上網行為管理系統在企業中的應用及效果分析

魏延萍　穆衛巍 茍景衛　王劉偉

[摘要]強化員工上網行為管理，確保互聯網資源的合理安全使用已經成為企業網絡應用管理及信息安全防控的必然趨勢，本文在介紹上網行為管理系統的基礎上分析了企業使用該技術實現對網絡的全面管控，并對使用的情況進行了簡要的分析。

[關鍵詞]上網行為；網絡安全；網絡管理

[中圖分類號]TP311

[文獻標識碼]A

[文章編號]1672—5158（2013）05—0470—01

一、上網行為管理技術介紹

上網行為管理指幫助互聯網用戶控制和管理對互聯網的使用，包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析。

1.1上網行為管理技術的性能指標

隨著網絡技術的不斷提高和網絡安全系數的降低，傳統意義上的防火墻、殺毒軟件已經無法應對多變的安全威脅。而我們現在更多的威脅不是來自黑客的攻擊、病毒的的入侵，而更多的是來自我們內部網絡。內部管理松懈幫了黑客的大忙，再厲害的黑客要實施攻擊，也必須在現有的系統或網絡上找到突破口。而上網行為管理技術從根本上解決了這一問題。其技術主要包括以下四個指標：

1）上網內容過濾的準確性，特別是URL地址庫的及時更新完善；

2）針對不斷涌現應用協議識別的完備性，如HP2P、IM、音視頻、網游等；

3）信息保密性：防止各種重要敏感信息通過郵件、IM、FTP、BBS等方式泄露出去；

4）網絡硬件平臺的增強性，通過不斷增強上網行為管理的網絡硬件平臺來保證其性能提升。

1.2上網行為管理系統實現的管理功能

上網行為管理系統都具有以下主要功能：

1）建立身份認證體系：上網行為管理技術支持多種上網身份認證方式，通過認證和硬件綁定能有效的區分用戶身份，審計和防御身份冒充、權限擴散與濫用，同時支持對所有或特定用戶免認證，也可采用基于IP/MAC綁定的認證技術。

2）細致的訪問權限分配：上網行為管理技術不僅設置了差異化的互聯網訪問權限，還有差異化的行為審計策略，按照行政架構、IP分段、VLAN信息建立用戶組結構。

3）全面的監控審計功能：上網行為管理體制完善的訪問審計和監控功能能夠有效防止信息通過網絡泄密。建立訪問審計、監控審計、模塊構筑完備的內部安全屏障。其實真正的網絡安全不在于外部黑客的攻擊，而是內部網絡使用者的泄漏，所以建立強大的內部安全管理策略，減少內部泄密行為。

4）日志檢索與報表：通過設置外置中心數據中心，可供管理員對網絡流量、垃圾郵件、網絡監控、安全日志等詳細信息查詢，并可詳細的分析出Internet網中的詳細使用情況。

5）特有的單點登陸技術：將單點登錄技術同認證機制結合在一起，讓通過域認證的用戶可以更加方便的實現web認證。通過數據包監聽方式支持LDAP單點登陸功能，若有第三方介入內網立刻禁止訪問，進一步降低了信息外泄的風險。

6）提供“客戶端準人規則”（NAR）認證功能：在局域網內客戶端的安全級別往往難以保證，使用版本陳舊的操作系統、不及時更新補丁、長時間不更新防火墻和殺毒軟件等，都給病毒和黑客的攻擊大開方便之門。而這種狀況可以通過對客戶端的評估來實現。當啟用了局域網客戶端準人規則功能后，局域網內用戶第一次發起互聯網連接請求時，“客戶端準人規則”將“動態分發準人代理”（SIA）至客戶端主機oSIA主要確定端口是否遵從管理員設定的安全策略。SIA中配置了用于檢查預定義的和可定制的標準，它可以檢測到局域網內的用戶是否及時給操作系統打補丁、是否安裝殺毒軟件，殺毒軟件是否升級列最新版本等等。

二、上網行為管理系統的部署

上網行為管理設備支持路由、網橋、旁路三種工作模式。

2.1路由模式

路由模式的工作層次基本與路由器相當，具備基本的路由轉發及NAT功能，上網行為管理設備可以充當路由器和防火墻。但是這種部署模式需要對企業的網絡環境作較大的改動。

采用路由模式的主要優點是：能實現NAT、路由等網絡功能，并代理內網員工上網；完全監控和管控進出設備的數據。

2.2旁路模式

旁路模式是最簡單的部署模式，旁路監聽部署模式對組織機構的網絡結構影響最小，不需要改變原有網絡的任何路由配置，對網絡速度影響較小，只需在出口交換機上配置端口鏡像。其主要原理是監聽并分析TCP/IP數據包以實現監控，通過改變IP包頭信息來調節和控制IP連接，同時管理的效果也很出色。

采用旁路模式的優點是：設備的安裝完全不影響原有的網絡結構，實施部署簡單方便。

2.3網橋模式

上網行為管理以網橋模式部署時對客戶原有網絡基本沒有改動，不需要更改客戶原有的網絡設備配置。網橋模式時上網行為管理不支持NAT（代理上網和端口映射）、VPN、DHCP等功能，除此之外上網行為管理的其它功能如URL過濾、流控等其它功能均可實現。網橋模式部署上網行為管理時，對客戶原有網絡是透明的，因此當網絡因為上網行為管理的原因而中斷時可以馬上繞開上網行為管理，即可恢復客戶原有的網絡。網橋模式部署時上網行為管理還支持硬件bypass功能，前提是該型號的上網行為管理設備本身支持bypass功能。

采用透明模式的主要優點是：設備的部署、安裝基本不影響原有網絡結構；完全監控和管控進出設備的數據。

三、應用效果分析

上網行為管理系統能幫助網絡管理員控制和管理互聯網用戶及對互聯網的使用，包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析等。

3.1網絡應用控制

聊天、看電影、玩游戲、炒股票等等，互聯網上的應用可謂五花八門，如果員工長期沉迷于這些應用，也將成為企業生產效率的巨大殺手，并可能造成網速緩慢、信息外泄的可能。通過上網行為管理系統，網絡管理員可以制定有效的網絡應用控制策略，封堵與業務無關的網絡應用，引導員工在合適的時間做合適的事。

3.2帶寬管理

上網行為管理系統具有多線路復用技術，可支持多條公網線路，擴展機構的Internet帶寬，多線路間互為備份，提高可靠性；同時上網行為管理的多線路智能選路和負載均衡技術，將內網用戶的流量智能的分配到多條公網線路上，解決跨運營商的帶寬瓶頸問題。

3.3行為記錄

實時掌握員工互聯網使用狀況可以避免很多隱藏的風險，通過上網行為管理系統，網絡管理員可以實時了解、統計、分析互聯網使用狀況，并根據分析結果對管理策略做調整和優化。

3.4報表分析

通過日志的分類顯示，可以讓網絡管理員只看到自己關心的系統日志，而不需要從所有日志信息中慢慢篩選，從而更好的了解系統的運行情況，方便快速定位和排除故障，網絡管理員可以查看到內網用戶所訪問過的網站域名，可以實時了解內網用戶的上網行為。

參考文獻

[1]馮登國.《計算機通信網絡安全》，北京，清華大學出版社，2001