第一章 建设背景

2013年01月27日，陕西广播电视台宝鸡记者暗访了宝鸡市陈仓区个别政府部门，发现工作人员在上班时间打游戏、早退等现象，并在当天进行了全社会曝光。之后陈仓区委、区政府通报调查结果和处理意见，由区纪委分别给予负有一定领导责任的区国土分局、区建筑勘察设计院、区财政局、区住建局等领导警示训诫，免去相关直接负责人职责。

温州自2月22日暗访90个市级部门和11个县重点单位、重点乡镇和基层站所的机关作风。发现55人存在上班时间QQ聊天、玩电脑游戏等现象。

2014年5月13日至15日，宣城市纪委监察局对该市多个政府部门进行作风建设情况暗访，发现多名公务员在上班时间浏览购物网站，登录QQ、阿里旺旺等聊天工具，目前相关工作人员已得到处理。其中，广德县财政局综改办戈国胜，工作时间多次浏览购物网站，县财政局党组研究决定给予其诫勉教育一次，责令作出深刻书面检查。泾县住建委财会室朱玉凤工作时间登录阿里旺旺，泾县纪委决定，给予朱玉凤诫勉教育一次并通报批评。宁国市住房公积金管理部黄彦工作时间浏览淘宝网，宁国市纪委决定，给予其诫勉教育。

自中央出台关于改进工作作风、密切联系群众的“八项规定”以来，各级党政机关和领导干部在改进调查研究、会风、文风以及坚持艰苦奋斗、反对铺张浪费等方面都有了明显进步。但是，随着各地纪委人员不断的暗访行动，全国各地依然发现大批机关单位公职人员上班时间浏览娱乐、色情、反动网站，玩网络游戏，网上购物等等。

机关单位上班时间通过互联网干与工作无关之事，一方面，大大降低了政府部门的工作效率，形成了浮躁、懒散的工作作风；同时，也损坏了政府的形象，影响了政府在人们心目中的威信。

这些“庸懒散”的现象为何“屡禁不止”呢？在党中央三令五申的情况下，仍然出现上班时间浏览娱乐网页等违纪行为，充分说明极少数干部组织纪律观念淡薄，有令不行，有禁不止。显然，这样的行为并不能仅仅归咎于地方纪委部门查处力度不够，这背后的尴尬更凸显了现阶段政府机关单位对网络的监管力度不足。

第二章 深信服建议方案

据悉，全国各地市政府公务员队伍中利用网络聊天（如OICQ、ICQ、MSN等）、网络购物、浏览有损公务员形象的网站、玩网络游戏者不在少数，这不仅影响了政府机关在群众中的形象，腐蚀了公务员队伍，也降低了政府的办公效率，对机关建设和公务员素质的提高都起到了负面的影响，长期恶化下去后果不堪设想，严禁公务员上班期间利用电脑聊天玩游戏等已迫在眉睫。

针对以上政府机关单位公职人员在上班时间浏览网页、网上购物、玩游戏等多种严重影响政府公信力的行为，深信服结合网络热门应用和现阶段全国各地市出现的各类事件，有针对性的提出在全市范围内，在所有的政府机关单位网络中建设“正风肃纪管控系统”，并在市纪律检查委员会搭建全市范围内的统一监督、管控平台。整套系统将协助秦皇岛市纪检委规范各机关单位互联网使用行为，监督各机关单位的互联网使用，规避指定时间段内违背纪检委要求的行为出现。

2.1 系统建设说明

系统建设说明：

1、建立两级管理平台：系统建设以市纪检委为中心，搭建统一监督、审查、考核、规范平台，在市纪检委平台之上建设虚拟区县纪检委二级平台，分发二级管理账号；

2、各二级账号负责监督、审查、考核、规范各辖区内区县机关单位正风肃纪管控系统的使用。

3、市级机关单位的正风肃纪管控系统的使用直接受市纪检委的监督、审查、考核、规范；

4、各级机关单位建设一套正风肃纪管控系统，系统需向市纪检委相关部门进行报备，经登记、批准后方可实施；

5、一经实施，严禁私自下线、关闭、断电，市纪检委从监管平台上可监督各级单位的使用。

2.2 系统设计说明

正风肃纪管控系统的设计符合《互联网安全保护技术措施规定》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》、《互联网电子公告服务管理规定》等要求，按照《国家公务员行为规范》中相关要求进行设计和开发。系统按照模块化设计原则，具备灵活的上线部署、便捷的策略配置、清晰的报表统计。

系统包括用户身份登记、时间组管理、应用管理、带宽管理、无线管理等5大模块，各模块相互联动和调用，形成多位一体的逻辑架构。

2.3 系统功能说明

2.3.1用户身份认证

系统要对用户接入网络的行为进行管理，首先必须对接入网络的人员进行严格的身份认证。正风肃纪管控系统基于用户识别的功能支持以IP、MAC、IP/MAC绑定、用户名密码、USB-Key识别、公用账号认证。

正风肃纪管控系统支持为认证通过的用户分配受限的互联网访问权限，将通过Web认证的用户重定向至显示指定网页，方便组织管理员发布通知。

2.3.2时间组管理

正风肃纪管控系统为各接入单位提供了自定义时间组功能模块，通过自定义时间组，单位可以定义上班时间下班时间：

接入单位根据上下班时间灵活自定义各个不同时间段的网络行为，这样一方面可以规范用户在上班时间的网页浏览、网上购物、玩游戏等，又可以适当给予用户宽松的上网休闲资源。

2.3.3应用管理

网页过滤

公职人员在日常需要使用网络的工作中，需要搜索访问互联网。互联网的开放性带来了资源的传播和共享，同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷，如何在日常工作中过滤这些不良网页，为员工创造一个健康的绿色的网络环境呢？正风肃纪管控系统采用业界先进的网页分类、搜索引擎关键字过滤等技术。

正风肃纪管控系统内置千万级URL库，将互联网网页分成40多个大类，同时公司研发专门设立URL部分，每半个月实时更新和维护URL库。

此外，正风肃纪管控系统提供自行添加URL的功能，在查询URL库中没有此URL地址时，用户可自行在设备界面进行添加，也可自定义URL类型，对机关单位内部网页进行管理。

正风肃纪管控系统具备URL智能识别功能，可对未知的网页进行自动学习、判别、归类。网页智能识别系统是公司于中科院联合开发，属国内前沿开发技术。

搜索关键字过滤

管理员可根据访问习惯，将互联网中的非法、暴力、毒品等不良网站进行过滤，为组织内网提供一个绿色、健康、高效的互联网访问环境。同时正风肃纪管控系统支持在搜索引擎中设置多关键字过滤，过滤包含不健康内容的网页。

发帖关键字过滤

网络的开放性给网民带来更多的言论自由，但互联网上部分不负责任人士发表一些类似色情、反动、迷信或者暴力的信息，影响其他人士，造成了不必要的影响，尤其是作为机关单位的公职人员，这类人群的网络言论将会对社会带来更大的影响力。

正风肃纪管控系统可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站，正风肃纪管控系统可设置看帖看不允许发帖，或者实行发帖关键字过滤，灵活避免组织中出现泄密或者发表不良言论带来法律追究责任的风险。

文件类型过滤

网络的开放性带来了网络资源的共享，组织中的用户可在上班时间从互联网上下载电脑系统使用工具、免费的杀毒软件、产品文档等资料，非常便利。但是部分用户利用下载和上传的工具在上班时间做与工作无关的事情，比如下载电影、音乐、游戏等，不仅影响工作效率，而且占用并浪费了组织的带宽资源。

正风肃纪管控系统根据下载文件的类型判别下载的内容，电影、音乐、游戏等与工作无关的娱乐信息为常见的rmvb\avi\mp3等格式，用户通过定义这些文件格式为影视类型，对这类文件的上传和下载进行过滤。

应用控制

互联网应用众多，如何在内网对各应用进行合理的管控呢？首先需要识别应用。正风肃纪管控系统内置应用识别规则库，分为24个大类，包含1900多种应用，可识别网络中各种主流常见应用。

对于内网用户的网页访问行为，正风肃纪管控系统不仅通过内置URL库，关键字过滤等方式进行管控。对于采用SSL加密的网页，如钓鱼网站等，正风肃纪管控系统的证书验证链接黑白名单技术同样可以管控。正风肃纪管控系统不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。

针对目前P2P行为泛滥的趋势，正风肃纪管控系统的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供P2P应用封堵或流量管理措施。

针对类似P2P难以管控的应用，正风肃纪管控系统内置应用智能识别库，自动判断新出现应用特征，从而归类管理。

正风肃纪管控系统所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。

P2P管理

P2P（peer-to-peer）应用的兴起直接导致了P2P软件及各种版本的爆炸性增长。如何对P2P行为进行全面有效的管控成为业界的难题之一。部分厂商通过封堵种子共享网站、过滤种子文件的下载、封堵资源服务器IP或封堵端口等方式进行P2P管控，费时费力且达不到理想效果。正风肃纪管控系统的深度内容检测技术对常用P2P软件进行识别；基于P2P行为特征的智能分析技术实现对不常见和未来可能出现的P2P应用的识别，为您提供了全面、高效的P2P行为管控手段。

P2P作为带宽杀手，P2P应用种类多、应用复杂、版本更新快，在众多网络用用中最难管理。正风肃纪管控系统针对P2P以上特点，专门针对P2P采取智能识别、自动管控功能。

能够全面识别P2P行为是进一步管控的基础。对P2P的管控包括封堵和流控两方面，即全面禁止指定部门使用P2P软件，或允许其使用，但对P2P行为占用的带宽资源进行限制和管理，既实现带宽使用的优化，又为机构员工提供了人性化的管理方式。

2.3.4带宽管理

多线路复用和智能选路

很多机关拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过正风肃纪管控系统特有的多线路复用及带宽叠加技术，正风肃纪管控系统复用多条链路形成一条互联网总出口，提升整体带宽水平。再结合多线路智能选路专利技术，正风肃纪管控系统将出网流量自动匹配最佳出口。

基于应用/网站/文件类型的智能流量管理

有限的带宽资源如何分配给不同部门/用户、不同应用，如何保障核心用户核心业务带宽，限制网络杀手如BT迅雷等等占用资源？正风肃纪管控系统可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。

多级父子通道嵌套技术

正风肃纪管控系统采用“基于队列的流控技术”，即建立管道，将不同的控制对象分配到不同的管道里。该技术的好处是控制灵活，大通道中可以多层嵌套小管道，分别基于不同的用户、时间、应用协议、网站、文件类型等对象建立不同的通道，同时小管道继承大通道的属性，对于结构复杂又希望实现差异化控制的组织来说可以做到更为精确的控制。

动态带宽分配

组织管理员往往既希望在网络应用高峰期保障核心用户、核心业务带宽，限制无关应用占用资源，又希望在带宽空闲时实现资源的充分利用。为此，正风肃纪管控系统支持带宽的“自由竞争”与“动态分配”，除了基于父子通道进行流量控制之外，还可以根据整体带宽的利用率进行动态调整，上浮“限制通道”的最大带宽值，避免带宽浪费，实现价值最大化。

2.3.5无线管理

随着无线移动互联网的迅速发展，智能手机、平板电脑等这些移动终端愈来愈流行，但由于iPad等智能终端只能采用无线网络来上网，有些员工出于便捷考虑可能自己在工位旁私自拉一些无线AP，在机关单位通过无线AP到公司网络出口，而且这些AP由于安全措施薄弱，极容易被外人破解，可能导致内网暴露，信息安全遭受威胁。通过深信服正风肃纪管控系统的“无线热点发现”功能，可以帮管理员找到内网违反公司规定安置的无线AP，并可以对这些热点进行拒绝封堵，有效降低了机关单位网络风险，也限制了公职人员随意通过智能终端接入无线网络带来的工作效率低下等问题的发生。

2.4 系统配置说明

结合纪检委相关要求及机关单位规定，深信服建议搭建了正风肃纪管控系统的单位进行如下配置：

以上配置策略也可进行灵活调整。

第三章 方案价值

通过正风肃纪管控系统可以有效规范全市党政机关公职人员上班时间的网络行为，控制与工作不相干的内容在上班时间被误访，同时也减少公职人员由于互联网发帖而造成的政府机密信息、政府重大决策的泄露，减少社会不稳定因素的滋生，促进社会和谐稳定。

另外，正风肃纪管控系统可以有效提升党政机关公职人员的工作效率，提升政府形象的公信力，提升政府机关党政建设和公务员自身素质，有效提高社会对政府机关的依赖度。

正风肃纪管控系统的管控平台可以有效帮助市纪检委监督、审查、考核、规范党政机关公职人员的网络行为。