互聯網視聽節目監測從業人員上網行為審計系統設計與實現

高詩建

摘 ? 要：文章根據互聯網視聽節目監測從業人員的工作內容，提出上網行為審計系統的設計并加以實現，系統滿足加強互聯網信息安全的需求，同時規范上網行為、提高工作效率。系統通過用戶準入、上網行為記錄、流量控制、終端管理等技術手段，部署了一套完整的上網行為審計系統。本系統旨在解決互聯網視聽節目監測從業人員訪問互聯網所衍生的信息安全隱患、工作效率低等問題。

關鍵詞：上網行為審計;信息安全;流控;終端管理

隨著互聯網的高速發展，信息化建設日益成熟，互聯網視聽節目變得日益豐富多彩，隨之而來的監管工作也變得復雜多變，并且尤為重要。由于監管難度的增加，首先對互聯網視聽節目進行初步排查，其次，高級技術人員對排查結果進行分析并撰寫報告。隨著《中華人民共和國網絡安全法》與《信息安全等級保護管理辦法》的頒布與實施，工作人員如何在日常工作中合規、合法、文明訪問互聯網變得尤為重要。文章將設計一套上網行為審計系統（以下簡稱本系統），實現對工作人員訪問互聯網的行為進行記錄、審計、分析，以監督工作人員合規、合法、文明訪問互聯網。

1 ? ?系統設計背景與需求分析

由于互聯網的發展，信息安全問題逐步地顯現出來。隨著信息安全相關政策法律的頒布與實施，原本工作中存在的信息安全漏洞將被發現并予以解決。規范上網行為并加以審計成了信息安全中非常重要的一個環節。

1.1 ?背景簡介

近年來，多次出現網民在互聯網中進行網絡誹謗以及上傳侵權非法音視頻導致的法律糾紛，并且造成極其惡劣的社會影響;部分單位工作人員通過工作業務網絡訪問互聯網時，由于操作不規范導致業務系統遭受黑客攻擊，致使業務系統癱瘓，造成巨大經濟損失;移動互聯網的興起，導致工作期間使用移動終端從事非工作事務更加便捷，嚴重影響工作效率。

1.2 ?需求分析

面對互聯網視聽節目監測從業人員訪問互聯網所產生的種種負面影響，其主要是沒有對工作人員的上網行為進行合理審計造成的。互聯網視聽節目監測人員的主要工作在于對互聯網中不符合要求的視聽節目進行排查。首先，該工作特性增加了終端受攻擊的概率;其次，工作人員長期接觸不符合要求的視聽節目有可能會對心理造成影響;最后，由于視聽節目大多數使用流媒體技術，大量工作人員同時訪問流媒體也勢必對網絡帶寬造成沖擊。針對目前訪問互聯網存在的風險以及互聯網視聽節目監測人員所從事的業務特性，本系統需具備以下功能：對通過互聯網發布不當言論、訪問非法網站、惡意發帖的行為進行攔截;對向外傳播內部資料的行為進行日志記錄與告警[1];解決工作人員訪問互聯網方式不合規導致內部網絡與業務系統處于信息安全風險狀態;解決某個工作人員或業務系統的操作導致互聯網出口數據量瞬間增大，導致核心業務不能得到帶寬保障的。

2 ? ?系統關鍵技術

2.1 ?審計識別技術

審計識別技術從類型上看可分為超文本傳輸協議（HyperText Transfer Protocol，HTTP）外發內容、訪問網站/下載、郵件、即時通信、文件傳輸協議（File Transfer Protocol，FTP），Telnet等5類。

HTTP外發內容識別可對Web BBS的發帖內容、外發的Web Mail郵箱內容、通過網頁上傳的附件內容、通過網頁上傳的文本內容進行審計與記錄，也可對微博所包含的附件等內容進行審計與記錄。通過流量過濾方式，對訪問網站的統一資源定位符（Uniform Resource Locator，URL）進行記錄，與此同時也可對通過URL下載文件的文件信息進行記錄、存儲。通過對簡單郵件傳輸協議（Simple Mail Transfer Protocol，SMTP）、POP3/IMAP協議的審計可對所有收發送郵件進行記錄。在客戶端安裝探針，對客戶端的所有IM聊天內容以及網絡應用進行監控。通過截取數據流，對使用FTP上傳下載的文件名及內容進行記錄與審計。

2.2 ?流量管理與控制

為保障業務網絡高效、穩定運行，防止其他非業務用戶阻塞端口導致丟幀;亦或網絡中某個瞬間大量數據對整體網絡帶來沖擊。本系統具備兩種流量控制的方式：在半雙工方式下，流量控制是通過反向壓力也就是背壓計數實現的，這種計數是通過向發送源發送jamming信號使得信息源降低發送速度;在全雙工方式下，流量控制一般遵循IEEE 802.3X標準，由交換機向信息源發送“pause”幀令其暫停發送[2]。本系統還可利用HTTP解析、系統檢測、移動應用識別等方式識別移動智能終端，發現“非法AP”，并對其進行封堵。

3 ? ?系統實施部署

3.1 ?系統部署模式

本系統采用單網橋模式進行部署，系統工作在二層交換機模式下，以網橋的模式部署在網絡的出口附近，以透明傳輸的模式介于防火墻與核心三層交換設備之間。系統實現對內網用戶上網行為進行網絡準入、行為控制、流量管理、日志審計等功能。單網橋模式的優點在于可以不改變原有網絡拓撲與任何配置的情況下，只將本系統的廣域網（Wide Area Network，WAN）口，同出口防火墻局域網（Local Area Network，LAN）口相連，系統LAN口與核心交換機相連接，為系統分配一個網橋地址，即可滿足需求[3]。系統部署模式拓撲如圖1所示。

3.2 ?用戶準入策略配置

為防止非法用戶通過有線、無線等途徑使用局域網訪問互聯網造成用戶損失，啟用本系統的用戶準入策略。使用短信認證的身份認證方式對用戶進行準入限制，并將該用戶的手機號碼與硬件具備唯一性的MAC地址進行綁定。對于未認證通過的用戶分配受限的互聯網訪問權限，并通過Web重定向至指定認證頁面。

3.3 ?上網策略配置

審計上網行為和流量：本系統在該配置上，將辦公室、財務等部門涉及政策建立與資金流動的郵件、IM聊天、FTP等應用加入白名單不進行日志記錄，其他所有行為都進行日志記錄并儲存。控制影響工作效率的應用：通過策略配置對存在金融行情交易、購物、游戲等數據流進行分析并加以控制。降低網絡安全風險：通過特征庫幫助用戶識別訪問釣魚網站等不安全上網行為，同時對用戶主動使用遠程工具、木馬、含有病毒軟件等存在安全隱患應用進行分析并加以控制。

3.4 ?流控策略配置

由于互聯網視聽節目監測人員在日常需要通過在線音視頻觀看或者音視頻下載的方式完成工作量，且該部分占用帶寬較大，所以對線電影、P2P使用流量進行預留30%帶寬保障且該部分數據使用帶寬最大不可超過總帶寬的80%。預留10%帶寬給其他核心業務使用，避免其他核心業務在高峰期受到影響。預留10%帶寬容量給時延敏感型應用、基礎應用，剩余帶寬將浮動分配給其他流量。

3.5 ?終端管理配置

本系統從共享接入、移動終端方面對用戶終端進行管理。

（1）由于本系統對上網數據進行識別的原理是根據數據包轉發過程中的MAC地址進行用戶識別，而常見的無線路由器都為3層交換設備，將對數據包進行重新封使得MAC地址變為該線路由器的MAC地址，將無法對用戶行為進行精確識別。本系統啟用共享接入檢測，對使用3層交換設備的用戶進行賬號凍結、頁面告警提示的操作。

（2）為限制非法未經允許的移動終端訪問網絡，對內部網絡造成安全隱患。本系統制定移動終端管理策略，啟用移動終端檢測，對未經允許訪問網絡的移動終端直接進行斷網處理并頁面告警提示。

3.6 ?日志分析

在網絡安全等級保護制度中對日志信息要求保存不低于60天，然而根據國家廣播電視總局二九三臺數據統計60天將產生大量行為日志。使用本系統自帶“日志中心”的報表工具，根據現實情況和關注點定制、定期導出所需報表，形成網絡調整依據、組織網絡資源使用情況報告、員工工作情況報告等。

4 ? ?結語

本系統以用戶準入、上網行為記錄、流控、終端管理為核心，具備互聯網視聽節目監測人員上網行為的綜合性記錄及管控功能。同時融入惡意代碼防范的相關內容，使得工作人員訪問互聯網變得安全、文明、合規、合法，規避用人單位由于工作人員訪問互聯網存在的諸多風險。本系統在實際投入使用后得到了本系統內工作人員以及管理人員的認可，同時也希望為從事互聯網視聽節目監測工作的同行提供思路和參考。

[參考文獻]

[1]張煒.一種基于終端行為信譽度的網絡訪問管理方案及其實現[J].計算機與數字工程，2017（45）：121.

[2]周奇.計算機網絡技術[M].北京：清華大學出版社，2018.

[3]葉水勇.基于多沙盒虛擬技術的端到端安全應用與研究[J].電力信息與通信技術，2017（8）：26-30.

Internet behavior audit system design and build of Internet

audiovisual program monitoring staff

Gao Shijian

（State Administration of Radio and Television 293， Zhengzhou 451162， China）

Abstract：Based on the work of Internet audiovisual program monitoring staff， this paper presents the design and construction of the Internet behavior audit system to meet the information security and regulate online behavior and improve work efficiency. This Internet behavior audit system uses technical means such as user access， record Internet behavior， network traffic control and terminal management. The aim is to solve the problems of information security and low work efficiency caused by Internet audiovisual program monitoring staff accessing the Internet.

Key words：Internet behavior audit; information security; network traffic control; terminal management