上海鐵路局互聯(lián)網(wǎng)出口安全與優(yōu)化部署方案

懷 真 上海鐵路局信息技術(shù)所

上海鐵路局互聯(lián)網(wǎng)出口安全與優(yōu)化部署方案

懷 真 上海鐵路局信息技術(shù)所

當(dāng)前，上海鐵路局職工訪問互聯(lián)網(wǎng)的習(xí)慣正在發(fā)生變化，從最早使用PC、有線局域網(wǎng)，到更多使用移動終端、WLAN來進行辦公，如果過度開放的上網(wǎng)環(huán)境會帶來各種問題，例如工作效率低下、WIFI熱點違規(guī)使用、帶寬濫用和浪費、WLAN安全隱患、數(shù)據(jù)泄密、網(wǎng)絡(luò)違規(guī)違法等，因此有必要在上海鐵路局各單位互聯(lián)網(wǎng)出口處部署一整套針對上述各種問題的安全與優(yōu)化的解決方案，保證網(wǎng)絡(luò)資源得到充分和安全的利用、上網(wǎng)行為得到有效的管理。

互聯(lián)網(wǎng)出口；安全與優(yōu)化；網(wǎng)絡(luò)資源；上網(wǎng)行為

1 概況

上海鐵路局是中國鐵路總公司下屬的特大型運輸企業(yè)，日常工作中，鐵路職工需要使用互聯(lián)網(wǎng)與外界取得聯(lián)系，很容易導(dǎo)致國家鐵路機密信息、工作秘密及商業(yè)秘密等內(nèi)部敏感信息泄露；工作間歇時間，部分鐵路職工通過互聯(lián)網(wǎng)觀看在線視頻、玩在線游戲、瀏覽違規(guī)網(wǎng)站或論壇等行為得不到有效遏制。因此，需要在上海鐵路局各單位互聯(lián)網(wǎng)出口處部署一整安全與優(yōu)化系統(tǒng)，實現(xiàn)上網(wǎng)行為管理、上網(wǎng)安全防護。

圖1 系統(tǒng)結(jié)構(gòu)圖

2 實施方案

本次方案采用上網(wǎng)行為管理設(shè)備兩臺、網(wǎng)絡(luò)安全防護與監(jiān)控設(shè)備兩臺、負(fù)載均衡設(shè)備兩臺、日志收集和監(jiān)控服務(wù)器一臺，部署位置如圖1所示。

2.1 設(shè)備功能介紹

2.1.1 互聯(lián)網(wǎng)出口負(fù)載均衡器功能介紹

HA部署兩臺負(fù)載均衡AD設(shè)備，實現(xiàn)內(nèi)網(wǎng)用戶訪問外網(wǎng)資源時的智能選路，并且針對鏈路做健康檢查，避免因為一條線路異常造成訪問中斷，給內(nèi)部用戶提供更好的上網(wǎng)體驗。

2.1.2 網(wǎng)絡(luò)安全防護與監(jiān)控設(shè)備功能介紹

HA部署兩臺網(wǎng)絡(luò)安全防護與監(jiān)控設(shè)備于互聯(lián)網(wǎng)出口，針對用戶的上網(wǎng)終端提供2-7層的安全威脅過濾、木馬惡意流量檢測、僵尸網(wǎng)絡(luò)肉雞檢測、入侵防御安全防護功能，同時開啟網(wǎng)絡(luò)安全監(jiān)控功能，監(jiān)控包括：入侵攻擊、網(wǎng)絡(luò)層攻擊以及僵尸網(wǎng)絡(luò)攻擊，實現(xiàn)網(wǎng)絡(luò)安全的可視化實時監(jiān)控；

2.1.3 上網(wǎng)行為管理設(shè)備功能介紹

HA部署兩臺上網(wǎng)行為管理設(shè)備于互聯(lián)網(wǎng)出口，針對有線網(wǎng)絡(luò)終端和用戶提供接入認(rèn)證、權(quán)限控制、合規(guī)審計；此外，還針對有線用戶、關(guān)鍵應(yīng)用、流量控制等功能提供全局統(tǒng)一的帶寬控制策略。針對無線接入的用戶，可以做身份準(zhǔn)入，行為監(jiān)控審計、流量控制等。保障有線、無線網(wǎng)絡(luò)更加高效、安全可靠的運行。可以檢測出用戶私自接入無線路由設(shè)備，降低單位網(wǎng)絡(luò)風(fēng)險。可以對重要用戶設(shè)置帶寬保障功能，保障重要用戶網(wǎng)絡(luò)體驗和重要業(yè)務(wù)順暢運行。

2.1.4 日志收集和監(jiān)控服務(wù)器功能介紹

為了加強對上海鐵路局互聯(lián)網(wǎng)出口設(shè)備的系統(tǒng)日志的收集和監(jiān)控，同時滿足日志保留時間6個月以上的要求，需配置一臺日志收集和監(jiān)控服務(wù)器。

3 方案的現(xiàn)實意義

在上海鐵路局各單位互聯(lián)網(wǎng)出口處部署一整套安全與優(yōu)化系統(tǒng)，具有如下11個現(xiàn)實意義，從而給上海鐵路局職工提供一個更安全、更高效的上網(wǎng)環(huán)境。

3.1 網(wǎng)頁過濾策略

上班時間從事私人活動，管理者卻難以阻止，如上班時間瀏覽購物網(wǎng)站、上微博、論壇發(fā)帖等。上網(wǎng)行為管理設(shè)備能針對不同用戶(組)提供基于角色的管理方法，讓管理者實現(xiàn)指定用戶和部門在工作時間只能訪問特定的網(wǎng)站，例如行業(yè)信息網(wǎng)站、公司門戶網(wǎng)站等，而其他未經(jīng)允許的網(wǎng)頁瀏覽都將被拒絕。

3.2 IM（即時通訊）聊天軟件的管理

上班時間使用QQ、MSN等私人聊天，不僅影響工作效率，還可能因IM傳文件而引入病毒和向外泄密。面對的眾多IM軟件，上網(wǎng)行為管理設(shè)備通過檢測應(yīng)用數(shù)據(jù)包的特征字段，實現(xiàn)對IM聊天軟件的管控，提升工作效率。

3.3 全面的行為管理

網(wǎng)頁過濾、IM聊天等管控只是內(nèi)網(wǎng)行為管理的一部分。面對用戶上班即掛機下載，搜索最新網(wǎng)絡(luò)新聞、圖片，上班時間更新博客、上傳圖片、看在線視頻、網(wǎng)絡(luò)游戲等問題，上網(wǎng)行為管理設(shè)備支持應(yīng)用識別規(guī)則庫，包含1 500多種應(yīng)用，對員工上網(wǎng)行為進行全面管理。

3.4 上網(wǎng)時間管理

上網(wǎng)行為管理設(shè)備通過為不同部門、不同用戶，基于時間段進行權(quán)限分配，也可以限制用戶一天內(nèi)總的上網(wǎng)時間，實現(xiàn)人性化管理。支持設(shè)定一定的上網(wǎng)時間值，當(dāng)用戶超過這個閥值時，將自動彈出提醒頁面，提醒員工上班時間注意提高工作效率，不要從事與工作無關(guān)的網(wǎng)絡(luò)活動。

3.5 帶寬動態(tài)調(diào)節(jié)

上網(wǎng)行為管理設(shè)備支持動態(tài)流控功能，通過設(shè)定閾值，實現(xiàn)當(dāng)整體帶寬利用率過低時自動調(diào)整釋放更多的帶寬資源，讓帶寬得到有效利用，避免浪費，比傳統(tǒng)單一、死板的流控方法更有效的提升帶寬利用率。

3.6 帶寬統(tǒng)計和管理

上網(wǎng)行為管理設(shè)備數(shù)據(jù)中心對內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為進行統(tǒng)計并形成趨勢和報表等。借助圖形化報表、曲線和統(tǒng)計結(jié)果，可以幫助IT管理者輕松掌控網(wǎng)絡(luò)行為分布和帶寬資源使用等情況。

同時，上網(wǎng)行為管理設(shè)備基于用戶(組)、應(yīng)用類型、網(wǎng)站類型、文件類型、目標(biāo)IP等的智能流控，細(xì)致劃分與分配帶寬資源，如保障領(lǐng)導(dǎo)的視頻會議、市場部訪問行業(yè)網(wǎng)站、設(shè)計部傳輸CAD文件等行為得到帶寬保障，提升整個機構(gòu)的帶寬使用效率。

3.7 關(guān)鍵詞過濾

在部署上網(wǎng)行為管理設(shè)備后，通過定義關(guān)鍵字的方式，實現(xiàn)對發(fā)送郵件、網(wǎng)上搜索、網(wǎng)上發(fā)布、文件外發(fā)等行為進行過濾，從而避免敏感信息泄露問題給企業(yè)帶來經(jīng)濟損失。同時，有效防止不良信息外發(fā)行為，避免引來法律糾紛。即使發(fā)生了不良信息外發(fā)行為，也能夠通過對內(nèi)網(wǎng)用戶上網(wǎng)行為實施記錄審計，能夠在發(fā)生網(wǎng)絡(luò)違法事件的時候通過審計日志追查相關(guān)責(zé)任人，避免由企業(yè)承擔(dān)相應(yīng)法律責(zé)任。

3.8 防病毒、木馬

內(nèi)網(wǎng)用戶在訪問internet時，常常會無意中下載到一些包含惡意病毒的文件，這些病毒程序通常是極具破壞力的，嚴(yán)重時會造成計算機系統(tǒng)的崩潰，使員工無法正常工作。而如果在上網(wǎng)過程中使用上網(wǎng)安全桌面，則可以有效的防止這些病毒程序?qū)Ρ緳C造成破壞。

3.9 攔截不良網(wǎng)頁

上網(wǎng)行為管理設(shè)備內(nèi)置自動更新的海量URL庫，包括色情、反動等分類，潛藏在此類網(wǎng)站中的威脅將被AC過濾；AC允許用戶手工添加新URL分類；再過濾用戶通過搜索引擎搜索的關(guān)鍵字、過濾URL地址關(guān)鍵字和網(wǎng)頁正文關(guān)鍵字，實現(xiàn)對各類網(wǎng)頁的全面過濾，降低內(nèi)網(wǎng)用戶訪問不良網(wǎng)頁和危險網(wǎng)頁的可能。

假冒網(wǎng)上銀行的釣魚網(wǎng)站、加密的反動網(wǎng)站等，顯示"加密化"已經(jīng)成為趨勢，而業(yè)界多數(shù)設(shè)備無法對SSL加密網(wǎng)頁進行管控。AC通過證書驗證鏈接黑白名單技術(shù)，過濾含有不可信任數(shù)字證書的SSL網(wǎng)站，實現(xiàn)對SSL加密過的色情、邪教、釣魚網(wǎng)站等的過濾。

3.10 智能的DOS攻擊防護

網(wǎng)絡(luò)安全防護與監(jiān)控設(shè)備采用自主研發(fā)的DOS攻擊算法，可防護基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報文的DOS攻擊、TCP協(xié)議報文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等，實現(xiàn)對網(wǎng)絡(luò)層、應(yīng)用層的各類資源耗盡的拒絕服務(wù)攻擊的防護，實現(xiàn)L2-L7層的異常流量清洗。

3.11 文件傳輸控制

針對QQ、MSN等IM軟件的病毒，通過引誘用戶下載指定文件或打開指定URL鏈接而傳播；上網(wǎng)行為管理設(shè)備的“攔截不良網(wǎng)頁”措施將避免用戶訪問含病毒URL地址；上網(wǎng)行為管理設(shè)備還可限制使用QQ、MSN等傳遞文件。

通過HTTP、FTP從互聯(lián)網(wǎng)下載的文件，往往打開或運行后導(dǎo)致用戶電腦感染病毒、木馬，甚至癱瘓。該風(fēng)險“感染點”還會伺機爆發(fā)，感染更多用戶，使整個網(wǎng)絡(luò)癱瘓。而此類行為和流量經(jīng)過上網(wǎng)行為管理設(shè)備時，上網(wǎng)行為管理設(shè)備首先限制用戶通過HTTP、FTP上傳下載指定類型的文件，對于允許傳輸?shù)奈募暇W(wǎng)行為管理設(shè)備的網(wǎng)關(guān)殺毒功能將查殺該文件中潛藏的病毒、木馬。

4 結(jié)束語

通過在上海鐵路局各單位互聯(lián)網(wǎng)出口處部署一整安全與優(yōu)化系統(tǒng)，可提升鐵路職工的工作效率、提升上海鐵路局互聯(lián)網(wǎng)帶寬的利用率、避免敏感信息泄露、保障終端安全。

[1]費宗蓮.大型企業(yè)互聯(lián)網(wǎng)出口安全防護實例[J].計算機安全,2005,(1)：57.

[2]姜新超.Internet出口安全[J].信息與電腦（理論版）,2013,(3).

[3]周賢祿,豐貴瓊.淺談上網(wǎng)行為管理系統(tǒng)在網(wǎng)絡(luò)安全中的應(yīng)用[J].中國信息化,2013,(4).

[4]李庭芳.員工上網(wǎng)行為管理探究[D].北京：北京大學(xué),2009年.

責(zé)任編輯：王 華

來稿日期：2015-08-18