上網行為管理，提升網絡安全水平

王斌，劉瑩

（華東桐柏抽水蓄能發電有限責任公司，浙江天臺371200）

上網行為管理，提升網絡安全水平

王斌，劉瑩

（華東桐柏抽水蓄能發電有限責任公司，浙江天臺371200）

介紹了網絡管理面臨的問題與現狀，上網行為管理的必要性和意義,桐柏公司對于上網行為管理的基本措施和基于深信服的AC1220上網行為管理裝置的應用。

上網行為管理；網絡安全；管理

1 引言

網絡的發展給我們的生活帶來了便利，給工作帶來了高效率，創造巨大價值的同時，也帶來了一系列不可避免的問題，強化上網行為管理，提升網絡安全水平是網絡安全維護的必然趨勢。本文主要介紹了桐柏公司在上網行為管理系統方面的應用。

2 網絡管理面臨的問題與解決方案

桐柏公司的信息系統，主要包括內網和外網兩個部分，內網是國家電網公司電力企業數據網，與普通民用的互聯網在物理上完全隔離，主要業務是與生產有關的網絡應用，包括生產運行實時監測系統（SIS）、視頻會議系統、內網郵件系統、員工報銷、ERP系統等。外網以統一互聯網出口的形式與互聯網聯通，即桐柏公司通過網絡專線連至浙江省電力公司的信通中心，從浙江省電力公司的信通中心出口與互聯網連接，主要為桐柏公司員工因工作需要，與電力系統外單位的聯系和資料查詢所需的互聯網服務。本文的上網行為管理，主要討論的是針對外網的管理。

2.1.絡管理面臨的問題

網絡的發展給我們的生活帶來了便利，給工作帶來了高效率，我們的生活和工作都已離不開互聯網的應用，但同時，網絡的開放性也給公司帶來了更高的使用危險性、復雜性和混亂，主要包括員工工作效率低下、敏感信息外泄、公司面臨法律風險、帶寬濫用等。

2.1.1.絡流量成負擔

大部分企業單位，在公司內部對于網絡流量的使用不設限制，經常有無序大型文件的上傳下載，使得業務信息的應用無法得到有效的帶寬保障。根據一份調查報告顯示：28%的上網行為用在了BT，迅雷等P2P下載上，這些下載行為基本都集中在影視、娛樂文件上。由于P2P的設計原理使其形成了對網絡資源的搶奪，使得網絡中的其他應用無法得到應有的帶寬，造成了網絡擁堵，在線視頻的興起也加劇了帶寬資源的消耗，致使重要業務無法正常開展。桐柏公司的統一互聯網出口的帶寬只有10 M，使用情況更是捉襟見肘。

2.1.2.絡安全隱患

網絡環境的復雜性、信息系統的脆弱性、開放性和易受攻擊性，決定了網絡安全威脅的客觀存在，隨著網上購物、移動支付的興起，網絡安全問題更是日益嚴峻，利用網絡進行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴重影響了網絡的正常使用。作為公司信息網絡的管理者，我們不但要面對外來的破壞者利用網絡暴力入侵，也要防止內部員工不謹慎的上網行為導致的誤點帶毒鏈接，訪問不明網站等導致的病毒木馬爆發。輕者影響網絡的正常應用，重者造成數據丟失，系統癱瘓，重要數據和敏感信息被別有用心的個人或組織偷竊、破壞或刪除。

2.1.3.律和安全風險

大部分企業內部員工的上網不受限制，但是他們在網上做了什么？對外發布了什么信息？企業單位完全不知情，也無記錄可查詢，一旦混雜著有害內容和違反法律的網絡行為發生，造成大的負面影響，根據2017年6月1日正式實施的《網絡安全法》，這將會給單位帶來巨大的法律風險。

2.1.4.作效率難以提升

據一項調查顯示，普通企業員工每天的互聯網訪問活動40%與工作無關。上班時間，炒股、聊天、游戲、網購、微博等都是普遍存在的現象。這種互聯網的不合理使用必然導致員工工作效率的下降，同時員工也養成了不良的職業習慣。

2.1.5.容失控，泄密事件頻繁發生

桐柏公司的主要工作在內網中進行，但內網用戶是被默認為可以信任的用戶，他們可以輕而易舉的獲取內網數據，如果不對外網行為加以管控，則可以通過各種途徑，如郵件、qq等聊天工具，將內部數據外泄。

2.1.6.現網絡問題后難以快速找到根源

當出口堵塞，網絡訪問異常時，通常難以在短時間內找到根源，只能通過網絡層面的設備分析原因，簡單的插拔網線，復位設備，以圖解決問題。如果對網絡上的行為有所統計，則可以分析故障發生前后，網絡上發生了什么，有助于快速找到真正的原因。

2.2.柏公司對于上網行為管理的應用

強化員工的上網行為管理、保障網絡資源的合理使用，避免人為的網絡安全隱患、提升帶寬利用率，不僅僅局限于網絡安全管理，也與企業的管理和發展緊密聯系在一起。正確的實施上網行為管理、確保網絡安全，又要保障員工對于網絡訪問的合理需求，這不僅僅是技術層面，也是管理層面的問題。桐柏公司也確實是從管理手段和技術手段兩方面著手的。

2.2.1.理層面

制定管理規定，國網公司制定了《網絡與信息系統安全管理辦法》，《信息安全等級保護管理辦法》，新源公司制定了《信息安全管理標準》，桐柏公司制定了《信息機房管理制度》，《桐柏公司通訊機房管理制度》，《桐柏公司計算機監控系統分級授權管理辦法》，《桐柏公司計算機監控系統移動存儲設備使用管理辦法》，《桐柏公司運維檢修部設備專用計算機管理辦法》等管理制度，從制度上規范員工的上網行為，明確哪些能做，哪些不能做。

桐柏公司落實責任人制度，各專業設備都指定了設備主人和A、B角，通過對系統運維責任的分解，做到責任到人，層層落實，對信息系統相關的服務器、網絡、機房等運維責任均落實到個人并明確各負責人權限。禁止外單位設備接入信息內網，外來單位人員需要接入信息外網的設備均需審批備案。無論是內網電腦還是外網電腦，都明確負責人，分配IP地址與MAC綁定，保證電腦在指定的位置由指定的人員使用。

為合理分配網絡資源，對于使用外網頻繁的員工，配發外網電腦至個人；大部分員工工作時不需要使用外網的部門班組，則配置公用的外網電腦，以便有要事急需上網的員工使用。

2.2.2.術層面

桐柏公司的統一互聯網出口，其拓撲示意圖如圖1所示。

圖1.柏公司外網拓撲示意圖

為了嚴格的遵守網絡安全的標準，我們在互聯網出口處設置了兩層防火墻，第一層為迪普的傳統防火墻，作用為實現NAT地址轉換并設置ACL實現訪問控制；第二層為啟明星辰的天清漢馬系列的下一代防火墻，實現web應用控制的訪問；再下面連接了迪普的入侵防御設備，型號為IPS2000系列，能夠更好的去檢測病毒和攻擊行為并去防御；以上設備都是為了防御一些攻擊行為和病毒，但是對一些內部的客戶端的限制很少，所以我們又采用了深信服的上網行為管理，一方面是為了限制一些客戶端流量，此外更多的是對一些客戶端的應用訪問控制，并去進行網絡分析。與本論文內容相關密切的就是深信服的AC1220上網行為管理裝置，其主要實現的功能主要包括以下方面：

1）網頁訪問過濾

互聯網上的網頁資源非常豐富，如果員工長時間訪問購物、財經、娛樂等于工作無關的網頁，將極大的降低工作效率，訪問一些不明網站或高風險提示的網站，則會帶來較大的網絡安全風險（病毒、木馬等）。

所以，我們制定網頁訪問過濾策略，過濾非工作相關的網頁。同時，該策略可以個性化定制，比如，普通員工不能訪問購物網站，但計劃物資部需要進行物資采購的員工可以通過指定的電腦訪問相關的購物網站進行查詢。

2）網絡應用控制

聊天、看電影、玩游戲、炒股等，網上的應用也是五花八門，如果員工在工作時間使用這些應用，也會降低工作效率，并可能造成網速緩慢、信息外泄的可能。

對此，我們制定有效的網絡應用控制策略，封堵與業務無關的網絡應用，引導員工在合適的時間做合適的事。

3）信息內容審計

發郵件，聊天，訪問論壇，發微博，都是常見的網絡行為，然而，信息的保密性、健康性、政治性的問題也隨之而來。

所以，制定有效的信息收發監控策略，可以有效的控制關鍵信息的傳播范圍，避免可能引起的法律風險。

4）上網行為分析

隨著互聯網上的活動越來越頻繁，掌握員工的互聯網使用狀況可以避免很多潛在的風險。

5）日志管理

可以通過對日志的分析，了解整個網絡系統的運行情況，方便快速定位和排除故障。

3 結論

通過管理層面和技術層面的努力，桐柏公司對公司的互聯網應用進行了有效的上網行為管理，規范了員工的上網行為，排除了網絡安全隱患，抵御了潛在的網絡安全風險，自G20峰會前安裝上網行為管理裝置，系統已運行大半年，期間未發生被通報的網絡信息安全事件。可見該系統的應用，有效的提升了桐柏公司的網絡安全水平。

[1]何牡.計算機通信網絡安全維護措施分析[J].通訊世界，2015（15）：15-16.

[2]楊曙光.計算機信息管理技術在網絡安全中的應用[J].網絡安全技術與應用，2015（04）.

[3]深信服科技有限公司.上網行為管理技術手冊[Z]，2010.

[4]陳兵.網絡安全[M].北京：國防工業出版社，2012.

[5]北京天融信有限公司.上網行為管理系統產品白皮書[Z]，2009.

TP393.08

B

1672-5387（2017）09-0072-03

10.13599/j.cnki.11-5130.2017.09.025

2017-06-19

王斌（1979-），男，高級工程師，從事繼電保護和信息運維工作。