第一章 建設背景

2013年01月27日，陜西廣播電視臺寶雞記者暗訪了寶雞市陳倉區個別政府部門，發現工作人員在上班時間打游戲、早退等現象，并在當天進行了全社會曝光。之后陳倉區委、區政府通報調查結果和處理意見，由區紀委分別給予負有一定領導責任的區國土分局、區建筑勘察設計院、區財政局、區住建局等領導警示訓誡，免去相關直接負責人職責。

溫州自2月22日暗訪90個市級部門和11個縣重點單位、重點鄉鎮和基層站所的機關作風。發現55人存在上班時間QQ聊天、玩電腦游戲等現象。

 

2014年5月13日至15日，宣城市紀委監察局對該市多個政府部門進行作風建設情況暗訪，發現多名公務員在上班時間瀏覽購物網站，登錄QQ、阿里旺旺等聊天工具，目前相關工作人員已得到處理。其中，廣德縣財政局綜改辦戈國勝，工作時間多次瀏覽購物網站，縣財政局黨組研究決定給予其誡勉教育一次，責令作出深刻書面檢查。涇縣住建委財會室朱玉鳳工作時間登錄阿里旺旺，涇縣紀委決定，給予朱玉鳳誡勉教育一次并通報批評。寧國市住房公積金管理部黃彥工作時間瀏覽淘寶網，寧國市紀委決定，給予其誡勉教育。

自中央出臺關于改進工作作風、密切聯系群眾的“八項規定”以來，各級黨政機關和領導干部在改進調查研究、會風、文風以及堅持艱苦奮斗、反對鋪張浪費等方面都有了明顯進步。但是，隨著各地紀委人員不斷的暗訪行動，全國各地依然發現大批機關單位公職人員上班時間瀏覽娛樂、色情、反動網站，玩網絡游戲，網上購物等等。

機關單位上班時間通過互聯網干與工作無關之事，一方面，大大降低了政府部門的工作效率，形成了浮躁、懶散的工作作風；同時，也損壞了政府的形象，影響了政府在人們心目中的威信。

這些“庸懶散”的現象為何“屢禁不止”呢？在黨中央三令五申的情況下，仍然出現上班時間瀏覽娛樂網頁等違紀行為，充分說明極少數干部組織紀律觀念淡薄，有令不行，有禁不止。顯然，這樣的行為并不能僅僅歸咎于地方紀委部門查處力度不夠，這背后的尷尬更凸顯了現階段政府機關單位對網絡的監管力度不足。

第二章 深信服建議方案

據悉，全國各地市政府公務員隊伍中利用網絡聊天（如OICQ、ICQ、MSN等）、網絡購物、瀏覽有損公務員形象的網站、玩網絡游戲者不在少數，這不僅影響了政府機關在群眾中的形象，腐蝕了公務員隊伍，也降低了政府的辦公效率，對機關建設和公務員素質的提高都起到了負面的影響，長期惡化下去后果不堪設想，嚴禁公務員上班期間利用電腦聊天玩游戲等已迫在眉睫。

針對以上政府機關單位公職人員在上班時間瀏覽網頁、網上購物、玩游戲等多種嚴重影響政府公信力的行為，深信服結合網絡熱門應用和現階段全國各地市出現的各類事件，有針對性的提出在全市范圍內，在所有的政府機關單位網絡中建設“正風肅紀管控系統”，并在市紀律檢查委員會搭建全市范圍內的統一監督、管控平臺。整套系統將協助秦皇島市紀檢委規范各機關單位互聯網使用行為，監督各機關單位的互聯網使用，規避指定時間段內違背紀檢委要求的行為出現。

2.1 系統建設說明

系統建設說明：

1、建立兩級管理平臺：系統建設以市紀檢委為中心，搭建統一監督、審查、考核、規范平臺，在市紀檢委平臺之上建設虛擬區縣紀檢委二級平臺，分發二級管理賬號；

2、各二級賬號負責監督、審查、考核、規范各轄區內區縣機關單位正風肅紀管控系統的使用。

3、市級機關單位的正風肅紀管控系統的使用直接受市紀檢委的監督、審查、考核、規范；

4、各級機關單位建設一套正風肅紀管控系統，系統需向市紀檢委相關部門進行報備，經登記、批準后方可實施；

5、一經實施，嚴禁私自下線、關閉、斷電，市紀檢委從監管平臺上可監督各級單位的使用。

2.2 系統設計說明

正風肅紀管控系統的設計符合《互聯網安全保護技術措施規定》、《計算機信息網絡國際聯網安全保護管理辦法》、《互聯網信息服務管理辦法》、《互聯網電子公告服務管理規定》等要求，按照《國家公務員行為規范》中相關要求進行設計和開發。系統按照模塊化設計原則，具備靈活的上線部署、便捷的策略配置、清晰的報表統計。

系統包括用戶身份登記、時間組管理、應用管理、帶寬管理、無線管理等5大模塊，各模塊相互聯動和調用，形成多位一體的邏輯架構。

2.3 系統功能說明

2.3.1用戶身份認證

系統要對用戶接入網絡的行為進行管理，首先必須對接入網絡的人員進行嚴格的身份認證。正風肅紀管控系統基于用戶識別的功能支持以IP、MAC、IP/MAC綁定、用戶名密碼、USB-Key識別、公用賬號認證。

正風肅紀管控系統支持為認證通過的用戶分配受限的互聯網訪問權限，將通過Web認證的用戶重定向至顯示指定網頁，方便組織管理員發布通知。

2.3.2時間組管理

正風肅紀管控系統為各接入單位提供了自定義時間組功能模塊，通過自定義時間組，單位可以定義上班時間下班時間：

接入單位根據上下班時間靈活自定義各個不同時間段的網絡行為，這樣一方面可以規范用戶在上班時間的網頁瀏覽、網上購物、玩游戲等，又可以適當給予用戶寬松的上網休閑資源。

2.3.3應用管理

網頁過濾

公職人員在日常需要使用網絡的工作中，需要搜索訪問互聯網。互聯網的開放性帶來了資源的傳播和共享，同時也為不良資源提供了擴散的平臺。反人類、反政府、色情、賭博、毒品等包含不良信息的網頁屢見不鮮、層出不窮，如何在日常工作中過濾這些不良網頁，為員工創造一個健康的綠色的網絡環境呢？正風肅紀管控系統采用業界先進的網頁分類、搜索引擎關鍵字過濾等技術。

正風肅紀管控系統內置千萬級URL庫，將互聯網網頁分成40多個大類，同時公司研發專門設立URL部分，每半個月實時更新和維護URL庫。

此外，正風肅紀管控系統提供自行添加URL的功能，在查詢URL庫中沒有此URL地址時，用戶可自行在設備界面進行添加，也可自定義URL類型，對機關單位內部網頁進行管理。

正風肅紀管控系統具備URL智能識別功能，可對未知的網頁進行自動學習、判別、歸類。網頁智能識別系統是公司于中科院聯合開發，屬國內前沿開發技術。

搜索關鍵字過濾

管理員可根據訪問習慣，將互聯網中的非法、暴力、毒品等不良網站進行過濾，為組織內網提供一個綠色、健康、高效的互聯網訪問環境。同時正風肅紀管控系統支持在搜索引擎中設置多關鍵字過濾，過濾包含不健康內容的網頁。

發帖關鍵字過濾

網絡的開放性給網民帶來更多的言論自由，但互聯網上部分不負責任人士發表一些類似色情、反動、迷信或者暴力的信息，影響其他人士，造成了不必要的影響，尤其是作為機關單位的公職人員，這類人群的網絡言論將會對社會帶來更大的影響力。

正風肅紀管控系統可對發帖進行關鍵字過濾。天涯、貓撲、百度貼吧等論壇網站，正風肅紀管控系統可設置看帖看不允許發帖，或者實行發帖關鍵字過濾，靈活避免組織中出現泄密或者發表不良言論帶來法律追究責任的風險。

文件類型過濾

網絡的開放性帶來了網絡資源的共享，組織中的用戶可在上班時間從互聯網上下載電腦系統使用工具、免費的殺毒軟件、產品文檔等資料，非常便利。但是部分用戶利用下載和上傳的工具在上班時間做與工作無關的事情，比如下載電影、音樂、游戲等，不僅影響工作效率，而且占用并浪費了組織的帶寬資源。

正風肅紀管控系統根據下載文件的類型判別下載的內容，電影、音樂、游戲等與工作無關的娛樂信息為常見的rmvb\avi\mp3等格式，用戶通過定義這些文件格式為影視類型，對這類文件的上傳和下載進行過濾。

應用控制

互聯網應用眾多，如何在內網對各應用進行合理的管控呢？首先需要識別應用。正風肅紀管控系統內置應用識別規則庫，分為24個大類，包含1900多種應用，可識別網絡中各種主流常見應用。

對于內網用戶的網頁訪問行為，正風肅紀管控系統不僅通過內置URL庫，關鍵字過濾等方式進行管控。對于采用SSL加密的網頁，如釣魚網站等，正風肅紀管控系統的證書驗證鏈接黑白名單技術同樣可以管控。正風肅紀管控系統不僅管理用戶使用WEB、FTP、EMAIL等常用服務，通過深度內容檢測技術，實現對QQ、MSN、SKYPE等IM聊天工具，BT、電騾等P2P下載工具，PPLive、QQLive等在線影音工具，網絡游戲，在線炒股等網絡應用行為進行管理和控制。

針對目前P2P行為泛濫的趨勢，正風肅紀管控系統的P2P智能識別技術能夠對不常用的、未來可能出現的P2P軟件進行有效管控。并且對P2P行為嚴重吞噬帶寬資源的問題，提供P2P應用封堵或流量管理措施。

針對類似P2P難以管控的應用，正風肅紀管控系統內置應用智能識別庫，自動判斷新出現應用特征，從而歸類管理。

正風肅紀管控系統所具備的多種網絡訪問控制功能，可以基于用戶/用戶組、基于時間段、基于不同目標行為進行靈活權限控制，實現人性化管理要求。

P2P管理

P2P（peer-to-peer）應用的興起直接導致了P2P軟件及各種版本的爆炸性增長。如何對P2P行為進行全面有效的管控成為業界的難題之一。部分廠商通過封堵種子共享網站、過濾種子文件的下載、封堵資源服務器IP或封堵端口等方式進行P2P管控，費時費力且達不到理想效果。正風肅紀管控系統的深度內容檢測技術對常用P2P軟件進行識別；基于P2P行為特征的智能分析技術實現對不常見和未來可能出現的P2P應用的識別，為您提供了全面、高效的P2P行為管控手段。

P2P作為帶寬殺手，P2P應用種類多、應用復雜、版本更新快，在眾多網絡用用中最難管理。正風肅紀管控系統針對P2P以上特點，專門針對P2P采取智能識別、自動管控功能。

能夠全面識別P2P行為是進一步管控的基礎。對P2P的管控包括封堵和流控兩方面，即全面禁止指定部門使用P2P軟件，或允許其使用，但對P2P行為占用的帶寬資源進行限制和管理，既實現帶寬使用的優化，又為機構員工提供了人性化的管理方式。

2.3.4帶寬管理

多線路復用和智能選路

很多機關擁有電信、網通等兩條以上互聯網出口鏈路，如何同時復用多條鏈路并做到流量的負載均衡與智能分擔？通過正風肅紀管控系統特有的多線路復用及帶寬疊加技術，正風肅紀管控系統復用多條鏈路形成一條互聯網總出口，提升整體帶寬水平。再結合多線路智能選路專利技術，正風肅紀管控系統將出網流量自動匹配最佳出口。

基于應用/網站/文件類型的智能流量管理

有限的帶寬資源如何分配給不同部門/用戶、不同應用，如何保障核心用戶核心業務帶寬，限制網絡殺手如BT迅雷等等占用資源？正風肅紀管控系統可以基于不同用戶(組)、出口鏈路、應用類型、網站類型、文件類型、目標地址、時間段進行細致的帶寬劃分與分配。

多級父子通道嵌套技術

正風肅紀管控系統采用“基于隊列的流控技術”，即建立管道，將不同的控制對象分配到不同的管道里。該技術的好處是控制靈活，大通道中可以多層嵌套小管道，分別基于不同的用戶、時間、應用協議、網站、文件類型等對象建立不同的通道，同時小管道繼承大通道的屬性，對于結構復雜又希望實現差異化控制的組織來說可以做到更為精確的控制。

動態帶寬分配

組織管理員往往既希望在網絡應用高峰期保障核心用戶、核心業務帶寬，限制無關應用占用資源，又希望在帶寬空閑時實現資源的充分利用。為此，正風肅紀管控系統支持帶寬的“自由競爭”與“動態分配”，除了基于父子通道進行流量控制之外，還可以根據整體帶寬的利用率進行動態調整，上浮“限制通道”的最大帶寬值，避免帶寬浪費，實現價值最大化。

2.3.5無線管理

隨著無線移動互聯網的迅速發展，智能手機、平板電腦等這些移動終端愈來愈流行，但由于iPad等智能終端只能采用無線網絡來上網，有些員工出于便捷考慮可能自己在工位旁私自拉一些無線AP，在機關單位通過無線AP到公司網絡出口，而且這些AP由于安全措施薄弱，極容易被外人破解，可能導致內網暴露，信息安全遭受威脅。通過深信服正風肅紀管控系統的“無線熱點發現”功能，可以幫管理員找到內網違反公司規定安置的無線AP，并可以對這些熱點進行拒絕封堵，有效降低了機關單位網絡風險，也限制了公職人員隨意通過智能終端接入無線網絡帶來的工作效率低下等問題的發生。

2.4 系統配置說明

結合紀檢委相關要求及機關單位規定，深信服建議搭建了正風肅紀管控系統的單位進行如下配置：

以上配置策略也可進行靈活調整。

第三章 方案價值

通過正風肅紀管控系統可以有效規范全市黨政機關公職人員上班時間的網絡行為，控制與工作不相干的內容在上班時間被誤訪，同時也減少公職人員由于互聯網發帖而造成的政府機密信息、政府重大決策的泄露，減少社會不穩定因素的滋生，促進社會和諧穩定。

另外，正風肅紀管控系統可以有效提升黨政機關公職人員的工作效率，提升政府形象的公信力，提升政府機關黨政建設和公務員自身素質，有效提高社會對政府機關的依賴度。

正風肅紀管控系統的管控平臺可以有效幫助市紀檢委監督、審查、考核、規范黨政機關公職人員的網絡行為。