上網(wǎng)行為管理系統(tǒng)在企業(yè)中的應(yīng)用及效果分析

魏延萍　穆衛(wèi)巍 茍景衛(wèi)　王劉偉

[摘要]強(qiáng)化員工上網(wǎng)行為管理，確?；ヂ?lián)網(wǎng)資源的合理安全使用已經(jīng)成為企業(yè)網(wǎng)絡(luò)應(yīng)用管理及信息安全防控的必然趨勢，本文在介紹上網(wǎng)行為管理系統(tǒng)的基礎(chǔ)上分析了企業(yè)使用該技術(shù)實現(xiàn)對網(wǎng)絡(luò)的全面管控，并對使用的情況進(jìn)行了簡要的分析。

[關(guān)鍵詞]上網(wǎng)行為；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)管理

[中圖分類號]TP311

[文獻(xiàn)標(biāo)識碼]A

[文章編號]1672—5158（2013）05—0470—01

一、上網(wǎng)行為管理技術(shù)介紹

上網(wǎng)行為管理指幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)的使用，包括對網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析。

1.1上網(wǎng)行為管理技術(shù)的性能指標(biāo)

隨著網(wǎng)絡(luò)技術(shù)的不斷提高和網(wǎng)絡(luò)安全系數(shù)的降低，傳統(tǒng)意義上的防火墻、殺毒軟件已經(jīng)無法應(yīng)對多變的安全威脅。而我們現(xiàn)在更多的威脅不是來自黑客的攻擊、病毒的的入侵，而更多的是來自我們內(nèi)部網(wǎng)絡(luò)。內(nèi)部管理松懈幫了黑客的大忙，再厲害的黑客要實施攻擊，也必須在現(xiàn)有的系統(tǒng)或網(wǎng)絡(luò)上找到突破口。而上網(wǎng)行為管理技術(shù)從根本上解決了這一問題。其技術(shù)主要包括以下四個指標(biāo)：

1）上網(wǎng)內(nèi)容過濾的準(zhǔn)確性，特別是URL地址庫的及時更新完善；

2）針對不斷涌現(xiàn)應(yīng)用協(xié)議識別的完備性，如HP2P、IM、音視頻、網(wǎng)游等；

3）信息保密性：防止各種重要敏感信息通過郵件、IM、FTP、BBS等方式泄露出去；

4）網(wǎng)絡(luò)硬件平臺的增強(qiáng)性，通過不斷增強(qiáng)上網(wǎng)行為管理的網(wǎng)絡(luò)硬件平臺來保證其性能提升。

1.2上網(wǎng)行為管理系統(tǒng)實現(xiàn)的管理功能

上網(wǎng)行為管理系統(tǒng)都具有以下主要功能：

1）建立身份認(rèn)證體系：上網(wǎng)行為管理技術(shù)支持多種上網(wǎng)身份認(rèn)證方式，通過認(rèn)證和硬件綁定能有效的區(qū)分用戶身份，審計和防御身份冒充、權(quán)限擴(kuò)散與濫用，同時支持對所有或特定用戶免認(rèn)證，也可采用基于IP/MAC綁定的認(rèn)證技術(shù)。

2）細(xì)致的訪問權(quán)限分配：上網(wǎng)行為管理技術(shù)不僅設(shè)置了差異化的互聯(lián)網(wǎng)訪問權(quán)限，還有差異化的行為審計策略，按照行政架構(gòu)、IP分段、VLAN信息建立用戶組結(jié)構(gòu)。

3）全面的監(jiān)控審計功能：上網(wǎng)行為管理體制完善的訪問審計和監(jiān)控功能能夠有效防止信息通過網(wǎng)絡(luò)泄密。建立訪問審計、監(jiān)控審計、模塊構(gòu)筑完備的內(nèi)部安全屏障。其實真正的網(wǎng)絡(luò)安全不在于外部黑客的攻擊，而是內(nèi)部網(wǎng)絡(luò)使用者的泄漏，所以建立強(qiáng)大的內(nèi)部安全管理策略，減少內(nèi)部泄密行為。

4）日志檢索與報表：通過設(shè)置外置中心數(shù)據(jù)中心，可供管理員對網(wǎng)絡(luò)流量、垃圾郵件、網(wǎng)絡(luò)監(jiān)控、安全日志等詳細(xì)信息查詢，并可詳細(xì)的分析出Internet網(wǎng)中的詳細(xì)使用情況。

5）特有的單點登陸技術(shù)：將單點登錄技術(shù)同認(rèn)證機(jī)制結(jié)合在一起，讓通過域認(rèn)證的用戶可以更加方便的實現(xiàn)web認(rèn)證。通過數(shù)據(jù)包監(jiān)聽方式支持LDAP單點登陸功能，若有第三方介入內(nèi)網(wǎng)立刻禁止訪問，進(jìn)一步降低了信息外泄的風(fēng)險。

6）提供“客戶端準(zhǔn)人規(guī)則”（NAR）認(rèn)證功能：在局域網(wǎng)內(nèi)客戶端的安全級別往往難以保證，使用版本陳舊的操作系統(tǒng)、不及時更新補(bǔ)丁、長時間不更新防火墻和殺毒軟件等，都給病毒和黑客的攻擊大開方便之門。而這種狀況可以通過對客戶端的評估來實現(xiàn)。當(dāng)啟用了局域網(wǎng)客戶端準(zhǔn)人規(guī)則功能后，局域網(wǎng)內(nèi)用戶第一次發(fā)起互聯(lián)網(wǎng)連接請求時，“客戶端準(zhǔn)人規(guī)則”將“動態(tài)分發(fā)準(zhǔn)人代理”（SIA）至客戶端主機(jī)oSIA主要確定端口是否遵從管理員設(shè)定的安全策略。SIA中配置了用于檢查預(yù)定義的和可定制的標(biāo)準(zhǔn)，它可以檢測到局域網(wǎng)內(nèi)的用戶是否及時給操作系統(tǒng)打補(bǔ)丁、是否安裝殺毒軟件，殺毒軟件是否升級列最新版本等等。

二、上網(wǎng)行為管理系統(tǒng)的部署

上網(wǎng)行為管理設(shè)備支持路由、網(wǎng)橋、旁路三種工作模式。

2.1路由模式

路由模式的工作層次基本與路由器相當(dāng)，具備基本的路由轉(zhuǎn)發(fā)及NAT功能，上網(wǎng)行為管理設(shè)備可以充當(dāng)路由器和防火墻。但是這種部署模式需要對企業(yè)的網(wǎng)絡(luò)環(huán)境作較大的改動。

采用路由模式的主要優(yōu)點是：能實現(xiàn)NAT、路由等網(wǎng)絡(luò)功能，并代理內(nèi)網(wǎng)員工上網(wǎng)；完全監(jiān)控和管控進(jìn)出設(shè)備的數(shù)據(jù)。

2.2旁路模式

旁路模式是最簡單的部署模式，旁路監(jiān)聽部署模式對組織機(jī)構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)影響最小，不需要改變原有網(wǎng)絡(luò)的任何路由配置，對網(wǎng)絡(luò)速度影響較小，只需在出口交換機(jī)上配置端口鏡像。其主要原理是監(jiān)聽并分析TCP/IP數(shù)據(jù)包以實現(xiàn)監(jiān)控，通過改變IP包頭信息來調(diào)節(jié)和控制IP連接，同時管理的效果也很出色。

采用旁路模式的優(yōu)點是：設(shè)備的安裝完全不影響原有的網(wǎng)絡(luò)結(jié)構(gòu)，實施部署簡單方便。

2.3網(wǎng)橋模式

上網(wǎng)行為管理以網(wǎng)橋模式部署時對客戶原有網(wǎng)絡(luò)基本沒有改動，不需要更改客戶原有的網(wǎng)絡(luò)設(shè)備配置。網(wǎng)橋模式時上網(wǎng)行為管理不支持NAT（代理上網(wǎng)和端口映射）、VPN、DHCP等功能，除此之外上網(wǎng)行為管理的其它功能如URL過濾、流控等其它功能均可實現(xiàn)。網(wǎng)橋模式部署上網(wǎng)行為管理時，對客戶原有網(wǎng)絡(luò)是透明的，因此當(dāng)網(wǎng)絡(luò)因為上網(wǎng)行為管理的原因而中斷時可以馬上繞開上網(wǎng)行為管理，即可恢復(fù)客戶原有的網(wǎng)絡(luò)。網(wǎng)橋模式部署時上網(wǎng)行為管理還支持硬件bypass功能，前提是該型號的上網(wǎng)行為管理設(shè)備本身支持bypass功能。

采用透明模式的主要優(yōu)點是：設(shè)備的部署、安裝基本不影響原有網(wǎng)絡(luò)結(jié)構(gòu)；完全監(jiān)控和管控進(jìn)出設(shè)備的數(shù)據(jù)。

三、應(yīng)用效果分析

上網(wǎng)行為管理系統(tǒng)能幫助網(wǎng)絡(luò)管理員控制和管理互聯(lián)網(wǎng)用戶及對互聯(lián)網(wǎng)的使用，包括對網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析等。

3.1網(wǎng)絡(luò)應(yīng)用控制

聊天、看電影、玩游戲、炒股票等等，互聯(lián)網(wǎng)上的應(yīng)用可謂五花八門，如果員工長期沉迷于這些應(yīng)用，也將成為企業(yè)生產(chǎn)效率的巨大殺手，并可能造成網(wǎng)速緩慢、信息外泄的可能。通過上網(wǎng)行為管理系統(tǒng)，網(wǎng)絡(luò)管理員可以制定有效的網(wǎng)絡(luò)應(yīng)用控制策略，封堵與業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)應(yīng)用，引導(dǎo)員工在合適的時間做合適的事。

3.2帶寬管理

上網(wǎng)行為管理系統(tǒng)具有多線路復(fù)用技術(shù)，可支持多條公網(wǎng)線路，擴(kuò)展機(jī)構(gòu)的Internet帶寬，多線路間互為備份，提高可靠性；同時上網(wǎng)行為管理的多線路智能選路和負(fù)載均衡技術(shù)，將內(nèi)網(wǎng)用戶的流量智能的分配到多條公網(wǎng)線路上，解決跨運(yùn)營商的帶寬瓶頸問題。

3.3行為記錄

實時掌握員工互聯(lián)網(wǎng)使用狀況可以避免很多隱藏的風(fēng)險，通過上網(wǎng)行為管理系統(tǒng)，網(wǎng)絡(luò)管理員可以實時了解、統(tǒng)計、分析互聯(lián)網(wǎng)使用狀況，并根據(jù)分析結(jié)果對管理策略做調(diào)整和優(yōu)化。

3.4報表分析

通過日志的分類顯示，可以讓網(wǎng)絡(luò)管理員只看到自己關(guān)心的系統(tǒng)日志，而不需要從所有日志信息中慢慢篩選，從而更好的了解系統(tǒng)的運(yùn)行情況，方便快速定位和排除故障，網(wǎng)絡(luò)管理員可以查看到內(nèi)網(wǎng)用戶所訪問過的網(wǎng)站域名，可以實時了解內(nèi)網(wǎng)用戶的上網(wǎng)行為。

參考文獻(xiàn)

[1]馮登國.《計算機(jī)通信網(wǎng)絡(luò)安全》，北京，清華大學(xué)出版社，2001