人脸识别上网行为管理解决方案

第一篇：人脸识别上网行为管理解决方案

人脸识别上网行为管理解决方案

一、上网行为管理产品产生的背景

在Internet飞速发展的今天，网络已成为企业、个人的重要应用，但在应用当中，儿童使用电脑时长不受控制？机密文件密码保护易被破解？各种登陆密码记不住？电脑被偷窥？还有什么PC应用问题让你担忧呢„„为解决以上一系列的问题，基于人脸识别技术的上网行为管理产品应运而生。

二、人脸识别上网行为管理产品给用户带来的价值

人脸识别上网行为管理产品带来了全面的互联网行为管理解决方案。它能够通过“刷脸”登陆电脑系统、开启重要文件、远程教育者身份认证、养老金领取身份认证、宝贝电脑应用系统权限控制和时间控制„„

1、父母为电脑开机设置N多复杂密码，孩子总会轻易破解，如果采用人脸识别上网行为管理，不用设置任何密码，只需要“刷脸”身份认证，又能控制孩子上网时长。

2、基于人脸识别技术的摄像头不仅仅只是聊天的工具，更能你杜绝艳照门事件的发生

3、企业重要岗位或个人机密文件更多的是用密码保护，但很容易被破解。采用人脸识别上网系统，当你离开坐位时，屏幕会自动锁紧，返回坐位，电脑只会认识你，只有你“刷脸”才能打开电脑

管理人员刷脸进入系统

4、

第二篇：上网行为管理解决方案

上网行为管理解决方案

泉州市东达网络科技有限公司

2014-09-22

第1章第2章第3章

3.1 3.2 应用背景......................................................................................................1 问题分析......................................................................................................1 带宽使用情况探知......................................................................................1 用户识别......................................................................................................2 应用识别......................................................................................................2 3.2.1 3.2.2

第4章

4.1 4.2 URL访问行为...................................................................................2 互联网应用类型访问控制................................................................2

规范网络使用行为，提高工作效率..........................................................3 灵活的用户识别和认证方式......................................................................3 细致全面的应用流量识别技术..................................................................4 4.2.1 4.2.2 4.2.3 URL识别...........................................................................................4 国内最大的应用协议库....................................................................4 P2P智能识别....................................................................................5

4.3 灵活的网络控制策略..................................................................................6 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 URL的访问的合理分配...................................................................6 基于网站类型，文件类型的流量管理............................................6 IM聊天软件灵活管控......................................................................6 炒股软件、游戏软件的封堵............................................................6 P2P流媒体和P2P下载的管控........................................................6

第1章

应用背景

互联网在中国的普及已经超过20多年，尤其是最近几年得到了飞速的发展，网络改变了我们的工作和生活方式，尤其是对工作带来了极大的便利，而组织内网员工使用IM聊天、网上购物、在线欣赏音乐和电影，通过BT等P2P工具下载互联网资源、收发个人邮件、在论坛上舞文弄墨……只要员工有兴趣，他们就能在上班时间尽情享受互联网带来的乐趣;然而随着网络应用的越来越丰富，尤其是诸如P2P等流量吞噬十分厉害的下载技术的出现使得原本飞快的网络变的越来越慢，多数企业发现他们花高代价增加的带宽很快又不能满足业务的需要，另一方面，员工职业化程度不够高的组织内部会存在大量的用户上班时间用来炒股、聊天、看电影、打游戏等活动，极大的降低了工作效率，组织机构花费极大的代价的网络被滥用，1个500人人均工资2000的中型机构，如果他的员工每天浪费0.5个小时在业务无关应用上面一年下来的损失高达150万元；而多数企业员工进行业务无关网络应用的时间远远超过0.5小时，每年损失的人力成本已经几乎超过网络带来的便利，领导者陷入了两难的困境，亟需对网络使用进行合理的管控。

第2章

问题分析

面对上述问题，以下几个问题是需要迫切需要解决的

1.内网到底发生了什么？需要一种行之有效的方法探知每个人每天上网行为的明细情况;2.什么应用抢占了带宽，导致了核心业务应用的速度慢，员工上班时间主要有哪些工作无关的应用需要进行管控;3.面对混乱的内网环境，如何建立起合理的有效的使用规范？保证网络使用主要是用来创造效益。

第3章

带宽使用情况探知

面对上述情况，我们首先需要的就是探知内网用户的流量使用情况，要探知内网用户的流量使用情况，以下几个步骤需要解决：

1.用户识别

2.应用识别

3.图形图表分析网络使用状况

3.1 用户识别

大型组织的上网用户众多，互联网应用纷繁复杂，加上长期以来形成上网无需认证，允许使用迅雷，在线影音娱乐不禁止等上网习惯，使得网络流量、行为情况变得异常复杂。

需要通过基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制，对于不同的员工、部门实现分开管理，只有在很好的对人员进行区分以后，才能在上网行为的管理上责任到个人，使组织形成良好的上网行为氛围，营造高效和谐的办公自动化平台。

3.2 应用识别

3.2.1 URL访问行为

面对海量的URL地址，需要识别用户上班时间主要访问哪些网址，哪些是业务相关网站，哪些是业务无关网站。

3.2.2 互联网应用类型访问控制

上网行为管理设备对互联网的应用访问控制主要包括以下几个方面：

通过内置了的应用协议规则，对于诸如IM聊天类、下载工具类、P2P流媒体类、网络游戏类、炒股类基于应用协议特征码的识别，而不是基于传统IP、端口识别。

随着网络技术的发展，网络上的P2P行为层出不穷，如果只能对一些已知的P2P行为，比如BT、eMule、QQLive等进行识别控制，显然是不够的。还需要能根据P2P协议特征的智能分析技术有效识别未知的、新的P2P行为。还需要能够对加密BT、加密P2P行为进行准确识别与控制。做到对P2P行为的全面监控。

第4章规范网络使用行为，提高工作效率

通过上述的行为探知并分析并得知我们内网目前到底存在哪些问题？那么我们如何来解决这些问题，任何的上网行为和控制策略都必须要基于用户或是用户组来施行，只有很好的对人员进行认证和区分才能很好的保障流量管理的成功实施，另一方面，我们需要对应用进行细致全面的识别，只有合理的识别应用类型，进行细致的归类和区分，才能保障我们的上网行为管理的效果对人员和应用有了细致识别的区分以后就需要针对用户/用户组、时间段、应用类型、文件类型等进行细致的流量管理了。

SANGFOR AC作为业界领先上网行为管理产品是通过如下领先的技术来帮助用户建立一个和谐高效的网络使用环境，保障用户工作相关应用得到有效的保障。

4.1 灵活的用户识别和认证方式

网络流量的产生来源于用户，因此，有效流量的管理的前提是必须先对用户进行有效识别和管理。SANGFOR AC设备提供了强大的用户管理系统，提供了多样化的用户管理手段实现了基于用户的流量管理，在动态IP环境下保证用户身份与管理策略的有效结合，真正的做到了使内网的流量管理责任到人。

功能优势：

 丰富多样的用户精确识别方式；  快速、有效的为用户分配网络接入权限；  与第三方用户管理服务器的完美联动；  未知用户网络接入权限快速归类；  最终实现基于用户名的流量管理；

4.2 细致全面的应用流量识别技术

4.2.1 URL识别

SANGFOR AC上网行为管理设备内置千万级的URL库，提供了近40种内置的更加细粒度的URL分类：新闻类、娱乐类、体育类、色情类、暴力类、反动类、迷信类、宗教类、股票类等等。

SANGFOR AC的URL库支持用户手工添加，并支持创建新分类；用户可以根据自己的具体需求，添加有具有个性管理的URL地址并分类，进行需求的控制。

SANGFOR AC具有智能学习的功能，能够根据关键字和类似网页进行网页的分析和学习，自动更新用户自定义分类。

4.2.2 国内最大的应用协议库

SANGFOR AC内置了24大类、500余条的应用协议规则，例如：IM聊天类、下载工具类、P2P流媒体类、网络游戏类、炒股类等等。基于应用协议特征码的识别，有别于传统IP、端口识别。

每一个分类下面有包含着众多的应用协议规则，比如IM聊天类，包含的应用协议规则有：QQ、MSN、Skype、Yahoo通、阿里旺旺、新浪UC等等。也能识别UUCALL、雅虎通等语音视频聊天工具。

具有多个智能识别规则，能识别诸如自由门，无界浏览器等代理软件，识别SKYPE,识别RTP语音视频信息。

支持域名的智能识别。可以根据目标域名的弱特征，流特征等来识别内网用户与目标域名的会话连接，从而更智能的进行控制。

SANGFOR AC的应用协议库支持用户手工添加，完成个性化需求配置、识别、控制。

4.2.3 P2P智能识别

随着网络技术的发展，网络上的P2P行为层出不穷，如果只能对一些已知的P2P行为，比如BT、eMule、QQLive等进行识别控制，显然是不够的。

SANGFOR AC除了能够识别已知的P2P行为之外，还能根据SANGFOR AC的基于统计学的智能分析技术有效识别未知的、新的P2P行为。同时SANGFOR AC还能够对加密BT、加密P2P行为进行准确识别与控制。做到对P2P行为的全面监控。

4.3 灵活的网络控制策略

4.3.1 URL的访问的合理分配

组织内部根据部门职能的不同于业务相关的网站类型也不一样，诸如财务部主要关注财经类网站，而市场人员主要工作相关网络主要是行业相关网站，相关的市场机会网站，SANGFOR AC可以基于不同的用户群体划分不同网页内别的访问规则。

支持根据业务需要定义URL类别，通过SANGFOR AC独有的智能识别技术，对客户定义类别的网站进行智能学习和分类。

有效的封堵在线流媒体的使用，如新浪视频网站等。

4.3.2 基于网站类型，文件类型的流量管理

基于网站类型的流量管理，可以针对诸如人力资源部保障招聘类网站的访问速度不少于40KBPS，基于文件类型的流控：例如对内网下载电影文件进行带宽限制，限制公司整体群组下载电影类文件的带宽不高于2Mbps。

4.3.3 IM聊天软件灵活管控

能够完整识别各类IM聊天软件，可以实现灵活的控制策略，对于市场人员可以允许使用部分业务相关的即时聊天工具，而对于其他人员主要通过邮件交流或是开放部分不通用的聊天软件来进行内部的沟通。

4.3.4 炒股软件、游戏软件的封堵

除了公司高层领导需要关注股价以外，组织内部其他人员对于炒股软件的使用严重影响了工作效率，SANGFOR AC全面的识别各类炒股软件，在线炒股的网址，进行全面的封堵，有效提高工作效率。

SANGFOR AC目前已经能识别包括魔兽世界，CS，泡泡堂等在内70多款的在线游戏，进行完全封堵保障内网工作效率。

4.3.5 P2P流媒体和P2P下载的管控

P2P流媒体不但影响工作效率，而且对带宽的过度占用导致了业务应用的缓慢，6

SANGFOR AC能智能识别P2P流量，对于不常见的或是新出现的P2P类应用软件也可以根据其流量特征进行有效的识别，从而细致精准保证网络带宽的合理使用，禁止P2P的行为既保证了员工上班时间工作效率，也保障了核心应用的带宽。

第三篇：上网行为管理解决方案（推荐）

上网行为管理解决方案

一．上网行为管理产品产生的背景

在Internet飞速发展的今天，网络已成为企业的重要生产工具，员工通过网络可以查找资料、沟通交流和从事电子商务等，但是相应的多种问题伴随而生，例如：

1.与工作无关的 P2P 和在线视频等应用占用带宽

2.与工作无关的聊天、炒股、游戏、博客和在线购物等活动影响工作效率。

3.员工随意在网络上发帖和传输文件导致机密泄露 4.员工上网容易受到病毒、木马和蠕虫等攻击和感染 5.员工通过网络从事一些黄赌毒等违法活动 6.员工浏览和发布不良言论导致企业面临法律风险为解决以上一系列的问题，上网行为管理产品应运而生。二．上网行为管理产品给用户带来的价值

上网行为管理产品带来了全面的互联网行为管理解决方案。在此，我们以华为的ASG2000系列产品为例，从URL过滤、应用行为控制、流量管理、web内容过滤、上网行为审计等几个方面阐述行为管理产品为用户带来的价值： 1．应用控制和URL过滤：企业或者组织接入互联网的带宽一般非常有限。当这个有限的带宽充斥了大量的无关应用（如在线游戏、P2P和在线视频）的时候，一些重要应用将受到挤压，基本带宽得不到保证，使得网络对于工作和重要业务不再可用。该应用通过应用层数据识别，对数据流中的应用层数据进行内容检测。通过对解析的数据包，使用应用特征库中的规则，对应用数据进行匹配，识别出在线游戏、P2P和在线视频等多种类型的网络数据流量，然后根据用户对该类应用配置的动作允许还是阻断数据包。URL过滤在企业中是非常重要的功能，员工随意不受控地访问非法网站，不仅严重影响工作效率而且威胁企业网络安全。URL过滤对用户的URL请求进行访问控制，允许或禁止用户访问某些网络资源，可以达到规范上网行为的目的。

2．流量管理：基于时间段、部门/用户和应用/应用类型，对网络游戏、在线网页视频和P2P视频等带宽滥用的应用进行限速，确保正常业务的带宽使用，为各部门划分和分配出口带宽。同时提供带宽保证措施，保证关键应用对外提供服务的带宽、保证内部重要人员的上网带宽。

3． web内容过滤：Web内容过滤可以对HTTP协议传输的Web页面内容和附件以及对FTP协议外传的附件进行控制，可以控制的项目包括：按关键字过滤内网用户通过Web页面提交的文本（如BBS、论坛发帖），并控制提交文本内容的大小。通过文件大小和文件类型控制HTTP方式和FTP方式的文件外传。Web浏览关键字过滤：内网用户通过浏览器浏览Web页面时，按关键字过滤Web页面上的文本。

4．上网行为审计：用户访问的网站，包括成功访问和意图访问但被阻断的网站，攻击防范、入侵防御和反病毒日志，上网时长和上网流量日志，同时支持审计某应用协议的上网时长和上网流量，通过HTTP协议外发的文本内容，通过HTTP、FTP和邮件进行文件收发的日志，用户使用搜索引擎搜索过的关键字，邮件收发日志等审计内容。除以上功能外华为产品还支持恶意流量检测，基于特征码的病毒检测等功能。

其他厂家产品及功能：除华为产品之外，还有深信服，网康，飞鱼星等厂家的产品，主要包括以下功能：网络流量管理，P2P软件的控制，拦截不良网页，文件传输控制，IM（即时通讯）软件的管理，应用控制，上网时间管理，外发信息控制等。三．上网行为管理产品部署方式： 1．网桥模式（二层模式）

适用场景：企业具有出口网关，不希望改动现有网络环境。2．网关模式（三层模式）

适用场景：企业没有出口网关，需要使用ASG做出口网关。3．旁路模式

适用场景：旁路模式通过交换机或HUB的流量镜像功能把用户的上网数据镜像到上网行为管理设备，从而实现对上网行为的审计。旁路组网时即使ASG发生故障也不会影响网络业务。四．上网行为管理功能列表：下面功能列表以华为产品为例：

五．应用举例

政府信息中心上网行为管理；政府机关网络一般包括政务外网和政务内网，电子政务规划要求下属单位需要通过政府信息中心的互联网出口统一上网，但是也存在个别下属单位由于特殊原因拥有自己的互联网出口。政务内网跟互联网物理隔离，政务外网是办公人员跟外面进行信息交流的通道，也是政务公开和网上办事的窗口。在有独立互联网出口的总部和分支机构分别部署ASG设备，通过ASG Manager对ASG设备进行集中统一管理。通过划分上网权限、管理出口带宽、管控法律风险、全面网络行为审计，有效降低互联网风险、满足法律法规要求。组网图：

该应用场景主要实现如下目的： 1．管理出口带宽

基于时间段、部门/用户和应用/应用类型，对网络游戏、在线网页视频和P2P视频等带宽滥用的应用进行限速，确保正常业务的带宽使用，为各部门划分和分配出口带宽。同时提供带宽保证措施，保证关键应用对外提供服务的带宽、保证内部重要人员的上网带宽。2．管控上网权限

根据不同部门/用户（单位）分配不同的互联网资源访问权限。3．管控法律风险过滤浏览的不良网站和非法网站（反动、色情、暴力、博彩等），过滤发布非法言论。4．审计和监督

记录网络访问行为。5．威胁过滤

过滤钓鱼、网马和恶意软件下载等恶意网站，确保用户安全上网。六．硬件设备以华为产品为例

七．实施周期根据已经实施过的华为工程（大唐国际和高压开关厂），测算一台ASG设备大概1周/人可实施完毕。

运维部-李红光

2015年1月6日

第四篇：看守所人脸识别应用解决方案

看守所人脸识别应用解决方案

近几年，我国发生的越狱事件频发，有些犯人越狱手段极其恶劣，不仅将狱警杀害，甚至砍下手指进行指纹识别开锁，看守所的安全防范刻不容缓。传统的钥匙控制出入也存在遗失、盗用的风险，相关专家认为，更安全可靠防范的还是使用智能的看守所人脸识别更加可行。利用看守所人脸识别，精确分析每个人的面貌特征进行识别，从而得到有效的管理制度。

众所周知，人脸识别系统是一款通过人脸的特征进行认证的生物识别认证系统。其主要原理为：利用计算机图像处理技术从图片中提取人像特征点，利用生物统计学的原理进行分析建立数学模型，即人脸特征模板。利用已建成的人脸特征模板与被测者的人的面像进行特征分析，根据分析的结果来给出一个相似值，通过这个值即可确定是否为同一人。系统具有如下特点：

(1)安装简单，可以直接在现有高清系统改造完成(2)非接触性，人与设备无需接触

(3)认证速度快，一般情况在1秒内完成认证

(4)具有并发认证能力，能同时对多个人物进行识别。

正因为以上特性，其在哈尔滨延寿县看守所两个技防漏洞方面具有天然的优势解决方案。笔者通过北京众智益华公司的人脸识别-“陌生人”防范系统，人脸识别门禁系统两个热销产品来详细的讲解如何自动实现防范弥补以上两个漏洞的出现。

一，从曝光的视频可以看出案犯是尾随狱警到了值班室内，并杀害了民警，化妆成民警出现到了出入口，大门口等不该出现的地方。北京众智益华的人脸识别-“陌生人”防范系统可以有效的解决此问题。其具体实现原理为：通过把可以在本地方(通道，大门口，值班室等)出现的人照片加入到白名单图库里，人脸识别系统会自动识别出现在摄像机镜头里的是白名单里的人，还是非白名单里的人，一旦发现非白名单的人系统会自动进行报警提示。报警内容主要通过：(1)声音提示，比如在发现非白名单人出现的现场(通道，大门口，值班室等)，或其他有武警值班的室内进行语音报警提示，一方面对违规人员进行威慑警告，另一方面提示有关人员进行人工干预。(2)手机报警，一旦发现非白名单人员出现在敏感区域(出入口，大门口，某些门禁口)，系统会自动通知安装手机客户端的用户(看守所领导等)，让不在现场的人员也可以第一时间知道，并及时做出预案。通过以上布防，即使出现人为违规也同样能起到防范的作用，杜绝哈尔滨看守所的重大事故发生。

二，关于门禁，央视曝光视频可以看到，其实一般看守所里是有AB门的，但是案犯照样可以进出，从曝光视频看到案犯翻屉子和柜子可以联想看出，也许案犯是通过杀害民警后找到了钥匙进行了出入。北京众智益华的人脸识别门禁系统可以很好的解决这个问题。北京众智益华人脸识别门禁是通过2.4G无线卡+人脸的认证方式进行开门认证的，即使找到了无线卡而非本人(本系统同时具有活体验证功能)也不可能打开门禁。同时通过和称重系统相结合，即使案犯夹持民警尾随出入也照样无法打开门禁，反而会引发报警，及时让其他民警进行预案处理。通过哈尔滨延寿县看守所事件以及一些国内外其他越狱事件可以看出，凡是越狱分子都是危害极大的犯罪分子，他们在犯罪后不自我反省以及自我改造，而是穷凶极恶的进行越狱，这样的人一旦逃脱对社会的危害极大。而传统的监控系统以及安防系统有极大的缺陷需要人防补充，但人毕竟不是机器，有所疏漏不可避免。自动化智能的识别系统能很好的防范这些人防漏洞的存在，特别是以人脸识别系统为代表的生物智能识别更应该早日应用在这些敏感单位，杜绝为社会造成极大伤害的事件发生，同时也保障民警，武警等个人的生命财产安全。

看守所推出了一套全新人脸识别比对访客管理系统，其主要功能为通过人脸辨识系统，可以自动捕捉访客人的人脸，并对人脸进行分析，自动辨识陌生到访客人或是内部员工，系统连接到看守所内网，与会客系统交互数据，可联动控制人脸识别和门禁出入系统。

系统组成方式

本监狱访客管理系统主要由ca2身份信息安全管理系统和动态人脸抓拍比对系统组成。ca2身份信息安全管理系统，内置身份证验核系统，由以下4个子系统组成 ①身份登记验核系统：该系统可以连接到全国公民身份证号码查询服务中心，对探访人的身份信息进行核查。

②证件扫描录入系统：支持身份证等不同证件的扫描及信息的录入。

③身份信息管理系统：存储，管理探访者的身份信息，对访客探访时间点，探访时间长度等重要信息的查询。

④电脑通讯模块组成：可以连接到对接的网络，实时网络数据查询。人脸识别身份验证系统是监狱探访管理系统重要组成部分，主要由动态人脸抓拍系统，人脸比对系统，比对服务器，人等其他辅助设备组成。人脸识别访客管理系统主要由3部分组成，如下：

（1）摄像机：在探访区的各个楼层入口处安装专用人脸抓拍摄像机，正对着门口，拍摄每个进入该区域的访客的人脸。专用摄像机采用双镜头，一个镜头用来抓拍彩色照片，用于显示画面交互使用；另外一个镜头用于抓拍黑白照片，可以屏蔽照片背景，用于人脸照片比对过程中使用，从而达到提高比对的准确性。

（2）人脸抓拍主机：摄像机连接到人脸识别主机，人脸识别主机将处理摄像机拍摄到的人脸图像，并将人脸数据通过网络，传输到后端的系统服务器。

（3）人脸比对服务器：接收前端的人脸抓拍主机获取的人脸照片，并对人脸照片进行特征分析，获取人脸特征值，并通过人脸比对系统，进行比对，从中抽取近似值最高的若干张照片，并输出比对结果，联动看守所门禁控制器，控制探访区门禁出入系统。

方案概述

监狱大门及AB门是看守所与外界交接的重要部位。为严格控制监舍区，生产区人员出入，防范罪犯逃脱，实现有效的统一指挥，确保看守所的安全，在监狱大门及AB门安装智能人脸识别管理系统。

监狱人脸识别门禁管理系统由6个子系统组成：看守所外大门门禁管理系统;干警信道门禁管理系统;会见家属信道门禁管理系统;考勤系统;在押罪犯面像管理系统。

人脸产品、电锁、出门开关、报警装置等，全部链接至控制器上，由控制器进行出门权限控制。人脸产品、控制器、监控视频等都通过网络和控制计算机链接在一个网络中。

人脸识别型智能看守所门禁及访客综合管理系统解决方案将介绍一个全新的看守所安防系统，在安全防尾随系统的基础上结合先进的技术，对探监人员及监狱中的人员及干警进行权限设定和验证通过，确保看守所安全。

第五篇：深信服上网行为管理解决方案

有线无线网络统一上网行为管理方案

东莞市广云网络科技有限公司

联系人：许应甫 *** 0769－89868856 QQ：35447664 地址：东莞市南城区第一国际D座1810室

2015年8月10日

第1章需求概述

1.1 背景介绍

随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变：

 网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务；

 沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识，维系人脉关系；

 移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统，员工更喜欢通过WLAN、移动终端类开展工作；

因此，在员工的日常工作中，ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。

1.2 上网行为管理需求

员工访问互联网的习惯正在发生变化，从最早使用PC、有线局域网，到更多使用移动终端、WLAN来进行办公，如果过度开放的上网环境会带来以下问题：

1.2.1 工作效率低下

网络的普及改变了传统的办公方式，而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。这严重影响工作效率，从而导致企业竞争力的下降。

所以，组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。

1.2.2 带宽滥用和浪费

互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。

所以，IT部门需要针对各种应用类型、用户角色、带宽占用情况等，提供更加灵活、细致、动态的带宽管理策略，提升用户上网体验。

1.2.3 BYOD难管理

随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通过有线和无线网络，在不同的位置（办公座位、会议室等），接入企业IT系统。这种使用场景的多样化，让传统上网管理的手段，难以应对内部资料的泄密、移动终端设备的盗用、移动APP难以管控等管理问题。

所以，IT部门需要基于用户角色、终端类别、使用位置、应用类别、时间等更多的元素，为员工不同的上网情景，制定更精细的网络管理策略，提升办公效率的同时，降低安全风险。

1.2.4 WLAN安全隐患

在一些没有提供Wlan的单位，员工为了便捷性，往往会通过360随身WiFi、家用WiFi路由器等方式私自建立个人Wlan，让自己的移动终端可以随意使用单位的上网资源。这给企业的安全策略管理带来的很多的管理漏洞。

所以，IT部门需要针对私接的非法无线热点、非法代理等威胁进行有效的识别、管控。

1.2.5 访客接入繁琐

企业组建WLan后，当有来宾访客需要上网时，要么直接开放，安全风险高，人员随意接入，无法定位身份；要么需要提前申请临时账号，管理复杂。

所以，组织需要一套使用便捷，即来即用，同时又能满足安全合规要求的来宾访客认证系统。

1.2.6 数据泄密

所以，组织需要对员工制定严格、细粒度的互联网数据传输控制策略、合规审查策略，防止重要数据的泄密行为发生。

1.2.7 网络违规违法

企业内网用户在日常办公中拥有访问互联网的权限，可通过QQ、MSN、论坛或微博等方式外发信息，如果包含了色情、赌博、反动等不良内容，都属于网络违规违法行为，企业或个人将承担法律责任。

所以，组织需要根据82令的相关要求，建立全面、完善的上网行为的合规审查机制，并建立严格的审查权限管理机制。

第2章有线无线网络统一行为管理方案

结合上述的用户需求以及IT系统的现状，深信服可以为ISD提供一套完整、可视、智能联动的互联网出口安全解决方案。

本次方案建议采用深信服上网行为管理设备AC1台，部署在如下位置：

 互联网出口上网行为管理：部署深信服AC于互联网出口，针对有线网络终端和用户提供接入认证、权限控制、合规审计；此外，还针对有线/无线的全部用户、关键应用，提供全局统一的带宽控制策略。智能联动：

此外，互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通过用户认证信息的联动、单点登录等功能，将上网终端和用户身份信息进行同步关联，让用户只需要认证一次就可以让多台AC同步识别身份信息，便于后续的报表分析、威胁定位、合规审计等。

2.2 有线和无线网络统一上网行为管理

2.2.1 安全便捷的用户认证

为了针对不用角色身份的用户，避免身份冒充、权限滥用等出现，提供即安全又便捷的认证方式，深信服上网行为管理可以提供如下多种身份认证。

2.2.1.1 内部员工认证：

AC支持本地认证功能，包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能，能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后，AC能够获取用户认证信息，用户不用在AC上进行第二次身份认证，形成单点登录，避免重复认证所带来的麻烦。通过身份认证功能，AC能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

2.2.1.2 外来访客认证：

为了省去复杂的临时账号申请机制，让外来访客便捷的接入网络，但又满足合规要

短信认证，来宾只需要输入手机号码，获得并输入短信验证码后，就可以获得上网权限。而且为了简化用户操作，与传统的短信验证相比，用户只需要点击3次既可完成，十分便捷，不需要在浏览器和短信界面来回切换。

微信认证，访客认证页面会自动提醒来宾需要关注组织的“官方微信公众账号”，并发送上网请求，才能获得上网权限。这可以帮助组织推广社交媒体的粉丝数量，更好的帮助组织推广品牌宣传。

二维码认证，访客认证页面会自动弹出一个二维码，只有内部接待人员用自己的移动终端扫描二维码，确认同意后，访客才能获得上网权限。而且，为了满足合规要求，接待人员，可以在页面上备注来宾身份信息，便于后续查找。

2.2.2 灵活细致的权限控制

深信服上网行为管理系统具有千万级URL库和国内最大的应用识别规则库，包含1100多种应用、2400多种规则，可识别目前网络中各种主流应用，如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。

同时，AC还能够识别SSL加密应用，如加密邮箱、加密网页等。通过全面的应用识别，管理员能够根据不同应用制定不同的管理策略，限制与工作无关的行为，提高工作效率。

2.2.2.1 多维度的灵活策略

为了针对一个用户有多台BYOD终端进行灵活、细致的策略管控，深信服AC可以识别各种终端类型，包括windows、IOS、安卓、phone、pad等类型，还可以识别出用户接入网络的位置，包括有线、无线、办公位、会议室等等。

从而制定用户的上网策略时，可以从用户角色、使用终端类型、所在区域位置等维度进行组合，来制定精细的控制策略。比如用户角色A，在办公位置上使用PC接入，可以访问权限较多；但在接待区通过无线网络，使用iPad接入网络时，只有上网权限，不能访问内部安全界别较高的应用系统等。

2.2.2.2 移动APP管控

为了满足移动终端的管理需要，深信服上网行为管理系统可以针对数百种移动终端

2.2.2.3 防止非法AP和代理

深信服上网行为管理系统通过技术创新，可以精准的识别出，当前网络中员工私自架设的无线AP，代理应用，从而防止带宽资源的滥用，防止黑客通过非法AP接入企业网络入侵。

2.2.2.4 应用标签化

管理员可通过AC对应用或具体细分动作进行标签化，例如，迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时，可通过标签来选择相应的应用或细分动作，不用逐个选择，从而避免错选漏选，提高管理效率。

2.2.2.5 加密应用识别

SSL(Secure Socket Layer)协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此，一方面，越来越多的网页使用SSL加密，如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站，而因为采用了加密技术，普通的管理产品无法对其内容进行识别管理，别有用心的用户可以利用这一缺陷绕过管理，通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息，导致管理漏洞。

2.2.3 合理有效的流量控制

深信服上网行为管理系统通过多级父子通道技术，能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后，管理员能够给不同通道分配不同带宽。同时，带宽的分配并不是一成不变的。深信服上网行为管理系统具有动态流控功能，在总体带宽利用率偏低时自动调整策略，有效提升带宽利用率，避免资源浪费。

在P2P应用流量控制方面，通过深信服P2P智能流控技术，能够有效的抑制P2P流量，使得核心业务应用有足够的带宽资源。

通过部署AC，可对网络出口链路总带宽进行细分，采用“基于队列的流控技术”，即建立通道，将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用，在通道中可以限制或保障其带宽，控制灵活。AC支持多级父子通道，即在父通道中嵌套子通道，最大可支持8级父子通道。通过多级父子通道技术，能够完全匹配企业的组织架构，针对不同级别的通道进行带宽调整，为用户提供细致的流量管理手段，使得带宽分配更灵活、更合理。

2.2.3.2 P2P智能流控

目前，通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，还能对不常见和未来将出现的P2P应用加以控制。

目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性，传统流控手段是通过缓存和丢包手段来实现流量控制的目的，但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制，即使被丢包依然不会主动降低速率，仍抢占大量的带宽资源。同时对于下行的接收流量来说，被丢弃的数据包已经占用了线路带宽，关键业务的带宽依然得不到提升，流控达不到预期的效果。

针对这些问题，AC通过智能流控功能，能有效解决P2P应用的问题。虽然基于UDP

2.2.3.3 动态流量控制

当带宽有限时，企业希望通过限制P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略，根据应用的重要性分配相应的带宽。无论网络情况如何变动，分配的带宽都是固定的，不能自动调整，这样的流控策略往往造成带宽资源的浪费。比如某些业务应用带宽资源不足，而其他应用的带宽资源却处于空闲状态，得不到有效利用。

针对此类问题，AC提供了动态流控功能。用户可通过配置线路空闲阀值，以及定义线路的空闲和繁忙状态，实现针对性制定流控策略。当线路空闲时可以放宽通道带宽限制，应用流量可突破原来设定的最大带宽限制；当线路繁忙时可以下压通道带宽，使带宽恢复到被限制状态，执行原有的流控策略。通过灵活的带宽管理，最大满足业务对带宽的需求，实现带宽的最大价值。

2.2.4 全面精准的行为审计

2.2.4.1 实时监控

AC支持实时监控功能，可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况，简单快捷。

运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。

在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。此外AC还支持实时连接监控，显示用户的所有会话连接状况。

2.2.4.2 全面、灵活的应用审计

AC实时监控和完善的应用审计功能，帮助网络管理员了解内网用户的上网行为，同时也作为追查依据。

2.2.4.3 网页访问

内网用户访问的URL地址、网页标题、时间等内容，AC能够完全监控与记录。

同时，通过网页快照功能，直观展现网页内容，便于管理人员快速查看。

2.2.4.4 邮件收发

对于Webmail或邮件客户端收发邮件，AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等，附件内容可提供下载做进一步审核。

2.2.4.5 IM聊天

对于QQ、MSN、Gtalk等聊天应用，无论是Web版或是桌面版，AC均能详细记录其聊天内容。

2.2.4.6 微博论坛

对于微博、社交论坛发帖不仅能够根据关键字进行过滤，发布的内容也能全面记录，准确还原发帖内容，提高可读性。

2.2.4.7 SSL加密应用

同时，对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3，AC可以基于关键字过滤和内容审计记录。

针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为审计功能。

2.2.4.8 数据中心及报表

大型机构每天产生数十G日志数据，通过AC独立数据中心实现日志海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。

通过统计报表功能，将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果，并且支持导出PDF等文档、Email投递等功能，方便IT部门将统计结果向高层汇报。

AC的风险智能报表能够深入挖掘日志，根据管理员指定的上网行为特征及阈值，自动挖掘日志，自动帮助组织提前发现风险，包括：离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。

对于BBS发帖，AC还支持进行热帖排名，只准看贴不准发帖的灵活管控方式。通过AC数据中心的内容检索工具，可以实现类似Google一样的内容搜索，从海量日志中查询需要的日志记录，并且支持高级搜索，支持订阅和自动Email投递功能，极大的方便了管理者的使用。

2.2.4.9 免审计Key 机构的总裁、高层领导网络访问行为，财务部收发的邮件，关乎机构机密信息，对其记录审计反而成为泄密风险。因此AC支持免审计Key功能。在AC上为总裁、财务部相关人员生成免审计Key。当使用该免审计Key认证后，AC从底层免除对该人员的一切记录。一旦免审计功能被恶意取消后，当再插入该免审计Key后会自动弹出警告，且禁止该人员访问网络，彻底保障信息安全。

2.2.4.10 日志审查Key 企业内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中心中，这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用，领导的Email、MSN聊天内容等被肆意传播、私自张贴到互联网上必将给组织造成不良影响、甚至经济损失。

因此AC提供日志审查Key技术。数据中心管理员只有插入该Key后才能以审计、查询权限接入数据中心，从而对行为日志进行详细查询。对于没有该Key的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看，无权限对行为日志进行审计、查询，从而保障行为日志记录不被滥用。

3.1 全面完整

无线有线统一管控：除了传统的封堵、流控、审计等功能外，深信服的上网行为管理针对无线、有线网络的各种PC、移动终端上网遇到的新问题、新风险，提供了统一全面的管理功能：员工、来宾的统一接入管理，BYOD的权限控制、移动APP/云应用管控和审计。从而简化了IT运维操作，降低了管理难度。

3.2 细致精准

上网行为管理不是简单的对应用进行封堵，而是根据不同的管理需求来对应用进行限制。深信服上网行为管理能够对网络应用进行细分控制，如分别识别出网盘应用中的登陆、浏览、上传和下载等动作，根据企业中防泄密需求，实现允许浏览下载，同时禁止上传。通过细分控制，能够更细致的对员工的上网行为进行管理。

在审计方面，深信服上网行为管理系统不仅记录内网用户访问了哪些网站，使用了哪些应用，还能对用户的上网行为内容进行深入审计，如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时，还支持SSL加密网页和应用的内容审计，避免错审漏审，帮助企业深入的了解员工上网行为。

3.3 灵活有效

AC支持父子通道技术，最高可支持八级，能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后，管理员能够给不同通道分配不同带宽。同时，由于通道具有父子关系属性，在后期维护中既能整体调整带宽，又能局部调节，带宽分配更灵活。

P2P应用具有强烈的带宽侵蚀特性，为了保护带宽资源不被滥用，必须对P2P流量进行控制。传统的流控技术对P2P应用不起作用，外网线路依然被占用，影响核心业务应用。通过深信服P2P智能流控技术，能够有效的从源端抑制P2P下行流量，使得核心业务应用有足够的带宽资源。

同时，AC具有动态流控功能，在总体带宽利用率偏低时自动调整策略，有效提升

基于用户、终端、位置、业务多个维度的策略管理，能够根据用户在不同位置，使用不同终端时自动匹配相应的上网管理策略，灵活性强，适用于每一种应用场景。

3.4 智能便捷

深信服的上网行为管理方案，与其他多厂商设备组合方案相比，可以让IT管理员维护更简单，用户使用更便捷：智能联动：

互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通过用户认证信息的联动、单点登录等功能，将上网终端和用户身份信息进行同步关联，让用户只需要认证一次就可以让AC同步识别身份信息，便于后续的报表分析、威胁定位、合规审计等。从而，也极大的减少IT管理员配置、运维工作量。

便捷简单：

AC的外来访客的二维码认证功能，不但省去了复杂的临时账号申请流程，提升了工作效率，还能提升来宾体验，增强对企业形象认可。

在应用管理方面，引入标签化的概念，对应用打上标签，通过选择标签来指定多个应用，而无须再一个一个的查找，使得应用管理更加灵活高效。

第4章方案价值

4.1 提升工作效率

网页过滤策略

上班时间从事私人活动，管理者却难以阻止，如上班时间浏览购物网站、上微博、论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法，让管理者实现指定用户和部门在工作时间只能访问特定的网站，例如行业信息网站、公司门户网站等，而其他未经允许的网页浏览都将被拒绝。IM（即时通讯）聊天软件的管理

网页过滤、IM聊天等管控只是内网行为管理的一部分。面对用户上班即挂机下载，搜索最新网络新闻、图片，上班时间更新博客、上传图片、看在线视频、网络游戏等问题，AC支持应用识别规则库，包含1500多种应用，对员工上网行为进行全面管理。上网时间管理

AC通过为不同部门、不同用户，基于时间段进行权限分配，也可以限制用户一天内总的上网时间，实现人性化管理。支持设定一定的上网时间值，当用户超过这个阀值时，将自动弹出提醒页面，提醒员工上班时间注意提高工作效率，不要从事与工作无关的网络活动。

4.2 提高带宽利用率

多线路策略

AC支持多线路复用、带宽叠加技术（专利号：200310112006X），企业通过AC同时连接多条公网线路，提升整体带宽水平。同时结合多线路智能选路技术（专利号：ZL03113974.4），做到流量的智能选路和负载均衡。P2P软件的控制

P2P行为对带宽具有强烈的吞噬能力，而传统的流控功能在P2P应用上不起作用。AC提供P2P智能识别专利技术(专利号： 200610156977.8），不仅能识别和管控常用P2P软件及版本，对不常见的和未来将出现的P2P亦能管控。而AC提供的P2P流控技术，将限制指定用户开启P2P后占用的带宽。既允许用户使用P2P，又不会滥用带宽。动态调节

AC支持动态流控功能，通过设定阈值，实现当整体带宽利用率过低时自动调整释放更多的带宽资源，让带宽得到有效利用，避免浪费，比传统单

一、死板的流控方法更有效的提升带宽利用率。带宽统计和管理

AC数据中心对内网用户的各种网络行为进行统计及趋势、报表等。借助图形化报

同时，AC基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智能流控，细致划分与分配带宽资源，如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行为得到带宽保障，提升整个机构的带宽使用效率。

4.3 避免泄密和法律风险

在部署上网行为管理系统后，通过定义关键字的方式，实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤，从而避免敏感信息泄露问题给企业带来经济损失。同时，有效防止不良信息外发行为，避免引来法律纠纷。即使发生了不良信息外发行为，也能够通过对内网用户上网行为实施记录审计，能够在发生网络违法事件的时候通过审计日志追查相关责任人，避免由企业承担相应法律责任。

同时，上网安全桌面根据规则对本机文件数据进行了隔离，安全桌面内的任何程序试图获取本机被隔离文件数据的行为都将被禁止，防止终端被木马入侵后文件信息遭窃取，从而帮助用户有效保护了敏感数据的安全性。

4.4 保障终端安全

防病毒、木马

内网用户在访问internet时，常常会无意中下载到一些包含恶意病毒的文件，这些病毒程序通常是极具破坏力的，严重时会造成计算机系统的崩溃，使员工无法正常工作。而如果在上网过程中使用上网安全桌面，则可以有效的防止这些病毒程序对本机造成破坏。

当内网用户使用安全桌面上网，文件、注册表重定向技术使本机内真实文件与注册表得到了保护，而访问目录权限功能使病毒无法访问继而感染本机内部文件，有效地防止了病毒对本机系统的破坏，弥补杀毒软件对安全事件事前防护的不足。上网安全桌面采用国际领先的沙盒技术保证了它能给用户带来一个干净、安全的网络应用环境，让用户使用起来再也不受病毒、木马泛滥的困扰。

同时，AC具有网关杀毒功能，对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤，降低内网用户感染病毒的风险。

AC内置自动更新的海量URL库，包括色情、反动等分类，潜藏在此类网站中的威胁将被AC过滤；AC允许用户手工添加新URL分类；再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字，实现对各类网页的全面过滤，降低内网用户访问不良网页和危险网页的可能。

假冒网上银行的钓鱼网站、加密的反动网站等，显示“加密化”已经成为趋势，而业界多数设备无法对SSL加密网页进行管控。AC通过证书验证链接黑白名单技术，过滤含有不可信任数字证书的SSL网站，实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。文件传输控制

针对QQ、MSN等IM软件的病毒，通过引诱用户下载指定文件或打开指定URL链接而传播；AC的“拦截不良网页”措施将避免用户访问含病毒URL地址；AC还可限制使用QQ、MSN等传递文件。

通过HTTP、FTP从互联网下载的文件，往往打开或运行后导致用户电脑感染病毒、木马，甚至瘫痪。该风险“感染点”还会伺机爆发，感染更多用户，使整个网络瘫痪。而此类行为和流量经过AC时，AC首先限制用户通过HTTP、FTP上传下载指定类型的文件，对于允许传输的文件，AC的网关杀毒功能将查杀该文件中潜藏的病毒、木马。

人脸识别上网行为管理解决方案

第一篇：人脸识别上网行为管理解决方案

第二篇：上网行为管理解决方案

第三篇：上网行为管理解决方案（推荐）

第四篇：看守所人脸识别应用解决方案

第五篇：深信服上网行为管理解决方案

相关范文推荐

企业上网行为管理计算机管理解决方案

企业上网行为解决方案

人脸识别监狱管理系统

ACM上网行为管理系统企业解决方案

上网行为管理

上网行为管理

人脸识别技术是什么原理

银行用人脸识别