网康上网行为管理-6.2 产品白皮书 - 图文

建设文明健康安全高效的互联网

网康互联网控制网关 6.2

产品白皮书

北京网康科技有限公司

2012年 3月

建设文明安全和高效的互联网

版权声明

北京网康科技有限公司?2012版权所有，保留一切权力。

本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京网康科技有限公司（以下简称网康科技）所有，受到有关产权及版权法保护。未经网康科技书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。

信息更新

本文档仅用于为最终用户提供信息，并且随时可由网康科技更改或撤回。 适用版本

本文档适用于ICG6.2版本。 免责条款

根据适用法律的许可范围，网康科技按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，网康科技都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使网康科技明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。

期望读者

期望了解本产品主要技术特性的用户、企业管理人员、系统管理员、网络管理员等。本文档假设您对下面的知识有一定的了解： ? Web与HTTP ? TCP/IP协议 ? P2P下载

? 网络安全基础知识 ? Windows操作系统

第 2 页 共 56 页

建设文明安全和高效的互联网

目 录

目 录 ........................................................................................................................................... 3 1 互联网给企业管理带来的挑战 ............................................................................................... 5

1.1 互联网 一把双刃剑 ................................................................................................. 5 1.2 对员工上网行为进行规范管理势在必行 ............................................................... 6 1.3 网康ICG 帮您用好双刃剑 ..................................................................................... 7 2 功能介绍 ................................................................................................................................... 8

2.1 网页过滤 ................................................................................................................... 8

2.1.1 最领先的中文URL分类数据库 ..................................................................... 8 2.1.2 灵活的Web策略设置 ...................................................................................... 9 2.1.3 Web访问违禁提示 ......................................................................................... 11 2.2 应用控制 ................................................................................................................. 12

2.2.1 基于特征识别的覆盖全面的应用协议数据库 ............................................. 12 2.2.2 支持用户各项应用限额管理 ......................................................................... 13 2.2.3 灵活精细的管控策略 ..................................................................................... 13 2.3 带宽管理 ................................................................................................................. 14

2.3.1 识别控制P2P软件和加密P2P数据 ............................................................ 14 2.3.2 针对用户/应用设置带宽 ................................................................................ 15 2.3.3 基于时间段流量控制 ..................................................................................... 16 2.4 内容审计和过滤 ..................................................................................................... 16

2.4.1 邮件收发审计和过滤 ..................................................................................... 16 2.4.2 IM审计和过滤 ............................................................................................... 17 2.4.3 论坛发帖审计和过滤 ..................................................................................... 18 2.4.4 搜索引擎关键字审计和过滤 ......................................................................... 18 2.4.5 HTTP文件传输审计和过滤 .......................................................................... 18 2.4.6 HTTPS加密网页的审计和过滤 .................................................................... 18 2.4.7 FTP文件传输审计和过滤 ............................................................................. 18 2.4.8 TELNET内容审计 ......................................................................................... 19 2.5 终端控制与准入 ..................................................................................................... 19

2.5.1 客户端准入 ..................................................................................................... 19 2.5.2 客户端应用封堵 ............................................................................................. 20 2.6 实时监控 ................................................................................................................. 20 2.7 报警管理中心 ......................................................................................................... 21 2.8 查询统计与报表分析 ............................................................................................. 22

2.8.1 详细的日志查询 ............................................................................................. 22 2.8.2 丰富的统计报告 ............................................................................................. 24 2.9 日志管理 ................................................................................................................. 31

2.9.1 完整的日志记录与导出备份 ......................................................................... 31 2.9.2 日志中心 ......................................................................................................... 31 2.10 集中管理 ................................................................................................................. 32 2.11 用户管理 ................................................................................................................. 33

2.11.1 用户身份信息维护管理 ................................................................................. 33

第 3 页 共 56 页

建设文明安全和高效的互联网

2.11.2 用户身份识别与认证 ..................................................................................... 35 2.12 分级分权管理 ......................................................................................................... 37 2.13 设备自身安全 ......................................................................................................... 37 3 特点与优势 ............................................................................................................................. 39

3.1 国际领先的中文URL过滤系统 ........................................................................... 39 3.2 国内最全面的网络应用协议数据库 ..................................................................... 40 3.3 精细化的策略管理 ................................................................................................. 41 3.4 细化的应用带宽管理与流量控制 ......................................................................... 42 3.5 高效内容分析引擎 ................................................................................................. 43 3.6 强大的查询统计与分析报告 ................................................................................. 43 3.7 人性化界面设计，易于操作管理 ......................................................................... 44 3.8 运行稳定可靠，确保网络畅通 ............................................................................. 44 3.9 灵活的部署方式 ..................................................................................................... 44 3.10 完善的代理功能 ..................................................................................................... 45 3.11 独立的日志中心 ..................................................................................................... 45 3.12 分布部署，集中管理 ............................................................................................. 45 4 产品的部署 ............................................................................................................................. 46

4.1 串行接入 ................................................................................................................. 46 4.2 镜像旁路 ................................................................................................................. 47 4.3 支持代理服务 ......................................................................................................... 48 4.4 集中管理 ................................................................................................................. 48 5 产品荣誉 ................................................................................................................................. 50 6 关于网康科技 ......................................................................................................................... 51 附录I 网康URL分类库 .............................................................................................................. 52 附录II 网康应用协议列表 ........................................................................................................... 55

第 4 页 共 56 页

建设文明安全和高效的互联网

1 互联网给企业管理带来的挑战

1.1 互联网 一把双刃剑

经过十几年的高速发展，互联网应用已经渗透到社会生活的每一个角落，成为人们学习、工作、生活不可或缺的工具，成为企业高效运营、提高竞争力的基础平台。互联网的开放性、交互性、延伸性为人们快速获取知识、即时沟通以及跨地域交流提供了极大的便利；与此同时，互联网的便利性与虚拟性也成为各种不和谐行为滋生的温床，网络恶搞、诽谤中伤、侵犯隐私、色情泛滥等问题，就像打开了潘多拉盒子，越来越对国家安定、社会和谐、企业效率、青少年成长等提出了严峻的挑战。

在企业组织里，您是否对以下行为似曾相识，却苦无良策？ ? 早晨上班，员工长时间沉溺于新闻浏览而不能尽快地投入工作；

? 您疑惑地看到员工专注地敲击键盘，希望他在努力工作，而不是沉迷于聊天； ? 您殚精竭虑制作的企业战略计划，竟然很快静静地摆在竞争对手的桌面； ? 公司已经在所有电脑安装了防病毒软件，可内网病毒依然泛滥，愈杀愈多； ? 您耗巨资购买的网络带宽，很快被非业务下载占满，核心业务却慢得无法忍受； ? 有过激的言论从您的企业网络发出，可是无法知道是何人所为，何时所为； ? 公司关于互联网访问的规章制度醒目地贴在墙上，却鲜有关注；

? 内网用户在工作PC上安装非法软件，却不能及时安装系统补丁和有效的杀毒软件； ? …

传统的网络安全设备，如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等，构成企业网络的边界防护屏障，能够有效地防护来自互联网的攻击，然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力，表现在：

? 安全事件频频发生

四通八达的网络，方便的不仅仅是正常业务的传输，恶意代码、病毒、蠕虫、间谍软件等等，也会搭乘“善良”的网页、Email、聊天工具、下载工具便车，悄悄侵入到网络的各个角落。防火墙无法有效过滤应用层的内容，不能阻挡这些网页的下载，而防病毒工具由于滞后效应，对于新的病毒以及恶意软件常常无能为力。由于员不安全的互联网访问而造成的

第 5 页 共 56 页

建设文明安全和高效的互联网 图2-3 自定义URL分类

? URL黑白名单

通过URL黑白名单，可以设置Web访问中的特例：对于一些网站可能需要跳过已定义

好的策略，而无条件地允许或阻塞，比如Windows自动更新服务，病毒库自动更新服务。被直接允许访问的网站列表称为URL白名单；相反地，被直接阻塞访问的网站列表称为URL黑名单。黑名单、白名单和策略的优先级从高到低为黑名单 -> 白名单 -> 策略。

2.1.3 Web访问违禁提示

用户访问Web失败后，通常在浏览器中显示“无法显示页面”的提示信息。如果是由于被预设策略所阻塞，网康ICG提供更友好的方式提示用户无法访问的原因，如下图所示，提示内容可以自定义。

图2-4 Web访问违禁提示

第 11 页 共 56 页

建设文明安全和高效的互联网

2.2 应用控制

随着技术的迅猛发展，各种互联网应用层出不穷，如即时通讯（IM）、网络游戏、在线炒股以及在线音乐视频等等。未加管理的使用，不可避免地影响员工的工作效率。在一项调查中，超过80%的员工在上班时间做过与工作无关的工作，其中，有60%的被调查员工承认其主要是在玩网络游戏、用QQ / MSN等即时通讯软件聊天，以及炒股等等。这些不当网络活动大大降低了员工的工作效率，造成了企业人力资源的严重浪费。

2.2.1 基于特征识别的覆盖全面的应用协议数据库

欲控制各种网络应用，必先准确识别。传统安全产品通过IP或者端口封堵各种协议，只能局限于标准的协议，如HTTP，SMTP，且主要是在网络层以及传输层进行，对应用层的内容无能为力，而且，如果IP与端口经过动态协商建立，比如QQ，P2P下载等，则完全不能胜任。网康ICG对应用的识别是通过应用特征与行为特征实现的。所谓应用特征，是指在成序列的数据包的应用层信息中，存在有规律的字节特征，它可以唯一地标识某种应用协议，就如同一个人无论穿什么颜色的衣服，其指纹特征不会改变，而且是唯一的。类似地，ICG可以通过特征值准确地识别网络应用；而行为特征，是指连续多个包或者多个并发的网络连接表现出来的某种行为模式具有一定规律性，通过这些行为模式可以识别特征值不明显的应用类型。

网康ICG拥有国内最全面的网络应用协议数据库，分为20余类，共600多种协议，主要包括如下，详细协议列表参见附录II。

? 标准应用协议

HTTP(S)，SMTP，POP3，IMAP4，FTP，TELNET，SSH等； ? IM

QQ，MSN，飞信，Yahoo! Messenger，Skype等； ? P2P

BT，eMule/eDonkey，迅雷，Gnutella，PP点点通，百度下吧，Winny等； ? 网络游戏

联众世界，魔兽世界，梦幻西游，中国游戏中心，新浪游戏，征途，游戏茶苑等； ? 网络电视

PPStream，PPLive，费点，Sopcast，TVKoo，MOP，搜狐TV，UUSee，土豆，优酷等；

第 12 页 共 56 页

建设文明安全和高效的互联网

? 炒股软件

大智慧，指南针，同花顺，证券之星，通达信，江海证券，国泰君安等； ? 流媒体

RealMedia，WinMedia等； ? 隐患服务

Windows文件共享，基于RPC协议的若干服务，VNC，MS SQL等。

2.2.2 支持用户各项应用限额管理

? 应用时长限额

网康ICG可限定每个用户在一天之内累计上网时间额度，管理员可单独控制用户的某项互联网应用每日上网时长限额，也可同时控制用户的多项互联网应用每日上网时长限额。超出限制时间额度后，用户在当日内无法再使用该应用。

如：可限定用户每日仅允许QQ聊天累计时长1小时；也可限定用户每日仅允许炒股30分钟，即无论用户用哪种炒股软件，累计达到30分钟后，当天内无法再使用任何炒股软件炒股。

? 应用流量限额

网康ICG可限定每个用户一天之内累计流量额度，管理员可以单独控制用户的某项互联网应用每日流量限额，也可以控制用户的多项互联网一个月每日流量限额，流量超出限制额度后，用户在当日内无法再使用该应用。

2.2.3 灵活精细的管控策略

? 灵活的策略设置

网康ICG能够根据多种条件及其组合对网络应用进行灵活的管理，包括： ? 用户、部门及其组合

? 时间段，如上班时间、下班时间、周末等 ? 提供自定义协议，对特定的应用进行控制 ? 对网络应用进行封堵、允许、以及流量控制管理 ? 精细化的控制管理

网康ICG的一大优势是能够对各种网络应用进行精细粒度的管理控制，比如可以通过阻塞每一种具体的网络电视、流媒体来减少带宽资源浪费，保障员工工作的效率等。此外，

第 13 页 共 56 页

建设文明安全和高效的互联网

对于一些多协议多用途的应用（如IM），ICG可以精确识别子协议，将更多细节纳入策略框架中。例如：允许通过QQ聊天与文件传输进行产品技术支持，且保障QQ远程协助的带宽，但禁止玩QQ游戏，禁止欣赏音乐视频等等，如下图所示：

图2-5 IM子应用独立控制

2.3 带宽管理

网络应用层出不穷，对带宽资源的占用也越来越高，特别是以P2P为代表的下载软件，如果不加限制，会严重消耗企业的带宽资源，从而影响正常的业务数据的传输。网康ICG支持应用层的带宽分配与流量管理，可以针对用户或部门、按照时间段，对每一种应用协议进行带宽限制。

网康ICG像一台网络协议分析仪，能够识别并统计网络上有哪些类型的数据在传输，哪些应用在运行，哪些协议在使用，哪些服务器的流量占用了主要的带宽资源，哪个用户的上网行为显著消耗了带宽等。根据这些量化的统计数据，通过预先设定若干个虚拟的带宽通道，将带宽通道与具体的用户或网络应用绑定，从而对其流量进行限制、整形，达到带宽管理的目的。

2.3.1 识别控制P2P软件和加密P2P数据

BT、迅雷、电驴等P2P软件是造成带宽消耗最重要的因素，因此对P2P的封堵与限制成为带宽管理最重要的手段。网康ICG能够识别中国网民常用的P2P软件，进行有效的封堵或者流量控制。除了控制传统的P2P软件，ICG还能对多个变种以及加密的P2P数据流

第 14 页 共 56 页

建设文明安全和高效的互联网

进行完美的识别控制。

2.3.2 针对用户/应用设置带宽

ICG可对用户、应用以及它们的组合设置带宽。首先根据需要定义多个带宽通道，对于每个通道，可以指定其保障上下行速率、突发上下行速率、优先级等参数对数据流近进行整形，可以选择将通道内流量对策略用户平均分配，见下图。

图2-6 带宽对象设置

其中：

上传/下载速率：数据流的保障吞吐量。低于此临界值的数据流保障通过。 最大速率：数据流的峰值带宽。超过此临界值的数据流被抑制并丢弃。峰值带宽一般设置为大于正常上传/下载的数值，意义在于：如果当前连接超过基本保障带宽，且总体网络带宽有闲置未用部分，当前连接可以在峰值带宽之下暂时“借用”其它通道空闲的资源，以提高总带宽利用率。

如果对一组用户设置了总带宽，为了防止组内个别成员独占带宽，可以通过勾选“平均

分配”将通道平均分配给每个策略用户，也可以针对组内每个成员设置平均带宽上限，实现组内带宽资源的公平使用。

图2-7 用户平均带宽设置

第 15 页 共 56 页

建设文明安全和高效的互联网

2.3.3 基于时间段流量控制

网康ICG支持自定义时间对象，实现针对时间段进行带宽分配。时间对象可以选择一周内的一天或多天，一天内可以灵活设置多个时间段。如下图所示：

图2-8 时间对象设置

2.4 内容审计和过滤

通过互联网传递信息已经成为企业的关键应用，然而信息的机密性、健康性、政治性等问题也随之而来。通过网康ICG，您可以制定精细化的信息收发监控策略，有效控制信息的传播范围，控制敏感信息的泄露，避免可能引起的法律风险。

2.4.1 邮件收发审计和过滤

网康ICG不但可以审计通过任意端口的POP3和SMTP协议收发邮件内容，同时还可以审计通过WEB-MAIL发送邮件的内容，实现对用户邮件收发内容的全面审计。

同时，网康ICG可基于邮件特征对邮件外发内容进行审计和过滤，并能够匹配收发邮件的标题及内容关键字等特征进行邮件报警，从根本上杜绝包含敏感信息邮件的外发行为，保证企业信息的安全。

另外，网康ICG支持对外发邮件的人工审核，将那些包含敏感信息的邮件暂时拦截下来，缓存在ICG本地，由审计员审核内容后在决定是否允许外发，确保精准过滤。

? 邮件审计内容 ? 邮件收发时间 ? 用户名称 ? 发送邮箱地址

第 16 页 共 56 页

建设文明安全和高效的互联网

? 接收邮箱地址 ? 收发类型 ? 邮件主题 ? 邮件正文

? 邮件附件名称及内容 ? 过滤条件 ? 发信人地址 ? 收信人地址 ? 邮件主题关键字 ? 邮件正文关键字

? 邮件附件名称、大小、类型及正文关键字 ? WEB-MAIL站点

雅虎邮箱、搜狐邮箱、网易163、网易126、Msn Hotmail、Tom邮箱、新浪邮箱、 G-Mail、QQ-Mail、Excite、Goo、Infoseek、Livedoor、21CN、139邮箱等。

除上述免费邮箱外，网康ICG还支持企业私有邮箱webmail外发邮件的审计和过滤。

2.4.2 IM审计和过滤

网康ICG对IM行为及内容审计功能包括： ? MSN审计和过滤

审计收发动作、发送账号、接收账号、聊天内容、视频行为、文件传输内容； 支持MSN shell加密聊天内容审计；

基于MSN账号、文件名称、文件传输方向、文件类型、和文件大小阻塞聊天行为和文件传输行为；

基于MSN外发信息的关键字进行匹配并报警。

能够将审计信息按照一次完整的对话进行还原，提高内容的可读性。 ? Yahoo! Messenger审计

审计收发动作、发送账号、接收账号、聊天内容 ? QQ审计

审计收发动作、发送账号（昵称）、接收账号（昵称）、聊天内容、语音聊天行为、

第 17 页 共 56 页

建设文明安全和高效的互联网

群组聊天内容 ? 飞信审计

审计收发动作、发送账号、接收账号、聊天内容、音视频行为、文件传输行为 基于账号和聊天内容关键字、文件名称、文件类型过滤聊天行为和文件传输行为 对违反预定义规范的飞信聊天行为进行报警 ? Skype审计

审计收发动作、发送账号、接收账号、聊天内容、文件传输名称、语音聊天行为

2.4.3 论坛发帖审计和过滤

网康ICG能够针对各类BBS论坛、新闻评论、搜索引擎贴吧、博客、微博的发帖内容进行监控审计，包括发帖账号、标题、正文、附件，对于违背预设关键字的发帖进行实时阻断并报警。对于发帖日志，还可以通过时间、用户、关键字进行全面查询，准确定位发帖行为与内容。此外，ICG还支持对论坛投票行为及内容的审计，增强了发帖审计的多样性。

2.4.4 搜索引擎关键字审计和过滤

网康ICG支持“搜索引擎关键字审计与过滤”功能。可以记录用户通过搜索引擎站点、门户网站、论坛贴吧、购物网站、视频网站等搜索的关键字内容，并可以基于搜索类别、关键字内容过滤用户的非法搜索行为。

2.4.5 HTTP文件传输审计和过滤

网康ICG支持HTTP文件传输内容的审计和过滤功能。可以基于文件名称、类型和大小审计HTTP文件上传下载内容，并可阻塞包含指定特征的文件传输行为。

2.4.6 HTTPS加密网页的审计和过滤

网康ICG可审计HTTPS加密网页的访问情况，并可基于网站分类、证书合法性阻塞存在安全隐患HTTPS加密网页的访问，有效屏蔽用户对钓鱼网站的访问，保障企业网络安全和用户信息安全。

2.4.7 FTP文件传输审计和过滤

网康ICG支持FTP审计和过滤功能，可以审计任意端口的FTP文件传输行为；可基于

第 18 页 共 56 页

建设文明安全和高效的互联网

所传输文件在FTP服务器中的路径、文件名称阻塞文件传输行为；并可还原指定名称、大小或类型的文件内容。

2.4.8 TELNET内容审计

网康ICG支持TELNET审计功能，可审计内网用户的TELENT行为，记录TELNET目标设备的IP、端口信息；记录执行的指令内容和结果。

2.4.9 SSL内容审计

网康ICG支持SSL相关域名的内容审计功能，可审计以SSL加密方式接入的网络活动，如网页浏览、论坛发帖、webmail审计等。

2.5 终端控制与准入

终端设备是网络安全的主体，不良软件的使用、防护系统缺失都可能带来终端安全隐患，进而影响内网安全。网康ICG设备能够通过统一下发的客户端软件，结合统一的策略配置，检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息，制定准入规则。

2.5.1 客户端准入

? 系统进程检测

系统内置了包括CCProxy、Sygate在内的五种常用的代理工具进程检测对象，同时可以由管理者手动添加需要检测的进程对象。检测项目包括进程名、窗口名、特征文件名、服务名等。通过策略配置控制开启了相关进程的终端能否访问网络。

? 硬盘文件检测

网康ICG能够通过客户端软件检测终端文件系统的内容，结合策略控制某个包含了指定文件的终端设备能否访问网络。可以采用文件全路径结合MD5的方式核对文件，确保检测结果的正确可靠。

? 注册表检测

检测终端系统注册表项及键值，根据准入规则允许或阻止终端访问网络。 ? 操作系统检测

检测终端操作系统版本及SP补丁包版本。

第 19 页 共 56 页

建设文明安全和高效的互联网

? 杀毒软件检测

检测终端设备安装的杀毒软件及病毒库版本，包括系统预置的杀毒软件检测对象以及用户可自定义的检测对象。

2.5.2 客户端应用封堵

网康ICG能够通过客户端软件检测系统应用进程，并依据用户制定的策略进行封堵。检测对象包括设备预置的对象和用户自定义的对象，可根据进程名、窗口名、特征文件名、服务名等内容添加检测对象。

2.6 实时监控

网康ICG支持管理员实时地监控设备运行健康状况与当前网络活动，可在第一时间内对网络异常进行定位分析。

? 丰富全面的监控信息

? 系统资源健康状况，如CPU、内存、硬盘等使用信息； ? 当前在线用户列表，包括全部合法用户以及活跃用户； ? 当前网络实时流量以及最近24小时网络流量变化情况； ? 本日应用流量排名、用户流量排名、网站点击量排名； ? 预定义带宽通道资源使用情况；

下图显示了当前用户流量和应用流量的排名情况：

第 20 页 共 56 页

建设文明安全和高效的互联网

图2-9 实时流量排名

图2-10 本日网络活动监控

? 灵活的监控设置

? 选择一个、多个用户或者用户组实时监控； ? 选择一个、多个应用实时监控； ? 监控特定端口的网络流量；

? 贴近自然思维习惯的即席分析（Ad-hoc Analysis）

网康ICG支持对实时监控信息的即席分析，通过对用户、应用、时间、流量的关联分析，可以迅速了解网络流量的分布，定位问题发生的原因。比如，当发生网络拥塞时，管理员可以查看当前应用流量的排名，对于流量最大的应用，如BT，可以点击查看有哪些人正在进行BT下载；也可以首先查看流量的用户排名，对于流量最大的用户，只需轻点鼠标，即可清晰获知他正在访问哪些网络应用。

准确定位引起网络带宽拥塞的用户、应用以及异常流量后，管理员可以设置、调整应用访问的策略以及带宽管理规则，抑制非关键流量，保障企业核心业务的畅通传输。此外，对于有异常行为的用户/主机，还可以强制下线，或者放入黑名单中。

2.7 报警管理中心

网康ICG报警管理中心可对系统异常、网络异常、用户互联网违规行为，以及外发内容不合规行为进行统一报警管理，并对不同级别的报警事件以声音、指示灯、邮件等不同的

第 21 页 共 56 页

建设文明安全和高效的互联网

方式进行报警，便于管理员第一时间知悉事件并采取措施，降低互联网管理的风险和隐患。

2.8 查询统计与报表分析

对用户网络行为进行记录与分析，是上网行为管理产品必备的重要功能。对日志的存留与分析，既是对国家法律法规的遵从，也是真正管理好企业员工上网、有效利用网络资源的需要。针对用户上网行为以及相关内容查询统计，能够对用户的网络活动进行较长时间的回溯与反查，帮助管理员全面了解网络的使用情况，为改进网络管理提供详实准确的依据。

2.8.1 详细的日志查询

2.8.1.1 用户上网日志查询

信息查询的目的是对过去某时间段内选定用户的网络行为进行细节的查看，它反映了在此时间段内用户的网络流水记录。

? 完整的查询内容

? 基于用户的综合上网行为查询

? 网络流量查询，数据粒度可选，如：按汇总数据，小时流量，细节流量

? Web访问记录查询，数据粒度可选，如：全链接，仅主链接；控制粒度可选，如允

许、阻塞

? 应用行为阻塞日志信息查询，便于对违规互联网行为进行取证 ? 应用连接明细查询，便于追踪定位网络安全事件故障源

? 用户上网时长查询，可基于时间段、用户、应用协议等多种条件进行查询分析 ? 电子邮件收发记录查询，可查看完整的邮件正文与附件内容

? IM聊天内容查询，查看MSN与Yahoo! Messenger的完整聊天记录，同时，可方

便追踪某两个IM用户之间所有聊天过程信息

? 论坛发帖内容查询，可查看完整的发帖正文与上传文件 ? P2P、网游、炒股、视频等网络应用行为查询

? 查询用户或用户组当前所适用的策略，便于排除或定位网络故障源 ? 用户认证上线历史查询，建立时间、用户、IP间的对应关系

第 22 页 共 56 页

建设文明安全和高效的互联网

图2-11 用户上网日志查询

? 灵活的查询条件设置

? 根据日期范围，以及每天的特定时间段查询 ? 根据用户或者用户组查询 ? 根据网络应用查询流量

? 根据网站类别、URL关键字、标题关键字、网页内容关键字、预设的过滤策略

查询Web访问记录

? 根据发件人、收件人、主题、附件名、邮件大小、email类型、邮件主题及内容

的关键字查询发送与接收邮件

? 根据发送帐号、接收帐号、IM类型、聊天内容关键字查询在线聊天记录 ? 设置URL关键字与正文关键字查询论坛发帖记录 ? 查询结果保存

? 直接导出为Excel表格，方便二次处理

2.8.1.2 系统报警日志查询

故障自检和报警机制是保障设备自身安全性和网络稳定性的必要条件。只有及时发现问题、方便准确的定位问题根源，才能有效的解决问题并避免更大的网络安全故障发生。网康ICG不但具备完善的设备自检机制，还对设备报警日志进行分级管理，便于网络管理者快速准确获取重要报警信息。

第 23 页 共 56 页

建设文明安全和高效的互联网

2.8.1.3 系统操作日志查询

操作日志是否完整、准确、易读是衡量网络安全产品专业化和成熟度的重要指标。网康ICG可以完整记录用户及系统的所有操作管理日志，并以全中文的简明记录形式展现在管理界面中，为网络管理者的Troubleshooting过程提供有效依据。

2.8.2 丰富的统计报告

网康ICG支持根据时间、用户、应用对上网行为进行全方位的统计，内容涵盖网络流量、Web访问、邮件收发、IM聊天、论坛发帖、P2P下载等各种网络应用。并提供多达50种预置报告模版，获得不同角度的统计报告。

2.8.2.1 递进式统计分析

面对纷繁复杂的数据，人们习惯从宏观到微观、从全局到局部逐步地认知、理解，分析的层次由浅入深，分析粒度由粗到细。事实上，多数抽象事务的分类与分层普遍遵循这一规律，如日期以年、月、日表示，行政区按照国家、省、市、县进行组织，人们的思维习惯实际上是这种客观存在的主观映射。

网康ICG采用递进（drill-down）的方式，把统计数据层次分明地展现给用户，帮助管理员快速在全局与细节上把握网络活动的状况。比如：为了了解一周内企业员工访问web的情况，ICG引导用户按照如下的操作：URL总类别数 -> 哪些网站类别 -> 某类网站所包含的具体网址 -> 某网址有哪些人在什么时间访问，层层递进，把web访问的信息清晰地展示出来，如下图所示。此外，除了按照网站类别查看，还可以按照站点、请求数等进行递进查询分析。

第 24 页 共 56 页

建设文明安全和高效的互联网

图2-12 递进统计分析

2.8.2.2 统计排名报告

统计报告是实施上网行为管理设备后进行效果评估的最直观工具，也是了解网络活动以及调整管理策略的最重要的依据。网康ICG提供用户/部门网络活动摘要、用户行为统计、带宽资源统计、上网时长统计4大类50多种统计报告，以表格、饼图、柱图、线图等多种形式展现，方便管理员进行全面的统计分析。

? 用户活动摘要统计报告

在选定的时间范围内，对于选定的用户： ? 用户行为摘要统计报告 ? ? ? ? ? ?

网站访问量，以及网站请求数TOP用户 邮件收发量，以及收发量TOP用户 在线聊天量，以及在线聊天TOP用户 论坛发帖量，以及发帖量TOP用户 关键字搜索量，以及关键字搜索量TOP用户 文件收发量，以及文件收发量TOP用户

? 网络流量摘要统计报告 ? ? ?

网络总流量，以及流量TOP用户 网站访问总流量，以及流量TOP用户 邮件收发总流量，以及流量TOP用户

第 25 页 共 56 页

建设文明安全和高效的互联网

? ?

论坛发帖总流量，以及流量TOP用户 文件收发总流量，以及流量TOP用户

? 用户行为统计报告 ? 网站访问行为统计报告 ? ? ?

网站访问量（或阻塞量）随时间走势图

网站请求（或阻塞）数最多的用户排名，以及各用户访问量最大的网站 被访问次（或阻塞）数最多的网站类别及网站排名，以及各类别网站访问量最大的用户

图2-13 网站类别访问量排名饼状图

? 邮件收发行为统计报告 ? ? ?

邮件收发量（或阻塞量）随时间走势图

邮件收发量（或阻塞量）最多的用户排名，以及各用户使用的主要邮箱 收发量（或阻塞量）最大的邮件域名，以及使用各域名邮箱的主要用户

? 在线聊天行为统计报告 ? ? ? ?

在线聊天量（或阻塞量）随时间走势图

在线聊天量（或阻塞量）最多的用户排名，以及各用户使用的聊天工具 使用量最大的聊天工具排名，以及使用各聊天工具的主要用户 聊天最多的账号排名，或被阻塞量最大的账号排名

第 26 页 共 56 页

建设文明安全和高效的互联网 图2-14 聊天工具使用排名柱状图

? 论坛发帖行为统计报告 ? ?

论坛发帖量（或阻塞量）随时间走势图

论坛发帖量（或阻塞量）最多的用户排名，以及各用户发帖最多的论坛

? 关键字搜索行为统计报告 ? ?

关键字搜索量（或阻塞量）随时间走势图

关键字搜索次数（或者阻塞次数）最多的用户排名，以及各用户搜索最多的关键字 ?

被搜索次数（或者阻塞次数）最多的关键字排名，以及各关键字搜索的主要用户 ? ?

搜索最多的关键字类别排名，以及各类别搜索的主要用户 访问量最大的搜索站点排名，以及访问各站点的主要用户

图2-15 搜索类别排名饼状图

? 文件传输行为统计报告 ? ?

文件传输量（或阻塞量）随时间走势图 传输文件最多的用户排名

第 27 页 共 56 页

建设文明安全和高效的互联网

? 使用最大的文件传输工具排名

? 带宽资源统计报告

在选定的时间范围内，对于选定的部门（用户组）： ? ? ? ?

上网时间最长的用户排名，及个用户的主要网络应用 使用时间最长的网络应用排名，及使用各应用的主要用户 流量最大的用户排名，及各用户的主要应用分布 流量最大的应用排名，及各应用的主要用户分布

图2-16 应用流量排名柱状图

? 网站访问流量统计报告 ? ? ? ?

网站访问流量走势图

网站访问流量最大的用户排名，以及各用户主要访问的网站 流量最大的网站类别排名，以及各类别网站访问的主要用户 流量最大的网站排名，以及各网站访问的主要用户

? 邮件收发流量统计报告 ? ? ?

邮件收发流量走势图

收发邮件流量最大的用户排名，以及各用户使用的主要邮箱 流量最大的邮件类型，以及各类型邮件的主要用户

? 论坛发帖流量统计报告 ? ? ?

论坛发帖流量走势图

论坛发帖流量最大的用户排名，以及各用户发帖的主要网站 流量最大的论坛排名，以及各论坛发帖的主要用户

? 文件传输流量统计报告 ? ? ?

文件传输流量走势图

文件传输流量最大的用户排名，以及各用户传输文件的主要类型 各类传输工具流量排名，以及使用各类传输工具的主要用户

第 28 页 共 56 页

建设文明安全和高效的互联网

? 各类型文件传输的流量排名，以及传输各类型文件的主要用户

? 上网时长统计报告

在选定的时间范围内，对于选定的部门（用户组）： ? ?

上网时间最长的用户排名，及个用户的主要网络应用 使用时间最长的网络应用排名，及使用各应用的主要用户

图2-17 上网时长排名柱状图

2.8.2.3 智能分析报告

网康ICG提供面向管理者和决策者的智能分析报告。该报告基于对用户上网日志的深度数据挖掘，以指数评估形式直观的向管理者提供员工工作效率分析报告、网络带宽负载分析报告，以及员工互联网行为合规分析报告，并对如何提升网络健康指数（即，网络综合指数）提出指导和建议。

? 网络健康指数报告

互联网指数报告（综合评估报告）基于对用户上网日志的深度数据挖掘结合用户自定义参数设置，给出三大指数，即工作效率指数、行为合规指数和带宽利用指数。以直观的数字展示员工的工作效率高低，网络应用行为合规程度及带宽的使用是否有效用于工作应用。

? 工作效率评估报告

工作效率评估报告可以揭示员工互联网行为与工作的相关性，及非工作相关行为对工作效率的影响程度，并指明影响工作效率问题的根结（哪些行为、主要是谁）；为HR部门和部门经理对员工的绩效考核提供参考信息。

第 29 页 共 56 页

建设文明安全和高效的互联网

图2-18 工作效率分析图

? 行为合规分析报告

行为合规分析可对内网用户的互联网访问进行合规度分析，帮助管理者了解上网用户行为是否符合国家政策法规、行业规范，以及企业规章制度。一方面告知整体上用户不合规行为的严重程度，另一方面可以得到某用户或某部门不合规行为的分析结果。

图2-19 行为合规分析明细表

? 带宽资源评估报告

IT部门希望网络能够流畅运行，组织管理者希望带宽资源的投入能够真正用于办公，为了达到这样的目的，需要全面了解网络带宽负载和流量的分布情况。系统通过柱状图，饼状图及图表可以直观展示带宽负载分析结果。使管理者直观了解带宽资源的损失情况，以便采取针对性措施降低企业运营成本。

第 30 页 共 56 页

本文来源：https://www.bwwdw.com/article/ks42.html