淺談上網(wǎng)行為管理產(chǎn)品的運(yùn)用

摘要:上網(wǎng)行為管理產(chǎn)品以用戶身份精準(zhǔn)識(shí)別、上網(wǎng)行為全面識(shí)別、上網(wǎng)終端及桌面環(huán)境識(shí)別為基礎(chǔ)，通過(guò)上網(wǎng)權(quán)限劃分、上網(wǎng)流量控制、上網(wǎng)行為審計(jì)和記錄等手段，幫助組織IT制度的貫徹和執(zhí)行，同時(shí)規(guī)范用戶上網(wǎng)行為，達(dá)到效率、安全雙豐收。

關(guān)鍵詞:身份認(rèn)證權(quán)限控制流量管理行為記錄安全防護(hù)

中圖分類(lèi)號(hào):TP393.07文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1674-098X(2011)03(a)-0019-01

1 概述

互聯(lián)網(wǎng)已經(jīng)普及到各企事業(yè)單位，用戶可以實(shí)現(xiàn)隨時(shí)隨地訪問(wèn)Internet，網(wǎng)絡(luò)已經(jīng)成為信息傳播的重要途徑之一。據(jù)統(tǒng)計(jì)， 2010年上半年，有33.2%的網(wǎng)民在單位上網(wǎng)(CNNIC)。然而當(dāng)員工使用單位的網(wǎng)絡(luò)訪問(wèn)Internet時(shí)，隨之而來(lái)的各種問(wèn)題也不容忽視。具體表現(xiàn)在以下四個(gè)方面:

(1)寬帶資源被濫用。在辦公網(wǎng)絡(luò)內(nèi)，迅雷、BT、在線影音等P2P的行為直接將帶

寬資源擠占，使得基于網(wǎng)絡(luò)的正常辦公應(yīng)用受到嚴(yán)重影響。

(2)員工工作效率降低。上班時(shí)間玩游戲、偷菜、網(wǎng)上購(gòu)物、看網(wǎng)絡(luò)電視、聊天，

嚴(yán)重影響工作效率，辦公室?guī)缀醭闪嗣赓M(fèi)的網(wǎng)吧。

(3)病毒的蔓延導(dǎo)致網(wǎng)絡(luò)運(yùn)行不暢。員工訪問(wèn)一些掛有木馬的網(wǎng)站，或通過(guò)FTP下載文件等行為會(huì)引發(fā)局域網(wǎng)中毒事件，導(dǎo)致網(wǎng)絡(luò)運(yùn)行不暢。

(4)無(wú)法進(jìn)行有效網(wǎng)絡(luò)管理。IT管理員針對(duì)網(wǎng)內(nèi)違法行為、資源濫用現(xiàn)象、病毒源等行為無(wú)法進(jìn)行有效地追蹤。網(wǎng)絡(luò)行為得不到有效的記錄，滿足不了相關(guān)規(guī)定的要求。

2 上網(wǎng)行為管理產(chǎn)品簡(jiǎn)介

近年來(lái)，隨著客戶的高級(jí)需求、特別是高端客戶需求的不斷涌現(xiàn)，推動(dòng)了高級(jí)上網(wǎng)行為管理產(chǎn)品開(kāi)始融合終端安全檢測(cè)、局域網(wǎng)準(zhǔn)入控制、內(nèi)網(wǎng)訪問(wèn)流量控制等功能。上網(wǎng)行為管理產(chǎn)品明確了身份認(rèn)證、權(quán)限控制、流量管理、內(nèi)容過(guò)濾、應(yīng)用行為記錄、數(shù)據(jù)分析、安全防護(hù)等基礎(chǔ)功能，實(shí)現(xiàn)幫助客戶實(shí)現(xiàn)內(nèi)網(wǎng)統(tǒng)一身份認(rèn)證，有效規(guī)避違規(guī)行為帶來(lái)的法律與輿論風(fēng)險(xiǎn)。

3 上網(wǎng)行為管理產(chǎn)品的關(guān)鍵技術(shù)

3.1 識(shí)別技術(shù)

識(shí)別是管理的基礎(chǔ)，識(shí)別能力是評(píng)判一款上網(wǎng)行為管理產(chǎn)品專(zhuān)業(yè)度的重要標(biāo)準(zhǔn)。業(yè)內(nèi)優(yōu)秀的上網(wǎng)行為管理產(chǎn)品識(shí)別率普遍可以達(dá)到85%～90%甚至更高。

(1)用戶識(shí)別。用戶身份識(shí)別是實(shí)施管理的依據(jù)，主流上網(wǎng)行為管理產(chǎn)品所支持的用戶識(shí)別技術(shù)包括本地認(rèn)證、第三方認(rèn)證、多因素認(rèn)證、軟件免認(rèn)證、硬件免認(rèn)證、單點(diǎn)登錄技術(shù)、強(qiáng)制認(rèn)證、臨時(shí)用戶、用戶自注冊(cè)等。

(2)終端安全識(shí)別。終端識(shí)別技術(shù)包括終端硬件識(shí)別和終端安全狀況識(shí)別等。終端安全識(shí)別包括進(jìn)程、注冊(cè)表、操作系統(tǒng)與補(bǔ)丁、殺毒軟件與病毒庫(kù)升級(jí)、多網(wǎng)卡狀態(tài)、應(yīng)用程序檢測(cè)等。

(3)應(yīng)用識(shí)別。上網(wǎng)行為管理產(chǎn)品的主流識(shí)別技術(shù)有兩種:①DPI，也稱“深度數(shù)據(jù)包檢測(cè)”，即基于數(shù)據(jù)包組成內(nèi)容特征的應(yīng)用識(shí)別;②DFI，也稱“深度流特征檢測(cè)”，是在應(yīng)用特征的統(tǒng)計(jì)學(xué)規(guī)律基礎(chǔ)上的行為識(shí)別，是具有智能特性的識(shí)別技術(shù)。

(4)智能識(shí)別

①HTTPS非法網(wǎng)站識(shí)別:HTTPS 被廣泛應(yīng)用于通訊安全，大量釣魚(yú)、掛馬網(wǎng)站也使用HTTPS加密，而傳統(tǒng)安全產(chǎn)品無(wú)法對(duì)HTTPS加密過(guò)的釣魚(yú)、掛馬網(wǎng)站進(jìn)行識(shí)別，導(dǎo)致安全管理上存在嚴(yán)重漏洞。為解決此問(wèn)題，上網(wǎng)行為管理產(chǎn)品提供了相應(yīng)的SSL加密網(wǎng)站的甄別技術(shù)，將HTTPS類(lèi)型非法網(wǎng)站排除在訪問(wèn)對(duì)象之外。

②網(wǎng)頁(yè)智能識(shí)別:2009年“互聯(lián)網(wǎng)網(wǎng)頁(yè)數(shù)量達(dá)到336億個(gè)，年增長(zhǎng)率超過(guò)100%”(CNNIC)，靠人工手動(dòng)分類(lèi)的方式已遠(yuǎn)遠(yuǎn)跟不上網(wǎng)頁(yè)的增長(zhǎng)速度，加上大量的私人博客和社交網(wǎng)頁(yè)并未被傳統(tǒng)的URL庫(kù)收歸，導(dǎo)致即使這些網(wǎng)頁(yè)存在問(wèn)題也很難被發(fā)現(xiàn)。為此，上網(wǎng)行為管理廠商提供基于關(guān)鍵字、網(wǎng)頁(yè)分類(lèi)特征的識(shí)別技術(shù)，將人工分類(lèi)的技巧“傳授”給產(chǎn)品，讓產(chǎn)品“學(xué)習(xí)”之后，將新訪問(wèn)的不在庫(kù)中的網(wǎng)頁(yè)自動(dòng)分類(lèi)入庫(kù)。

(5)威脅識(shí)別。來(lái)自網(wǎng)絡(luò)的安全威脅，如:帶毒、掛馬的網(wǎng)頁(yè)/郵件、黑客入侵、可信好友發(fā)來(lái)的潛在威脅的鏈接、終端中毒發(fā)起攻擊、異常外發(fā)流量、異常端口掃描行為等，帶來(lái)了許多管理和安全問(wèn)題。威脅識(shí)別技術(shù)能及時(shí)發(fā)現(xiàn)、封鎖、統(tǒng)計(jì)異常流量和異常終端，提前規(guī)避風(fēng)險(xiǎn)。

3.2 流控技術(shù)

“基于TCP窗口整形的流控技術(shù)”和“基于隊(duì)列的流控技術(shù)”是目前專(zhuān)業(yè)流控產(chǎn)品采用的較多兩種技術(shù)。

(1)基于TCP窗口整形的流控技術(shù)。這種技術(shù)的優(yōu)勢(shì)在于:可以對(duì)流量的控制非常精確，例如控制流量在幾百K，它的誤差甚至?xí)刂圃趲讉€(gè)字節(jié)。不足是如果控制流量比較大，比如說(shuō)幾百M(fèi)或幾個(gè)G，那么TCP窗口整形的效果就不那么好了。

(2)基于隊(duì)列的流控技術(shù)。它的策略的核心是建立很多管道(pipe)，不同的對(duì)象對(duì)應(yīng)不同的管道，然后通過(guò)調(diào)整不同管道的大小，讓不同的對(duì)象有序通過(guò)。比如要限制P2P為10M，就可以定義一個(gè)10M大小的管道，然后指定對(duì)象是P2P協(xié)議，那么通過(guò)DPI識(shí)別出來(lái)的P2P協(xié)議就被分到這個(gè)管道里了。定義的對(duì)象可以是協(xié)議，也可以是IP地址、主機(jī)、網(wǎng)段、服務(wù)等。針對(duì)TCP窗口整形技術(shù)不能很好的整形大流量的缺點(diǎn)，隊(duì)列技術(shù)采用公平排隊(duì)，按優(yōu)先級(jí)區(qū)分的方法，實(shí)現(xiàn)了對(duì)大流量的較好控制。

4 上網(wǎng)行為管理產(chǎn)品的基本功能

(1)身份認(rèn)證。上網(wǎng)行為管理可以為組織提供多種身份認(rèn)證方式，如:web認(rèn)證，

與常見(jiàn)的第三方服務(wù)器結(jié)合認(rèn)證(AD、LDAP、RADUIS、Proxy、POP3等)，IP/MAC綁定認(rèn)證等，更高級(jí)的還有key認(rèn)證、硬件認(rèn)證等。

(2)權(quán)限控制。提供基于時(shí)間、應(yīng)用、用戶(基本元素)的上網(wǎng)權(quán)限控制。權(quán)限控

制功能幫助組織建立與組織文化、業(yè)務(wù)職能、用戶職權(quán)相匹配的上網(wǎng)權(quán)限管理體系，防止越權(quán)訪問(wèn)，防范法律和泄密風(fēng)險(xiǎn)。

(3)流量管理。提供基于時(shí)間、應(yīng)用、用戶組/用戶、上下行帶寬(基本元素)的流

量控制，幫助用戶限制與業(yè)務(wù)無(wú)關(guān)應(yīng)用的帶寬占用情況，保障核心用戶、核心業(yè)務(wù)的帶寬需求。

(4)應(yīng)用行為記錄。提供上網(wǎng)行為記錄、數(shù)據(jù)挖掘、日志定位功能，一方面幫助組

織提供滿足主管部門(mén)要求的上網(wǎng)行為記錄，避免安全事故發(fā)生后無(wú)據(jù)可查的情況，另一方面幫助組織進(jìn)行業(yè)務(wù)分析，了解網(wǎng)絡(luò)利用情況。

(5)安全防護(hù)。主流的專(zhuān)業(yè)上網(wǎng)行為管理產(chǎn)品都是硬件產(chǎn)品，作為管理產(chǎn)品其具有對(duì)網(wǎng)絡(luò)威脅的識(shí)別和防御技術(shù)，一方面對(duì)網(wǎng)絡(luò)威脅的防御(如防止 DOS 攻擊、防ARP 欺騙)能保護(hù)產(chǎn)品本身的穩(wěn)定安全，進(jìn)而保障網(wǎng)絡(luò)可靠性;另一方面識(shí)別并攔截網(wǎng)絡(luò)中的異常流量，可以避免威脅擴(kuò)散而給組織造成不良影響。

5 總結(jié)

上網(wǎng)行為管理把網(wǎng)絡(luò)建設(shè)帶到了一個(gè)新的高度，人們不在一味關(guān)注網(wǎng)絡(luò)的帶寬、延時(shí)、吞吐率，而是將越來(lái)越多的關(guān)注投入到用戶行為的分析中去。只有有效的分析用戶行為并加以引導(dǎo)，保證關(guān)鍵應(yīng)用，才能建立一個(gè)有序的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)

[1]戴尚真.上網(wǎng)行為管理網(wǎng)關(guān)在網(wǎng)絡(luò)管理中的應(yīng)用.科技資訊.2007.

[2]陳異兵.費(fèi)亞龍.王永波.企業(yè)員工上網(wǎng)行為管理研究.網(wǎng)絡(luò)財(cái)富.2010.

[3]第26次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r調(diào)查統(tǒng)計(jì)報(bào)告.中國(guó)互聯(lián)網(wǎng)信息中心.2010.