淺談企業網絡行為管理的必要性與方法

郝全明 郝廷龍 劉仲廳

[摘 要] 文章介紹了現代企業網絡的安全問題、帶寬資源問題、網絡行為問題等，并提出從合理規劃IP地址、劃分VLAN、防火墻與入侵檢測聯動、核心交換機TCP/IP攔截、建立網絡防病毒體系、實施上網行為管理、強化網絡制度建設等方面進行網絡安全防護與管理的基本思路和方法。

[關鍵詞] 企業網絡網路安全上網行為管理方法

在高速發展的網絡信息時代，網絡已經成為現代企業員工的有效利用工具，不僅拉近了世界的距離，還為企業獲取和交互信息提供便利，但它像一把雙刃劍，在帶給企業種種便利的同時，也向企業網絡管理者提出了更多的挑戰。

1.信息網絡給企業帶來的問題

1.1 網絡安全問題。

一個企業的網絡是否安全是企業內部用戶計算機能否正常工作，乃至企業網絡能否正常運行的關鍵。據國際權威機構統計，網路安全事件中40%以上是由互聯網活動引起的。互聯網絡上的病毒隨處可見，尤其是一些非法網站所攜帶的更多。四通八達的網絡方便的不僅僅正常信息的獲取和交流。惡意代碼，比如病毒、蠕蟲、間諜軟件等等，也在搭乘著便車，即由網頁、Email、聊天工具、下載工具等方式，入侵到網絡的每個角落，影響終端計算機的運行。

1.2 帶寬資源問題

目前國內多數企亊業單位網絡出口帶寬不超10M，有的甚至更窄。很多員工一打開電腦就會自覺地開始各種下載工作，包括BT、電騾、迅雷這些網絡資源的“吞噬者”，這些員工在大量下載電影和軟件的同時在不停地抱怨網速太慢！據中國社會科學研究院最新的統計調查表明，70%的互聯網寬帶資源被音樂、電影下載占用著。從企業的全局考慮，應該盡可能避免這種情況的發生，當某些員工正在用下載工具下載網上與工作無關內容時，那么其他員工的正常工作將受到影響。

1.3 網絡行為問題

據中國權威機構調查表明，企業員工平均每天的互聯網活動中有近40%的時間是在用來在線聊天，瀏覽新聞娛樂、股票行情、色情網站，或處理個人事務，僅有少部分用于工作和學習。過去，一些員工通過同事間閑聊來打發上班時間。隨著計算機和互聯網普及，員工有了更多的選擇，網上購物、好友聊天、下載手機鈴聲、在線欣賞音樂、下載電影、收發個人郵件、在網絡論壇上舞文弄墨等等。據有關調查機構調查顯示：在辦公室中，和其他國家相比，中國員工每周多花7.6小時來使用即時通訊、玩游戲、在線媒體；中國員工上網下載音樂的時間比拉美高16%；上網進入聊天室和玩在線游戲兩方面花費的時間分別比其他國家高約8%和12%；60%員工在工作場所瀏覽個人信件。部分員工沉迷在互聯網帶來的誘惑之中，進而不能專心投入工作，這勢必會給企業的經營效益造成影響，使企業的文化偏離方向。

1.4 內部信息安全問題

網絡世界充斥著各種各樣的信息，正如打開窗口，進來的不止是新鮮空氣。我們在獲取有用信息的同時，也被各種不良內容侵蝕著。同時，聯通的互聯網絡也會把一些保密信息泄露出去。任何企業都擔心自己內部機密信息泄露出去，而互聯網偏偏又提供了方便的信息交流和傳遞環境。通過web電子郵件或QQ等即時通信工具，任何文件都可以方便地通過互聯網發送到企業外部。企業核心資源的未授權傳播令管理者痛心疾首，也就是我們經常提到的員工泄密行為，這在國內已有眾多先例。由于互聯網行為復雜且難以預料，無論是存心還是意外，一個居心叵測的員工和一個忠實可靠的干將都有可能將局域網內的重要資料泄露給第三方組織甚至競爭對手。作為企業的領導者絕不希望員工因為上網行為而給公司帶來名譽損失與法律責任，也絕不贊同企業的商業機密被泄漏。

2.企業進行網絡管理的必要性

以上四個問題是每個現代化企業所面臨的切實難題。分析可以得知，企業內員工的網絡行為直接關系到企業的網絡能否正常運轉；企業的網絡是否具有足夠帶寬保證通信暢通；員工能否專心于崗位職責，及時完成工作；企業的名譽和商業機密。而我們的企業要想積極健康、穩步發展就必須加強網絡技術防護的同時，規范企業人員的上網行為。

企業網絡覆蓋的地域面積大；運行的應用繁雜；有極高的網絡可用性需求；有很高的軟硬件的資產管理需求，有很高的終端管理需求等。正是由于企業網絡的這些特點，加強網絡管理，提高管理手段，構建立體的安全架構是非常必要的。通過合理的網絡設備形成一套行之有效的安全管理辦法是企業網絡管理人員的價值所在。

3.企業進行網絡管理的方法

3.1合理規劃IP地址、劃分VLAN，保證網絡的高性能

從廣播控制角度出發，為了保障網絡的高可用和高性能，在進行具體VLAN規劃時，同一個廣播域內（一個VLAN）的通信主機不要超過50臺。對于主機數量超過50臺的業務部門，我們通過二層隔離，三層交換的方式來解決。在實際網絡運行中，這種規劃使網絡攻擊者實施攻擊的難度增加，而網絡管理中由于終端的范圍細化，而可采取的手段增多。

3.2防火墻與入侵檢測的聯動，配合核心交換機的TCP/IP攔截

防火墻是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。 它可通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況， 以此來實現網絡的安全保護。 在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動， 保證了內部網絡的安全。硬件防火墻是企業網絡的標準出口設備，提供了指定和執行網絡安全策略手段。例如保護脆弱的服務；控制對系統的訪問；增強的保密性；記錄和統計網絡利用數據和非法利用數據等。未設置防火墻時，網絡安全取決于每臺主機的用戶，現在防火墻可以建立集中訪問控制點。為各種安全管理手段提供支持。

在網絡系統的整體安全中，入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。

3.3建立一套網絡防病毒體系。

現在新病毒層出不窮，每天都會產生20至30種新病毒，比以前增加3倍以上。我國目前的病毒疫情呈現出兩種趨勢，一種趨勢是國外流行的網絡化病毒大肆侵襲我國的計算機網絡，另一種趨勢是出現大量本土病毒，并且傳播能力和破壞性越來越強。企業在電子商務和金融電子化的不斷發展的環境下，網絡及其應用系統已成為企業日常經營管理的基礎平臺。企業管理系統具有多平臺、多應用的特點，所以建立一個有效的、可管理的企業整體防病毒體系滿足了這一需要 。

3.4實施帶寬管理和上網行為管理相結合的模式對企業互聯網用戶進行管理。

通過策略與日志，管理者可以跟蹤網絡中的任何操作。對用戶上網行為操作做出規范管理，減少內部泄密行為與病毒傳播隔離。如何令有限的帶寬合理分配使用，需要上網行為管理提供精細網絡流量管理功能。可根據主機(單 IP、IP 組、用戶組)、服務(服務組)、應用程序、時間、URL、文件類型等不同參數，提供靈活組合來實現帶寬的預留、保障和限制。通過技術上的設置去限制部分或全部上網人員的網絡訪問權限，將一些非法網站、與工作無關的網絡內容屏蔽掉，進而達到規范網絡行為的目得。

3.5 強化網絡制度建設、營造良好的企業文化

在強化物理技術防護企業網絡安全和員工行為的同時，還需加強企業網絡管理的制度建設，應制定嚴格的上網行為管理辦法，通過制度去約束員工在互聯網上的行為。要在企業中要營造良好的網絡文化氛圍，使員工自覺良好地應用網絡為工作服務。要提高全體員工的個人素質和敬業精神，使員工自覺維護企業的名譽和利益。此外要培養員工的網絡安全意識與網絡安全防護能力。

4.結論

企業網絡雖然面臨眾多安全威脅、員工網絡不良行為等影響，但通過必要的技術和管理手段，是能夠構建一個安全可靠、運行良好的網絡環境的，為企業的快速發展提供信息化服務。

參考文獻：

[1] 陳華.企業網建中VLAN技術的應用[J].化工職業技術教育，2008，（04）.

[2] 王迪.防火墻技術及攻擊方法分析[J].湖南民族職業學院學報，2007，（04）.