上網行為管理平臺在單位網絡安全管理中的應用

◆楊浩程

上網行為管理平臺在單位網絡安全管理中的應用

◆楊浩程

（應急管理部消防救援局昆明訓練總隊 云南 650208）

當今網絡應用越來越多，隨之產生了工作時間訪問與工作無關網站，工作效率低下甚至出現網絡違法行為、泄露內部信息與機密的問題，本文就如何使用上網行為管理平臺來加強單位的網絡安全管理工作進行了探討，供相關讀者參考。

網絡安全；網絡行為審計

隨著信息技術的飛速發展，計算機網絡越來越多地被用于當代社會的工作、生活之中，無論是行政機構、軍隊、事業單位、社會團體、企業、個人都越來越依賴IP網絡，在享受網絡便利的同時，因為網絡用戶行為越來越復雜，基于網絡的破壞、泄密甚至是犯罪等行為不可避免地越來越多，對一個單位網絡的穩定性和安全性形成了嚴峻的威脅，在一些情況下還需要對網絡行為進行溯源。利用專門的設備或信息系統針對本單位網絡用戶行為進行管理審計與記錄的必要性日益凸顯。

為了加強單位網絡安全與穩定，筆者認為應分別從以下方面進行管理。

1 確保入網用戶及設備的合法性

對于接入本單位網絡的用戶，應保證其合法性，這是對上網行為進行管理和溯源的基礎。對于入網用戶應采取多種方式進行認證。首先內部人員可以通過Web頁面、ID+密碼、指定IP、個人Key等方式進行認證，并記錄用戶接入相關信息，確保用戶入網經授權且有據可查；其次應盡量避免外來人員臨時性接入本單位內部網絡，確實需要接入的，則應對其入網進行有效認證并記錄，比如采取手機短信驗證碼、“微信”掃描等進行認證，確保入網記錄可查。

對于接入本單位內部網絡的設備，也應該進行嚴格的認證。服務器、交換機、打印機等設備，應當為其指定專門的IP地址，地址段與普通網絡終端應有區別。對于單位內部人員，除使用PC等單位內部終端外，還可能同時通過手機、平板電腦等多個設備接入網絡，可移動設備入網，也必須通過認證。同時為了避免私自在單位內部網絡上架設的無線路由器導致接入失控的局面，最好是一方面單位內部主動提供WIFI接入；另一方面對入網設備采取IP與MAC地址綁定的方式嚴格限制設備的接入，或采用能識別市面上大多數無線路由器的網絡接入控制設備，一旦發現無線路由器私自接入，即自動對其進行阻斷。

2 用戶上網行為進行統計分析

上網行為管理平臺，需對用戶上網所使用的各種協議進行識別和分類統計管理。觀察本單位網絡協議主要有哪些，每一類協議持續時間和高峰時間是什么樣的情況，如http、ftp、smtp、p2p等。在統計的基礎上對單位網絡流量進行分析，判斷工作時段內是否存在大量的非工作業務流量，如發現工作時間內存在大量的流媒體或p2p下載流量，則代表正常工作業務所需網絡帶寬可能無法保證，影響正常地工作業務數據傳輸，在此基礎上，上網行為管理設備應能針對每一個網絡協議進行分時段的優先級與最大帶寬限制，保證工作業務數據的優先傳輸。如工作時段內非工作業務數據流量過大，則提示可能存在單位內部管理松懈，消極怠工的情況。

上網行為管理平臺，需要對網絡用戶訪問的目標地址和網絡流量進行識別和分類統計。上網行為管理平臺應自帶網址識別庫和網絡流量識別庫，且可以定期更新，如對用戶訪問的網址進行統計識別，以掌握單位內部新聞類、搜索類、娛樂類、博彩類等網站在各個時段的訪問量，以及諸如各類股票交易軟件、游戲平臺、OA平臺的數據量，對本單位的網絡業務流量進行綜合判斷。

上網行為管理平臺，需要對單個網絡用戶的網絡操作行為進行分類統計管理。網絡用戶的操作行為多種多樣，除了日常工作使用外，還可能同時存在多種非工作業務數據。針對單個用戶，如果在工作時段某個用戶存在長時間的游戲、在線視頻、股票交易等流量，則提示該用戶可能存在工作效率低下的問題。如果發現個別用戶長期訪問賭博類、網貸類網址，對于政府和企事業單位，該用戶存在一定程度的安全隱患，至少不應在財務崗位上使用該用戶；如果該用戶身份為學生，學校則應及時了解情況，對其加強相關教育與管理。此外，在日常統計中如發現某個用戶經常通過VPN違規訪問境外網站，則提示應對其網絡操作行為加強監管，提前避免不必要的風險。

上網行為管理平臺最好能對SSL加密應用進行識別。SSL協議廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸，以避免通信在網絡傳輸過程中不會被截取及竊聽。目前越來越多的網頁使用SSL加密，如網銀、QQ郵箱、甚至部分賭博網站，而因為采用了加密技術，可能會無法對其內容進行識別管理，別有用心的用戶可以利用這一缺陷繞過管理，通過SSL加密通信進行賭博、收發郵件、訪問社交媒體、甚至是發布違法言論或者是向外發送單位涉密信息，導致管理漏洞。所以上網行為管理平臺最好能對SSL加密通信進行識別，以實現對用戶網絡行為的有效分析與統計。

3 搜索關鍵詞及社交媒體操作記錄統計分析

上網行為管理平臺應能對通過單位網絡訪問主流搜索引擎進行分析，查看關鍵詞搜索記錄，以此判斷當前單位內部的關注熱點，并能對內部人員的上網操作行為傾向進行研判，提前掌握近期單位內部網絡熱點信息。

在網絡使用過程中，當前各種即時通信軟件和社交媒體所占流量也越來越多，如：QQ、微信、旺旺、微博、論壇等，此外還有工作或生活上的郵件業務往來。上網管理平臺應能對這些即時通信和社交媒體、在線郵件流量進行較為完整的記錄。如針對即時通信類的發信賬戶與收信賬戶、通信內容的記錄，針對“微博”以及主流論壇的內網IP、發帖賬號、帖子鏈接及內容等的記錄，針對郵件的發件人賬號、收件人賬號、郵件內容等的記錄。以上記錄應支持關鍵詞檢索及基于關鍵詞的自動告警等功能，并能進行快速的查找溯源。

4 對文件傳輸進行記錄

在網絡的日常使用中，還可能存在大量的文件傳輸流量，如通過即時通信軟件、在線郵件、P2P客戶端、“網盤”等進行文件的傳輸與共享。如果傳輸的文件中包含敏感信息，如院校、科研單位未公開的核心技術，個人隱私，企業的經濟情報、財務資料、客戶信息，各種人事任免信息，甚至是政府、軍隊的涉密信息，一旦外泄，將產生嚴重的后果。上網行為管理平臺應能提供限制傳輸文件類型、單一文件大小、限制傳輸類型、限制文件收發地址、指定專門服務器等手段，對經內部網絡的文件收發進行管理和監控并記錄。如將包含doc、ppt、xls、zip等文件作為重點監控對象，在做好數據傳輸監控記錄的同時，應提供可設定條件的泄密觸發預警，及時發現泄密風險。在發現泄密風險后，可根據傳輸日志、關鍵詞等，對可能泄密人員進行溯源，對泄密行為進行快速準確的追蹤。

5 其他問題

上網行為管理平臺與網絡防火墻的運行目的都是為了提升網絡安全，網絡防火墻用途是防范阻斷外來的網絡攻擊為主，而上網行為管理平臺主要是上網行為安全和內容安全進行管理，對單位網絡使用情況進行統計分析，二者是互為補充的關系。

上網行為管理平臺應提供豐富的報表管理功能，如根據時間、行為類型等生成報表，直觀地幫助管理人員掌握網絡使用狀況流量排名、搜索關鍵詞排名、網站訪問排名、網址類型排名等多種輔助決策數據，以了解網絡用戶是否正常使用網絡，是否向網絡發布了違規違法信息等等，為加強單位內部管理提供參考依據。同時可根據實際需要，設置相應的網站和用戶白名單，對敏感私密的合法網絡行為和部分用戶不進行監控，對于上網行為日志等執行嚴格的保密和查閱管理。

6 結束語

對于網絡運行，三分靠技術，七分靠管理，單位應制定完善的管理制度，并提前告知用戶相關要求，輔以上網行為管理平臺，提高單位網絡的安全性與使用效率，促進各項工作高效正常開展。