第一篇:国家核电部署网康上网行为管理典型案例
国家核电部署网康上网行为管理典型案例
国家核电技术公司是由中央管理的国有重要骨干企业;是经国务院批准,由国务院和中国核工业集团公司、中国电力投资集团公司、中国广东核电集团有限公司、中国技术进出口总公司等四家大型国有企业共同出资组建的有限责任公司;是经国务院授权,代表国家对外签约,受让第三代先进核电技术,实施相关工程设计和项目管理,通过消化吸收再创新形成中国核电技术品牌的主体。国家核电技术公司采用网康设备实现对全集团的上网行为管理。
用户面临的问题与挑战
国家核电公司采用中央集权式统一管理模式进行互联网管理,总部具有全网统一规划,统一建设、统一管理的决策权,同时集团的上网制度也是自上而下垂直推送并严格贯彻。在这种管理模式下,区域的设备运维管理、上网制度的实施由总部强制执行,区域仅具备少量管理权限,并不得与总部的管理发生冲突,国家核电公司急需一套互联网管理的整体解决方案。
网康科技解决方案
网康科技为国家核电公司总部及下属十多个单位各提供一台上网行为管理设备,部署在网络出口处,可有效监控、审计、管理各分支机构的互联网访问行为。同时,在总部部署一台集中管理平台,提供全网的集中管理功能,实现国家核电公司整体上网行为管理统一体系的建立。体系如下:
总部制定集团全局性策略,由集中管理平台统一下发,策略具备最高优先级
1、总部回收各分公司的设备管理超级用户权限,只给分公司分配功能有限的管理员权限。
2、区域管理员在权限范围内可制定区域管理策略,其优先级低于全局策略,并被全局策略覆盖。
3、总部对各分公司的设备运行状态,区域策略的发布,网络使用状况随时监控,并随时调整管理策略。
网康的NSICG可以实现详细的上网行为管理功能
1、阻塞或限制p2p等非业务数据的使用,保证关键业务的畅通。
2、阻塞高风险网站的访问,在网络出口处规避病毒侵入,杜绝法律风险事件发生。
3、全面审计内网外发的信息,包括邮件、聊天、论坛、搜索引擎、ftp、telnet等,杜绝信息泄密。
4、审计内网用户的互联网使用行为,利于网络管理、IT定位。
用户效果
1、通过集中管理方案,总部实现了垂直管理思路的完美贯彻,从技术角度保证了管理制度的落实,实现了策略的集中下发、日志的集中统计、多级的权限管理、网络状态的实时监控等功能。
2、有针对性的策略设置,对上班时间的各种下载软件做流量控制,可有效实现带宽的精细化管理,保障主要业务的运行。
3、合理阻塞高风险类网站,通过技术手段减少大家感染木马、病毒的机率,使内网用户访问合法化。
4、全面记录各种外发信息,并基于各种条件进行外发信息的过滤,使信息安全管理等级提高了一大步。
5、上班时间强效阻塞各种娱乐游戏网站,减少员工游戏时间,提高工作效率,真正做到网络为我所用。
6、记录员工的所有上网行为,为后续的各种查询提供技术证据,利于IT定位,利于网络状况分析。
网络拓扑图
国家核电技术公司总部及以下9个分支机构部署了11台网康设备,并实现后续全国单一来源采购
国家核电技术公司
国核电站运行服务技术公司
国核自仪系统工程公司
山东电力工程咨询院有限公司
国核工程有限公司
山东核电设备制造有限公司
国核宝钛镐业股份公司
国核电力规划设计研究院
国核维科锆鉿有限公司
国核研发中心信息网络系统
第二篇:网康上网行为管理ICG在不同网络环境下的部署
ICG在不同网络环境下的部署指导
部署前的准备:
ICG出厂IP地址为192.168.1.23,在IE里输入HTTPS://192.168.1.23进入配置页面,账号和密码都是ns25000。如果不清楚ICG的ip地址,可以通过串口进入ICG的后台,用户是icgadmin,密码是netentsec。在这里可以用icg_status查看ICG目前的配置。并可以通过icg_if_cfg来修改端口和通过icg_ip_cfg来修改ip配置。把ICG的IP地址改成用户自己的网段的IP,再通过IE进入WEB界面。
具体的网络环境:
1、ICG和所有用户在单一2层网段,用户出口设备为路由器/防火墙,拓扑图如下:
配置思路:
ICG的桥接口地址设成内网网段地址,网关设成路由器的内接口地址,和内网PC的网关一样。(ICG要配置DNS服务器地址,内网PC也要配)具体配置:
A:【系统管理】—〉【网络配置】—〉【网络配置】—〉【模式选择】
B.选NS-ICG网桥模式:
IP地址:设为路由器与2层交换机之间可用的地址,比如192.168.196.2。
IP掩码:根据实际情况设置,如255.255.255.0。
缺省网关:设为防火墙/路由器的内部IP地址,IP掩码根据企业实际网络环
境设置。
2.用户为2层网络,但是在同一个广播域中有多个子网,ICG要配置多IP方式实现。拓扑图如下:
配置思路:
此种网络环境较为特殊,内网有多个网段,但没有划分VLAN,而是通过在路由器的内接口设置多个辅助IP地址实现(secondary),因此ICG上也要配置多个IP地址。具体配置:
A: 【系统管理】—〉【网络配置】—〉【网络配置】—〉【模式选择】:
B.选NS-ICG网桥模式:
IP地址:任何一个网段的可用地址,如 10.1.1.2。
IP掩码:根据实际情况设置,如255.255.255.0。
缺省网关:ip地址所在的网段的网关。C:【系统管理】—〉【网络配置】—〉【多IP配置】:
3、用户为2层网络,但是用户的网络中有Trunk链路,ICG放置在Trunk链路中(用户的网络中没有VLAN1)。网络拓扑图如下:
注:我们ICG百兆口不支持Trunk,千兆口支持Trunk。所以NS151无法设置Trunk,NS250、NS550的两个千兆口才可以设置Trunk,其它两个百兆口无法设置Trunk。配置思路:
ICG要启动Trunk。ICG的桥接口地址应设为VLAN 1 网段内的地址,如用户环境没有VLAN 1,则随意设置一个,但是不能与其他现有VLAN网段冲突。具体配置:
A: 【系统管理】—〉【网络配置】—〉【网络配置】—〉【模式选择】:
B.选NS-ICG网桥模式:
IP地址:VLAN 1内的地址,如 11.11.11.1。
IP掩码:根据实际情况设置,如255.255.255.0。
缺省网关:实际某VLAN的网关。
网口状态显示:显示网口连接状态:
C:【系统管理】—〉【网络配置】—〉【网络配置】—〉【高级配置】—〉【Trunk配置】:
4、用户的网络中有3层交换设备,ICG放置在3层交换设备和出口路由器之间。拓扑图如下:
具体配置:
A: 【系统管理】—〉【网络配置】—〉【网络配置】—〉【模式选择】:
B.选NS-ICG网桥模式:
IP地址:任何一个网段的可用地址,如 192,168.196.2。
IP掩码:根据实际情况设置,如255.255.255.0。
缺省网关:ip地址所在的网段的网关。
网口状态显示:显示网口连接状态:
C:【系统管理】—〉【网络配置】—〉【网络配置】—〉【高级配置】—〉【路由配置】:
5、用户的网络中有3层设备,ICG放置在3层交换机和出口路由器之间,但是3层交换机和路由器之间的链路的掩码是30位掩码。网络拓扑图如下:
具体配置:
A:在ICG后台通过icg_arp命令绑定路由器内网口和交换机外网口的ARP:
B:【系统管理】—〉【网络配置】—〉【网络配置】—〉【高级配置】—〉【路由配置】:
C:【系统管理】—〉【系统配置】—〉【管理口设置】:
D:【系统管理】—〉【网络配置】—〉【网络配置】—〉【高级配置】—〉【路由配置】:
第三篇:上网行为管理
1. 上网行为管理
目前市场主流厂商:深信服、网康 典型案例
2.1 提升内网业务操作效率——封堵非业务应用解决方案
方案背景:
日益发达的互联网让企业员工有了更多的选择,网上聊天、网上购物、在线视频、论坛灌水、BT电影……上班时间,员工很难不受众多网络娱乐的诱惑,大家在或多或少地利用工作时间进行非业务操作。
以上行为实实在在地存在于我们的办公网中。事实上,我们很多企业员工打开电脑的第一件事便是开迅雷,下载电影、视频、游戏;也有为数不少的员工痴迷股海,一心扑在大盘上面;而我们的员工在在线视频、在线小游戏、娱乐网站、热门论坛上花费的时间更是惊人。凡此种种,无不给我们有限的带宽资源带来了巨大的流量压力,给员工的办公效率打了一个大大的问号。
上网行为管理解决方案——合理封堵非业务网络应用
随着现代企业管理理念和信息技术水平的提升,如何有效管理与利用互联网资源,这已成为现代企业管理的重要衡量标准。与此同时,上网行为管理的理念愈发深入人心,提升员工网络业务的办公效率,这已经成为企业IT管理者关心的首要问题。、如上图,企业通过以网关、网桥、或旁路模式部署上网行为管理产品,可以有效对内网员工的各种网络应用行为进行管理。上班时间,封掉影响业务效率的非业务应用及相关网站;对挤占公司带宽资源的应用进行流量控制,确保主流的办公应用带宽资源,以提高业务应用的办公效率。
方案价值:
1、全方位封堵p2p,确保正常办公业务带宽
P2P应用给用户带来了前所未有的速度体验与资源共享,但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题,其所带来的负作用日渐凸显。鉴于此,上网行为管理设备通过检测网络软件数据包特征码,可以对常用软件进行彻底封堵,包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的P2P软件,独有的网络行为智能分析技术使其同样难逃法网。
有些部门和领导因业务需要使用P2P,在全面封堵的同时,上网行为管理设备还可以提供 P2P流控功能,即允许指定用户使用P2P,但对其占用的带宽进行控制。对不同用户,按时间段进行P2P应用封堵、带宽分配与流量控制,上网行为管理设备可有效平衡公司内部架构要求、提升核心业务办公效率。
2、选择性内容过滤,方式灵活
除针对网络应用软件外,上网行为管理设备还内置了千万条级的URL库,对URL库按照20个大类进行了划分。基于此,IT管理者可以方便地对娱乐、购物、游戏、影视等网站进行控制和屏蔽,同时用户可手工输入新分类和新URL地址,这进一步增强了网管人员工作的灵活性。
同时,上网行为管理设备针对通过HTTP、FTP等上传下载的电影等大文件,可以根据关键字如 avi、rmvb、mpeg进行文件过滤,以保证核心业务的带宽。
3、差异化权限划分,构建和谐组织
对于以上管控,上网行为管理设备可根据不同用户、不同部门的差异化网络使用权限,人性化管控整个企业。如给销售部门足够的网页浏览权限,以方便其网上寻找客户资源,而对后勤人员则封掉P2P应用、游戏与炒股网站等。
2.2上网行为管理+SSL VPN防信息泄露解决方案
背景分析:
据IDC调查报告显示,全球有近80%的企业存在着信息安全与风险问题。在报告所调查的公司中,进行网络常规安全检查的公司不到一半,只有30%的公司具有跟踪用户访问的能力,30%的公司使用加密技术进行数据传输。报告显示:信息安全问题大都来自于企业内部,信息泄密很多时候源于信息安全管理不善。在中国,众多的事业单位也面临这些问题。
事实上,很多企事业单位内外网、服务器隔离存在问题,业务系统的操作并没有明确授权人员,这导致一些非授权人员大肆访问并修改内网服务器的重要数据;很多单位员工信息安全意识也较薄弱,很多时候将客户信息、内部敏感信息等在公网上随便传播,并没有加密,这样的信息数据很容易被窃取修改。
现在,客户对企业、民众对事件单位应用服务的访问量在不断增加,客户的访问请求经常集中在数台服务器上,而其它服务器却因访问量低而低效运行,这不仅影响了用户的体验感受,也严重影响着该应用服务访问稳定性。为将大量的访问最快的处理并提高服务器的运行效率,保证信息发布不被中断,以此来保证信息传播的安全,这点也为越来越多的有识之士关注。
解决方案:
通过上网行为管理产品来防止企事业单位内网泄密,这样可有效解决单位内部泄密的问题;通过SSL VPN,企事业单位可对外部接入人员进行身份认证,并对这些接入人员进行精确的权限分配来保证合法的访问与系统修改,这也可以有效隔离内网里的应用服务器与内外网。
产品部署拓扑图如下:
如上部署,上网行为管理设备以网桥模式透明部署于企事业单位内网,通过识别敏感信息并进行过滤等手段,全方位保护客户的信息资产和信息安全。
SSL VPN产品以旁路模式部署,企事业单位通过SSL VPN为不同级别的访问者分配不同的访问权限,并对其进行严格的身份认证,这样有效管理了外部员工、客户对内网应用系统服务的访问安全。
方案价值:
上述整合的解决方案,将使企事业单位解决面临的信息安全风险,使得组织业务系统获得持久的可靠和稳定。
上网行为管理产品将帮助企事业单位防范企事业单位的信息资产泄密,这将有助于降低组织机构的信息安全风险,这让企业、事业单位专注信息资产管理,让部门沟通、客户沟通等多方面沟通更有效。
SSL VPN将帮助组织强化信息数据访问安全。对内网重要区域信息数据的访问控制,能从源头上有效保护信息资产安全,SSL VPN提供从访问终端安全——接入认证安全——数据传输安全——访问权限安全等一体化的安全。
2.3校园网上网行为管理+SSL VPN综合解决方案
校园网现状:
校园网网络规模庞大,相应的网络应用流量非常惊人;学生网络应用比较活跃,规范管理非常头疼。具体而言,校园网建设中存在如下问题:
1、流量问题
因为学生BT下载、在线视频、迅雷应用等P2P行为十分活跃,校园网带宽出口经常被堵塞,师生正常的网络应用经常被挤占。
2、网上言论
目前高校学生网络应用活跃,校内BBS言论、公网上知名论坛等经常语出惊人之举,时常给学校带来世俗、法律上的诸多困扰。由于目前网络言论实行匿名式注册,出现问题后很难查询当事人,最后给学校带来了极大的负面影响。
3、网络应用规范问题
不可否认,目前大学在校生所面对的网络信息、资源较前些年丰富了很多,这其中也有一些色情、反动等类型的网站及其应用,如何从校园网建设上规避这些不良网站、应用的影响,将制度的规范强制执行在日常网络应用中,这对管理者是个不小的挑战。
4、校内资源使用问题
学校、政府花费了巨大的精力进行校园网建设,国际教育网络资源对高校也有很大的优惠措施。目前校园的图书馆电子资源、校内OA系统、校务管理系统给师生工作学习都带来了便利,但走出校园网这些资源便无力利用了。如何在校园网外实现远程登录办公已经成为校园网深度建设必须面对的问题。
最重要的是,当校园网初步建成之后,如何查询师生校园网应用情况(如学生经常应用什么网络软件,在网上做什么事情),以此来发现网络应用问题及校园网建设中存在的不足,这对学校的网络管理者尤为重要,他们需要一种能对网络建设与管理决策提出良好反馈机制的解决方案。
部署拓扑图:
上网行为管理+SSL VPN综合解决方案:
为此,选择上网行为管理+SSL VPN远程登录解决方案。将学校内网安全管理单纯地由对外防御病毒、黑客入侵、垃圾邮件,转向了内外兼备的全面管控,如访问控制、访问跟踪、流量限制、监控、审计等。配合SSL VPN远程登录访问内网,让从公网访问校园网内资源成为可能。
1、网络行为审计
将上网行为管理设备部署在学院网络出口的防火墙后侧,以网桥模式部署,实现三进三出(WAN 口接三台设备,LAN口接三台交换机),保证所有流经学院网络出口的流量都会经过上网行为管理设备的管控和记录,让学院所有上网行为记录有据可查,事实上学院IT管理者甚至可以预先设置好敏感关键字,提前过滤网上敏感言论。
2、全面流量控制
对流经学院网络出口处的所有流量,上网行为管理设备全面进行流量控制。事实上,该设备对学院所有的师生根据院系、专业进行带宽分配,即将用户分划分成组,然后对于不同的组分配不同的带宽、流量上传下载的限定。通过上网行为管理设备,学院IT管理部门甚至可以根据相关师生的网络应用行为、访问网站类型、上传下载文件类型进行流量控制。如学生正常应用时放开流量,一旦进行BT下载,则马上施以流量控制。
3、提高师生网络应用效率
虽然学生网络应用非常活跃,但他们很多的网络应用行为与学业、功课并没有多大关系,有些学生甚至到学校机房上机时仍然玩网络游戏、网上冲浪。针对这些现象,学院IT管理部门绑定学院公用计算机,让学生上机上课时,完全封堵住在线游戏、在线视频、娱乐网站等,从网络管理上强制执行上课学习的课堂原则。
4、提供网络决策咨询
学院内网用户的非授权网络行为被禁止,学校管理者可以对学校网络运行情况进行统计、分析、评估,做到细致的访问控制,有效管理用户上网行为。除了实现强大流量分析及带宽划分与分配外,同时各种网络行为日志也都将得到全面记录,方便日后查询。
5、SSL VPN远程登录校园内网
将SSL VPN 采用单臂模式部署,接在学院核心三层交换机下,在不改变原网络结构的情况下,师生可以在任何能上网的地方安全高效地登录学校内网的OA系统、图书馆资源等,实现办公效率的快速提升。
2.4银行业上网行为管理解决方案
项目背景:
目前银行的多项业务均需依赖互联网平台,银行信息化建设一直引领着各行业信息化建设的潮头。虽然金融单位已经部署了多种网络安全产品来抵御来自互联网的攻击,但在内网安全、规范管理、信息安全上存在许多薄弱环节。试想:如果银行职员上班时间BT下载、在线观看视频、访问赌博网站等,这些行为通过部署于网关出口的防火墙就能得到控制吗?银行内网一旦缺乏有效的管理手段必然会增加各项业务操作的风险,而且会严重影响工作效率。
存在问题:
随着银行业务的不断丰富,银行的各项业务运作越来越多依赖于网络平台,为了达到银行信息安全的要求,提高银行的竞争力,需要构建管理规范、流量平稳、防止泄密的安全无忧内网。目前银行内网管理存在以下问题:
1、银行职员上班时观看在线视频、进行BT下载等行为,对网络出口带宽造成了不小的压力,银行的正常业务运用可能因为这些非工作性网络应用造成中断;
2、银行业务操作人员利用资金流相对便利,如何有效封堵加密的赌博网站、相关网络应用,是银行迫切需要解决的问题。
解决方案:
针对上述问题,银行选择上网行为管理解决方案,希望通过对内网用户进行明确的权限分配,规范银行员工上班时网络应用;通过彻底的带宽、流量控制,保障银行业务系统带宽,并进一步提高银行员工的网络应用效率。
功能及解决的问题:
1、内网用户上网权限的细致划分
针对银行不同的部门,细致规定其部门员工的上网权限,让合适的人上合适的网站,进行合适的网络应用,超过该部门工作权限的网络行为一律禁止。
上网行为管理设备针对银行各部门进行用户组划分,如信用卡中心、财务部……然后对基于人员划分的用户组赋予不同的上网权限,如:封掉信用卡中心炒股、加密交易网站应用……上网行为管理设备甚至可以针对具体的用户进行上网权限分配。上网行为管理产品细致的权限分配,大大降低了网络管理者的维护量,合理地规划出局域网的组织结构。
2、全面流量控制
事实上,一个2M以太网出口的局域网,只要有2个以上的员工不限速地使用BT,几乎所有人的正常网络浏览都将成为不可完成的任务。银行带宽出口虽然相对较大,但因为其网络应用众多,出口带宽也面临不小的压力。
上网行为管理设备可进行BT、加密BT、未知版本BT的全面封堵,而且不会像防火墙那样被BT软件通过转换端口绕过去;通过基于人员、应用、访问网站类型等进行带宽分配、流量控制,银行IT人员可以提前规划好各部门网络应用流量,充分保障银行正常业务运作。
3、详细的日志备份
银行内网用户每天访问互联网时产生的日志十分巨大,亟需一个更大容量的数据备份机制,而传统网关所能提供的硬盘存储容量有限,且这些数据查询颇为麻烦。
银行关注日志信息的完整性和保密性,通过上网行为管理设备独立的日志存储中心,确保了银行内网网络应用日志的完整性与保密性。通过使用上网行为管理设备,银行的管理者可以通过直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状态,将网络使用情况自动生成报表并统计出网络访问的趋势,以帮助系统管理员更好地维护和管理网络。
2.5电力行业上网行为管理解决方案
项目背景:
随着中国经济的进一步发展,整个经济对能源的需求越来越强烈,工业发展、居民生活的用电需求更是不断增高。而随着国家产业升级、能源结构的调整,绿色电力的概念也逐步深入人心。正是基于这一背景,整个电力行业迎来了发展的黄金时期。
目前电力行业内网存在非业务流量挤占带宽、机密信息存在泄密风险等问题,新的形势要求电力行业构建规范管控、流量平稳、信息安全的内网,具体要求如下:
1.对公司内部员工进行流量控制,限制员工P2P下载,保证网络流量;
2.针对公司员工的上网行为轨迹进行记录,并支持报表分析;
3.对内部聊天软件进行控制,保证员工上班时间的工作效率;
4.对现有网络拓扑状况不进行改动,保证现有网络的稳定性;
解决方案:
采用网桥模式部署深信服上网行为管理设备,即部署在防火墙和核心交换机之间。这样就不需改变电厂原有的网络拓扑及设置,同时也可管控电厂内网的网络行为;同时也可以采用旁路模式部署,这种模式主要用于内网用户上网行为日志存储。
部署拓扑如下:
解决的问题:
1、网络应用封堵,提升办公效率
通过电厂网络出口的上网行为管理设备,通过IP/MAC、硬件特征码绑定等技术,对用户进行唯一身份识别;之后将用户根据业务部门、组织架构进行用户组划分及权限分配;对员工上班时的非业务网络应用——如在线视频、在线游戏、在线炒股、聊天等进行分时间段、分用户组管控,人性化封堵,提升办公效率。
2、流量控制,优化网络带宽
电厂作为传统企业,其网络出口带宽有限,而相应的电力调度系统、OA办公等网络业务系统又较为完备,这必然带来了网络业务运用与网络带宽不足间的矛盾,而且时常有用户进行BT下载等娱乐行为而挤占正常应用带宽。
针对于此,电厂通过上网行为管理设备对相应用户组进行带宽分配与流量控制,流量控制基于业务应用类型、用户组织权限等各种因素,细致全面地构建平稳流量内网。
3、行为日志记录与统计,保证信息安全
电厂通过上网行为管理设备进行用户流量统计、网络应用记录、访问网站轨迹等诸多信息安全管理行为。
4、宏观网络应用分析,指导IT管控方向
电厂可根据上网行为管理设备记录日志生成曲线、饼状、柱状、趋势图等,并可对相关网络应用、流量等进行排名。用户可根据自己所需信息生成宏观分析图表,如:内网哪个用户流量最大、哪些网络应用生成流量最大、哪些网站访问最多……这样电厂IT管理者便能根据日志分析图表调整上网行为管理选项,为内网管控、进一步建设进行决策。
通过上网行为管理解决方案,增强了网络管控性,提高了电厂的竞争力。
第四篇:上网行为管理
上网行为管理的定义
帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析;
为什么要管理上网行为
“随着互联网的发展,它已经到了必须控制和管理的时代,因为网上充满了错误的信息、虚假的信息,和非民主的力量。”----蒂姆•伯纳斯•李(互联网之父)
水能载舟亦能覆舟!互联网一方面能够帮助企业提高生产力、促进企业发展;另一方面也在企业管理、工作效率、信息安全、法律遵从、IT投资等方面给企业提出了严峻的问题与挑战。
问题1:网速为什么越来越慢?
在办公室里经常会听到有人抱怨“网速为什么这么慢?”,几乎所有的企业都存在这样的问题。那么企业花钱租用的10M甚至100M带宽都被用在哪里了?为什么带宽不断扩充,而网速并没有明显改善?
真相:带宽资源也许正被滥用!
根据联通公司发布的一份调查显示:以迅雷、BT、eDonkey、KaZaA等为代表的P2P应用,消耗了40%以上的有效网络带宽。而在企业租用的有限带宽里,充斥着大量P2P下载、网络电视等应用流量,导致大量带宽被非工作应用所占用。而且,由于P2P的应用特征,使得企业高额投资的带宽成了互联网公共服务。
谁?在什么时间?可以拥有多少带宽资源?可以使用哪些网络应用?
问题2:网络安全事故为什么防不胜防?
“堵漏洞、砌高墙、防外攻、防内贼,防不胜防”,防火墙越“砌”越“高”,入侵检测越做越复杂,病毒库越来越庞大,身份系统层层设保,却依然无法应对层出不穷网络安全威胁,难道那么多安全产品都是摆设?
真相:安全隐患来自内部员工!
无论如何豪华的防线,一个漏洞就可以毁灭所有一切。Meta Group发布研究报告称:“持续增长的安全威胁源自您的员工”。内部人员通过互联网与外部通讯时,可能会引入含有恶意的或者攻击性的内容,如若未能得到监测和控制,这将成为企业的一大隐患。并且充满诱惑的网络资源往往是风险的发源地。
谁?在什么时间?是否可以上网?是否阻止访问可能含有安全风险的网络内容?
问题3:办公室为成了免费网吧!
据一项调查显示,普通企业员工每天的互联网访问活中40%与工作无关,对色情等非法网站的访问量70%都发生在工作时间。上班时间“上网休闲”已经成为普遍现象,聊天、游戏、炒股、购物、BBS、电影、博客等无时无刻不在抢占正常的工作时间,办公室因此沦为不需要花钱的“网吧”。
谁?在什么时间?可以用什么应用?不可以访问什么网站?
约束员工在互联网上的行为,其实是在帮助员工匡正工作行为,丢弃不好的习惯,成为一个专业、敬业的职业人,这对员工自身的职业发展也是大有裨益的。
问题4:企业要为员工的网络行为背黑锅吗?
目前,大部分企业内部员工上网并不受限制,但是他们在网上做了什么?对外发了什么信息?企业完全不知情,也无记录可查询,这就给企业埋下了巨大的法律风险。
某企业被当地公安局网络监察处执行严厉处罚,原因是查出该企业内有员工在网上发布了违反法律的信息,但是无法查出是哪位员工所为,最后企业只得为这名“幕后英雄”背黑锅。那么在这种情况下,企业必须为员工的个人网络行为负责吗?
谁?在什么时间?以何种方式?对外发了什么信息?发给了谁?
问题5:发现内部网络问题后不能快速的找到根源?
当出口拥塞,网络访问异常时,只能通过网络层面的的设备分析原因,简单的插拔网线,复位设备,以希图问题解决。但本质,内在的源头无法定位。
IT系统追求的的是性价比,一位的迁就会隐藏更大的隐患,我们需要专业的洞悉网络问题应用源头的能力,能够分析问题的普遍性,严重性,共通性。利用上网行为管理产品能够做到:
哪些人群的应用异常?哪些行为在单位内最普遍?哪些部门隐患最突出? 编辑本段上网行为管理的实施步骤
洞悉->管控->驾驭
step1:企业要做好上网行为管理,必须先洞悉企业内使用互联网的过程中存在哪些问题?因为不同企业面临的问题不同,需要先了解到底有哪些问题?
step2:然后分析问题的根源,再制定有针对性的策略管控问题;上网行为管理策略必须是有针对性的、个性化的,这样才能符合不同企业本身的管理制度、企业文化等的要求和需求;
step3:最后通过审计报表了解问题解决的程度和效果,再根据报表做管理策略优化,进而达到驾驭互联网、实现上网行为管理的价值。
上网行为管理产品对比
硬件与软件之分
从产品形态来看,目前上网行为管理分为硬件和软件2种,但是国内以硬件为主流,国外以软件为主流;
硬件的优势:部署简单、升级方便、故障率低
硬件的劣势:成本较高,运输不方便,维护复杂,维修需要专业认识,技术支持不到位
软件的优势:成本适当,维护简单、安装容易、升级快速,可以在公司随便找个机器部署.软件的劣势:对于国企和政府来说,没有一个东西不放心,所以国内政府偏硬件,企业偏软件。
以上对比,并不是绝对的说法。目前的软硬件结合模式越来越多。包括加入准入模式、VPN的上网行为管理,基于客户端的内网管理模式和文档管理模式,为的是内外兼修,从各种方向去弥补单一产品的不足。企业应该根据自身的应用需求,去选择自己需要而合理的方案。如果只是追求单一产品本身的应用,在信息化建设的综合成本上一定会超出很多预算,无谓地增加了更多的信息化成本。
产品适用范围之分
市面上目前能够提供全面或部分上网行为管理功能的产品,已经有几十种。如果以产品适用范围来区分,通常分为这样3类。
1,适合同时上网PC数量低于50台。
这类产品一般以纯软件型和低端宽带路由器集成QQ、MSN、BT等的过滤为主。纯软件型产品通常成本低廉、稳定性较差,适合对上网行为管理有需求,但预算有限的用户。低端宽带路由器集成针对部分常见应用或软件的过滤功能,同样以价格低廉胜出。在提供基本组网应用的同时,兼顾最基础的上网行为管理需求,较容易被价格敏感的用户接受。
2,适合同时上网PC数量在50~200台之间。
这类产品一般以高性能上网行为管理设备和带自主研发Kercap引擎的软件产品为主。即在高性能网关路由器上,增加深度包检测(DPI)功能。通过分析网络应用特征码,配合智能带宽管理、自动行为管控等综合策略,全面管理聊天、在线视频、股票、游戏、P2P下载、暴力及色情等非法网站等的过滤,并配合WAN口流量统计、LAN侧用户流量统计、并发session统计等功能,提供综合的管理手段。通常价格较软件产品或低端路由器略高,但功能更全面,性能更稳定,性价比较能够为此等规模的企业用户所接受。
3,适合200台以上的PC同时上网的管理。
这类产品通常是采用硬件与软件结合的方式。即同样的软件版本,安装在不同档次的工业计算机上,经过反复的测试后,根据所安装的工业计算机的处理性能不同,可以涵盖到200~500,500~1000,甚至更大范围的并发应用。由于有性能更为强大的工业计算机作为处理平台,这类产品能够提供的功能更加丰富,部分产品甚至可以缓存上网浏览或发送的内容,检索出可能涉及泄露公司机密、触犯法律或不适合上班时间处理的内容,进而采取相应的策略加以限制。对于规模较大的公司,IT管理对技术的依赖更加侧重,需要管理的内容和管理的手段更加广泛,以适应大批量管理的需要。此类产品由于其复杂的功能需要高性能的工业计算机才能够支撑,因此起步价格通常因硬件成本的因素,只有规模和需求达到一定程度的中大型企业可以接受。
目前也有部分此类厂家推出了适合中小规模用户的产品,功能上没有太大的差异,只是选择更为低廉的工业计算机进行处理,从而降低了整体成本和适用范围,以满足中小规模用户的需求。价格也相应的降到万元以下。
产品定价
根据软件硬件产品、产品工业等级、产品硬件内核模组、产品管理规模、产品适用范围的区分,产品定价的幅度也有极大的变化。
如低端产品线:价格从数百元至数千元不等。即便是软件产品。也有高达十万元的价位。而高端产品线,从主流厂商报价来看,从几万到几十万的价格不等。若是在高校、骨干线路的应用方案中,为了满足需求,采用双核、四核、G级的硬件模组的设备其价位更高。
旁路与串接之分
从部署的方式来看,主要分为旁路与串接之分,这主要看用户对上网行为的管理程度来决定。
旁路:不容易造成单点故障,但是控制和管理的效果不理想;
串接:控制和管理的效果好,但是容易造成单点故障;
目前国内主流的厂商提供的产品都比较稳定,单点故障率较小,建议用户在条件允许的情况下采用串接方式部署
对于以备份(邮件,聊天,网页审计)为主的建议采用旁路方式的软件。
国外与国内
一直以来,很多用户都认为国外的产品和技术要优于国内厂商,但是上网行为管理产品并不如此。
上网行为管理产品是用来管理互联网访问内容和互联网使用者的,这与企业的文化、管理制度、人文环境、法律法规都非常相关,例如:
国外与中国在成人内容上的分级不同,导致对成人内容的过滤结果不同;
国外与中国的流行网络应用不同,有很多是只有中国用户使用的网络应用,而国外的产品往往不能支持对这些应用的控制和管理;
建议国内用户尽量选择使用国内厂商推出的上网行为管理产品,毕竟中国的厂商更了解中国用户的互联网环境和互联网使用习惯。
编辑本段上网行为管理主要功能
网页访问过滤
互联网上的网页资源非常丰富,如果员工长时间访问如色情、赌博、病毒等具有高度安全风险的网页,以及购物、招聘、财经等与工作无关的网页,将极大的降低生产效率。
通过上网行为管理产品,用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的网页。
网络应用控制
聊天、看电影、玩游戏、炒股票等等,互联网上的应用可谓五花八门,如果员工长期沉迷于这些应用,也将成为企业生产效率的巨大杀手,并可能造成网速缓慢、信息外泄的可能。
通过上网行为管理产品,用户可以制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事
带宽流量管理
P2P下载、在线游戏、在线看电影电视等都在抢占着有限的带宽资源。面对日益紧张的带宽资源,除了增加预算扩充带宽以外,企业还可以选择合理化分配和管理带宽。
通过上网行为管理产品,用户可以制定精细的带宽管理策略,对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入成本。
信息内容审计
发邮件、泡BBS、写Blog、聊IM已经司空见惯,然而信息的机密性、健康性、政治性等问题也随之而来。
通过上网行为管理产品,用户可以制定全面的信息收发监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律风险。
上网行为分析
随着互联网上的活动愈演愈烈,实时掌握员工互联网使用状况可以避免很多隐藏的风险。
通过上网行为管理产品,用户可以实时了解、统计、分析互联网使用状况,并根据分析结果对管理策略做调整和优化。
第五篇:日本典型核电事故案例
日本核电站事故
1、安全是前提
核电站的充分安全问题并非是不能解决的。
不可否认,切尔诺贝利事故对核电发展带来某些消极作用。然而,这并不能否定核电的优点。回顾核电的发展史,尤其是从世界性能源发展的长远观点看,核电站的发展前景是美好的。随着工程技术和管理水平的不断改善,必将给核电工业带来新的生机。
我们不妨再就日本的情况来说,这个国家非但没有停止发展核电,而且还着手制定了21世纪的核电长期战略计划,并以每年投产两座核反应堆的速度增建新的核电站。原因就在于日本已拥有一整套安全防护对策。
日本的安全对策是在“没有安全也就没有原子能利用”的前提下,从原子能发电设备的多重保护设计、国家制定严格的发展原子能发电的安全规则、原子能发电企业采取万全的运营措施、提高操作人员的素质、减少人为的失误、加强地方居民对核电站安全运转的监督和关注为内容,构成一套完整的安全防护体系。
日本在技术上把核反应堆运转过程中在堆内产生和积存的放射性物质全部密封起来,以免有害气体外泄。即使在运转过程中发生事故,也能把放射性物质封闭起来而不影响周围居民的安全。
2、近年来日本核电站事故
2004年8月9日下午,日本一家核电站发生蒸汽泄漏事故,迄今为止已有4名工人死亡,10余人负伤,其中一些伤员仍然处于危险状态。不过日本官方表示,此次事故没有导致放射物泄漏。据悉,这是今年以来日本发生的第二起核设施工业事故。
据路透社报道,这次事故发生在当地时间8月9日下午3时30分左右,地点是位于东京西北方向320公里处的关西电力美浜核能发电站。日本共同社的消息称,该核电站3号机(水加压型、82.6万千瓦)的涡轮机房内发生了蒸汽泄漏,事故发生以后,核反应堆自动停止运作。
日本经济产业省核能安全与保安院表示,到目前为止没有出现辐射物质向外部泄漏的情况,周围环境也没有受到任何威胁,因此不会下达疏散的命令。日本官方表示,工作人员已经进驻出事的核电站展开调查。
核能安全与保安院称,有11名工人在事故中受伤并被送往附近医院抢救。另据当地消防部门透露,其中有5人出现了心脏和肺功能衰竭。日本NHK电视台和共同社报道说,到目前为止共有4名工人因严重烫伤而医治无效死亡。此外还有一些工人被蒸汽灼伤,伤势也较为严重。核电站所在的三原地方官员表示,受伤的总人数可能达到了18人。
2004年2月21日,东京附近的滨冈核电站曾突然发生火灾。日本能源匮乏,核电站提供着该国1/3的电力,在给生活带来便利的同时,核安全问题也一次次地威胁到日本民众的生命和健康。
当天上午11时36分,2号机组一个涡轮机房的屋顶起火。消防队接到报警后立即赶到了现场展开扑救工作,一个小时以后火苗被扑灭。消防专家认为,用于冷却涡轮机的氢气通过屋顶的输送管道泄漏,因此导致橡胶防水墙起火。
2号机组共有两个反应堆,万幸的是,由于要进行常规检修,所以工人在早些时候就已经关闭了这两个反应堆,因此这次火灾没有造成核泄漏事故。不过令人感到后怕的是,就在火灾现场数百米之外,另外两个核反应堆当时正在继续运转着。
1999年9月30日,位于日本茨城县东海村的一家核燃料加工公司--JCO东海事业所的试验楼内发生一起重大核泄漏事故。该事业所3名工作人员直接受到核辐射伤害,其中两人因受害严重而导致神志不清。该次核事故被认为是日本历史上首次发生的核裂变临界状态下严重事故。
据当时的媒体报道,事故发生约一小时后,紧靠该核设施的道路上,泄漏出的放射线量数值比通常状态下高出1.6万倍。在两公里之外的测定地点,几分钟内测出的数值比通常状态约高出10倍。
当天下午4时以后,由于试验楼内再次发生了核裂变临界事故,JCO东海事业所周边地区放射线量再次急剧上升。因事态严重,当地政府通知东海村方圆10公里以内的居民采取紧急避难措施,令大家尽快关闭门窗,并在10月1日早晨之前不要出门。距东海村较近的常盘高速公路一座休息站也被迫关闭。原定于10月1日小渊组建新内阁之事,也由于此次重大核事故而不得不延期。
3、日本核电站事故三大警示
日本中部福井县美滨核电站3号反应堆9日发生蒸气泄漏事故,导致4人死亡,7人受伤。虽然核辐射物质没有泄漏,但这次核电站事故在日本国内造成巨大冲击。有关专家认为,针对日本的核电站运营和电力供应,这次事故有三大警示作用。
警示一:老化核反应堆安全不容忽视。日本全国共有52个用于发电的核反应堆,其中三分之一以上运转超过25年,这次发生事故的核反应堆就是1976年投入使用的。人们普遍认为核反应堆的寿命为30至40年,因此老反应堆设备老化问题是不容忽视的。这次泄漏蒸气的配水管道本来管壁厚度为1厘米,经过长年的腐蚀出现破洞。事故发生后检查发现,破洞周围的管壁厚度仅有1.4毫米。按照日本国内标准,厚度小于4.7毫米必须更换。
据此,日本技术评论家樱井淳认为,美滨核电站3号核反应堆涡轮机房配水管道蒸气泄漏,并非突发事故。他认为,随着设备老化,核电站问题会越来越多,这次事故以后,日益老化的核反应堆安全问题将成为人们关注的重点。
警示二:日本核电站安全检查体制有漏洞。美滨核电站27年多来涡轮机房的配水管道从未更换过,主要原因是二次循环系统一般被认为没有核泄漏的危险,相对比较安全,因此这次泄漏的配水管道部分不属于核安全保安院“核反应堆限制法”规定的定期检查对象。负责美滨核电站运营的关西电力公司在此之前也没进行过认真检查,只不过看看管道是否漏水。本来有关方面预定于本月14日进行一次全面检查,没想到还没来得及检查就发生了事故。
东京工业大学破坏力学专家小林英男认为,碳素钢管管壁经腐蚀容易变薄是众所周知的事实,对这些地方自认为比较安全,忽视检查,没能及时发现事故隐患,是这次事故发生的真正原因。专家认为,这次事故的教训是沉痛的,为了保证电站安全运转,所有电力公司必须对发电设施进行全方位的检查。
警示三:不重视安全损失巨大。这次事故不仅引起人员伤亡,而且其直接和间接的经济损失也是巨大的。核电站存在的这类安全隐患甚至可能威胁日本部分地区的电力供应能力。美滨核电站3号反应堆发电功率为82.6万千瓦,占关西电力公司总发电量的3%。事故发生后,这座核反应堆已经停止运转。虽然目前关西电力公司的供电能力暂时不成问题,但由于这家公司的高滨核电站1号、2号反应堆是和美滨核电站3号反应堆同时投入使用的,因此它们的安全情况也令人担忧。关西电力公司负责人松村洋9日在记者招待会上说,如果检查发现这两座反应堆也存在同类事故隐患的话,将不得不停止发电。这3座核反应堆的发电量占关西电力公司总发电量的8%,万一它们同时停止发电,关西电力公司的供电能力就将捉襟见肘,难以应付目前的用电高峰。
![下载国家核电部署网康上网行为管理典型案例[五篇范文]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 