單位網絡管理初探

摘 要：網絡已經成為信息化建設的主要載體，而上網行為管理則是構建高效、安全的單位內部網絡的重要手段。基于目前網絡應用現狀，針對內部上網行為進行分析，并闡述具體管理方案。

關鍵詞：網絡；行為管理；網絡應用

一、背景介紹

隨著近些年的信息化應用的不斷加深，網絡為學校各部門工作提供了便利的手段和信息溝通方式，但是同時也帶來了安全、效率與穩定性等以下幾個方面的問題。

1.隨意外發信息。內網用戶所發信息其中可能混雜有害內容，如在不知情的情況下發生，可能會產生很大的負面影響，甚至會扯上官司。因此，必須對在論壇博客等在網絡公共場合發表言論等行為進行關鍵字過濾。

2.工作效率低下。網絡在豐富了單位同外界溝通途徑的同時，也給員工帶來了更多的偷懶機會，部分員工會在上班期間從事于工作無關的網絡活動，比如，訪問購物、炒股等行為，因此，對上網行為進行監管，比如，對色情、反動網站的屏蔽勢在必行。

3.網絡安全有待加強。互聯網的迅速普及，網絡應用已成為教育發展中必不可少的一部分。但同時面臨著各種各樣的進攻和威脅：機密泄漏、數據丟失、網絡濫用……因此認識到自己的風險所在，建立全面的內網安全體系任務迫在眉睫。

因此，如何行之有效地管理上網行為變得越來越重要，為了應對上面提到的這些問題需要制訂出一套全面的上網行為管理解決方案。

二、上網行為管理解決思路

1.對P2P行為的全面管控。相比較以往傳統的WEB業務來說，P2P業務表現出高速傳輸、上下行流量對稱等優點，但同時帶來數據量大、在線時間長等方面的問題。此外，由于P2P采用的是點對點的傳輸方式，也會給社會帶來一定的負面影響。目前P2P技術應用的范圍不斷擴展，主流的下載軟件比如BT、電驢、迅雷等都采用了P2P的技術，而上網行為管理就是為了能夠對日常的P2P行為進行識別。早期的P2P應用一般采用都是固定的端口號，比較容易受掌控，后來很多P2P協議都采用動態端口來躲避檢測，目前出現的新型P2P應用已經能夠運用一些加密的手法。所以，對于P2P的識別必須基于統計學的智能檢測技術，對各種P2P行為進行流量和傳輸特性進行全面的分析，包括對不常見的甚至是未知的P2P行為也能夠準確識別。

2.必要的流量控制功能。在傳統的網絡環境下進行流量控制一般都是針對應用層進行管理。當某一網絡應用業務負荷較大時，可根據需要對全局業務進行評估和平衡，對客戶業務進行調度，根據優先級進行響應，以提高效率。

3.有效的識別和控制。

（1）行為管理能有效地識別與控制URL，限制局域網內終端訪問指定URL或禁止訪問URL，同時能夠對局域網內終端訪問特定URL網頁的行為給予記錄，此外系統還應該能夠識別和過濾SSL加密網站。

（2）對HTTP/FTP上傳下載識別控制：能夠對使用者在論壇、博客等網絡公共場合發布信息的內容進行識別和過濾，同時記錄發生該行為的計算機的具體信息，以供管理員查詢。

（3）代理識別：代理識別技術能夠防止用戶突破行為管理限制，對部分網絡用戶通過代理服務器訪問不良信息或訪問內部本身無權限訪問的資源信息的行為進行遏制，做到全面的識別控制。

4.恰當的訪問控制策略。根據調查最受關注卻又與工作無關的網站有：新聞類網站、購物類網站、視頻類網站、網上銀行等。因此，上網行為管理可內置URL識別庫，并支持手工添加應用規則并分類。對URL進行細致分類，制訂應用識別規則，以控制用戶訪問URL。同時，行為管理應可支持基于時間段的訪問控制。

5.完善的網絡審計功能。網絡審計既包括對內網用戶身份的合法性、安全性的審計，又包括對組織內部網絡的各種使用情況進行審計。具體行為有系統信息綜合審計、網絡連接審計與保護、文件操作審計等。

6.建立外置數據中心，加強行為管理的數據保障。建立外置數據中心的目的主要是方便日志存儲，日志存儲的空間是由提供存儲日志的第三方日志服務器決定的，可提供相關內容檢索，定位所需信息，即時或定期發送日志事件到指定郵件且支持各種圖形化數據統計、自動生成報表等功能。

7.實時的行為日志記錄。

（1）流量日志統計：支持用戶流量、IP流量、網站流量、用戶組流量等統計及相應的統計排名，同時支持上行下行流量統計及排名。

（2）郵件日志統計：支持用戶郵件、IP郵件、用戶組郵件等的統計和排名。

（3）網絡監控日志：包括了對內網用戶的各種URL訪問行為、P2P下載行為、Email/Webmail行為、上網時長進行日志統計，必要時還可對通訊軟件的聊天內容和BBS發帖內容進行日志統計。

8.內網安全保障。上網行為管理應該具備基本的防DOS攻擊功能，防ARP欺騙功能，能有效地防止來自內網、外網的DOS攻擊，防止ARP欺騙內網泛濫。另外，應配備防火墻，具備網關殺毒功能，實行網絡準入規則，抵御外網病毒入侵內網，統一部署殺毒軟件等。

三、上網行為管理解決方案

1.上網行為管理的原理。目前，常見的上網行為管理部署方式包括ARP模式、網關模式、網橋模式和旁路偵聽模式4種。ARP模式是通過發送ARP數據包來欺騙并轉發被監控電腦的上網數據，其原理和ARP病毒類似。網關模式就是使所有的網絡數據流通過監控主機來控制流量，缺點為內外網所有數據都從主機交換，如果監控主機出現毛病則全部網絡不通。網橋模式的監控建立在Windows系統提供的透明網橋技術上，用一臺性能較高的服務器作為監控主機來實現監控。旁路偵聽模式就是通過抓取網絡數據包的方式獲得監聽數據，從而達到監控的目的，目前對網絡監控一般都采用旁路偵聽模式，其缺點是無法對流量進行控制。

2.上網行為管理的設備。上網行為管理從實現方式上可以分為：硬件監控系統和軟件監控系統。硬件系統架構的優點在于產品運行穩定，部署方便，只要按說明書連接使用就行了。對操作系統無依賴性，后期維護方便。軟件方式優點在于靈活、價廉，升級維護起來方便。硬件監控系統和軟件監控系統在原理上沒有太大的區別，都是需要獲取到網絡數據包后，才能對終端進行控制，軟件方案的成本相對較低，硬件方案的成本相對較高。用戶應根據自身的情況來決定選取哪一種方案。當然，在實際工作中關鍵還是在于要看單位的實際情況，進行實地測試。

單位里的規章制度不可能完全控制或強行禁止人的自主行為和網上行為，如何在非實施“強權”的同時，解決員工利用工作時間進行與工作無關的事件，對于單位網絡管理人員來說是件動腦筋的事情。單位管理者必須認識到實施上網行為管理只是一種手段，而絕不是目的，其管理目的是為建立一個規范的上網制度，并以此來提高工作效率。

參考文獻：

[1]付愷.基于上網行為管理和VPN的校園網絡安全體系的設計與實現.中國教育現代化，2007（07）.

[2]李雙虎.淺談中小型校園網管理.科技信息，2009（26）.

（作者單位 江蘇省鎮江市第三中學）