表3为上网行为管理产品选型评估表,企业可通过表3来全面分析并评估企业的需求。
5.3 性能评估
企业在决定购买上网行为管理产品前,可先向供应商提交试用申请,一般而言,供应商在确定企业有购买需求后,会提供几周到几个月不等的产品试用周期。这期间,供应商会安排技术人员上门部署和调试系统,并组织对企业人员进行培训。产品试用期间应该注意以下几个问题:
结合企业需求对所需功能进行逐一测试,评估测试性能并记录测试数据。
对暂时不用的功能进行随机抽取测试,评估测试性能并记录测试数据。
通过不断调整设置策略来测试产品的稳定性与可靠性。
导出日志,进行综合性能评估。
一般而言,企业至少要试用两家以上的产品,通过对比试用效果及测试数据来综合评估哪一家的产品更适合企业的需求。
5.4 成本评估
除试用及性能评估之外,在购买产品前企业还需与供应商进行充分沟通,包括:
1)供应商根据企业需求给出综合报价,详细列明每一项费用,包括设备采购、部署实施、后期维护及产品升级等费用。
2)报价需全面涵盖可能涉及的所有费用,若有费用无法在前期报价给出,需给出价格计算方式。
3)若同时有多家供应商产品均满足企业要求,企业可根据供应商给出的报价进行综合成本评估,评估因素包括厂商口碑、市场影响力以及售后服务评价等。
5.5 合同签订
在综合进行资质评估、需求评估、性能评估以及成本评估后,企业才可最后确定选型产品。在部署实施前,企业需与供应商进行服务合同的敲定。
合同内容至少需包括以下几点:
1)合同金额及详细的产品与服务报价
2)实施周期
3)验收标准和方法
4)双方责任
5)违约责任
6)付款方式
6、e-works研究院简介
e-works研究院(e-works Research)是e-works(数字化企业网)研究、分析性质的组织机构。e-works研究院的研究领域方向立足于两化融合所涵盖的管理信息化、产品创新数字化、IT技术与应用、数控技术等领域。e-works研究院是网聚了e-works专家、精英等智力资源强力打造的研究、分析品牌。
e-works Research致力于成为中国制造业与信息化进程中的智库。作为全国首个制造业与信息化研究实验室,e-works Research一直秉承客观、中立的原则,对制造业与信息化的各领域进行深入观察与研究。通过发布行业调查、白皮书、选型手册,发表文章和演讲,举办高层论坛、研讨会等形式,与各级政府、高层企业管理者、信息化厂商伙伴们分享e-works Research的研究成果、预见行业发展趋势、发现和评估战略机遇、确保预期回报、制定发展计划和确定业绩评估标准等,以便在随需应变时代创造最大价值。
通过多年专注的积累,目前,e-works研究院拥有了一套科学、严谨的调研、整理和分析方法,并通过与各级政府、企业、信息化厂商、其他研究机构广泛开展合作,已成功取得了多项研究成果。
作为专业的市场研究机构,e-works Research整合业内专家资源,将咨询服务的所诊断出来的个性问题,放到产业层面上,通过沟通、调查、研究等最终形成相应的产业分析报告,对中国制造业信息化相关技术、市场、应用与产业发展起到了积极的推动作用。
e-works Research累计发布各类产业研究报告20余份:
- 制造执行系统(MES)选型与实施指南(2013年)
- 中国制造业PLM产业发展报告(从2004年开始连续九年发布该报告。其中,从2009年开始,e-works与国际知名市场研究机构CIMDATA合作,联合在全球发布中英文版的中国制造业PLM研究报告);
- 中国制造业信息化投资趋势研究报告(2009-2014年四次);
- 中国制造业SCM应用研究报告(2009年、2011年两次);
- 中国制造业ERP产业发展报告(2005年、2007年、2008年三次);
- 中国民营企业ERP应用研究报告(2006年);
- 中国制造业供应链管理研究报告(2011年);
- 中国制造业人力资源发展研究报告(2010年);
- 中国制造业软件维护市场研究报告(2009年);
- 中国制造业虚拟现实及仿真应用研究报告(2009,2010年)
- 中国CAE发展研究报告(2008年)等权威报告。
图 e-works权威发布中英文PLM研究报告
先后有麦肯锡、IDC、IBM、罗克韦尔、达索系统、PTC、西门子PLM、安世亚太、联想、金蝶、用友、CAXA、Autodesk、源讯等近百家企业购买了e-works的市场研究报告。此外,由于信息技术是一个前瞻性的新兴技术,且技术含量比较高,推广难度巨大,更为关键的是如何站在客户需求的角度来对相应的技术进行阐述,是广大供应商面临的挑战,为此e-works Research结合自身的专业性,从需求出发,先后帮助:
- IBM撰写了IBM智慧工厂白皮书
- Kronos撰写了中国劳动力管理白皮书
- 用友撰写了用友U9 V2.0 ERP系统评估报告
- 金蝶公司撰写了K/3 WISE 白皮书
- 用友PDM应用白皮书
- 安世亚太PERA精益研发平台评估报告
- SAGE集团SAGE CRM白皮书
- 西门子PLM数字化制造白皮书
- 惠普公司中小企业解决方案
- 中国制造业设计仿真一体化应用研究报告等
图 e-works Research研究系列评估报告
e-works Research网聚优质资源,客观、中立、敏锐地洞察制造业与信息化的发展!
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:上网行为管理选型白皮书
本文网址:http://www.toberp.com/html/consultation/10839415228.html