上网行为管理及日志审计方案

1

非经营性场所

网络行为管理建议方案

红河州方程数码科技有限公司

联系人：张祥

2014年4月

TOC\o"1-5"\h\z

\o"CurrentDocument"

需求分析4

2.1现有网络结构4

2.2非经营性场所上网管理需求4

\o"CurrentDocument"

系统架构6

\o"CurrentDocument"

系统功能7

\o"CurrentDocument"

4.1PAG功能7

\o"CurrentDocument"

技术特色13

\o"CurrentDocument"

5.1独创技术13

\o"CurrentDocument"

5.2系统特色14

\o"CurrentDocument"

6•总结16

1.前言

在过去的十多年里，互联网从最初的单纯地为国防、科研、教育所用的计算机网络演变成现在的为众多的医院、企业、政府、组织、学校和个人所离不开的全球网络。人们在网络上的应用从最初的发送文本电子邮件，浏览静态的信息网页，发展到现在的多媒体、即时通信、视频音频通讯，了解世界的动态，销售、采购各种商品等。互联网的持续发展缩短了人与人之间的距离，改变了人们的交流方式和工作习惯。互联网的影响力及给社会带来的好处不言而喻，但其带来的负面影响也是有目共睹。正因为互联网的方便性和隐蔽性，也给一些不法之徒提供了很多可乘之机，如：通过网络从事色情、诈骗、赌博，传播不良信息等事件时有所闻。网络如果不进行有效的监管，其后果可想而知。

如何应对互联网带来的负面作用？难道是拒绝使用？这恐怕是不可能的，网络已经成为绝大部分公司企业和政府部门的不可缺少的工作手段，害怕互联网的负面影响而隔离于互联世界之外无异于“闭关自守”那么，在使用互联网的前提下，怎样使网络资源更好地发挥作用就摆在了所有网络管理者的面前了。

•如何保证人们的上网行为是合理的、有效的？

•如何有效实施主管部门的互联网管理政策？

•如何避免不法之徒通过互联网传播不良信息？

•如何保证一个健康、有序的网络环境？

•如何准确、及时发现异常的网络行为？

应该说互联网的广泛应用和迅速发展给我们带来了挑战，管理得好可以维护社会稳定，提高企事业单位的工作和生产效率，反之则可能激化社会矛盾，影响正常工作次序。公安部据此颁布第82号令《互联网安全保护技术措施规定》要求所有互联网联网单位或服务提供者需要部署保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法，从而保障互联网网络安全和信息安全，促进互联网健康、有序发展，维护国家安全、社会秩序和公共利益等。

作为国内“网络行为管理”产品最早的研发单位之一，上海云南盈资信息技术有限公司一直致力于各种上网行为管理、监控技术的研究。推出的“PAG”系列产品就是为了满足管理部门对各种网络行为的管理和监控的需要，完全符合公安部82号令对管理的要求。目前“PAG”已广泛地在政府机关、医疗单位、企事业单位、酒店宾馆、学校等投入使用，该产品以灵活而又贴近用户的设计理念深受企事业单位的喜爱。

本方案主要针对非经营性场所上网行为方面的需求介绍云南盈资推出的“PAG”解决方案。

需求分析

2・1现有网络结构

目前网络拓扑结构一般如下图所示:

用户

2.2上网管理需求

通过多年云南盈资非经营性场所互联网管理的实施经验，我们觉得非经营性场所对于上网行为管理需求主要集中在以下几个方面：

1、实时监控

可以实现实时监控当前网络的使用情况，即时查看用户访问互联网各类应用的信息，包括访问的时间、访问的协议、IP地址、访问的内容、数据的流量和所占带宽等。

2、访问控制

提供完整的访问控制管理策略，可灵活地按用户角色或者按员工、部门以及整个航天航空单位对上网行为进行控制，可以根据时间段、服务、网址、流量等手段进行控制。

3、内容监控：（注具有相关隐私）

可对上网内容进行监控，包括邮件内容、WebMail、即时通信内容（QQ、MSN、ICQ、雅虎通等）、BBS发贴、FTP和Telnet会话内容等。系统自动按选择条件对监控的内容进行记录分类,。

4、上网统计分析

提供数十种统计报表对上网流量、时间等进行统计，可生成各类排行榜，并可以图表的方式从各个角度对员工上网情况进行分析。灵活的条件输入和结果选择，几乎涵盖管理者的各种要求。统计结果可导出到Excel表格，方便进行二次处理。

5、带宽管理

可以按部门、个人以及服务类型等来制定策略对带宽进行管理。可将带宽划分成若干个虚拟通道，设定每个通道的带宽，上、下载速度的限制，优先级和管理策略，可以灵活控制每个人的上网带宽。

6、身份认证

可以实现单位内所有上网人员的准入认证，没有认证授权的人员一律不能上网。避免当前的随意接入局域网上网现象。

总之，非经营性场所需要一套能安装简单、满足需求、方便使用的上网行为管理系统，云南盈资所推荐的“PAG”解决方案能满足非经营性场所的上述管理需求。

系统架构

根据非经营性场所的需求和以往系统实施的经验，我们设计了一套适应当前

需要和兼顾对未来业务扩展进行有效支持的系统架构。结构如下图所示：

INTERNET

路由器

网络督察

核心交换

用户

PAG作为上网行为管理设备部署网络出口干路，以透明网桥连接的方式串接在核心交换与防火墙之间，进行网络行为管理、安全审计、信息过滤和带宽管理。具体连接方式是：将PAG的二个网口配置成网桥模式，ETHO外网口连接到防火墙，ETH1连接到核心交换机。这种网桥的部署方式可以对访问Internet的用户进行有效的管理，并且安装简单，对原有网络拓扑结构不需要做大的改动，

对网络传输性能也基本没有影响。

系统功能

PAG是一个功能强大的网络行为管理系统，其所有功能都是面向管理人员而设计的，其目的是为了解决内部局域网人员的上网管理。

4.1PAG功能

•用户管理

系统支持以IP地址、MAC地址、验证帐号等为参照的用户管理模式，并可对用户分组多层管理。对不同人员可以设置免监控、不监控邮件内容等不同的监控级别。

•实时监控

可以通过浏览器实时查看用户当前的上网情况，包括其访问的IP地址、网址、服务类型、流量等等，了解网络目前应用状况，及时进行控制和调整，保障网络正常运行。

系统连续运石

在銭用尸12注冊用户125当前ip连接数51当前系姣时间

2006年09月28日11:46:43

-

今日各种网络服务涼量分析前八小时网络出口涼量趋势图系统信息

实时告警信息系统运行信息

在线用户^more归档信息统计more今日网站访问排行榜□more

用户名

IP地址

流量(bytes)

归档信息

本日

本周

本月

总计

序号

网址

次数

王明强

25

53,041,150

IP记录

4165

131545

543838

1274012

1

rad.mmcom

52

王剑宇

20

44,721,573

http记录

2212

22103

238967

582009

2

39

张洛奇

2

26,75®210

聊天记录

1531

389500

497261

850224

3

beacon,

38

王礼皙

21

18,222,370

发邮件

0

0

4469

6582

斗

download,windowsupdate,com

35

左琴

6

16,307,471

收邮件

0

0

3602

15443

：5000

34

田瑶笔记本

1

16,286,301

webmail

1

18

293

616

6

210.

32

88

88

10,16®662

表单记录

26

2393

8514

18157

7

28

CRM

6,313,094

吉警记录

0

0

59726

59726

8

25

杨华

9

5,276,503

阴断记录

145

1443

6558

6677

9

mail,google,com

25

薛俊杰

5

4,824,587

FTFiS录

0

0

321

3183

10

25

■日志记录

详细记录用户的上网的各类日志，包括HTTP、SMTP、POP3、Telnet、FTP、

QQ、MSN、游戏等数十种日志，同时记录了访问时间、IP地址、MAC地址、流量等重要信息，日志可以按照要求保留90天以上并可组合查询。

|用户上网日舍、I打连接日志、|网站访月日志〔.、外发表单日凯收发邮件日点、1聊天记录'IFTP/TELKET、'l上网阻断日£告警日护\

I查询|「刷新II导出I网站访问日志〔首页Al6I页末页］

姓名

本人地址

网址

网址类别

网址说明

目标ip

访问时间

流量1

9

htto:///ecommerce/ad/a・..

38:80

09/2811

29:14

勺29£

杨华

9

http://sms

./zhuanti力vr/ivr.html

4:80

09/2811

29:14

773

杨华

9

3:80

09/2811

29:14

1,972

畅华

9

http://soqou

.com/cDc/adsense.Dhp?CDct=PTT...

4:80

09/2811

29:00

14,358

畅华

9

/index.html?pid=s...

05:80

09/2811

28:59

1,733

杨华

9

http://news

.online,/news/qb/content/2...

6:80

09/2811

28:48

12,679

杨华

9

htto://fodder,

:80

09/2811

28:47

20^625

王剑宇

20

httD：//tiil.moD.com/calculate?id=221

4:80

09/2811

28:46

lx256

壬剑宇

20

httD：//ii.moD.com/&

00:80

09/2811

28:45

3,806

壬剑宇

20

httD：//tt.moD.com/dzhriaht.html

21L100.32.247:80

09/2811

28:43

7,867

王剑宇

20

http://ii

./htm/dzhqeekrank.isD

00:80

09/2811

28:43

7,060

王剑宇

20

42:80

09/2811

28:41

967,719

王剑宇

20

http://moDaa.moD.com/adshow.isp?D=69

26:80

09/2811

28:40

9,600

王剑宇

20

httD：//dzhl.moD.com/dwdzh/toDic/readClick...

47:80

09/2811

28:40

1,413

王剑宇

20

/static/is/roseMsq.is?var...

46:80

09/2811

28:33

10r372

壬剑宇

20

htto://

/

utm.aif?...

47:80

09/2811

28:33

1,253

王剑宇

20

htto:///online.isD

7:80

09/2811

28:32

切的

王剑宇

20

htto://dzhl.moD.com/hjnction.Isd

47:80

09/2811

28:32

2,691

壬剑宇

20

httD：//

www.moD.com/3/274.html

45:80

09/2811

28:31

43,406

壬剑宇

20

htto://dzhl.moD.com/search.isD

21L100.32.247:80

09/2811

28:31

lr493

王剑宇

20

/visit

73:80

09/2811

28:30

王剑宇

20

/topf.isp

47:80

09/2811

28:30

8^483

王剑宇

20

http://dzh

/mainFrame.isp

47:80

09/2811

28:29

6,485

王剑宇

20

http://passport,/AutoLoqin?url=htt...

25:80

09/2811

28:28

1,875

王剑宇

20

/?ticket=ST-4149117」v...

47:80

09/2811

28:28

lr555

王剑宇

20

htto://txt.moD.com/static/listSubLeft0O.html

46:80

09/2811

28:28

吗123

王剑宇

20

htto://dzhl.moD.com/mainFrame.iSD

47:80

09/2811

28:27

5,469

畅华

9

htto://secure-on.imrworld'A'/cai-bin/m...

2:80

09/2811

28:23

636

9

htto://secure-cn.imrworld'A'/cai-bin/i?...

2:80

09/2811

28:21

858

■访问控制

提供完整的访问控制管理策略，可灵活地按用户角色或者分组对用户上网行

为进行控制，可以根据时间段、服务、网址、流量等手段进行控制，可以封堵常

用的聊天软件、抄股软件等服务。并提供百万级的有害信息过滤网址库防堵不良网站。

■■・・■al;."xEZ仪♦cll・朋eHwiss■fMJ.I-l-HSJI-

：."I步3册4>題吗H绥寸

i«m»iI±.ric*I

■ba«*its>«rat<xi

IittWW*

IOIXI

4aM38V

-・、a«・a

MtaM•W

"Yi*tf-Ze--<■••«*»

PTWWS

MOUH

«IBU

Iwa—w

r?UUMfl

MMmv

BA»«

Si&.』11IfrtaEi（7莎—

•异常管理

根据用户上网状态，如IP连接数、数据包特征、流量等情况，及时发现用

户上网电脑是否异常，自动告警或采取相应的控制措施，保障网络通畅。

LVM

192」68山6

12-01D8:?1:12

mM个公司

.柚■门

V1f9

viear

WPB«B

市场・

«&«*

.626.353

93.00%

17.5JQ.SO198.00^

24.852

豳他8

访闻IT

UC.120193

220."2222M

206.1163.21

2OT4»&«2

BI.«M3T

3T户W4^R

578004

52020=

4昭U-

40460-

34680=

28900-

23120-

17340-

11560-

5780<

6.00%l

ffn

步人TP*Mt

第□号

340113

6M0

0.00%

21220

8S

;IirW，

6.0CH

O.OCH

0.001

0.001

210.742W7®IKIM0229its.ieeoi»iveimoi»

MI3TV

iSflP怦us»

atin

23

1963

罚■比例

09:100:100:1

00」

09」

32

31

26

2S

斜件服“r«DXTT«*-CrTJTI9

nactrtA-oTTnopaoxrniA-o7jn9FKmraA-nuios

CELAIHE

CHJLTRe

ifjwr丰东ns：门

tveIM0129l«e1W0133P«OJOT«*-eM3

CELKI&Bpioirm-reoGios

CIUXKBsr*oimi*-6M3

UXttt1M0129

砒■未*rtc门未址■门

耒知■门

K9V

未知■门

<*a»n^«rtrn未知■门5f«oBn未知■门未知■门菲知■门耒知■门耒知■门tfWB：

•带宽管理(附加模块)

2006/03/0812:00—2006/03/0909:00（KB）

尬『)籍(T)駙U)蹶(!)膽£2辭援i5匪制話琵「畑瞅塔RK5剂?G)瀏00

韓肓肝■当齟古颉n色自劉张

i孚0艺

禺：

黜1

昭L/1

共3洛上-夏T-?

11^1裁

用尸名|3H

髓湘錘

毓iSi城髄M)

可以按组和服务类型等来制定策略对带宽进行管理。可将带宽划分成若干个

虚拟通道，设定每个通道的带宽，上、下载速度的限制，优先级和管理策略，保

证等关键应用或重要人员的上网带宽。

•BYPASS（附加模块）

可以在系统断电或故障的时候自动将一对网口置成直连状态，保证网络畅通，不影响正常业务。

•统计分析

提供数十种统计报表对上网流量、时间等进行统计，可生成各类排行榜，并可以图表的方式从各个角度对用户上网情况进行分析。统计结果可导出到Excel表格，方便进行二次处理。

•自动整理和备份

对用户数据和系统数据进行自动备份和整理。系统将根据设定的各种数据的保存时间定时自动整理，删除不必要的数据，从而保证系统可以长期稳定地运行。系统还可以按要求对关键数据和存档数据进行本地或异地备份，备份的信息可以离线查看。

目Q曰吕应池盘用¥

占:[90—

laDDOGO

竝珈Ft門咅M

LQDDCOJ

1.00(1(0)

l.(!0D(U)

ratHiZQ-回茶折谊月日土|30

iOOCiiKU

IDDDMM

Torn™

:S折运厅口岂冋

inoriMM

-frtiv[91]上na?-.

民縮合価日走回召髀折计蛙RE回KEBMH回

iOO(iKi)

iaDEKO)

TflDDMM

laDDDOOinoDDoa

I?/丽叩。

nn

系统自动备份设置

启用自动备扮

本14备份内容

0基本信息备份

0即时通信

0拦截邮件

0寸访问详细记录

0网络会话详鈿记录

远皑备份内容

毎天备份时间[23:00:00

启用V迭择远端备份，将同时在本地进行备份）

远琵备份主机设定

1测试设定参数1

主机:[P地址

2

主机名物

fileser™

帐号

usbr1

口令

—

共享名

BACKUP|

0系统日志

0表单信息备份

0监控邮件

0网站访问详鈿记录

0用戶上网记录

•日志内容审计

能够对HTTP、SMTP、POP3、WebMail、Telnet、FTP、QQ、MSN等常见

应用记录其访问日志并对其内容进行还原，可根据要求实时分析、匹配。

■alM

|f-i''~»•.：!

丽

communicartionanlraat(zmjheng^Drorwtway

MftVXM

Dawn期JWTN-QLQ[-口108奇

】netcheck；-QSHIRLYJPROEM7wwei

】1921680191

厂厂厂厂厂

■件JR务18恥件”ISar件w»Httr件w.»Hdrt4»«Htirt4W*H

M件

IV件

恥件K«M

Wtv123C13<comcon«ac«g)prpr>nwa¥co44032279Q163comiob2®pron«twaycom

pine_drspur8erQbe«chtzmzhengQDron«twayxianfllQn@*)ue»tiibmoncailfgpron9t*rsr)fcomDlum_me99age砂》«nuzm2heftfl®oron«tMy<«mmunlcation_enrtreat(zmihengQDronehw^yDir)e_despur9er@be«chtzmiheng^DrorwbvjyqwidcnhM9dt>q^myi(36<maconchen@ptonet*><Ofnmunic4rtio*»_eritfeat<2m2herM>€Vronehv4yplum_me8$aDe^>v8«nuzmmena^Vroneftv^y4@«atcnbO8@pronet*raycom

<4mmunic«lifrn_entoeaU2rri2henfl@0ronetw«Yninedi?Durserti)beechtzm^hefw^oroneNir^v

wunv.yd-china.nct

on_4宇词：1

•MH：1"砧

©*|hi

1AA

1_--«ssr—|

4|

11・rii…川

•本地验证

可以实现单位内所有上网人员的准入认证，用户打开浏览器便会弹出上网认

证窗口，没有认证授权的人员一律不能上网。避免随意接入局域网上网现象。

上网验证系统

I）为了您能正常访间Internet请先输入用户名/密码.也可下载客户端，使用客户端验证下载客户端

用户：區丘密码：］••••

确定］［X退出上网］［令加入收藏］［粘修改密玛］

2002-2006上海新网程信息技术有限公司版权所有

技术特色

5.1独创技术

云南盈资公司在Linux核心技术上有八年的研发经历，在网络行为管理领域也有近五年的研发历史，PAG是云南盈资公司技术上不断创新的结果，独有的技术涵盖了网络行为管理产品各个方面。

•旁路侦听

PAG对流经的数据并不截留而是直接转发，同时将数据镜像到内存进行分析处理，发现有违规行为再对相关数据进行截留，数据经过PAG的延迟小于0.2ms，因此完全不影响原有网络传输效率。

•网络零拷贝

为在大流量的状态上保证抓包效率，采用网络零拷贝技术直接将流经网卡的数据映射到内存区间，而不通过内核透传，减少系统资源消耗，使丢包率为零。

•连线跟踪

PAG对所有IP连接记录其状态变化信息，一方面增强实时监控效果，另一方面可简化同一连接数据分析处理过程，极大降低系统资源消耗，提高系统吞吐能力。

•PAS中间件

通过中间件技术，合理分配系统资源，协调进程间通信，标准化数据库和WEB服务接口，自动清理系统废弃资源和重启僵死进程，大大加强系统的可靠性、功能的可扩性、性能的更大化。

•协议分析和数据还原

支持绝大部分常见互联网应用的协议分析和信息内容的数据还原，可以对动态端口变化的协议进行跟踪识别，可自动识别通过HTTP或SOCKS代理做跳板的数据包。

•访问控制

基于协议分析的动态控制，可在旁路安装方式下控制所有TCP应用和QQ的UDP应用，在串接方式下通过NetFilter技术控制所有互联网应用。

•系统自维护

系统内置完善的自动维护系统，可以自动检测进程运行情况，自动清理废弃资源，自动整理磁盘空间，自动检测和修复文件和数据系统等等，保障系统可靠稳定地运行。

5・2系统特色

PAG吸收目前同类产品成功的经验，分析同类产品在功能和结构上的不足,在设计上充分考虑了用户的实际需求，并在性能、功能、使用等各个方面充分利用了当前最先进和成熟的计算机和网络技术，体现了许多独到的地方。

•专业软硬一体的监控设备

采用专门定制的并经严格测试硬件设备，符合工业控制标准，保证了PAG可以长期、稳定运行。

•不影响原有网络效率

PAG通过监控以太网上流动的数据包来实现对整个局域网的监控，采用旁路侦听技术，所以并不影响整个网络的效率，也不需要对网络进行特殊的配置。

•运行效率高

PAG是一个基于Linux系统开发的设备,在设计时我们采用了多进程和共享内存技术等多种技术来提高运行效率，并将数据采集和处理分离，一方面保证采集的数据的高效性和完整性，同时也可充分使用系统的资源对采集的数据进行更复杂的处理，使系统在超大用户量和超大流量下都能高效运行。

•长时间可靠运行

PAG的核心采用了云南盈资中间件产品PAS的进程管理技术，可以自动对进程进行管理和监控，定时清理进程中的废弃资源，从而使系统可以长时间运行而不会降低系统的效率。

•B/S系统结构

借助于云南盈资PAS软件的技术，整个系统的管理和设置全部基于Web方式，在浏览器上就可以直接管理PAG的运行，监控整个网络的运行状况，不需

要额外的客户端软件。

•方便易用

PAG的使用主要面向管理人员，没有非常深奥的技术词汇，界面使用按照平常工作习惯，细腻且人性化。并在设计时我们尽量避免日后维护的工作量,PAG在安装和初始设置好以后，