一、方案背景介绍
　　随着银行信息化业务的逐渐成熟，面对办公网络的不断丰富，员工在上班时间的很多的网络使用行为可能会导致银行的极大损失，由于银行有着相对灵活的上网行为管理制度，员工内网亟需解决以下问题：
　　1、防止金融风险：由于银行内部人员的特殊身份，可以操作资金快进快出，极个别人甚至试图利用职务之便进行炒股或博彩，给银行造成了巨大的资金风险。
　　2、规范员工的上网行为，提高工作效率：禁止员工上班时间从事一些私人网络行为，比如网络游戏、网上看电影、BT下载、炒股等。
　　3、防止机密信息外泄：防止内部员工通过IM聊天软件外发消息和传文件、外发邮件、BBS发帖等方式泄露内部机密信息。
　　4、.保护内网安全：比如阻止通过类似QQ远程控制或netmeeting等远程控制软件由外网连到内网。
　　5、流量管理与控制：由于大部分银行的网络结构是分支与总部通过统一的Internet出口接入互联网，如果不能够进行带宽划分、流量控制、P2P限流等，将导致带宽压力大，用户上网慢的问题。
　　6、日志信息的海量存储与快速定位，一方面出于对公安部82号令和银监会《银行业金融机构信息系统风险管理指引》第25条的遵守。另一方面保证意外（泄密事件、网络违法违规）发生时能够快速定位责任人、及时规避公司的法律责任。

　　二、需求分析 
　　上述描述显示：银行在内网员工上网行为管理方面有着非常迫切的需求：
　　1、对BBS发贴，上网的行为等进行关键字过滤，防止邮件，IM聊天工具产生的泄密事件；
　　2、对于员工上网行为进行管控，恶意网站的过滤，色情，反动网站的过滤等等保障内网安全，尤其是过滤赌博类网站；
　　3、对流量进行控制，为核心应用划分出专用带宽，保障网络通畅；
　　4、防止会引起安全风险或是黑客攻击的一些应用，例如QQ远程协助和NETMEETING等远程工具；
　　5、应对公安部82号令，对银行各个环节进行行为日志的记录，避免法律风险；

　　通过以上综合分析发现，原有的网络设备，例如防火墙等传统网络安全设备，在提供传统的解决手段和方案的同时，对于解决以上提到的问题已经捉襟见肘。银行需要一套全面的上网行为管理解决方案来应对所遇到的这些问题。

　　三、设备部署
　　结合用户实际网络环境，深信服科技的SINFOR AC上网行为管理设备以网桥模式部署，部署拓扑图如下：
　　　　　　　　　　


　　四、方案价值
　　通过部署SINFOR AC上网行为管理设备：
　　1、迅雷、BT，电驴等占用了大量的带宽的P2P软件得以有效的控制，为组织节省了60%以上的带宽，实现了有效的网络流量控制和分时段的控制，极大的提高了组织带宽利用率；
　　2、内网与工作无关的IM聊天行为、炒股现象得到了有效的管控，上班时间得到合理利用，组织的工作效率极大程度上得到了提升；
　　3、赌博网站的访问行为为被有效过滤，网络发贴等敏感行为得到有效地监督；
　　4、对用户进行分组，为部分核心岗位和部门划分出专用的带宽，对部分部门根据业务需要开放业务相关应用的权限；
　　5、有效保障内网安全，防止DOS，ARP欺骗等，拒绝QQ远程协助，netmeeting等软件进行有效地截止，防止内网核心机密被不法分子窃取。