◆楊浩程

上網(wǎng)行為管理平臺(tái)在單位網(wǎng)絡(luò)安全管理中的應(yīng)用

◆楊浩程

（應(yīng)急管理部消防救援局昆明訓(xùn)練總隊(duì) 云南 650208）

當(dāng)今網(wǎng)絡(luò)應(yīng)用越來(lái)越多，隨之產(chǎn)生了工作時(shí)間訪問(wèn)與工作無(wú)關(guān)網(wǎng)站，工作效率低下甚至出現(xiàn)網(wǎng)絡(luò)違法行為、泄露內(nèi)部信息與機(jī)密的問(wèn)題，本文就如何使用上網(wǎng)行為管理平臺(tái)來(lái)加強(qiáng)單位的網(wǎng)絡(luò)安全管理工作進(jìn)行了探討，供相關(guān)讀者參考。

網(wǎng)絡(luò)安全；網(wǎng)絡(luò)行為審計(jì)

隨著信息技術(shù)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)越來(lái)越多地被用于當(dāng)代社會(huì)的工作、生活之中，無(wú)論是行政機(jī)構(gòu)、軍隊(duì)、事業(yè)單位、社會(huì)團(tuán)體、企業(yè)、個(gè)人都越來(lái)越依賴IP網(wǎng)絡(luò)，在享受網(wǎng)絡(luò)便利的同時(shí)，因?yàn)榫W(wǎng)絡(luò)用戶行為越來(lái)越復(fù)雜，基于網(wǎng)絡(luò)的破壞、泄密甚至是犯罪等行為不可避免地越來(lái)越多，對(duì)一個(gè)單位網(wǎng)絡(luò)的穩(wěn)定性和安全性形成了嚴(yán)峻的威脅，在一些情況下還需要對(duì)網(wǎng)絡(luò)行為進(jìn)行溯源。利用專門的設(shè)備或信息系統(tǒng)針對(duì)本單位網(wǎng)絡(luò)用戶行為進(jìn)行管理審計(jì)與記錄的必要性日益凸顯。

為了加強(qiáng)單位網(wǎng)絡(luò)安全與穩(wěn)定，筆者認(rèn)為應(yīng)分別從以下方面進(jìn)行管理。

1 確保入網(wǎng)用戶及設(shè)備的合法性

對(duì)于接入本單位網(wǎng)絡(luò)的用戶，應(yīng)保證其合法性，這是對(duì)上網(wǎng)行為進(jìn)行管理和溯源的基礎(chǔ)。對(duì)于入網(wǎng)用戶應(yīng)采取多種方式進(jìn)行認(rèn)證。首先內(nèi)部人員可以通過(guò)Web頁(yè)面、ID+密碼、指定IP、個(gè)人Key等方式進(jìn)行認(rèn)證，并記錄用戶接入相關(guān)信息，確保用戶入網(wǎng)經(jīng)授權(quán)且有據(jù)可查；其次應(yīng)盡量避免外來(lái)人員臨時(shí)性接入本單位內(nèi)部網(wǎng)絡(luò)，確實(shí)需要接入的，則應(yīng)對(duì)其入網(wǎng)進(jìn)行有效認(rèn)證并記錄，比如采取手機(jī)短信驗(yàn)證碼、“微信”掃描等進(jìn)行認(rèn)證，確保入網(wǎng)記錄可查。

對(duì)于接入本單位內(nèi)部網(wǎng)絡(luò)的設(shè)備，也應(yīng)該進(jìn)行嚴(yán)格的認(rèn)證。服務(wù)器、交換機(jī)、打印機(jī)等設(shè)備，應(yīng)當(dāng)為其指定專門的IP地址，地址段與普通網(wǎng)絡(luò)終端應(yīng)有區(qū)別。對(duì)于單位內(nèi)部人員，除使用PC等單位內(nèi)部終端外，還可能同時(shí)通過(guò)手機(jī)、平板電腦等多個(gè)設(shè)備接入網(wǎng)絡(luò)，可移動(dòng)設(shè)備入網(wǎng)，也必須通過(guò)認(rèn)證。同時(shí)為了避免私自在單位內(nèi)部網(wǎng)絡(luò)上架設(shè)的無(wú)線路由器導(dǎo)致接入失控的局面，最好是一方面單位內(nèi)部主動(dòng)提供WIFI接入；另一方面對(duì)入網(wǎng)設(shè)備采取IP與MAC地址綁定的方式嚴(yán)格限制設(shè)備的接入，或采用能識(shí)別市面上大多數(shù)無(wú)線路由器的網(wǎng)絡(luò)接入控制設(shè)備，一旦發(fā)現(xiàn)無(wú)線路由器私自接入，即自動(dòng)對(duì)其進(jìn)行阻斷。

2 用戶上網(wǎng)行為進(jìn)行統(tǒng)計(jì)分析

上網(wǎng)行為管理平臺(tái)，需對(duì)用戶上網(wǎng)所使用的各種協(xié)議進(jìn)行識(shí)別和分類統(tǒng)計(jì)管理。觀察本單位網(wǎng)絡(luò)協(xié)議主要有哪些，每一類協(xié)議持續(xù)時(shí)間和高峰時(shí)間是什么樣的情況，如http、ftp、smtp、p2p等。在統(tǒng)計(jì)的基礎(chǔ)上對(duì)單位網(wǎng)絡(luò)流量進(jìn)行分析，判斷工作時(shí)段內(nèi)是否存在大量的非工作業(yè)務(wù)流量，如發(fā)現(xiàn)工作時(shí)間內(nèi)存在大量的流媒體或p2p下載流量，則代表正常工作業(yè)務(wù)所需網(wǎng)絡(luò)帶寬可能無(wú)法保證，影響正常地工作業(yè)務(wù)數(shù)據(jù)傳輸，在此基礎(chǔ)上，上網(wǎng)行為管理設(shè)備應(yīng)能針對(duì)每一個(gè)網(wǎng)絡(luò)協(xié)議進(jìn)行分時(shí)段的優(yōu)先級(jí)與最大帶寬限制，保證工作業(yè)務(wù)數(shù)據(jù)的優(yōu)先傳輸。如工作時(shí)段內(nèi)非工作業(yè)務(wù)數(shù)據(jù)流量過(guò)大，則提示可能存在單位內(nèi)部管理松懈，消極怠工的情況。

上網(wǎng)行為管理平臺(tái)，需要對(duì)網(wǎng)絡(luò)用戶訪問(wèn)的目標(biāo)地址和網(wǎng)絡(luò)流量進(jìn)行識(shí)別和分類統(tǒng)計(jì)。上網(wǎng)行為管理平臺(tái)應(yīng)自帶網(wǎng)址識(shí)別庫(kù)和網(wǎng)絡(luò)流量識(shí)別庫(kù)，且可以定期更新，如對(duì)用戶訪問(wèn)的網(wǎng)址進(jìn)行統(tǒng)計(jì)識(shí)別，以掌握單位內(nèi)部新聞?lì)?、搜索類、娛?lè)類、博彩類等網(wǎng)站在各個(gè)時(shí)段的訪問(wèn)量，以及諸如各類股票交易軟件、游戲平臺(tái)、OA平臺(tái)的數(shù)據(jù)量，對(duì)本單位的網(wǎng)絡(luò)業(yè)務(wù)流量進(jìn)行綜合判斷。

上網(wǎng)行為管理平臺(tái)，需要對(duì)單個(gè)網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)操作行為進(jìn)行分類統(tǒng)計(jì)管理。網(wǎng)絡(luò)用戶的操作行為多種多樣，除了日常工作使用外，還可能同時(shí)存在多種非工作業(yè)務(wù)數(shù)據(jù)。針對(duì)單個(gè)用戶，如果在工作時(shí)段某個(gè)用戶存在長(zhǎng)時(shí)間的游戲、在線視頻、股票交易等流量，則提示該用戶可能存在工作效率低下的問(wèn)題。如果發(fā)現(xiàn)個(gè)別用戶長(zhǎng)期訪問(wèn)賭博類、網(wǎng)貸類網(wǎng)址，對(duì)于政府和企事業(yè)單位，該用戶存在一定程度的安全隱患，至少不應(yīng)在財(cái)務(wù)崗位上使用該用戶；如果該用戶身份為學(xué)生，學(xué)校則應(yīng)及時(shí)了解情況，對(duì)其加強(qiáng)相關(guān)教育與管理。此外，在日常統(tǒng)計(jì)中如發(fā)現(xiàn)某個(gè)用戶經(jīng)常通過(guò)VPN違規(guī)訪問(wèn)境外網(wǎng)站，則提示應(yīng)對(duì)其網(wǎng)絡(luò)操作行為加強(qiáng)監(jiān)管，提前避免不必要的風(fēng)險(xiǎn)。

上網(wǎng)行為管理平臺(tái)最好能對(duì)SSL加密應(yīng)用進(jìn)行識(shí)別。SSL協(xié)議廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸，以避免通信在網(wǎng)絡(luò)傳輸過(guò)程中不會(huì)被截取及竊聽(tīng)。目前越來(lái)越多的網(wǎng)頁(yè)使用SSL加密，如網(wǎng)銀、QQ郵箱、甚至部分賭博網(wǎng)站，而因?yàn)椴捎昧思用芗夹g(shù)，可能會(huì)無(wú)法對(duì)其內(nèi)容進(jìn)行識(shí)別管理，別有用心的用戶可以利用這一缺陷繞過(guò)管理，通過(guò)SSL加密通信進(jìn)行賭博、收發(fā)郵件、訪問(wèn)社交媒體、甚至是發(fā)布違法言論或者是向外發(fā)送單位涉密信息，導(dǎo)致管理漏洞。所以上網(wǎng)行為管理平臺(tái)最好能對(duì)SSL加密通信進(jìn)行識(shí)別，以實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)行為的有效分析與統(tǒng)計(jì)。

3 搜索關(guān)鍵詞及社交媒體操作記錄統(tǒng)計(jì)分析

上網(wǎng)行為管理平臺(tái)應(yīng)能對(duì)通過(guò)單位網(wǎng)絡(luò)訪問(wèn)主流搜索引擎進(jìn)行分析，查看關(guān)鍵詞搜索記錄，以此判斷當(dāng)前單位內(nèi)部的關(guān)注熱點(diǎn)，并能對(duì)內(nèi)部人員的上網(wǎng)操作行為傾向進(jìn)行研判，提前掌握近期單位內(nèi)部網(wǎng)絡(luò)熱點(diǎn)信息。

在網(wǎng)絡(luò)使用過(guò)程中，當(dāng)前各種即時(shí)通信軟件和社交媒體所占流量也越來(lái)越多，如：QQ、微信、旺旺、微博、論壇等，此外還有工作或生活上的郵件業(yè)務(wù)往來(lái)。上網(wǎng)管理平臺(tái)應(yīng)能對(duì)這些即時(shí)通信和社交媒體、在線郵件流量進(jìn)行較為完整的記錄。如針對(duì)即時(shí)通信類的發(fā)信賬戶與收信賬戶、通信內(nèi)容的記錄，針對(duì)“微博”以及主流論壇的內(nèi)網(wǎng)IP、發(fā)帖賬號(hào)、帖子鏈接及內(nèi)容等的記錄，針對(duì)郵件的發(fā)件人賬號(hào)、收件人賬號(hào)、郵件內(nèi)容等的記錄。以上記錄應(yīng)支持關(guān)鍵詞檢索及基于關(guān)鍵詞的自動(dòng)告警等功能，并能進(jìn)行快速的查找溯源。

4 對(duì)文件傳輸進(jìn)行記錄

在網(wǎng)絡(luò)的日常使用中，還可能存在大量的文件傳輸流量，如通過(guò)即時(shí)通信軟件、在線郵件、P2P客戶端、“網(wǎng)盤”等進(jìn)行文件的傳輸與共享。如果傳輸?shù)奈募邪舾行畔?，如院校、科研單位未公開(kāi)的核心技術(shù)，個(gè)人隱私，企業(yè)的經(jīng)濟(jì)情報(bào)、財(cái)務(wù)資料、客戶信息，各種人事任免信息，甚至是政府、軍隊(duì)的涉密信息，一旦外泄，將產(chǎn)生嚴(yán)重的后果。上網(wǎng)行為管理平臺(tái)應(yīng)能提供限制傳輸文件類型、單一文件大小、限制傳輸類型、限制文件收發(fā)地址、指定專門服務(wù)器等手段，對(duì)經(jīng)內(nèi)部網(wǎng)絡(luò)的文件收發(fā)進(jìn)行管理和監(jiān)控并記錄。如將包含doc、ppt、xls、zip等文件作為重點(diǎn)監(jiān)控對(duì)象，在做好數(shù)據(jù)傳輸監(jiān)控記錄的同時(shí)，應(yīng)提供可設(shè)定條件的泄密觸發(fā)預(yù)警，及時(shí)發(fā)現(xiàn)泄密風(fēng)險(xiǎn)。在發(fā)現(xiàn)泄密風(fēng)險(xiǎn)后，可根據(jù)傳輸日志、關(guān)鍵詞等，對(duì)可能泄密人員進(jìn)行溯源，對(duì)泄密行為進(jìn)行快速準(zhǔn)確的追蹤。

5 其他問(wèn)題

上網(wǎng)行為管理平臺(tái)與網(wǎng)絡(luò)防火墻的運(yùn)行目的都是為了提升網(wǎng)絡(luò)安全，網(wǎng)絡(luò)防火墻用途是防范阻斷外來(lái)的網(wǎng)絡(luò)攻擊為主，而上網(wǎng)行為管理平臺(tái)主要是上網(wǎng)行為安全和內(nèi)容安全進(jìn)行管理，對(duì)單位網(wǎng)絡(luò)使用情況進(jìn)行統(tǒng)計(jì)分析，二者是互為補(bǔ)充的關(guān)系。

上網(wǎng)行為管理平臺(tái)應(yīng)提供豐富的報(bào)表管理功能，如根據(jù)時(shí)間、行為類型等生成報(bào)表，直觀地幫助管理人員掌握網(wǎng)絡(luò)使用狀況流量排名、搜索關(guān)鍵詞排名、網(wǎng)站訪問(wèn)排名、網(wǎng)址類型排名等多種輔助決策數(shù)據(jù)，以了解網(wǎng)絡(luò)用戶是否正常使用網(wǎng)絡(luò)，是否向網(wǎng)絡(luò)發(fā)布了違規(guī)違法信息等等，為加強(qiáng)單位內(nèi)部管理提供參考依據(jù)。同時(shí)可根據(jù)實(shí)際需要，設(shè)置相應(yīng)的網(wǎng)站和用戶白名單，對(duì)敏感私密的合法網(wǎng)絡(luò)行為和部分用戶不進(jìn)行監(jiān)控，對(duì)于上網(wǎng)行為日志等執(zhí)行嚴(yán)格的保密和查閱管理。

6 結(jié)束語(yǔ)

對(duì)于網(wǎng)絡(luò)運(yùn)行，三分靠技術(shù)，七分靠管理，單位應(yīng)制定完善的管理制度，并提前告知用戶相關(guān)要求，輔以上網(wǎng)行為管理平臺(tái)，提高單位網(wǎng)絡(luò)的安全性與使用效率，促進(jìn)各項(xiàng)工作高效正常開(kāi)展。