当前位置：文档库 › 金山KingGate上网行为管理用户手册(企业版)V4[1].0

金山KingGate上网行为管理用户手册(企业版)V4[1].0

金山KingGate上网行为管理

用户手册

V4.0

（企业版）

金山信息

1 前言 (5)

2 准备工作 (6)

2.1 准备PC (6)

2.2 系统默认值 (6)

2.3 网络连接 (6)

2.4 网络检查 (7)

2.5 登录系统 (7)

3 系统设定 (8)

3.1 系统配置 (8)

3.1.1 管理设置 (8)

3.1.1.1 密码管理 (8)

3.1.1.2 系统设置 (9)

3.1.1.3 报告配置 (9)

3.1.1.4 升级配置 (10)

3.1.1.5 License (10)

3.1.1.6 用户管理 (11)

3.1.2 用户认证 (13)

3.1.2.1 基本配置 (13)

3.1.2.2 用户列表 (13)

3.1.2.3 免认证地址 (14)

3.1.3 流量统计 (14)

3.1.4 配置管理 (15)

3.1.5 系统更新 (15)

3.2 网络配置 (15)

3.2.1 网络模式 (16)

3.2.1.1 网关模式 (16)

3.2.1.2 网桥模式 (18)

3.2.1.3 旁路模式 (19)

3.2.2 网络设置 (19)

3.2.2.1 多IP绑定 (19)

3.2.2.2 DNS (20)

3.2.2.3 远程管理 (21)

3.2.2.4 代理设置 (21)

3.2.2.5 内网服务器 (22)

3.2.2.6 SMTP路由 (23)

3.2.2.7 负载均衡 (23)

3.2.3 DHCP (24)

3.2.3.1 基本配置 (24)

3.2.3.2 DHCP服务 (24)

3.2.3.3 子网设置 (25)

3.2.3.4 MAC地址绑定 (25)

3.2.3.5 IP分配列表 (26)

3.2.4 SNMP (26)

3.3 邮件过滤 (27)

3.3.1 邮件审核设置 (27)

3.3.1.1 策略设置 (28)

3.3.2 邮件签名 (30)

3.3.2.1 基本设置 (30)

3.3.2.2 签名策略 (30)

3.3.3 警告邮件模板 (31)

3.3.3.1 垃圾邮件模板 (31)

3.3.3.2 邮件审计模板 (31)

3.4 W EB过滤 (32)

3.4.1 关键字 (32)

3.4.2 过滤网址 (33)

3.4.3 文件以及应用 (35)

3.4.4 上网策略 (36)

3.4.5 模板定义 (38)

3.5 应用控制 (38)

3.5.1 MSN过滤 (38)

3.5.1.1 基本设置 (38)

3.5.1.2 关键字 (39)

3.5.1.3 策略设置 (39)

3.5.2 QQ过滤 (40)

3.5.3 P2P控制 (41)

3.6 防火墙 (42)

3.6.1 基本设置 (42)

3.6.2 访问控制 (43)

3.6.3 地址设置 (44)

3.6.3.1 地址设置 (45)

3.6.3.2 分组管理 (47)

3.6.4 服务设置 (47)

3.6.4.1 预定义服务 (48)

3.6.4.2 服务设置 (48)

3.6.4.3 服务组 (49)

3.6.5时间段 (50)

3.6.6虚拟IP (51)

3.7 路由设置 (52)

3.7.1 静态路由 (52)

3.7.2 策略路由 (53)

3.7.3 动态路由 (54)

3.7.3.1 RIP (54)

3.7.3.2 OSPF (55)

3.8 审计管理 (55)

3.8.1 过滤统计 (56)

3.8.2 每日详情 (56)

3.8.3 应用日志 (57)

3.8.4 访问日志 (58)

3.8.5 流量统计 (59)

3.8.6 邮件审计 (62)

3.8.7 日志设置 (62)

3.8.8 操作日志 (65)

3.9 串口管理 (65)

1前言

本文件所有内容受版权保护并且归金山信息所有。未经金山信息明确书面许可，不得以任何形式复制、传播本文件（全部或部分）。

金山及Kingsoft是金山信息的注册商标，本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标，特此鸣谢。

金山信息不对本文件的内容、使用，或本文件中说明的产品负担任何责任或保证，特别对有关商业机能和适用任何特殊目的的隐含性保证不负担任何责任。另外，金山信息保留修改本文件和本文件中所描述产品的权力。如有修改，恕不另行通知。

信息更新

本产品最新版本信息、升级信息以及相关技术文档将在金山信息https://www.wendangku.net/doc/0a10661504.html,网站上及时推出，敬请留意。

支持信息

如果希望得到关于金山信息产品的报价、产品信息以及技术支持，请查阅公司网站：https://www.wendangku.net/doc/0a10661504.html,。

2准备工作

金山KingGate上网行为管理产品可以通过远程方式进行使用和管理。用户在远程的管理PC上通过Web浏览器对金山KingGate上网行为管理产品使用和管理。

2.1 准备PC

配置机器操作系统浏览器网络接口串口类型管理PC Windows2000/XP/2003 Server IE5.5以上10/100Mb RS232 2.2 系统默认值

项目默认值

系统帐号与

管理方式管理方式：Web登录

管理帐号：用户名：systemmaster 密码：1234abcd 管理方式：SSH

管理账号：用户名：systemmaster 密码：1234abcd 管理方式：Console

管理账号：用户名：systemmaster 密码：1234abcd 管理帐号：用户名：KingGate 密码：KingGate

登录方式https://192.168.1.100

接口IP Eth0:192.168.1.100/255.255.255.0

Eth1:202.96.2.1/255.255.255.0

Eth2:172.16.10.10/255.255.255.0

Eth3:192.168.2.100/255.255.255.0

注：不同的型号，接口的数量、类型也不同。

接口属性Eth0:lan1，不可修改网口属性，只能为内网口

Eth1:wan1，可修改属性，可为lan、wan、dmz

Eth2:dmz1，可以修改属性，可为lan、wan、dmz

Eth3:lan2，可以修改属性，可为lan、wan、dmz

注：配置网口属性必须有一个为wan口

管理IP 0.0.0.0/0.0.0.0 任何IP可以管理

管理口系统默认管理口为Eth0（lan1），通过系统每一个接口均可管理系统控制口属性超级终端连接属性为：

每秒位数：9600，数据位：8，奇偶校验：无，停止位：1，

数据流控制：无

2.3 网络连接

连接方法：

连接电源线，并打开开关。

将Eth0与电脑相连（一般使用平行线），并且将电脑IP配置成与Eth0（lan）口相同段的I P地址，缺省为：192.168.1.100/255.255.255.0，建议PC IP地址为：192.168.1.101/255. 255.255.0。

2.4 网络检查

使用ping命令，在管理PC上对金山KingGate上网行为管理产品进行检测，看网络连接正常与否。如果网络连接没有问题，就可以登录到金山KingGate上网行为管理产品上了。如下图：

2.5 登录系统

在管理PC上，打开浏览器，在IE的地址栏里输入https://192.168.1.100，就可以登录到金山KingGate上网行为管理产品的管理界面。如下图：

输入账号，用户名：systemmaster ，密码：1234abcd ，登录系统。

3系统设定

3.1 系统配置

金山KingGate上网行为管理的系统配置包含系统的管理设置、用户认证、流量统计、配置管理、系统更新，通过本部分功能，可以完成系统的基本配置。

?管理设置

◆密码管理：修改当前用户的密码；

◆系统配置：重启关闭设备以及时间的修改；

◆报告配置：配置定时发送报告参数；

◆升级配置：定义升级服务器；

◆License： License查询与更新；

◆用户管理：添加删除以及修改登录用户；

?用户认证：启用系统帐号认证，在用户接入外网时，需经过认证后方可接入外网；

?流量统计：对网络进行实时以及延时的数据统计；

?配置管理：对系统配置的备份与恢复、恢复出厂值；

?系统更新：版本升级以及补丁的上传；

3.1.1管理设置

为了帮助用户对内部网络进行全面管理，金山KingGate上网行为管理通过方便易用的Web管理界面，为用户提供远程管理升级功能。包括修改用户密码、系统配置、报告配置、升级配置、license、用户管理。

3.1.1.1密码管理

系统配置-〉管理设置-〉密码管理，输入以下信息，可以修改密码，如下图：

?系统管理员旧密码：旧密码；

?系统管理员新密码：新密码；

?确认密码：再次确认新密码；

?确认：密码修改生效；

注：密码规则，最小8位，最大19位，数字字母的组合，不识别空格符号。修改只是当前登录用户的密码。

3.1.1.2系统设置

系统配置-〉管理设置-〉系统设置，如下图：

?获取系统时间：点击获取系统时间可以获得当前的系统时间；

?修改系统时间：在日期和时间栏里输入相应的参数，点击修改系统时间则可以修改当前

的系统时间；

?重启设备：系统重新启动；

?关闭设备：系统关闭，电源自动关闭；

注：时间修改原则，一般时间不要进行修改，且时间修改不能超过12小时，以免影响License 校验。

3.1.1.3报告配置

系统配置-〉管理设置-〉报告配置，如下图：

通过这个界面可以设置过滤处理方法中的定时发送报告的相关报告配置。用户可以在这里设置定时发送报告的邮件账号信息。

?SMTP服务器：输入邮件账号所在的服务器；

?邮件地址：完整的邮件地址；

?用户名：输入发送邮件的用户名；

?密码：如果邮件服务器需要验证，输入邮件账号的密码；

?查看邮件IP：设置报告邮件内查看邮件连接里的IP地址。这个设置用于用户设置外网

访问IP地址，以便外部用户能够查看其被过滤的邮件，通常地址为公网IP；

?发送时间间隔：发送报告的时间间隔（单位为：小时）。

注意：只有在这个账号信息设置后，功能模块里选择发送定时报告和转发警告信的功能才能生效，而且这里发送的信息是针对SMTP病毒信息。

3.1.1.4升级配置

系统配置-〉管理设置-〉升级配置，如下图

通过这个界面可以设置数据升级的参数。因为金山KingGate上网行为管理产品的不同过滤功能都有数据升级的要求，如病毒特征库的升级等。因此用户可以设置相应的参数来帮助产品的数据升级。

?升级服务器：选择数据升级的服务器；

?启用代理：因为金山KingGate上网行为管理的数据下载是通过HTTP协议来完成的，

因此如果在金山KingGate上网行为管理通往Internet的连接上采用了HTTP代理，那就需要配置代理参数。代理服务器的设置在系统配置-〉网络设置-〉代理设置；

?代理账号：如果代理服务器需要验证，那就设置代理服务器的验证账号；

?密码：设置验证账号的密码；

3.1.1.5License

系统配置-〉管理设置-〉license，如下图：

通过这个界面可以更新、查看License信息。

?License更新：

◆产品序列号：显示金山KingGate上网行为管理的序列号。同时，产品序列号在产

品背部面板上可以查看；

◆授权码：输入16位License授权码。然后点击确定，就会将License更新，授权码

影响产品使用的功能和使用时间，

注：正式授权码过期不影响功能使用，但不能更新与升级数据；测试授权码过期过滤功能不能使用和不能更新与升级数据。

?系统信息

◆产品名称：产品的完整名称；

◆机器型号：产品型号；

◆序列号：产品的序列号，与产品背部面板序列号保持一致；

◆授权码：激活功能的验证信息；

◆注册时间：产品出厂时间或最新更新授权码的时间；

◆有效时间：产品在服务器的时间；

◆用户类别：正式用户或试用用户；

◆功能模块：产品具有功能模块；

◆管理系统版本：产品当前系统版本；

3.1.1.6用户管理

系统配置-〉管理设置-〉用户管理，如下图

用户管理选项用于添加管理用户。只有拥有用户管理权限的管理用户能够添加新的管理用户、修改管理用户权限和删除现有的管理用户。systemmaster是缺省的管理用户，不能被删除和修改。

?增加用户：点击增加用户，出现上述用户添加界面。管理用户输入相应的设置，就可以

添加相关的管理用户；

◆用户名：输入新增管理用户的用户名；

◆密码：输入新增管理用户的密码，密码最少8位，采用数字和字母相间的方式来保

证密码的安全性；

◆确认密码：输入确认密码；

◆权限：勾选管理用户的权限。相应权限包括：用户管理、查看系统配置、修改系统

配置以及查看系统日志。对于不同管理权限的管理用户，在登录后系统将显示不同

的菜单选项；

?添加用户：输入名称以及密码，赋予的权限，点击确定；

?修改用户：点击用户列表右边的编辑图标，出现以上界面。管理用户可以修改相关用

户的权限；

?删除用户：在用户列表界面勾选需删除的用户，点击“删除”按钮删除相关用户；注：添加用户密码需要保证密码的复杂性，大于或等于8位且为数字和字母的组合。

3.1.2用户认证

金山KingGate上网行为管理提供用户上网认证功能，点击系统配置-〉用户认证可进行用户认证的相关配置。

3.1.2.1基本配置

在基本配置中可以通过启用认证开关来设置系统是否启用上网认证功能。在启用认证模式下，如果用户的IP地址和MAC地址不在免认证地址中，用户第一次上网将弹出上网认证界面，用户通过认证后，就可以正常上网了。

一次登录认证有效期:用户经通过认证上网后，如果该用户在30分钟内没有上网流量，系统将自动注销用户的上网功能，如需上网将需要重新认证，时间变动默认为30分。

3.1.2.2用户列表

这里的用户名和密码是提供给用户上网认证用的，可以点击添加用户按钮来新增用户，如下图：

3.1.2.3免认证地址

在免认证中的地址，用户无需认证就可直接上网。免认证地址支持IP地址和MAC地址，mac输入格式如：00:14:C2:DB:4E:E3 。

3.1.3流量统计

开启流量统计后，可以实时查看所选择接口所有IP的各种流量，结果在统计日志-〉流量统计中查看，如图：

?启用统计接口：开启或关闭流量统计；

?流量统计接口：选择需要流量统计的接口，仅对LAN和DMZ口统计，对W AN口不统

计；

?刷新频率：采集数据信息的频率，最小设置为1分钟；

?内部子网地址：设置采集数据的子网信息，多子网设置用回车分开；

3.1.4配置管理

配置管理完成备份系统配置、恢复存在的配置、恢复系统默认值。

系统配置-〉配置管理，如下图：

?下载配置文件：下载，备份系统当前配置；

?上传配置文件：将存在的系统配置恢复系统，使其生效；

?恢复默认配置：恢复系统出厂默认值；

3.1.5系统更新

通过系统更新，更新补丁包，并立即生效，生成新的系统版本号。如下图：

3.2 网络配置

?网络模式：金山KingGate上网行为管理网络模式有两种，网关模式和网桥模式

?网络设置：主要包括了多IP绑定、DNS、远程管理、代理服务器、内网服务器、SMTP

路由

◆多IP绑定：实现内网口或者外网口的多IP绑定；

◆DNS：根据不同的网络提供商配置不同DNS；

◆远程管理：指定IP地址管理系统；

◆代理服务器：对于内部网络使用HTTP、POP3、SMTP、FTP等代理；

◆内网服务器：映射内网服务器，做到保护内网服务器，针对FTP、WEB、邮件服

务器、文件服务器保护；

◆Smtp路由：保护邮件服务器；

◆负载均衡：在网关模式下，并且启用了多WAN，将显示负载均衡；

?DHCP：能够启用DHCP服务器以及DHCP代理；

?SNMP：简单网络管理协议；

3.2.1网络模式

金山KingGate上网行为管理的网络模式有两种，网关模式和网桥模式。

3.2.1.1网关模式

网络配置-〉网络模式-〉网关模式，如下图：

?网络模式

◆当前状态：是指设备当前的运行模式，默认为网关；

◆设置为网关：勾选后，点击提交。不勾选，点击提交无效；

◆监测外网网关：对外网默认网关的自动检测，如果探测路由不可到达，将不能添加

路由，出现网络不可到达。在多WAN环境下，出现线路中断，将协商从可以到达的

线路转发数据。默认情况不启用此功能。

?网关设置

◆Eth0设置

●启用：表示当前网口的运行状态，不可更改；

●网络区域：默认内网，不可更改；

●网络类型：默认静态，不可更改；

●IP地址：192.168.1.100，可以更改；

●掩码：255.255.255.0，可以更改；

●别名：默认lan1，可以更改；

◆Eth1设置

●启用：表示当前网口的运行状态，可以更改；

●网络区域：默认外网，可以更改；

●网络类型：默认静态IP，DHCP、拨号可以更改；

●IP地址：202.96.2.1，可以更改

●掩码：255.255.255.0，可以更改

●网关：缺省为空，可以更改

●别名：默认wan1，可以更改

◆Eth2设置

●启用：表示当前网口的运行状态，可以更改；

●网络区域：默认DMZ，可以更改；

●网络类型：默认静态IP ,DHCP、拨号；

●IP地址：172.16.10.10，可以更改；

●掩码：255.255.255.0，可以更改；

●网关：缺省为空，可以更改；

●别名：默认DMZ,可以更改；

◆Eth3设置

●启用：表示当前网口的运行状态，可以更改

●网络区域：默认内网，可以更改

●网络类型：默认静态，可以更改

●IP地址：192.168.2.100，可以更改

●掩码：255.255.255.0，可以更改

●别名：默认lan2，可以更改

注：NAT开启和关闭、在网口开启NAT则在本网口出去的数据将被做源地址转换。

◆提交

●提交当前修改配置；

◆拨号状态：在拨号状态下，点击拨号状态，显示当前拨号信息，并且可以手动拨

号以及手动断开。

◆动态域名：支持2种动态域名DTDNS以及华盖DDNS

3.2.1.2网桥模式

网络配置-〉网络模式-〉网桥模式，如下图：

?网络模式

◆当前状态：是指设备目前的运行状态；

◆设置为网桥：勾选后，点击确定。不勾选，点击确定无效；

注：在网桥状态内网介入只有eth0(lan1)可用，外网可以根据环境选择网口。

?网桥设置

◆系统IP设置：默认为192.168.1.100与lan1地址同步；

◆子网掩码设置：默认255.255.255.0；

◆默认网关设置：默认192.168.1.1；

◆网桥网卡：在网桥下只有一个内网和一个外网，默认下内网为eth0，外网为用户

自定义；

◆确定：提交修改配置；

注意：在改变网络模式前，在系统配置-〉网络设置-〉远程管理中添加远程管理IP，默认允许所有人可管理系统。

3.2.1.3旁路模式

网络配置-〉网络模式-〉旁路模式，如下图：

注：在旁路模式下，eth0为管理口，eth1为数据监听口。

?网络模式

◆当前状态：是指设备目前的运行状态；

◆设置为旁路模式：勾选后，点击确定。不勾选，点击确定无效；

?旁路设置

◆启用：启用eth0为旁路的管理口；

◆网络区域：默认为内网，不可更改；

◆网络类型：默认为静态IP；

◆IP地址：为eth0配置的IP；

◆掩码：与IP地址对应的掩码；

◆确定：提交修改配置；

3.2.2网络设置

主要包括了多IP绑定、DNS、远程管理、代理服务器、内网服务器、SMTP路由、负载均衡。

3.2.2.1多IP绑定

网络配置-〉网络设置-〉多IP绑定，如下图：

注：提供多个IP 地址在网卡上的绑定，只有在网关模式下才可用。

?点击绑定新IP来创建新的绑定IP。如果需要删除已有的网卡IP，勾选相对应网卡IP右

边的选择框，然后点击删除按钮。

?绑定新IP

◆IP地址：输入需要绑定的IP地址；

◆绑定的网卡：输入需要绑定的网卡；

◆状态：设定是否启动；

◆掩码：设定IP掩码；

◆注释：输入注释；

◆点击确认保存绑定IP设置，点击返回取消设置；

3.2.2.2DNS

修改DNS。DNS服务器是域名解析过程中必须的，请正确填写ISP提供的DNS信息。网络配置-〉网络设置-〉DNS，如下图：

?首选DNS服务器：设置首选DNS服务器；

?第二DNS服务器：设置第二个DNS服务器；

网御安全管理系统LeadsecManager界面手册

网御安全集中管理系统V3.0.7用户使用手册北京网御星云信息技术有限公司 2014年9月

目录第一章前言 (5) 1.1导言 (5) 1.2适用对象 (5) 1.3适合产品 (5) 第二章如何开始 (6) 1.4概述 (6) 1.4.1产品特点 (6) 1.4.2软件描述 (6) 1.4.3主要功能 (7) 1.4.4License控制 (7) 1.5进入系统 (8) 1.5.1登录 (8) 1.5.2界面主框架 (8) 第三章系统主页 (9) 1.6概述 (9) 1.6.1安全等级 (9) 1.6.224小时安全趋势 (10) 1.6.3系统状态 (10) 1.6.4设备探测 (10) 1.7安全概览图 (11) 1.8安全设备分析 (11) 1.9实时告警 (13) 1.10攻击拓扑 (14) 第四章资产管理 (14) 1.11设备管理 (14) 1.11.1网络拓扑管理 (15) 1.11.2设备信息读取 (17) 1.11.3设备基本信息查看 (18) 1.11.4设备管理配置 (19) 1.11.5节点管理 (19) 1.11.6级联管理 (21) 1.12策略管理 (21) 1.12.1策略管理工具栏 (23) 1.13VPN管理 (23) 1.13.1IKE策略 (23) 1.13.2IPSec策略 (24) 1.13.3策略模板 (24) 1.13.4VPN策略向导 (24) 1.13.5VPN隧道监控 (24)

1.14.1单个设备监控 (25) 1.14.2设备集中监控 (26) 1.14.3监控任务管理 (26) 1.15升级管理 (27) 1.15.1设备升级包管理 (27) 1.15.2设备升级管理 (27) 第五章事件管理 (28) 1.16实时监控 (28) 1.17安全日志查询 (29) 1.18设备日志查询 (31) 1.19系统日志查询 (31) 第六章报表管理 (32) 1.20概述 (32) 1.20.1功能简介 (32) 1.20.2功能分类 (32) 1.21功能介绍 (33) 1.21.1功能首页 (33) 1.21.2安全事件特征报表 (34) 1.21.3设备报表 (41) 1.21.4定时报表 (42) 1.21.5自定义报表 (44) 第七章安全态势 (44) 1.22概述 (44) 1.22.1功能简介 (44) 第八章工单管理 (46) 1.23概述 (46) 1.23.1新增工单 (46) 1.23.2查询工单 (47) 1.23.3修改及删除工单 (48) 第九章知识库管理 (48) 第十章威胁响应 (49) 1.24概述 (49) 1.24.1短信告警 (50) 1.24.2声音告警 (50) 1.24.3邮件告警 (51) 1.24.4响应记录查询 (51) 第十一章系统设置 (52) 1.25管理配置 (53)

员工上网行为管理制度

员工上网行为管理制度为进一步加强公司网络管理～规范上网行为～提高工作效率～保障公司信息安全～防范网络风险～结合公司实际情况～特制定本制度。一、联网后计算机实行一对一责任制～谁用谁负责。所有联网用户进行登记备案。二、各部门负责人对上网行为规范管理工作要高度重视～加强本部门上网人员教育～培养员工树立保密意识、法制意识、责任意识、自律意识～文明上网。三、所有员工应牢固树立安全意识和保密意识～严禁在网上共享和泄露公司战略计划、经营数据、业务数据、技术资料等公司机密。四、严禁在上班时间利用网络做与工作无关的事: 1、员工在上班时间严禁开启与工作无关的网站, 2、员工在上班时间禁止上购物网站,采购查阅资料除外,, 3、员工在上班时间禁止看视频网及与工作无关的网站～严禁在上班时间观看和下载电影、电视剧、体育比赛等娱乐节目, 4、严禁在网络上制作和传播不健康、有伤风化的信息～严禁浏览色情、赌博等非法网站, 5、员工在上班时间禁止利用BT、PPS等P2P软件下载与工作无关的资料, 五、养成良好的上网习惯～及时升级病毒库查杀病毒～不随意打开来历不明的电子邮件～不打开与工作无关的网页～防止病毒入侵。六、严禁未经许可的计算机接入局域网～严禁擅自允许非公司人员使用上网计算机。七、严禁在网络上发表损害公司形象、损害国家安全和社会稳定的任何言论。

八、为规范监督公司员工的上网行为～综合行政部将不定期对网络的使用情况进行巡检。对于出现违规现象的员工～将给予警告,情节严重者～将停止其计算机的网络连接出口并给予行政处分和相应处罚。九、本制度由综合行政部负责解释。十、本制度自公布之日起实施。

上网行为管理方案最新版本

上网行为管理方案 (员工上网控制) 构建安全、稳定、高效的企业网络行业背景分析 CNNIC最新数据表明：94.8%的中小企业配备了电脑、92.7%的中国中小企业接入互联网；57.2%的中小企业正在利用互联网与客户沟通及为客户提供咨询服务。从企业门户平台的建设到公文、数据的传递，从VPN企业专用信息通道到网络视频会议，网络应用已经成为广大企业提高工作效率，进行实时沟通的有力保证和手段；同时网络也成为企业收集各类信息、与外界沟通以及员工获得专业知识与信息的重要来源。然而，网络也是各种娱乐活动的渠道，是分散员工精力、生产力流失的根源，重要资料的泄漏和不可控的安全隐患也使广大企业面临巨大经济损失和法律风险。据美国科技调查机构IDC的调查指出：企业员工大约30％～40％对网络的使用是跟工作无关的。中国企业的情况略高于这个比例。中国员工每周花在网上处理私人事务的时间为5.6小时，中国的IT主管认为员工每周会花费至少6.2小时进行网上冲浪，83%的中层管理人员在办公时间内浏览与工作无关的网站。如果缺乏管理制度和技术手段，员工不加监管、随意使用网络将导致三个重大问题：工作效率低下、网络性能恶化、网络违法隐患。行业网络需求分析多线高速接入因为拨号接入方式比专线、光纤便宜很多，一般企业多采用ADSL这类的宽带接入。随着网络的应用越来越多，管理难度越来越大，很多企业一条宽带不够，再增加一条宽带；两条条宽带不够，再增加两条宽带。但这样就会出现多路接入、多个出口的问题，接入设备多，维护成本增大，给管理带来困难。因此企业需要多路宽带接入，特别是在业务范围覆盖全国的企业，还需要电信、联通线路的同时接入访问，消除跨网互通的问题。网络带宽管理一般来说，一个2M外网带宽的局域网，只要有2个以上的用户毫无节制地使用BT，所有人的正常网络浏览都将成为不可完成的任务。如果缺乏有效的技术手段，BT、迅雷、电驴、PPLive等P2P软件和在线影音等行为就会严重吞噬带宽资源，导致正常工作的带宽得不到保障，企业大量投资的宽带网络速度一天

网御安全隔离与信息交换系统技术文档

网御安全隔离与信息交换系统技术白皮书 V4.5 北京网御星云信息技术有限公司

网御安全隔离与信息交换系统技术白皮书目录引言 (1) 1产品概述 (2) 1.1产品定位 (2) 1.2工作原理 (2) 1.3技术特性 (3) 2系统架构 (5) 2.1硬件架构 (5) 2.2软件架构 (7) 3产品特色 (8) 3.1高安全的架构设计 (8) 3.2高速隔离交换性能 (8) 3.3专家级的数据安全 (8) 3.4广泛的应用适用性 (9) 3.5业内领先高可靠性 (9) 4技术优势 (10) 4.1安全性技术优势 (10) 4.1.1安全的隔离硬件 (10) 4.1.2安全的操作系统 (10) 4.1.3应用协议内容安全 (10) 4.1.4网络层安全 (11) 4.1.5强的抗攻击能力 (12) 4.1.6防IP地址盗用 (12) 4.2高性能技术优势 (12) 4.2.1并行处理技术 (12) 4.2.2协议自动处理技术 (12) 4.2.3双摆渡传输技术 (12) 4.2.4链路聚合技术 (13) 4.3适用性技术优势 (13) 4.3.1灵活的多网隔离 (13) 4.3.2灵活的安装部署 (13) 4.4可靠性技术优势 (13) 4.4.1端口冗余 (13) 4.4.2双机热备 (13)

网御安全隔离与信息交换系统技术白皮书 4.4.3动态负载均衡 (14) 4.5易管理技术优势 (14) 4.5.1强大、多样的管理方式 (14) 4.5.2高效的集中式管理系统 (14) 4.5.3完善的日志和审计 (15) 4.5.4友好的管理界面 (15) 4.6核心技术优势 (15) 4.6.1领先的多网隔离 (16) 4.6.2独创的硬件架构 (16) 4.6.3超强的抗攻击能力 (17) 5基本功能 (18) 6运行环境 (20) 7典型应用 (21) 7.1数据同步 (21) 7.1.1数据库同步 (21) 7.1.2文件同步 (21) 7.2代理访问 (22) 图片索引图1网御网闸工作原理图 (3) 图2网御网闸硬件架构原理图 (6) 图3网御网闸系统软件架构图 (7) 图5网御网闸数据库同步功能示意图 (21) 图6网御网闸文件同步功能示意图 (22) 图7网御网闸代理访问功能示意图 (23)

公司上网行为管理规范

员工上网行为管理规范为有助于大家合理利用工作时间，高效率地完成各项工作目标，更好地营造积极向上的工作氛围，提高公司的网络资源使用率，在不影响大家正常工作的前提下，特制定本制度。一、应用范围： 1、本制度适用于公司所有员工。 2、工作时间（8：30-12：00；13：15-17：45）必须遵守本制度。 3、下班时间公司上网行为必须遵守国家相关法规，不做有损他人以及团体利益的事情。二、员工上网行为规范: 1、上班时间在公司禁止玩电脑游戏、炒股、看电影等娱乐综艺视频、看小说、网购、买彩票等。 2、禁止安装与工作无关的任何软件。禁止在工作时间安装软件一览(请仔细阅读) 禁止安装软件名称危害:1.占用带宽2.限制别人电脑网速,从而加快自己速度. 3.整天乱下载,部分下载的东西捆绑病毒,入侵及传播网内其他的电脑,影响网速4.乱打开不良网页,中毒5.应用软件没及时打上漏洞补丁,导致系统中毒 P2P 、网路岗、聚生网管、网络执法官等限速软件采用多线程下载软件，如:迅雷、快车、网络蚂蚁、风行、QOVDPLAY 等P2P 多线程播放电视电影、音乐软件，如:皮皮、QQ 影音、P2P 网络电视、PPTV 、PPS 、迅雷等多线程在线音乐软件:如酷狗、QQ 音乐软件等. 在线炒股软件、游戏客户端软件、挂机练级、外挂软件 3、不得在上班时间下载与工作无关的文件和图片，如MP3、小说、电子影像文件等。 4、上班时间禁止利用电脑从事与工作无关的事或处理个人事务。

5、严禁公司员工私自接入无线设备（无线路由器、无线网卡……）来盗取公司网络资源。【安装无线路由器经人事行政部、总经理批准方可安装】 6、任何时间，员工不得将公司机密，包括计划、经营数据、业务资料、技术资料等通过网络或其他途径透露给他人，一经查明，公司将追究其责任。 7、提倡利用网络了解时事、学习业务、提高技能。三、解决方案及处罚规定： 1、公司将通过上网行为管理路由器来规范员工上网行为，提高网络资源使用率和员工工作效率，做到尽可能去避免上网行为给公司带来的损失。 2、如发现违规行为，将予以处罚：首次警告，第二次罚标准金额的20%（即10元），【20%标准不明确】第三次起罚标准金额（即50元）。做出以上规定的根本目的在于规范工作行为，提高正常工作效率，减少网络安全隐患，请各部门支持并执行。

深信服上网行为管理部署方式及功能实现配置说明.

深信服上网行为管理部署方式及功能实现配置说明（标化院）设备出厂的默认IP见下表：接口IP地址 ETH0（LAN）10.251.251.251/24 ETH1（DMZ）10.252.252.252/24 ETH2（W AN1）200.200.20.61/24 AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录，那么登录的URL为：https://10.251.251.251，默认情况下的用户名和密码均为admin。设备正常工作时POWER灯常亮，W AN口和LAN口LINK灯长亮，ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。『部署模式』用于设置设备的工作模式，可设定为路由模式、网桥模式或旁路模式。选择一个合适的部署模式，是顺利将设备架到网络中并且使其能正常使用的基础。路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能；网桥模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能；旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的上网数据，通过镜像的数据实现对内网上网数据的监控和控制，可以完全不需改变用户的网络环境，并且

可以避免设备对用户网络造成中断的风险，但这种模式下设备的控制能力较差，部分功能实现不了。选择【导航菜单】中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，会出现『路由模式』、『网桥模式』、『旁路模式』的选项，选择想要配置的网关模式。路由模式：是把设备作为一个路由设备使用，一般是把设备放在内网网关出口的位置，代理局域网上网；或者把设备放在路由器后面，再代理局域网上网。配置方法：第一步：先配置设备，通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是10.251.251.251/24，在电脑上配置一个此网段的IP地址，通过https://10.251.251.251登录设备，默认登录用户名/密码是：admin/admin。第二步：在【导航菜单】页面中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，出现以下页面：配置设备模式为路由模式，点击下一步

有线无线网络统一上网行为管理

有线无线网络统一上网行为管理随着Internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在IDC对全世界企业网络使用情况的调查中发现，在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。据IDC的数据统计，企业中员工30%至40%的上网活动与工作无关。这些员工随意使用网络将导致三个问题： ①工作效率低下。 ②网络性能恶化。 ③网络违法行为。企业网作为一个开放的网络系统，运行状况愈来愈复杂。企业的IT管理者如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题（如病毒、木马造成的网络异常），并进行快速的故障定位，这一切都是对企业网信息安全管理的挑战。以某一个公司的需求为案例来说，该公司主要需求点为企业无线覆盖以及整体网络实名制上网行为管理。办公区域的无线覆盖要求办公区域无死角，部署简单，维护容易，扩展方便，同时要求支持多SSID，不同的SSID通过不同的认证策略上网，办公wifi需要员工的账号密码才能登陆，访客wifi 默认为空密码，但需要关注公司微信上网或者通过短信认证上网等。企业整体网络行为管理需要做到以下几个方面： ?流量管理，能够细化控制网络的整体及各个终端的带宽（如设置每个部门或者用户每天或每月所能使用的带宽总额、以及实时带宽速率的控制等）； ?详细记录网络中各类上网日志，PC、手机、平板等终端利用公司网络外发的邮件信息、聊天内容（针对内部员工，安装客户端才可实现）、登陆的账号信息（QQ、邮箱等账号）、搜索的关键字信息，各种终端访问的网站、发送的言论、流量日志分析等； ?审计过滤，能够针对不同的网站及应用进行阻断审计，上班时间屏蔽购物、电影娱乐、网络游戏等网站，防止上班时间浏览非工作性网站，有效提高工作效率，合理利用公司带宽、能够针对敏感关键字的发帖/搜索等进行阻断与告警，有效规避法律法规、支持针对exe、bat、js等各种后缀的文件下载进行过滤，有效防范网页病毒、挂马等。结合上述的用户需求以及IT系统的现状，鑫塔科技可以为企业IT部门提供一套完整、可视、智能联动的互联网出口安全解决方案。部署拓扑图如下：

医院内网如何保障安全——联想网御内网安全管理系统在医疗行业的应用

医院内网如何保障安全——联想网御内网安全管理系统在医疗行业的应用作为医疗行业信息化的重要推动力，医院信息系统（ＨＩＳ）经过近二十年的发展，已经初具规模。目前，我国大部分医院网络系统分为两个部分——用于日常医疗信息交换的业务网以及实时获取Ｉｎｔｅｒｎｅｔ信息资源的办公网。其中的医院业务网是医院业务开展的平台，为了保障安全，业务网与办公网之间进行了物理隔离。然而，随着业务网应用的深入，业务网内网存在的一些不安全因素成为影响其正常运行的重大隐患，例如人员的非法接入、因员工滥用移动存储导致的信息泄漏，违规使用ＢＴ等Ｐ２Ｐ软件造成的带宽滥用等。为了保障内网安全，深化医疗信息化的发展，医院迫切需要一套有效的内网安全管理系统。联想网御综合多年对医疗行业用户需求的深刻理解，倾力打造联想网御内网安全管理系统（Ｌｅａｄｓｅｃ—ＩｓＭ）。联想网御内网管理系统的扩展技术遵循相关的国际标准，具有开放的ＡＰＩ接口，可支持对网络安全管理系统的集成、与身份认证系统的整合以及对第三方安全管理系统的二次开发。此外，联想网御内网管理系统可与联想网御其他产品实现有机联动，内网安全管理系统和ＵＴＭ产品的有效联动可以共同防御网络内部和边界的安全威胁，给医疗行业用户提够更加丰富的全网安全解决方案。因此，在医院业务网中部署联想网御内网安全管理系统，在业务网管理安全域没置管理中心，在所有服务器和终端主机上安装终端管理软件，（如图所示）能够有效防止病毒、木马与非法用户所带来的危害，保证医院的正常办公环境。针对人员非法接入的问题，Ｌｅａｄｓｅｃ—ＩＳＭ基于８０２．Ｉｘ协议或ＡＲＰ协议阻断等手段。能够有效地控制非法用户的接入，实现精确的准入控制，保证业务系统的正常运行；６２针对由于业务网与互联网物理隔离导致的操作系统补丁无法及时更新，安全漏洞无法及时解决等Ｉ’廿Ｊ题，Ｌｅａｄｓｅｃ—ＩＳＭ基于补丁分发管理功能，可自动实现终端主机的系统补丁更新，降低终端主机感染病毒的机会，增强安全性；针对闪医院员工滥用移动存储设备造成的信息泄露和病毒泛滥，Ｌｅａｄｓｅｃ—ＩＳＭ可在在线和离线的情况下，对终端主机硬件外没接口进行有选择性的禁用管理；针对内部人员滥用Ｐ２Ｐ软件，造成网络带宽被占用，工作效率下降的问题，联想网御基于采用进程管理和黑白名单等技术，对终端行为进行约束，终端只能运行被允许的特定应用程序，同时，通过设定终端主机流量来控制终端主机的访问流量；针对终端主机硬件信息统计困难的问题，Ｌｅａｄｓｅｃ—ＩＳＭ可随时统计终端主机的硬件配置和软件程序，并形成报表，同时，由于医院员工计算机知识欠缺，管理员常需要到现场解决问题，Ｌｅａｄｓｅｃ—ＩＳＭ基于远程协助技术，让管理员可远程对任意终端主机进行接管及操作。针对医院人员和部ｆＪ众多的特点，Ｌｅａｄｓｅｃ—ＩＳＭ还可基于分组管理功能，在控制台上可清楚呈现医院的组织结构，并按组进行统一策略配置。部署联想网御内网安全管理系统后，规范了内网用户的网络行为，有效保障了医院内网安全，降低了管理员维护难度，为业务网信息系统更有效发挥作用，推动医疗信息化向纵深发展创造了有利条件。◆ （责编马华）　万方数据

上网行为管理制度

通程泛华网络信息管理制度目的: 为加强公司网络管理，规范员工上网行为、提高工作效率，进行控制上网流量；合理分配带宽，提升网络资源利用率，保障公司信息安全，防范网络风险。特制定下列管理办法：一、计算机，网络设备与使用者管理 1.1严格落实办公计算机、IP 地址、电脑账号使用人负责制。按照“一机一址、谁使用谁负责”的原则，登记计算机信息、IP 地址、电脑账号。登记人使用该计算机、IP 地址、电脑账号的直接责任人，对该计算机和IP 地址、电脑账号的信息安全、网络行为负责。使用人发生变动后报网络信息部进行信息修改及更新。 1.2责任人不得擅自拆卸、改变计算机内部配件。不得修改计算机的软硬件设置、IP地址、DNS等。严格禁止盗用他人计算机、IP地址、电脑账号、0A等各类信息系统的登录账号，否则，一经查出，罚款50 元。进入公司文化建设基金。 1.3严禁私拉网线，严禁私用路由器及所有影响网络正常运行的设备。网络资源、IP 地址、电脑账号由网络信息部统一分配，严禁私拉网线，严禁私用路由器及所有影响网络正常运行的设备。如因办公需要增加路由器等设备，需在向网络部信息部报备，填写设备申请单。 1.4保护计算机及周边设备，不要在计算机及周边设备旁摆放有碍计算机散热的物品，以免损伤，烧毁计算机。使用者每隔一季度须自行清理计算机灰尘一次。保持计算机及周边设备的卫生清洁，减少灰尘二、网络信息访问管理

2.1 上网权限与分配为了有限管理公司网络安全和保密文件，对于特定电脑进行禁止上网规范。对于申请开网和临时开网需通过网络申请表，申请审批过方可开通上网权限。网络信息部负责对公司电脑用户上网行为通过防火墙进行控制，对公司内部网络环境进行监控。主要包括访问网站、即时通讯、P2P行为、流媒体软件等。以规范员工的网络权限。 22禁止安装和使用非公司指定即时通信工具，如yy、pp、MSN ICQ Skype、UC和POPO等。如果有特定业务需求，须向网络信息部申请安装，禁止私自安装。 2.3禁止利用公司网络，访问BBS博客和网络游戏，如QQ游戏、等游戏。 2.4禁止利用公司网络，发布、浏览或散播娱乐、购物、反动、邪教、色情、赌博、交友、证券和暴力等一切与工作无关的网络信息。 2.5禁止浏览在线视频，如优酷、土豆、PPLive 和Qiyi 等。 2.6 禁止使用在线炒股软件、游戏客户端软件、挂机练级、外挂软件 2.7 禁止在网上下载破解软件、辅助外挂等软件三、网络流量管理 3.1禁止安装和使用P2P 及其它影响网速的上传下载软件，如BT、

网络安全等级保护-联合大学上网行为管理集中管控方案

联合大学网络安全等级保护上网行为集中管控解决方案

目录第1章概述——需求分析 (1) 第2章深信服解决方案 (1) 2.1组网拓扑 (2) 第3章方案价值 (3) 3.1控制功能：细致的访问控制，有效管理用户上网 (3) 3.2带宽及流量管理功能：强大流量分析及带宽划分与分配 (4) 3.3方便高效的集中管理 (4) 3.3.1集中管理 (4) 3.3.2实时监控 (5) 3.3.3智能升级 (5) 第4章典型客户 (5)

第1章概述——需求分析随着互联网行业的逐渐发展，网络已经发展成为联合大学不可或缺的办公依托，然而校园网内用户肆意的上网行为也带来挑战。网络中心的监管压力，内部的管理压力，这一切都要求联合大学对各个分校区的互联网进行有效的管理，具体问题如下： 1）大量的非业务资源的访问（P2P/BT/在线影音）、超大文件的传输、上传、下载吞噬出口带宽资源，造成关键业务应用访问速度严重降低，带宽出口的瓶颈日益显现出来。 2）互联网的开放性带来了资源的传播和共享，同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷，如何在日常工作中过滤这些不良网页，为学校创造一个健康的绿色的网络环境。 3）网络的开放性给网民带来更多的言论自由，但互联网上部分不负责任人士发表一些类似色情、反动、迷信或者暴力的信息，影响其他人士，造成了不必要的影响。第2章深信服解决方案充分考虑联合大学的实际网络状况，建议采用上网行为管理的集中部署解决方案。上网行为管理策略： 1）通过强大的流量管理系统轻实现基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制，进行带宽划分和分配，实现带宽资源利用率的最大化。 2）内置千万级URL库，具备URL智能识别功能，对反人类、反政府、色情、赌博、毒品等包含不良信息的网页进行过滤。 3）可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站，可设置看帖看不允许发帖，或者实行发帖关键字过滤，避免发表不良言论给学校带来法律追究责任的风险。 4）对所有日志进行报表呈现、数据分析，做到全网网络的透明化管理。整套网络由联合大学总部及4个分校区组成，由总部集中管理设备实现统一管理： 1）方便快速部署：通过总部的集中管理平台，实现对各校区上网行为管理的配置、选

深信服NC500上网行为管理系统技术规格要求 .doc

深信服NC-500上网行为管理系统技术规格要求一、产品服务明细： 2个千兆光口，1个RJ45串口，尺寸2U。二、服务要求： 1. 质保期限：36个月； 2. 安装调试服务：提供上门进行实施和调试，保证设备实施工作和调试工作； 3. 产品质保服务：本次投标全部产品验收通过后，深信服科技承诺对用户所购买的深信服产品（包括硬件设备、模块、部件等）享受所购服务期内的维修或更换保修服务。 4.软件升级服务：提供服务期限内免费产品软件版本升级服务； 5. URL库升级：提供服务期限内免费URL库升级服务； 6. 7x24小时电话支持：全国免费售后服务热线：400-630-6430为用户解答设备使用中遇到的问题，并及时提出解决问题的建议和操作方法；7x24小时在线技术支持服务；技术支持论坛：技术支持邮箱： 7. 增值服务：承诺出具技术人员给予现场安装、调试、现场技术培训及集中技术培训，并提供供应商上门取送修服务； 8. 故障响应：针对本次投标的所有产品提供5*8小时现场保修和技术支持服务，报修后2小时内电话响应，24小时内上门相应，72小时内实现故障修复，如诊断为硬件故障，携带备件并进行现场更换，承诺尽力在最短时间内恢复系统正常运行，如果故障不能在72小时内排除，提供免费替换服务。 9. 产品和配件更换：当本次投标产品发生非人为因素严重故障时，免费在七日内将补充或者更换的产品运抵发生故障的货物所在地，由此产生的一切相关费用由深信服负担。保修期内所有因更换或修理货物或部件而导致货物停止运行的时间应从质保期内扣除。所有的替代零配件是新的原厂、未使用和未经修复的。三、资质要求 1. 投标人需是中央国家机关政府采购网深信服产品协议供货商，且在本地或在本地有销售或服务网点。 2.投标人所投报价为最终报价，从服务起始时间到服务终止时间等一切费用，我单位不再另行支付任何费用。 3.投标人报价后被选中却无法按竞价要求提供服务的，将列入我单位“不诚信供货商”清单，不再准许参与我单位相关采购活动。 4.供应商在竞价时须以附件形式上传相关资质证明。

网御网络审计系统V3.0(运维安全管控型)-管理员使用手册-346系列-v1.0-20141219更新

网御网络审计系统V3.0 （运维安全管控型）管理员使用手册北京网御星云信息技术有限公司

文档修订记录

目录 1 概述 (6) 1.1 关于本手册 (6) 1.2 格式约定 (6) 2 初始化配置 (7) 2.1 完成配置向导 (7) 2.1.1 设置密码策略 (7) 2.1.2 设置管理员账号和密码 (8) 2.1.3 配置主机网络参数 (9) 2.1.4 导入授权文件 (10) 2.1.5 确认配置信息 (11) 2.1.6 向导配置完成 (12) 2.2 管理员登录 (13) 2.3 配置认证方式 (15) 2.4 添加管理员 (16) 2.5 系统密码策略 (17) 3 用户管理 (18) 3.1 添加用户 (18) 3.2 编辑用户属性 (20) 3.3 用户其它操作 (22) 3.4 用户组织机构 (23) 4 资源管理 (24) 4.1 添加资源 (24) 4.2 编辑主机 (27) 4.3 主机其它操作 (28) 4.4 资源组 (29) 4.5 资源分类 (29) 4.6 资源系统类型 (30) 4.7 资源AD域 (31) 5 策略管理 (32) 5.1 访问策略 (32) 5.2 命令策略 (35) 5.3 集合设定 (37) 5.3.1 时间集合 (37) 5.3.2 IP集合 (38)

6 审计管理 (40) 6.1 实时监控 (40) 6.1.1 会话监控 (40) 6.1.2 实时监控 (40) 6.2 日志查询 (41) 6.2.1 管理日志 (42) 6.2.2 登录日志 (44) 6.2.3 审计日志 (45) 6.3 审计报表 (48) 6.3.1 报表模板 (48) 6.3.2 自定义报表 (50) 7 密码管理 (53) 7.1 密码策略 (53) 7.2 自动改密计划 (53) 7.3 自动改密结果 (55) 7.4 下载密码列表 (55) 7.5 手动改密 (56) 8 系统管理 (57) 8.1 系统信息 (57) 8.1.1 授权信息 (57) 8.1.2 系统升级 (58) 8.1.3 配置备份 (59) 8.1.4 数据备份 (60) 8.1.5 电源管理 (60) 8.2 系统选项 (61) 8.2.1 高可用性 (61) 8.2.2 格尔认证 (62) 8.2.3 认证源 (64) 8.2.4 网络配置 (64) 8.2.5 时间配置 (65) 8.2.6 超时配置 (66) 8.3 接口配置 (67) 8.3.1 Syslog (67) 8.3.2 短信 (67) 8.3.3 邮件 (68) 8.3.4 SNMP (69) 8.3.5 资源同步接口 (70) 8.4 设备管理 (70)

员工上网行为管理规定

欧意德动力集团文件欧意德动力[ 2009 ]1221号签发人：梁嘉迅关于发布办公室各项管理制度及流程的通知各单位：为规范办公室各项管理工作，提高办公室工作效率，特制定并发布办公室各项管理制度及流程，详见附件。附件：《档案管理制度》、《车辆管理制度》、《员工胸卡管理规定》、《员工上网行为管理规定》、《接待管理制度》、《卫生管理制度》、《办公用品管理规定》、《欧意德动力集团会议管理制度》、《欧意德动力集团发文审批流程》、《欧意德动力集团EMS 发件审批流程》、《欧意德动力集团宴请审批流程》、《欧意德动力集团突发事件报告处理流程》二〇〇九年十二月二十九日主题词：发布制度流程通知主送：华泰汽车控股集团董事长、总裁；欧意德动力集团总裁、副总裁、总监、总裁助理抄送：华泰汽车控股集团董事长办公室、集团办公室；欧意德动力集团销售公司市场开发部、应用工程部、客户服务部、综合管理部；发动机研发中心产品开发部、技术管理部、试验标定部、综合管理部；变速箱研发中心产品开发部、试验标定部、技术管理部；质量部、计量室；工艺技术部；生产管理部、设备动力部、总装车间、机加车间、变速箱车间、采购部；人力资源部、办公室；经营管理部、财务部发文：办公室拟稿：赵雪丽共96页存档：1份共35份

员工上网行为管理规定 OED/GZ/1.0/BG-007/2009 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1 目的为了规范欧意德动力集团（以下简称集团）员工上网行为，维护正常的网络办公秩序，特制定本管理规定。 2 适用范围本规则适用于欧意德动力集团所属各单位、各部门。 3 规范性引用文件《OED动力集团员工奖惩制度（试行）》《OED动力集团员工行为规范管理制度》 4 上网权限申请范围 4.1 副经理及以上级别员工(包括总裁助理．高级技术经理等职位)可直接开通上网权限；副经理级以下级别员工因工作需要，需申请开通上网权限者，须由所在部门领导提出申请，经批准后方可开通。 4.2 人力资源部门负责招聘的岗位需要上互联网发布和查看简历，需要用MSN,QQ 等聊天工具和应聘者沟通，可申请批准开通上网权限。 4.3 财务部门网上报税岗位可申请批准开通上网权限。 4.4 采购部门需要利用互联网查询产品信息，可申请批准开通上网权限。 4.5 各部门领导应根据部门内各岗位职责，严格控制互联网访问权限，工作内容与批准日期：2009-12-29 实施日期：2009-12-29 第 1 页共4页OED/GZ/1.0/JG-001/2009

手机上网业务的现状及其发展趋势

手机上网业务的现状及其发展趋势一、手机上网业务的发展现状中国移动互联网从2005年开始快速增长、与此同时，独立的免费WAP网站开始出现并流行。目前免费WAP站点8370个(包括个人站点1。截至2005年11月底，中国免费WAP站点静态网页数为264.2万，与SP站点、移动梦网、互动视站点的网页总数基本相当。与移动梦网相比，免费WAP网站由于低廉的价格(免信息费)、灵活的机制、更贴近用户的内容整合等因素，培养了大批忠实用户，促进了移动互联网的繁荣。根据对免费网站用户消费行为的分析，用户对资讯信息类、互动娱乐类和无线社区类业务有很强的潜在需求。而与互联网相结合的IM业务也显现出其竞争优势。二、制约手机上网业务发展的因素 1、资费因素：手机上网已成通讯行业发展趋势，手机已经走入了大家的生活，手机的价格也已经是越来越低功能是越来越多，手机给人们的生活添加便捷，手机上网内容更是丰富多彩，就拿移动手机推出飞信在电脑上安装客户端，只要是飞信好友都能免费给移动手机发短信，有名的腾讯qq也从电脑互联做到了手机上qq，手机访问https://www.wendangku.net/doc/0a10661504.html,就能直接上qq了，在手机搜索访问页面上可以搜索到的免费信息也不逊于电脑上网，各种信息也应有尽有，但手机加电脑上很方便，但速度很低费用太高。这在某种程度上影响着用户对业务的使用。目前，手机上网业务资费主要由通信费和信息费两部分构成，通信费主要指GPRS流量费，归中国移动所有，信息费与SP进行分成。较高的资费势必影响用户对业务的接受程度，如何在保障收入和吸引用户中取得平衡，是数据业务定价需要考虑的问题。 2、终端因素：目前市场上终端对于支持GPRS和WAP功能已有了较大改善,2005年国内手机出货8468万部，其中超过87％的产品具备了WAP浏览功能，但各款终端仍然存在着屏幕大小、显示内容支持等各种不一致之处，对手机上网业务的开发和推广造成一定困难。其对于kjave下载、手机电视等应用的制约影响则更为明显。另一方面，终端的设置较复杂，使用门槛高。使用手机上网业务，首先必须申请开通GPES功能，其次对于非定制终端需要进行设置，用户再通过浏览器登陆到“移动梦网”方可访问到业务。对于不同的终端，设置参数的位置和浏览器名称及位置都不尽相同，赠加了指导用户使用的难度。 3、宣传推广手段因素：手机上网业务较短信而言较教育用户，因为用报纸，用群发这些以前短信上最有效的手段已经难以说得清楚。新的、有效的宣传推广手段对于GPRS业务的发展十分重要。新业务推广。需要改变用户的使用习惯，培养用户的使用兴趣。对于手机上网业务-缺少像短信、彩信那样，通过用户之间互相转发的方式，培养用户使用习惯的方式。 4、SP的管理问题：业务发展中，存在部分SP／CP在高额利润的诱惑下，

联想网御安全隔离与信息单向导入系统技术白皮书

联想网御安全隔离与信息单向导入系统产品白皮书 Leadsec Uni-directional GAP V2.0 ?绝对的单向数据传输 ?防止涉密信息泄露 ?应用独立和非入侵性 ?高效、可靠数据传输

目录 1.产品介绍 (4) 1.1产品概述 (4) 1.2产品架构设计 (5) 1.2.1硬件架构设计 (5) 1.2.2软件系统设计 (5) 1.3工作原理 (6) 2.核心功能介绍 (8) 2.1 信息单向导入功能 (8) 2.1.1单向文件传输 (8) 2.1.2单向数据库同步 (9) 2.1.3单向邮件传输 (9) 2.2系统安全控制功能 (10) 2.2.1安全管理 (10) 2.3.2传输控制 (10) 2.3.3病毒检测 (11) 2.3系统监控及日志审计报警功能 (11) 2.3.1系统监控功能 (11) 2.3.2日志审计 (11) 2.3.3报警功能 (11) 3产品特色 (12) 3.1绝对单向无反馈传输 (12) 3.2高可靠数据传输 (12)

3.3全面的数据安全检测 (13) 3.4应用独立和非入侵性 (13) 4产品功能规格 (14) 4.1基本功能 (14) 4.2硬件规格 (15) 5.运行环境 (15) 6.典型应用 (15) 6.1单向文件传输 (15) 6.2单向数据库同步 (16) 6.3涉密网络邮件接收 (17)

1.产品介绍 1.1产品概述对于涉密信息系统的保护向来受到国家的重视，2007年3月国家保密局和国务院信息化工作办公室联合颁布了《电子政务保密管理指南》（以下简称指南），指南中规定了电子政务涉密信息系统与电子政务非涉密信息系统的连接条件，指出当秘密级电子政务院涉密信息系统（或安全域）与互联网或其他公共信息网络物理隔离时，应同时满足电子政务非涉密信息系统（或安全域）与互联网或其他公共信息网络的逻辑隔离，可以采用“安全隔离与信息单向导入系统”将涉密信息网络与非涉密信息网络进行连接，数据仅能从非涉密信息网络流向涉密信息网络。该规定在政策层面解决了涉密信息网络与非涉密信息网络连接的问题，促进了电子政务信息化的发展，从而也促进了安全隔离与单向信息导入产品的完善和发展。为保证高密级别网络中的数据不能流向低密级网络，但低密级网络中的数据可以流向高密级网络(数据机密性要求)，彻底解决高密级网络信息泄露的问题，只有采用无反馈的单向传输技术。联想网御开发的安全隔离与信息单向导入系统采用了独特的“单向无反馈传输”技术，从物理链路层、传输层保证数据的绝对单向流动。同时系统采用了独创性的、先进的纠错编码技术、ASIC并行处理技术和MRP（多重冗余技术）保证系统的高可靠性、高容错性、高安全性和高稳定性。联想网御安全隔离与信息单向导入系统特别适合下述应用场景： ●无涉密网络到涉密网络的数据传输； ●低密级网络（安全域）向高密级网络（安全域）的数据传输；

上网行为管理规范

上网行为管理规范第一章、总则：为了规范上网行为，维护网络安全，提高工作效率，充分发挥网络信息服务于工作需要的重要作用，结合我公司实际，特制定本规定。第二章、范围：第三章、内容：第一条所有用户不得通过网络制作、复制、查阅和传播下列信息：（1）、煽动抗拒、破坏宪法和法律、行政法规实施的；（2）、煽动颠覆国家政权、推翻社会主义制度的；（3）、煽动分裂国家，破坏国家统一的；（4）、煽动民族仇恨，民族歧视、破坏民族团结的；（（5））、捏造或歪曲事实，散布谣言，扰乱社会秩序的；（6）、宣传封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的；（7）、公然侮辱他人或者捏造事实诽谤他人的；（8）、损害国家机关或本公司信誉的；（9）、其他违反宪法和法律、行政法规的。第二条严禁通过网络共享和泄露公司机密，如：经营数据、业务资料、技术资料等；第三条上网行为规定：（1）、不得在上班时间浏览与工作无关的网站，如：新闻娱乐类网站、购物类网站、视频网站、BBS、博客等，如确有工作需要查阅相关信息，必须提前以书面申请形式，告知公司IT部门，IT部门做好记录及监督；（2）、不得在上班时间利用QQ等即时通讯工具进行与工作无关的网络聊天；（3）、不得安装一切与工作无关的软件，不得在上班期间利用电脑进行涉及私人事务的活动，如:炒股、网上购物等，除工作原因的网上购物除外；（4）、禁止在公司办公电脑上安装、运行各类游戏软件，在公司任何时间禁止进行各种形式的电脑游戏、看电影或者听音乐等活动；（5）、一切流媒体网站如：土豆网、博客网、优酷网等一律禁止访问；（6）、；严禁利用迅雷、BT、电驴等基于P（2）P协议的下载工具下载与工作无关的资料，员工私自下载安装软件将视为违反公司规章制度，公司将根据造成的后果不同

上网行为管理部署方案分析

上网行为管理部署方案分析上网行为管理产品在网络管理中已经是一个不可或缺的部分，并且已经得到了广泛的使用。大家在选购上网行为管理产品的时候，一般都关注功能和价格。实际上，产品的部署方案才是优先考虑的因素。本文将讨论上网行为管理产品的几种典型部署方案，及各自的优缺点分析。旁路部署方案旁路部署的网络结构图如下（以WFilter上网行为管理软件为例）：旁路部署方案的优点 1.旁路部署方案是对当前网络影响最小的监控模式。 2.充分利用已有硬件的功能，部署方便，不会影响现有的网络结构。 3.不会对网速造成任何影响。旁路模式分析的是镜像端口拷贝过来的数据，对原始数据包不会造成延时。 4.旁路监控设备一旦故障或者停止运行，不会影响现有网络。 5.旁路部署方案一样可以对上网行为进行控制。旁路部署方案的缺点 1.需要交换机或者路由支持“端口镜像”功能才可以实现监控。

2.旁路模式采用发送RST包的方式来断开TCP连接，不能禁止UDP通讯。对于UDP应用，一般还需要在路由器上面禁止UDP端口进行配合。旁路部署方案总结如果现有的网络设备运行稳定，且对网络的稳定性要求高。在不考虑升级硬件的情况下，首先应当考虑旁路部署的软件方案，这样可以以最小的代价来部署上网行为管理，而且不会影响现有网络的稳定性。串联部署方案串联部署方案有两种：网关模式，网桥模式。如下图：

?网关模式：用上网行为管理产品替换现有的网关（路由器、防火墙）。 ?网桥模式：用上网行为管理产品串联在网关和核心交换机之间。串联部署方案的优点 1.解决了旁路部署方案的缺点，可以进行流控，可以禁止UDP通讯。 2.硬件维护比较单一，避免了软件的兼容性问题。串联部署方案的缺点 1.需要购买新的硬件产品，并替换掉现有的网关。造成硬件资源的浪费。 2.网络中增加了新的硬件，稳定性需要时间的磨合。 3.增加了单点故障的可能性。串联设备一旦死机或者掉电，会导致网络中断。串联部署方案总结公司决定升级现有设备时，可以考虑购买一台行为管理硬件产品，并且进行串联部署。但是串联部署的设备一定要进行一段时间的稳定性测试，确保不影响网络稳定性。总体来说，根据公司的预算，现有网络状况来判断是进行旁路部署还是串联部署。旁路部署优选软件方案（推荐WFilter上网行为管理软件），串联部署优选硬件方案。

2015员工上网行为管理办法

《员工上网行为内部管理办法》为进一步加强公司网络管理，规范上网行为，防止占用宽带和滥用互联网资源，提高工作效率，保障公司信息安全，防范网络风险，结合我公司实际情况，制定以下管理办法： 1、所有联网部门的领导对上网行为规范管理工作要高度重视，加强对本部门上网人员教育，培养员工树立保密意识、法制意识、责任意识、自律意识，文明上网。 2、所有员工应牢固树立安全意识和保密意识，保管好个人账号，对于操作服务器的用户必须严格保密账号口令，严禁在网上共享和泄露公司战略计划、经营数据、业务资料、技术资料等公司机密。 3、严禁在上班时间访问与工作无关、含有不良信息以及存在安全隐患的网页；严禁浏览色情、赌博、暴力等非法网站。 4、严禁在网络上发表损害党和政府形象、损害国家安全和社会稳定的任何言论。 5、严禁在公司OA协同办公、QQ、飞信等网络应用上制作和传播不健康和有伤风化的信息，禁止在上班时间进行与工作无关的网络聊天。 6、严禁在上班时间玩电脑游戏；严禁在上班时间观看和下载电影、电视剧、体育比赛等娱乐节目； 7、严禁利用BT、迅雷等P2P协议的下载工具下载资料。 8、养成良好的上网习惯，及时升级病毒库查杀病毒，不随意打开来历不明的电子邮件，不打开与工作无关的网页，防止病毒入侵；用户在外发邮件或上传文件时，应提前查杀病毒。 9、为保持系统的稳定，只安装与办公有关的常用软件，将电脑中没用的软件和插件及时删除，可以提高电脑和网络的运行效率。

10、严禁将未经许可的计算机和移动终端接入局域网，严禁擅自允许非公司人员、非本部门人员使用计算机和移动终端。 11、以上上网行为规范，请务必严格遵守。信息中心将不定期通过IP 流量分析和实地检查的方式对网络的使用情况进行巡检，规范和管理用户的上网行为。对于出现违规现象的用户，给予警告；情节严重者，将停止其计算机的网络连接出口；对不遵守以上规定，造成公司较大损失的，将视情节轻重追究当事人及部门主管领导的责任；造成违法犯罪的，移送公安机关处理。公司上网行为管理办法为加强公司网络管理，规范上网行为，防范网络风险，特制定下列管理办法：一、工作时间，需要发送大邮件及传送、下载特大文件。 1、涉及要发大邮件，大文件通过QQ传等1G以上的，可以在中午休息或晚上发布，避开上班高锋时段。 2、涉及特大文件等1G以上要下载的，可以通过网络责任人的服务端用多线程下载，后通过FTP 共享。二、禁止在工作时间安装软件一览(请仔细阅读) 三、禁止在工作时间上网行为 1、通过网页或软件下载与工作无关的资料。 2、看网络电视，电影。 3、利用网页，网络隐藏开外挂游戏练级和偷菜，种菜等FLASH游戏端。 4、利用公司带宽炒股。 5、与工作无关的网络聊天。 6、在线听音乐。