上海鐵路局互聯網出口安全與優化部署方案

懷 真 上海鐵路局信息技術所

上海鐵路局互聯網出口安全與優化部署方案

懷 真 上海鐵路局信息技術所

當前，上海鐵路局職工訪問互聯網的習慣正在發生變化，從最早使用PC、有線局域網，到更多使用移動終端、WLAN來進行辦公，如果過度開放的上網環境會帶來各種問題，例如工作效率低下、WIFI熱點違規使用、帶寬濫用和浪費、WLAN安全隱患、數據泄密、網絡違規違法等，因此有必要在上海鐵路局各單位互聯網出口處部署一整套針對上述各種問題的安全與優化的解決方案，保證網絡資源得到充分和安全的利用、上網行為得到有效的管理。

互聯網出口；安全與優化；網絡資源；上網行為

1 概況

上海鐵路局是中國鐵路總公司下屬的特大型運輸企業，日常工作中，鐵路職工需要使用互聯網與外界取得聯系，很容易導致國家鐵路機密信息、工作秘密及商業秘密等內部敏感信息泄露；工作間歇時間，部分鐵路職工通過互聯網觀看在線視頻、玩在線游戲、瀏覽違規網站或論壇等行為得不到有效遏制。因此，需要在上海鐵路局各單位互聯網出口處部署一整安全與優化系統，實現上網行為管理、上網安全防護。

圖1 系統結構圖

2 實施方案

本次方案采用上網行為管理設備兩臺、網絡安全防護與監控設備兩臺、負載均衡設備兩臺、日志收集和監控服務器一臺，部署位置如圖1所示。

2.1 設備功能介紹

2.1.1 互聯網出口負載均衡器功能介紹

HA部署兩臺負載均衡AD設備，實現內網用戶訪問外網資源時的智能選路，并且針對鏈路做健康檢查，避免因為一條線路異常造成訪問中斷，給內部用戶提供更好的上網體驗。

2.1.2 網絡安全防護與監控設備功能介紹

HA部署兩臺網絡安全防護與監控設備于互聯網出口，針對用戶的上網終端提供2-7層的安全威脅過濾、木馬惡意流量檢測、僵尸網絡肉雞檢測、入侵防御安全防護功能，同時開啟網絡安全監控功能，監控包括：入侵攻擊、網絡層攻擊以及僵尸網絡攻擊，實現網絡安全的可視化實時監控；

2.1.3 上網行為管理設備功能介紹

HA部署兩臺上網行為管理設備于互聯網出口，針對有線網絡終端和用戶提供接入認證、權限控制、合規審計；此外，還針對有線用戶、關鍵應用、流量控制等功能提供全局統一的帶寬控制策略。針對無線接入的用戶，可以做身份準入，行為監控審計、流量控制等。保障有線、無線網絡更加高效、安全可靠的運行。可以檢測出用戶私自接入無線路由設備，降低單位網絡風險。可以對重要用戶設置帶寬保障功能，保障重要用戶網絡體驗和重要業務順暢運行。

2.1.4 日志收集和監控服務器功能介紹

為了加強對上海鐵路局互聯網出口設備的系統日志的收集和監控，同時滿足日志保留時間6個月以上的要求，需配置一臺日志收集和監控服務器。

3 方案的現實意義

在上海鐵路局各單位互聯網出口處部署一整套安全與優化系統，具有如下11個現實意義，從而給上海鐵路局職工提供一個更安全、更高效的上網環境。

3.1 網頁過濾策略

上班時間從事私人活動，管理者卻難以阻止，如上班時間瀏覽購物網站、上微博、論壇發帖等。上網行為管理設備能針對不同用戶(組)提供基于角色的管理方法，讓管理者實現指定用戶和部門在工作時間只能訪問特定的網站，例如行業信息網站、公司門戶網站等，而其他未經允許的網頁瀏覽都將被拒絕。

3.2 IM（即時通訊）聊天軟件的管理

上班時間使用QQ、MSN等私人聊天，不僅影響工作效率，還可能因IM傳文件而引入病毒和向外泄密。面對的眾多IM軟件，上網行為管理設備通過檢測應用數據包的特征字段，實現對IM聊天軟件的管控，提升工作效率。

3.3 全面的行為管理

網頁過濾、IM聊天等管控只是內網行為管理的一部分。面對用戶上班即掛機下載，搜索最新網絡新聞、圖片，上班時間更新博客、上傳圖片、看在線視頻、網絡游戲等問題，上網行為管理設備支持應用識別規則庫，包含1 500多種應用，對員工上網行為進行全面管理。

3.4 上網時間管理

上網行為管理設備通過為不同部門、不同用戶，基于時間段進行權限分配，也可以限制用戶一天內總的上網時間，實現人性化管理。支持設定一定的上網時間值，當用戶超過這個閥值時，將自動彈出提醒頁面，提醒員工上班時間注意提高工作效率，不要從事與工作無關的網絡活動。

3.5 帶寬動態調節

上網行為管理設備支持動態流控功能，通過設定閾值，實現當整體帶寬利用率過低時自動調整釋放更多的帶寬資源，讓帶寬得到有效利用，避免浪費，比傳統單一、死板的流控方法更有效的提升帶寬利用率。

3.6 帶寬統計和管理

上網行為管理設備數據中心對內網用戶的各種網絡行為進行統計并形成趨勢和報表等。借助圖形化報表、曲線和統計結果，可以幫助IT管理者輕松掌控網絡行為分布和帶寬資源使用等情況。

同時，上網行為管理設備基于用戶(組)、應用類型、網站類型、文件類型、目標IP等的智能流控，細致劃分與分配帶寬資源，如保障領導的視頻會議、市場部訪問行業網站、設計部傳輸CAD文件等行為得到帶寬保障，提升整個機構的帶寬使用效率。

3.7 關鍵詞過濾

在部署上網行為管理設備后，通過定義關鍵字的方式，實現對發送郵件、網上搜索、網上發布、文件外發等行為進行過濾，從而避免敏感信息泄露問題給企業帶來經濟損失。同時，有效防止不良信息外發行為，避免引來法律糾紛。即使發生了不良信息外發行為，也能夠通過對內網用戶上網行為實施記錄審計，能夠在發生網絡違法事件的時候通過審計日志追查相關責任人，避免由企業承擔相應法律責任。

3.8 防病毒、木馬

內網用戶在訪問internet時，常常會無意中下載到一些包含惡意病毒的文件，這些病毒程序通常是極具破壞力的，嚴重時會造成計算機系統的崩潰，使員工無法正常工作。而如果在上網過程中使用上網安全桌面，則可以有效的防止這些病毒程序對本機造成破壞。

3.9 攔截不良網頁

上網行為管理設備內置自動更新的海量URL庫，包括色情、反動等分類，潛藏在此類網站中的威脅將被AC過濾；AC允許用戶手工添加新URL分類；再過濾用戶通過搜索引擎搜索的關鍵字、過濾URL地址關鍵字和網頁正文關鍵字，實現對各類網頁的全面過濾，降低內網用戶訪問不良網頁和危險網頁的可能。

假冒網上銀行的釣魚網站、加密的反動網站等，顯示"加密化"已經成為趨勢，而業界多數設備無法對SSL加密網頁進行管控。AC通過證書驗證鏈接黑白名單技術，過濾含有不可信任數字證書的SSL網站，實現對SSL加密過的色情、邪教、釣魚網站等的過濾。

3.10 智能的DOS攻擊防護

網絡安全防護與監控設備采用自主研發的DOS攻擊算法，可防護基于數據包的DOS攻擊、IP協議報文的DOS攻擊、TCP協議報文的DOS攻擊、基于HTTP協議的DOS攻擊等，實現對網絡層、應用層的各類資源耗盡的拒絕服務攻擊的防護，實現L2-L7層的異常流量清洗。

3.11 文件傳輸控制

針對QQ、MSN等IM軟件的病毒，通過引誘用戶下載指定文件或打開指定URL鏈接而傳播；上網行為管理設備的“攔截不良網頁”措施將避免用戶訪問含病毒URL地址；上網行為管理設備還可限制使用QQ、MSN等傳遞文件。

通過HTTP、FTP從互聯網下載的文件，往往打開或運行后導致用戶電腦感染病毒、木馬，甚至癱瘓。該風險“感染點”還會伺機爆發，感染更多用戶，使整個網絡癱瘓。而此類行為和流量經過上網行為管理設備時，上網行為管理設備首先限制用戶通過HTTP、FTP上傳下載指定類型的文件，對于允許傳輸的文件，上網行為管理設備的網關殺毒功能將查殺該文件中潛藏的病毒、木馬。

4 結束語

通過在上海鐵路局各單位互聯網出口處部署一整安全與優化系統，可提升鐵路職工的工作效率、提升上海鐵路局互聯網帶寬的利用率、避免敏感信息泄露、保障終端安全。

[1]費宗蓮.大型企業互聯網出口安全防護實例[J].計算機安全,2005,(1)：57.

[2]姜新超.Internet出口安全[J].信息與電腦（理論版）,2013,(3).

[3]周賢祿,豐貴瓊.淺談上網行為管理系統在網絡安全中的應用[J].中國信息化,2013,(4).

[4]李庭芳.員工上網行為管理探究[D].北京：北京大學,2009年.

責任編輯：王 華

來稿日期：2015-08-18