電臺網絡智能管理系統的建設

段俊潔　盛志華　劉會德

摘 要：為了滿足關鍵業務、重要員工的帶寬保障、保證節目的安全播出。河南電臺網絡升級的同時建成了網絡智能管理系統。

關鍵詞：帶寬；服務器；流量

DOI：10.16640/j.cnki.37-1222/t.2016.09.116

1 必要性

進入新時期以來，計算機技術的飛速發展以及網絡帶寬的提升，是計算機的數據處理速度有了很大的改觀，也使網絡辦公成為可能，社交、生活、學習任何一個環節都離不開網絡的支持，但不容忽視的人，網絡帶來了生活的便捷和便利，改變了傳統的工作方式，很大程度上提高了工作效率，但在單位內，員工工作時間非工作需要利用網絡的現象也越來越普遍。基本上每家單位都會面臨職工上班時間瀏覽網頁、淘寶購物、應用下載的情況，這些和工作無關的行為，不僅降低了工作效率，更占用了寶貴的網絡帶寬資源，對正常利用網絡造成了一定的影響，特別是廣播電視臺站這樣的重要部門，信息安全更是顯得尤為重要。我臺技術人員也在很早就意識到建立網絡智能管理系統的必要性和迫切性，并著手有關問題的調研。根據本臺實際情況，借鑒其它企事業單位的方案，于網絡升級的同時建成了河南人民廣播電臺網絡智能管理系統。

2 技術背景

當今，互聯網進入了應用級網絡時代，大量未知的內容和信息紛紛涌進網絡，病毒、黑客攻擊、內部員工泄密等防不勝防，然而這些問題的本質是“管理”，如何管理員工上網行為，規范上網行為成為了每個企事業單位首要面臨的問題。目前，河南人民廣播電臺面臨的網絡管理方面的主要問題如下：

2.1 無法為員工的上網行為進行有效管理

隨著業務不斷的擴展，工作人員大大的擴充，現有的設備已經無法滿足電臺對員工上網行為的管理。

2.2 關鍵業務流量無法保證，帶寬受到嚴重堵塞

雖然有很高的帶寬，可是網絡還是常常造成擁堵，究其原因是因為大量應用的P2P軟件沒有被及時的封堵和停用，占據了很大的帶寬資源，使得辦公軟件的運行速度被降低，制約了正常工作的工作效率。

2.3 發現異常流量無法有效定位

員工不合理訪問網絡，帶來多種隱患，導致網絡中充斥著大量病毒（如ARP病毒）。病毒在局域網內傳輸，制造網絡攻擊，常常造成網絡的中斷，但卻找不到病毒源。

2.4 臺里機密數據的保密無法得到真正的保障

防火墻只能防御外部的侵襲，對于內部數據的泄露顯得蒼白無力，電子郵件、MSN/QQ 以及BBS 論壇等網絡應用固然給臺里帶來了網絡化使用的方便同時也是造成公司機密文檔泄密的途徑，必須進行必要的管理。

2.5 非法網站的訪問可能帶來法律風險

員工上網不節制的行為如利用臺里內部網絡訪問反動，色情，違法等網站，發表不當的言論等，這些都會給臺里帶來負面影響，嚴重的可能要肩負法律責任，需要對這種行為進行限制。

3 關鍵技術

3.1 強大的上網行為管理及內容審計

提供靈活的基于時間和個人（或用戶組）的Web瀏覽、eMail、游戲、炒股、IM（QQ、MSN、Skype等）、P2P等的監管。系統可以精細到個人的行為審計，通過記錄的完整性和精確性來保證信息傳播的可溯性；采用DPI（深度包檢測）和DFI（深度/動態流檢測）以及人工智能識別、模式識別技術，可以對業務流進行檢測和識別。

禁止員工在上班時間用網絡聊天、炒股、玩游戲等，提升員工的工作效率。提供員工上網行為分析報告，方便管理部門了解員工的工作效率和上網行為規律。提供數十種統計報表，可以對單位、部門、個人的上網流量、上網時間、網站訪問、郵件收發、聊天信息、財經炒股、網絡游戲等網絡行為進行分析。按使用時長統計員工行為，為管理部門績效考核提供依據。

實時監控網絡外發的信息，發現機密信息外泄，及時阻斷并予以警告。詳細記錄郵件，網頁瀏覽與搜索，微博、博客、論壇發帖，各種聊天消息及FTP、Telnet控制命令信息，并可對其審查。實現事先防范、事中警告、事后追查。實現全方位保障內部信息安全，減少機密外泄風險，同時阻止員工訪問反動、色情、非法網站以避免法律風險。

3.2 基于應用的帶寬管理

提供應用級的QOS優先級。針對重要應用提供帶寬優先級保證，控制其他應用。河南人民廣播電臺網絡智能管理系統能夠對百余種網絡應用進行分類，包括對P2P應用（Bit Torrent、迅雷、Emule、Edonkey等）和即時消息流量進行分類，可以設定每個用戶應用流量并對該用戶的應用流量區分優先級；系統采用特有的彈性QOS技術，能夠實時探測網絡的出入帶寬的利用率，進而動態調整特定用戶的帶寬，既能為用戶充分利用帶寬資源提供極大的靈活性，又能保證高峰時段的網絡使用性能。

系統對外網訪問服務器或者內網服務器的流量情況可以做到實時、多面的監測，對應用的重要程序服務器帶寬優先予以保障，普通服務器帶寬可以進行限制直至斷開。對服務器區中任何一臺服務器運行狀態都能隨時監測，對待出現的異常現象可以及時應對，迅速判斷服務器的攻擊源，并制定出有效的應對措施阻斷對方的攻擊。優化訪問服務器質量，確保服務器狀態保持最佳。實時分析網絡數據中對帶寬的需求狀況，達到資源的合理配置。

提供可供選擇的帶寬保障模式，對廣播電視臺站關鍵業務諸如VPN、ERP、OA、視頻會議、郵件等業務和重要崗位的帶寬提供優先保障，并且這種保障模式為動態的，在這些重要軟件或者重要崗位其需要使用網絡時得到帶寬的保障，優先使用網絡；在其空閑的時候，帶寬可以被其他業務或者員工使用。動態帶寬管理模式在不增加網絡帶寬的前提下，實現資源的合理應用，提升了被保障業務與崗位訪問互聯網的質量與速度。

分析系統網絡中的數據，對和工作無關的軟件及時的進行管控，采取諸如關停或者限制流量的措施，使其對網絡帶寬的影響降至最小，提升整個網絡系統的運行質量。

通過網絡整體的分析和軟件應用分析，甚至可以定位到相應主機，通過調閱數據庫分析可以對員工相應電腦的帶寬利用數值，軟件利用量，主要流量流向、主要使用端口、員工流量排名、部門流量排名、網絡的質量、連接成功率、數據重傳率等反映網絡真實狀況等數據與指標的分析，可以使主管領導或者人事考核部門及時了解人員的工作狀態并為網絡帶寬合理利用策略提供了技術支持，方便管理者了解和掌控網絡。

3.3 豐富的病毒過濾、防火墻、VPN、異常流量定位功能

擁有諸如網頁防毒、電子郵件防毒 、文件傳輸防毒、病毒過濾日志等相關防毒模式的功能很完備的病毒過濾技術；可以對URL訪問進行管控，同時系統應擁有抗攻擊設置和防火墻日志能；基于路由的SSL VPN，對經由IP層面的連接提供保障應用兼容的同時，還提供了細粒度的訪問控制，通過這些方式保證用戶的全網訪問；通過對網絡質量管控，分析數據連接、數據重傳率等數據，這些數據分析功能以5S的周期進行測試，以利于及時發現網絡的不足，從而快速的提供干預，甚至可以精準的捕捉異常的主機和程序。

3.4 郵件提醒

可以針對郵件通知和郵件告警事件配置郵件提醒功能，以便管理員及時獲取licence失效，硬盤使用率超限、外置服務器硬盤使用率超限、審計數據傳輸異常告警、用戶數超限告警、web認證登陸失敗、流量告警等相關事件。 與手機結合，可以使管理員隨時隨地就可以知道網絡設備的運行情況、機房溫濕度情況，并且能夠遠程實現開關機，使得管理人員不用24小時盯在機房，減少員工的疲勞度，提高工作效率。

3.5 角色配置

角色配置使用分級分類分組配置原則，也可以根據人員分派，不同的人分配不同的權限，使各級領導都能夠看到相對應的員工的工作情況，可以作為員工績效考核的標準之一，使考核更公平公正。

4 結束語

目前，河南人民廣播電臺網絡智能管理系統已經投入運行，各方面反映良好，系統運行穩定。自系統投入試運行以來，辦公自動化科工作人員利用網絡智能管理系統帶來的新技術、新設備，已經完成了全臺員工的上網行為規則規劃，已成功阻止員工在上班時間瀏覽無關網站、QQ聊天、在線炒股等工作無關的網絡行為達800余人次，帶寬利用率提升了40%，重要安全播出期網絡故障率為0，攔截反動、邪教等不良網站攻擊200余次。

目前河南人民廣播電臺網絡智能管理系統已經為河南人民廣播電臺帶來了極大的社會效益和經濟效益，近期將加大開發網絡智能管理系統的通用性業務，使其不僅服務于本臺，也能服務于更多的企事業單位，同時為電臺創造更多經濟效益。