上網(wǎng)行為管理系統(tǒng)在大中型企業(yè)的應(yīng)用

邊磊

摘要：隨著計算機、網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)信息和結(jié)構(gòu)變得復(fù)雜、多元化，網(wǎng)絡(luò)使用者日益增加，寬帶瓶頸嚴(yán)重，網(wǎng)絡(luò)安全受到威脅，很多大中型企業(yè)利用上網(wǎng)行為管理技術(shù)強化對員工上網(wǎng)行為的管理，確保有限的互聯(lián)網(wǎng)資源得到合理使用，減小網(wǎng)絡(luò)安全風(fēng)險給企業(yè)帶來的損失。

關(guān)鍵詞：上網(wǎng)行為；網(wǎng)絡(luò)安全管理

中圖分類號：TP393

文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2017）10-0010-03

近年來，上網(wǎng)行為管理系統(tǒng)越來越普及，在大中型企業(yè)里更是迅速發(fā)展，現(xiàn)在的系統(tǒng)通過軟件和硬件的深入結(jié)合，可以審計和控制用戶的上網(wǎng)行為、網(wǎng)絡(luò)使用流量、上網(wǎng)認(rèn)證等多方面，更加有效地提高了員工的工作效率，降低了企業(yè)運營成本。

1.互聯(lián)網(wǎng)時代企業(yè)面臨的問題

隨著網(wǎng)絡(luò)信息技術(shù)突飛猛進(jìn)的發(fā)展，企業(yè)越來越多的應(yīng)用業(yè)務(wù)依賴于網(wǎng)絡(luò)，例如OA辦公系統(tǒng)、公司網(wǎng)站、郵件系統(tǒng)、視頻會議等；同時員工日常辦公對穩(wěn)定的網(wǎng)絡(luò)帶寬的要求也日益顯現(xiàn)，一些p2p軟件占用了大量的網(wǎng)絡(luò)帶寬，網(wǎng)絡(luò)木馬和病毒的攻擊也會致使網(wǎng)絡(luò)癱瘓，當(dāng)前，大多數(shù)企業(yè)具體都面臨以下幾個方面的問題：

1）互聯(lián)網(wǎng)安全方面。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各種網(wǎng)絡(luò)協(xié)議面臨的安全風(fēng)險也在日漸增加，多種網(wǎng)絡(luò)病毒、木馬程序、垃圾郵件、網(wǎng)絡(luò)釣魚等危險行為每天都在伺機攻擊著企業(yè)的網(wǎng)絡(luò)系統(tǒng)。

2）信息安全問題。企業(yè)信息化建設(shè)的飛速發(fā)展使得信息安全問題越來越重要，企業(yè)的客戶資料、專有技術(shù)信息、商業(yè)信息等機密性內(nèi)容可能會過E-MAIL、QQ、論壇等互聯(lián)網(wǎng)渠道泄露，造成企業(yè)在經(jīng)濟或其他方面的嚴(yán)重?fù)p失。

3）帶寬管理方面。企業(yè)員工的日常上網(wǎng)行為會占用企業(yè)大部分的網(wǎng)絡(luò)帶寬資源，如玩網(wǎng)絡(luò)游戲、BT下載文件、在線看電影等，而且降低了員工的工作效率，給企業(yè)正常的網(wǎng)絡(luò)業(yè)務(wù)也帶來了很大的影響。

4）網(wǎng)絡(luò)行為方面。在企業(yè)的網(wǎng)絡(luò)中，無法監(jiān)測到大部分網(wǎng)絡(luò)通信信息，很多有害的或是有違國家規(guī)定的互聯(lián)網(wǎng)信息可能在公司不知情的情況下產(chǎn)生，這樣會對企業(yè)造成極大的負(fù)面影響，甚至可能會牽扯到法律責(zé)任問題。

2.上網(wǎng)行為管理系統(tǒng)及功能的介紹

2.1上網(wǎng)行為管理系統(tǒng)的介紹

上網(wǎng)行為管理系統(tǒng)一般都集成了最全的應(yīng)用識別規(guī)則庫和網(wǎng)址庫，通過內(nèi)容檢測、網(wǎng)址識別等技術(shù)，為企業(yè)用戶解決流量分配及控制、內(nèi)容過濾、管理網(wǎng)絡(luò)應(yīng)用等問題。它作用于應(yīng)用層，對應(yīng)用協(xié)議及內(nèi)容進(jìn)行識別管控，作用位置如圖1所示：

2.2上網(wǎng)行為管理系統(tǒng)功能的介紹

隨著企業(yè)用戶對上網(wǎng)行為管理系統(tǒng)要求的不斷增高和全面，系統(tǒng)功能也開始融合了終端安全檢測及報警、內(nèi)容審計及準(zhǔn)入控制、網(wǎng)絡(luò)流量監(jiān)測及控制等更多的功能，系統(tǒng)的功能框架圖如圖2所示：

系統(tǒng)的主要功能如下：

內(nèi)容訪問過濾：用戶可以根據(jù)自己企業(yè)的行業(yè)、業(yè)務(wù)、文化及制度來制定內(nèi)容訪問的控制策略，阻止一切訪問與要求無關(guān)內(nèi)容的行為。

網(wǎng)絡(luò)應(yīng)用管理：用戶可以制定有效可行的網(wǎng)絡(luò)應(yīng)用管理策略，關(guān)閉影響網(wǎng)絡(luò)穩(wěn)定、占用大量帶寬、降低工作效率的應(yīng)用，如P2PI具、電子購物、炒股軟件等。

網(wǎng)絡(luò)流量控制：用戶可以根據(jù)企業(yè)不同的業(yè)務(wù)需求、不同的崗位員工、不同的時間期間、不同的網(wǎng)絡(luò)應(yīng)用、不同的業(yè)務(wù)需求制定合理科學(xué)的流量控制策略，劃分不同的帶寬通道，并設(shè)定優(yōu)先級，有效利用企業(yè)有限的帶寬資源。

信息審計功能：用戶可以制定全面詳細(xì)的信息收發(fā)審計策略，利用對關(guān)鍵信息的監(jiān)控來控制傳播，避面可能引起的相關(guān)法律風(fēng)險。

日志記錄管理：用戶可以通過各種日志記錄數(shù)據(jù)，實時地了解、統(tǒng)計、分析企業(yè)網(wǎng)絡(luò)的使用狀況、管理系統(tǒng)的運行狀況，從而根據(jù)結(jié)果對管理系統(tǒng)進(jìn)行相關(guān)策略的調(diào)整和優(yōu)化，也可以幫助用戶快速定位和排除系統(tǒng)故障。

3.上網(wǎng)行為管理系統(tǒng)在企業(yè)中的應(yīng)用實現(xiàn)

根據(jù)某一企業(yè)網(wǎng)絡(luò)資源的不合理利用、員工因為上網(wǎng)原因工作效率的下降、互聯(lián)網(wǎng)復(fù)雜環(huán)境帶來的安全威脅和潛在隱患等多方面問題，結(jié)合深信服科技有限公司的產(chǎn)品（這個公司的系統(tǒng)設(shè)備在行業(yè)中很具有代表性，系統(tǒng)的實用性和設(shè)備穩(wěn)定性都有著自己的優(yōu)勢）制定出了一套合理科學(xué)的解決方案，具體實施如下：

1）上網(wǎng)行為管理系統(tǒng)硬件環(huán)境部署。系統(tǒng)設(shè)備物理以串接方式部署在互聯(lián)網(wǎng)網(wǎng)關(guān)和接入層交換機之間，可以直接對上網(wǎng)行為數(shù)據(jù)進(jìn)行上網(wǎng)安全過濾、上網(wǎng)行為控制和審計，硬件部署圖如3所示：

2）上網(wǎng)行為管理系統(tǒng)的基本網(wǎng)絡(luò)配置。在系統(tǒng)設(shè)備安裝好后，我們通過瀏覽器進(jìn)入到系統(tǒng)配置界面，系統(tǒng)支持安全的https登錄，使用的是https協(xié)議的標(biāo)準(zhǔn)端口登錄。初始登錄從LAN口登錄，默認(rèn)登錄地址為：https：//192.168.0.1：4431，登錄界面截圖如圖4所示，登錄后，進(jìn)入網(wǎng)絡(luò)配置界面進(jìn)行對基本網(wǎng)絡(luò)環(huán)境的配置，配置截圖如圖5所示：

3）上網(wǎng)行為管理系統(tǒng)的用戶組及認(rèn)證策略的設(shè)計。為了便于對企業(yè)網(wǎng)絡(luò)資源進(jìn)行總體的控制和調(diào)度，充分保障企業(yè)網(wǎng)絡(luò)的平穩(wěn)運行和可持續(xù)發(fā)展，根據(jù)企業(yè)的組織結(jié)構(gòu)、業(yè)務(wù)需求及上網(wǎng)規(guī)章制度建立四個用戶組，分別為領(lǐng)導(dǎo)組、普通用戶組、臨時用戶組和服務(wù)器組，這四個用戶組將擁有不同的上網(wǎng)策略和帶寬。為了便于規(guī)范管理來自網(wǎng)絡(luò)內(nèi)部的不良信息發(fā)布和惡意攻擊等行為，確保網(wǎng)絡(luò)安全，終端用戶上網(wǎng)方式采用WEB形式的單點登錄密碼認(rèn)證，這樣系統(tǒng)控制著所有接入企業(yè)網(wǎng)絡(luò)的員工，對每名員工進(jìn)行實時實名認(rèn)證，把情況及責(zé)任落實到每個人，對不同部門不同人員設(shè)置不同的上網(wǎng)行為管理策略，建立強大的用戶上網(wǎng)行為日志。用戶組及認(rèn)證策略的具體配置圖如圖6所示：

4）上網(wǎng)行為管理系統(tǒng)的上網(wǎng)策略規(guī)劃。為提高員工的工作效率，促進(jìn)企業(yè)的快速發(fā)展，在工作時間內(nèi)不允許員工訪問電子購物網(wǎng)站、在線視頻網(wǎng)站、禁用電子支付和炒股軟件等與工作無關(guān)的網(wǎng)站，強制屏蔽一切反動、色情、暴力、賭博等違法網(wǎng)站。按照企業(yè)的實際管理要求和業(yè)務(wù)需求不同，甚至可以采用工作時間屏蔽所有互聯(lián)網(wǎng)應(yīng)用的方式進(jìn)行管理。為了避免企業(yè)帶寬的浪費，限制快車下載、P2P下載、P2P流媒體、迅雷等軟件的使用。為了更好的規(guī)避企業(yè)風(fēng)險，防范企業(yè)機密泄露，配置了上網(wǎng)審計、過濾策略，包括搜索內(nèi)容審計過濾、網(wǎng)站或論壇發(fā)帖審計過濾，文件傳輸審計過濾、郵件發(fā)送審計過濾、IM通訊內(nèi)容審計過濾等等，對所有用戶的一切上網(wǎng)行為進(jìn)行審計和過濾并進(jìn)行詳細(xì)記錄。上網(wǎng)策略部署圖如圖7所示，上網(wǎng)策略配置界面如圖8所示：

5）上網(wǎng)行為管理系統(tǒng)的帶寬管理設(shè)計。由于企業(yè)信息化建設(shè)的不斷發(fā)展，基于IT平臺的業(yè)務(wù)不斷增多，例如0A協(xié)同辦公系統(tǒng)、視頻會議系統(tǒng)、外部網(wǎng)站等，也增加了對網(wǎng)絡(luò)帶寬的要求，在企業(yè)有限的網(wǎng)絡(luò)流量下如何合理的分配也成為當(dāng)今企業(yè)比較頭疼的問題。在我們分的四個用戶組的情況下，由于領(lǐng)導(dǎo)組、普通用戶組的用戶數(shù)量過多，為了保證其他IT業(yè)務(wù)的正常運行，把這兩組歸到一個帶寬策略下，這個策略下的流量只滿足用戶基本的瀏覽網(wǎng)頁的需求，達(dá)不到在線視頻和下載的條件，然后把臨時組和服務(wù)器組歸在另一個策略下，帶寬流量放開到最大化來保證其業(yè)務(wù)的通暢性。這樣就有利科學(xué)的分配了有限的企業(yè)網(wǎng)絡(luò)資源，其配置界面如圖9所示：

上網(wǎng)行為管理系統(tǒng)的數(shù)據(jù)分析工具。系統(tǒng)通過對上網(wǎng)用戶、網(wǎng)絡(luò)應(yīng)用、網(wǎng)頁瀏覽、使用流量的監(jiān)控來記錄用戶的上網(wǎng)行為，同時對用戶的應(yīng)用協(xié)議監(jiān)控、郵件記錄、網(wǎng)頁日志、上網(wǎng)行為日志等數(shù)據(jù)進(jìn)行查看分析，識別并統(tǒng)計出網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)類型、應(yīng)用協(xié)議，以及服務(wù)器的流量和顯著消耗帶寬的用戶和應(yīng)用等等，根據(jù)分析結(jié)果去判斷是否有出現(xiàn)問題的上網(wǎng)策略需要重新制定或修改，實時保證企業(yè)網(wǎng)絡(luò)的順暢使用，不影響企業(yè)各個業(yè)務(wù)的順利進(jìn)行，具體介紹幾種上網(wǎng)管理系統(tǒng)的數(shù)據(jù)體現(xiàn)方式：

接口吞吐率折線圖：通過折線圖的形式來動態(tài)顯示接口實時發(fā)送接收數(shù)據(jù)的情況如圖11所示，這樣的數(shù)據(jù)我們可以查看分析出一天的企業(yè)網(wǎng)絡(luò)使用情況，判斷出何時是高峰期，我們是可以在這個時段避免使用要求帶寬及性能大的業(yè)務(wù)應(yīng)用，例如視頻會議系統(tǒng)等；也可以通過數(shù)據(jù)判斷出一天的網(wǎng)絡(luò)情況是否都正常，是否存在網(wǎng)絡(luò)異常的時刻，是否有規(guī)律性，日后加以注意和觀察，避免大的網(wǎng)絡(luò)事故的發(fā)生。

安全狀態(tài)統(tǒng)計：此功能主要顯示設(shè)備檢測到不安全的行為次數(shù)以及具體的不安全因素，不安全因素有病毒行為、DOS和ARP攻擊、端口掃描、協(xié)議異常、惡意網(wǎng)站等，根據(jù)系統(tǒng)統(tǒng)計的相關(guān)數(shù)據(jù)，我們可以分析某種次數(shù)相對較多的不安全因素在哪段時間內(nèi)在哪些用戶終端發(fā)生，然后采取相應(yīng)的措施來避免重大的網(wǎng)絡(luò)事故發(fā)生，也可以幫助我們在發(fā)生事故后根據(jù)這些不安全行為的數(shù)據(jù)去找到原因，恢復(fù)網(wǎng)絡(luò)系統(tǒng)的正常運行。安全狀態(tài)統(tǒng)計界面如圖11所示：

用戶及應(yīng)用流量排名：這個功能可以在線實時的看到在線上網(wǎng)用戶的網(wǎng)絡(luò)流量使用情況、網(wǎng)絡(luò)應(yīng)用的帶寬占用情況，根據(jù)流量總流速進(jìn)行排名，企業(yè)管理員可以根據(jù)用戶流量排名的結(jié)果，對排在前面的上網(wǎng)用戶的行為進(jìn)行分析，看是否符合企業(yè)的上網(wǎng)管理規(guī)定，適當(dāng)?shù)淖鲆粋€管理方面的處理以更好促進(jìn)企業(yè)員工對上網(wǎng)行為管理規(guī)定的執(zhí)行；根據(jù)網(wǎng)絡(luò)應(yīng)用占用流量的排名數(shù)據(jù)可以監(jiān)控到是否有違規(guī)的應(yīng)用沒用被禁用并在終端用戶的機器上使用，然后通過上網(wǎng)行為實時監(jiān)控功能可以準(zhǔn)確的查看到誰用的什么IP地址，某個時刻在做什么訪問什么，如果企業(yè)網(wǎng)絡(luò)安全出現(xiàn)問題，可以準(zhǔn)確的查找出問題發(fā)生的原因，落實到每個企業(yè)上網(wǎng)用戶的身上，用戶流量排行界面、網(wǎng)絡(luò)應(yīng)用占用帶寬排行界面如圖12、13所示：

6）上網(wǎng)行為管理系統(tǒng)實施后的效果。企業(yè)部署了上網(wǎng)行為管理系統(tǒng)以后，為不同的用戶組設(shè)置了不同的互聯(lián)網(wǎng)訪問策略，對可訪問的互聯(lián)網(wǎng)做了嚴(yán)格的限制，對每一項相關(guān)互聯(lián)網(wǎng)的業(yè)務(wù)按需分配了網(wǎng)絡(luò)帶寬，保證了業(yè)務(wù)的暢通無阻，對所有企業(yè)員工進(jìn)行互聯(lián)網(wǎng)訪問行為監(jiān)控，備份了所有用戶訪問歷史記錄，掌握了各部門的互聯(lián)網(wǎng)使用情況和趨勢。

4.結(jié)束語

上網(wǎng)行為管理系統(tǒng)作為一項科技創(chuàng)新的產(chǎn)品，正在被越來越多的企業(yè)和單位所認(rèn)可和接受，它能夠使企業(yè)輕松地應(yīng)對復(fù)雜的互聯(lián)網(wǎng)環(huán)境，有效的防范了不良的互聯(lián)網(wǎng)內(nèi)容對員工帶來的影響，合理的利用企業(yè)網(wǎng)絡(luò)資源，保證各項IT業(yè)務(wù)的正常運行。上網(wǎng)行為管理系統(tǒng)作為一項日漸成熟的創(chuàng)新技術(shù)，未來會延伸出更多完善的功能和創(chuàng)新的服務(wù)，讓企業(yè)在互聯(lián)網(wǎng)大潮中更加具有競爭力。