統一出口讓網絡更安全

貴州省黔西南州煙草公司（簡稱“州公司”）各單位互聯網訪問原先為各自出口、費用自理且沒有相應的安全防護措施。為完善互聯網訪問、應用安全防護能力，達到上網行為可控、可查、可追述的管理要求，后改為經上級單位做互聯網統一出口規劃后，需由州公司統一提供互聯網出口服務，但這給州公司網絡管理人員日常網絡管理帶來了極大的風險和壓力，同時也給互聯網線路帶來了更高的服務要求。怎樣使互聯網訪問應用安全性最好、線路帶寬使用率最高、限制產生大量連接會話的P2P應用，成為了黔西南煙草信息中心網絡運維和管理所關注的重中之重。

互聯網運維難題多

隨著互聯網統一出口建設的進一步推進，各下屬分公司員工均需要通過現有專線接入到州公司，然后由州公司互聯網出口訪問互聯網資源。一方面員工上網條件得到改善；另一方面由于互聯網的開放性，也給機構帶來更高的網絡使用危險性、復雜性和混亂性。用戶訪問互聯網信息的同時，很有可能受到網絡上木馬、病毒等的攻擊，從而造成信息安全事故。

在互聯網運維過程中存在的問題表現有以下幾個方面：IT部門不清楚網絡流量和內部員工的網絡活動情況，無法為IT決策提供數據支撐；沒有技術保障的IT管理制度形同虛設；濫用互聯網應用，使網絡業務系統運行緩慢，視頻會議帶寬得不到保障，單純擴展帶寬沒有效果；缺乏細致的流量管理辦法，導致業務系統應用帶寬搶占嚴重；機密信息泄漏頻發，急需防范泄密；惡意插件、腳本泛濫，給單位網絡帶來安全風險。

應用層網絡技術現狀

目前互聯網應用，通常是TCP、UDP混合協議傳輸，更強調帶寬侵占性。州公司信息中心根據多年網絡運維管理經驗，參考兄弟公司管理方法，摸索出適合自身情況的網絡管理方法。

在多方論證后發現，基于應用識別的智能（動態）流控技術可以實現根據應用進行合理分配帶寬資源，同時，可以保證互聯網出口帶寬最大利用率。基于應用識別的智能（動態）流控技術在帶寬有限時，通過業績流量控制來限制P2P、流媒體等消耗帶寬的應用，保障郵件、訪問網站等與業務有關的重要應用的正常帶寬范圍；當互聯網出口帶寬只有30%或者更低使用率時，適當降低控制閥值。傳統流控技術造成帶寬浪費的情況也不再出現。

識別是管理的基礎

網絡應用極其豐富，尤其隨著大量社交型網絡應用的出現，由此引發各種管理和安全問題。識別是管理的基礎，全面的網絡應用識別幫助管理員透徹了解網絡應用現狀和用戶行為，保障管理效果。通過全面識別各種應用，進而對單位互聯網出口進行有效管理和維護。

州公司信息中心根據多年信息化建設、網絡安全建設、運維與管理經驗，以不斷發現問題、解決問題、創新實踐為原則；建設單位高效、高可用性、高安全性信息化網絡為主要目標；摸索出有效的解決方案，并不斷完善，實現互聯網統一出口的高效運維管理。核心技術主要包括以下四個方面：

一、URL識別——通過千萬級靜態URL庫、基于網頁智能分析系統IWAS、SSL內容識別技術等，有效應對互聯網上數以萬計的網頁；

二、應用規則識別——識別網絡主流應用，包括IM、P2P/P2P流媒體、游戲、辦公應用、網銀、股票行情軟件、股票交易軟件、木馬、代理軟件等；

三、深度內容檢測——IM聊天、在線炒股、網絡游戲、在線流媒體、P2P應用、Email、常用TCP/IP協議等，基于數據包特征精準識別；

四、智能識別——種類泛濫的P2P行為，靜態“應用識別規則”已經捉襟見肘，所以通過P2P智能識別，識別不常見、未來可能出現的P2P行為，進而封堵、流控和審計。

基于Web應用的控制技術

為應對互聯網網頁容量爆炸性增長，州公司信息中心根據多年的運維經驗，參考多種技術實現方式，最終采用“靜態URL庫+URL智能識別+云系統”三重識別體系。更開發了一套人工智能的網頁智能分析系統（Intelligent Webpage Analysis System， IWAS），能夠根據已知網址、正文內容、關鍵字、代碼特征等特點進行自動學習和智能分類，真正完善網頁訪問行為管理。

有限的帶寬資源如何分配給不同部門、用戶或不同應用，如何保障核心單位用戶煙草核心業務系統帶寬資源，限制網絡殺手如BT迅雷等占用資源，一直以來都是州公司信息中心工作研究的重點課題。經過反復測試、總結，最終發現基于應用識別的、精細智能的流量管理可以有效防止帶寬濫用，提升帶寬使用效率。

通過帶寬的“自由競爭”與“動態分配”，除了基于父子通道進行流量控制之外，還根據在線的用戶數量將帶寬動態分配給在線用戶，如4M的線路，可以動態分配給5個或者20個在線用戶使用，從而實現帶寬資源的充分利用，達到在網絡應用高峰期保障核心用戶、核心業務帶寬，限制無關應用占用資源，在帶寬空閑時實現資源的充分利用的目的。

以往，通過封IP、端口等管控“帶寬殺手”P2P應用的方式極不徹底。加密P2P、不常見P2P、新P2P工具等讓眾多P2P管理手段束手無策。現在憑借州公司信息中心開發的一套P2P智能識別技術，不僅識別和管控常用P2P、加密P2P，對不常見和未來將出現的P2P亦能管控。能限制指定用戶的P2P所占用的帶寬，既允許指定用戶使用P2P，又不會濫用帶寬，充分滿足管理的靈活性。

經濟壓力顯著下降

經過前期大量測試、驗證，發現網絡監控方案可大大提升員工辦公效率以及節約單位互聯網帶寬資源，減少互聯網統一出口后升級帶寬帶來的支出成本。

通過有效地應用層識別技術和精細化的帶寬管理，可以用最少的投資達到最好的效果，解決了單位互聯網統一出口后存在的應用控制、行為審計、流量控制、運維管理等問題。

基于應用識別的P2P智能識別技術，不僅能識別和管控常用P2P軟件及版本，對不常見的和未來將出現的P2P亦能管控。提供的P2P流控技術，將限制指定用戶開啟P2P后占用的帶寬。既允許用戶使用P2P，又不會濫用帶寬。

州公司信息中心一直以來都在不斷探索用最少的投資達到最好的管理效果，所以在解決單位互聯網統一出口后存在的問題，也需要充分考慮單位網絡現狀，分析存在的問題，找到最有效、最經濟的解決方案。

經過信息中心論證，通過有效的應用層識別技術和精細化的帶寬管理，大大減少了統一出口帶寬擴容帶來的經濟壓力。

“三分制度、七分管理”，缺乏技術手段支撐的管理制度就像一道沒有裝鎖的門，只能依賴人工值守或被管理者的自覺遵守。選擇適合單位IT環境的技術手段，才不會讓管理制度流于形式，有效支撐組織的IT管理，幫助規范網絡，減少IT管理員的無謂工作量，優化組織IT環境。精細化的技術手段可以規范網絡行為，是對行政管理的一種補充；網絡管理實現了流程化，通過設置上網登記制度、帶寬分配制度等，將網絡管理流程化，將人員上網與制度結合，保證網絡管理規范化；管理變得更透明，增強網絡可控性，規避組織機構的風險。