上网行为管理好不好呀？具体的功能是什么？

在目前的企业中，很多员工会将大量的时间用在处理个人事务上，或者是做一些与工作无关的事情，这就让管理者很是气氛，管理员工上网行为的方法就是通过企业上网行为管理工具进行员工上网行为规范管理，比如很多企业用域之盾就可以对员工电脑上网行为做到全面管理，以此提高员工办公效率，那么上网行为管理的功能都有哪些呢

1聊天内容审计

可以对员工在电脑上所使用的聊天工具进行聊天内容审计，比如聊天对象、聊天内容、及发送的文件等信息，都是能够进行记录的，不仅可以防止员工在上班期间闲聊天，还可以防止员工进行数据泄露;

2实时屏幕审计

实时监控员工的电脑画面，就像是看自己的电脑画面一样的。只需要点击实时屏幕，然后在管理端同时选择多个员工电脑，这样就能够以屏幕墙的形式同时查看多个员工电脑的使用情况了;

3应用程序审计

能够对员工在电脑使用的应用程序进行使用进程记录，也可以记录员工电脑上程序的操作记录，通过屏幕快照就可以进行查看，也可以禁止员工在电脑上使用哪些与工作无关的程序，或者在员工电脑上禁止安装新软件;

4网站访问审计

能够记录员工在电脑上访问或浏览了哪些网页信息，包括网页的内容、标题及浏览时间等，这样管理者就能限制员工在工作时间禁止访问哪些网址了，可通过网址黑白名单去进行设置;

5文件操作审计

能够记录员工在电脑上打开修改或删除了哪些文件，在一定程度上提高了对文件的安全保护，还可以通过文件备份的方式保护数据安全，如对修改和删除的文件进行自动备份，在备份到本地的同时可同时备份到服务器端，这样就不用担心数据丢失的问题了，可随时进行找回;

6U盘使用审计

能够对在电脑上使用U盘进行操作记录，比如员工使用U盘拷贝了哪些文件及U盘的插拔记录都是能够进行记录，还可以通过U盘管理设置员工使用U盘的权限，如根据部门对U盘的使用需求设置仅写入、仅读取和禁止使用权限，或者是禁止员工使用U盘权限，并开放U盘使用申请，如果员工有使用U盘的需求，向管理端提交U盘使用申请就可以了;

7文件外发审计

记录用户文件外发的记录。包括使用了哪些文件进行了外发行为，可根据关键词报警设置对可以的文件进行拦截并上报管理端，也可以通过文档安全防止禁止员工通过聊天工具和邮件等其他形式对文件进行外发;

8邮件外发审计

能够自动记录局域网中电脑发送和接收的所有邮件，并详细监控和记录员工发送的所有邮件内容;也可以通过设置邮件黑白名单来限制员工只能给哪些邮件地址发送文件，在一定程度上可以保护数据安全。

钰莹 InfoQ

整理 | 钰莹

根据中国裁判文书网的消息，原链家网（北京） 科技 有限公司数据库管理员韩冰因犯破坏计算机信息系统罪一审被判处有期徒刑七年，二审维持原判。

链家 DBA 删库被判有期徒刑七年

根据北京市海淀区人民检察院的指控， 2018 年 6 月 4 日 14 时许，韩冰（1980 年 11 月 25 日出生）在北京市海淀区上地三街福道大厦三层链家网公司，利用其担任链家网（北京） 科技 有限公司数据库管理员并 掌握该公司财务系统“root”权限的便利，登录该公司财务系统，并将系统内的财务数据及相关应用程序删除，致使该公司财务系统彻底无法访问。

据悉，被破坏的服务器是公司专门用于 EBS 系统的 2 台数据库服务器和 2 台应用服务器，2 台数据库服务器的 IP 地址分别为 10102633 和 10102634,2 台应用服务器的 IP 分别为 102002896 和 102002897。公司财务系统存放着公司成立以来所有的财务数据，影响到公司人员的工资发放等，对公司整个运行有非常重要的意义。 该公司恢复数据及重新构建该系统共计花费人民币 18 万元。

根据链接公司职业道德建设中心总监周某的证词，有权限进入公司财务系统的只有技术保障部的五个人，当公司发现财务系统出现问题便收集了这五个人的电脑，其中四个人主动上交了个人笔记本电脑和密码， 只有韩冰拒不交代自己的笔记本电脑密码 ，因此认定韩冰有嫌疑，其代表公司来报案。

链家公司技术保障部高级总监则表示，韩冰称自己的电脑有隐私，密码只能提供给公安机关，或者只有他自己在场的情况下输入密码才能检查，当时的检查中没有发现电脑异常，但是这样的检查是完全不可能排除韩冰嫌疑的。 公司财务系统被攻击的方式只要是连接到服务器就可以执行，这样的操作是不会在电脑端留下痕迹的，只会在服务器上留下痕迹。 公司当时检查每个人的电脑，执行这些检查的操作，主要是为了看韩冰等人的反映。公司确定是韩冰实施破坏行为与这次检查没有任何关系。这次检查没有取消对任何人的嫌疑，相反只有韩冰不提供自己电脑的用户名和密码，最终是由公司提供的多方证据而锁定韩冰的。

国家信息中心电子数据司法鉴定中心司法鉴定意见书，证实经现场提取与检验鉴定，现场登录服务器后导出 IP 地址 103335160 在 2018 年 6 月 4 日期间事件日志，DHCP 服务器将 IP 地址 103335160 于 2018 年 6 月 4 日 14 时 17 分许分配给客户端 ID（设备 MAC 地址）为 EA-36-33-43-78-88 的网络接入设备， 该设备的主机名为 Yggdrasil ，14 时 47 分许同样分配给客户端 ID 为 EA-36-33-43-78-88 的网络接入设备，该设备的主机名为 Yggdrasil；进一步分析 IP 地址 103335160 在 2018 年 6 月 4 日期间所有上网行为记录，将上网行为管理服务器中 IP 地址 103335160 在 6 月 1 日至 4 日期间所有网络访问日志导出， 上述日志中，可以明确 IP 地址 103335160 对应的访问终端 MAC 地址为 EA-36-33-43-78-88，同 DHCP 服务器中提取的日志信息一致。 该 IP 地址在 6 月 1 日至 4 日期间所有的网络访问主要集中在 6 月 4 日 14 时至 15 时 28 分之间。可以确定 IP 地址 103335160 对应的物理区域为北京市海淀区开拓路 11 号福道大厦 3 楼交换机所覆盖的网络区域内。

北京中海义信信息技术有限公司司法鉴定所司法鉴定意见书，证实经对被告人韩冰的苹果电脑进行提取，未检索到该计算机登录涉案服务器 IP：10102633，10102634，102002896，102002897 的记录； 该电脑计算机系统为 MacOSX10135, 主机名为 Yggdrasil ；该电脑 Wi-Fi 的 Mac 地址为 28-CF-E9-1C-48-13; 该电脑中安装有 WiFiSpoof 软件； 在该电脑中的 $InodeTable 文件中检索到与 Mac 地址 28：CF：E9：1C：48：13 相关记录 92 条，检索到与 Mac 地址 EA：36：33：43：78：88 相关记录 4 条 ; 该电脑中的终端记录中包含 shred 与 rm 命令，该命令为本地执行命令。

北京通达法正司法鉴定中心司法鉴定意见书，证实经对其他四人持有的笔记本电脑进行鉴定，四台电脑的计算机名均不是 Yggdrasil，MAC 地址均不是 EA-36-33-43-78-88。四台电脑 2018 年 6 月 4 日的行为日志中均未发现有登录财务系统执行 -shred、-rm 命令进行删除操作。

经过对电脑记录的鉴定以及链家提供的视频资料等信息，法院一审认定韩冰破坏计算机信息系统罪，判处有期徒刑七年。二审驳回上诉，维持原判。

曾两次提出财务系统有问题但未被重视

至于这么做的原因，韩冰的证词中并未体现，但从同事的证词来推测， 韩冰任职期间曾发现公司财务系统有安全问题 并发邮件告诉了链家的另一位数据库管理员张某，二人开会时向多位领导汇报了财务系统的安全问题， 建议公司启动安全项目来修复安全问题，但领导们没当回事儿 。

两周之后， 财务线工作的部门被划到了信息线，二人又向信息线领导周小龙汇报了财务系统的安全问题，并建议启动安全项目进行修复，但依旧没有被采纳，甚至在建议的过程中和周小龙起了争执。

此外，链家公司职业道德建设中心总监在证词中提到：韩冰2018年2月到公司负责财务系统维护，5月被调整至技术保障部，工作地点从朝阳区酒仙桥总部调整至海淀区上地福道大厦。 韩冰对组织调整有意见，觉得自己不受重视，调整之后消极怠工，经常迟到早退，也有旷工现象。 经查看公司监控录像，韩冰于2018年6月4日11点左右到福道大厦三层西侧自己的工作区域上班，当天18时左右离开公司。

回看 2020 年，删库事件接二连三：

1、2020 年 2 月 23 日 18 时 56 分许， 贺某酒后因生活不如意、无力偿还网贷等个人原因，在其暂住地上海市宝山区逸仙路 XXX 弄 XXX 号 XXX 室，通过电脑连接公司虚拟专用网络、登录公司服务器后执行删除任务，将微盟服务器内数据全部删除。

导致微盟自 2020 年 2 月 23 日 19 时起瘫痪，300 余万用户（其中付费用户 7 万余户）无法正常使用该公司 SaaS 产品，经抢修于 3 月 3 日 9 时恢复运营（故障时间 8 天 14 个小时）。

截至 2020 年 4 月 30 日，造成微盟公司支付恢复数据服务费、商户赔付费及员工加班报酬等经济损失共计人民币 2260 余万元。

最终，贺某犯破坏计算机信息系统罪，判处有期徒刑六年。

2、2020 年 4 月 13 日，王某因某网络 科技 有限公司 驳回其开发的 OBS 对象存储服务代码的奖金要求 ， 心怀不满，便产生了报复公司的想法。

当日 11 时许，王某在该公司使用 root 超级管理员账户登录至华为云服务器的 FTP，修改了其开发的 obs 对象存储服务代码，导致 2020 年 4 月 14 日 8 时至 9 时 35 分，某平台运行异常，该公司代发的政府电子消费劵领取受阻，直至当日 10 时 43 分，11225 名会员才领取完当日电子消费劵，给该平台声誉及会员收益造成严重影响。

最终，王某被判处拘役五个月、缓刑六个月。

这些事情告诉所有打工人：删库或许容易，但跑路是不可能的。最后，希望所有公司做好安全方案的同时善待打工人。

上网行为实现不了，需要买上网行为管理设备，能控制各种行为，比如聊天发送和接收之类的

软件安装也是一样的，这些想要控制，都是企业级安全产品

windows 域控只是自带文案写得好，用起来不是那么回事儿

还是需要配合其他网络安全产品的

多WAN口路由器网速可以叠加网速成倍提高

路由器中实现上网行为管理有两种方式：一种是封锁目的服务器IP方式，另一种是协议封锁方式。

第一种方式技术简单，但效果不可靠。采用封锁服务器IP技术，不能彻底有效实现管理功能，常有遗漏，造成管理无效。这很容易通过检查进行鉴别，以封锁QQ为例：启用路由器的QQ封锁后不能登陆QQ，此时可以通过QQ代理的方式登录，选择QQ代理服务器。如果这样可以登录了，就说明这个路由器的行为管理形同虚设，它一定是采用了封锁目的服务器IP的简单处理技术。

第二种采用高层的协议封锁方式，这种方式最可靠，但硬件开销大。路由器通过指定特征确认访问应用类别，这样的封锁很彻底。但是由于采用了多种协议检查方式，这对路由器的硬件平台要求较高，一般低档的CPU基本无法胜任，至少要INTEL IXP系列以上，同时需要路由器有很高的算法设计。

如果用户需要上网行为管理功能，就要搞清路由器的技术实现方式，第一种方式效果不可靠，不建议选用。同时要适当提高对硬件能力的要求，购买资金付出也要多一些。选购这样的产品，一般在带机负担不重时，对转发效能影响不大。

上网行为管理软件，是根据大量端口来限制客户的上网行为，你如果可以找到相关的代理可以绕过这个端口可能能上去。不过高级的上网行为管理还是可以看到你的上网痕迹，只要你通过网关服务器，想封杀你还是很容的。