上網(wǎng)行為管理，提升網(wǎng)絡安全水平

王斌，劉瑩

（華東桐柏抽水蓄能發(fā)電有限責任公司，浙江天臺371200）

上網(wǎng)行為管理，提升網(wǎng)絡安全水平

王斌，劉瑩

（華東桐柏抽水蓄能發(fā)電有限責任公司，浙江天臺371200）

介紹了網(wǎng)絡管理面臨的問題與現(xiàn)狀，上網(wǎng)行為管理的必要性和意義,桐柏公司對于上網(wǎng)行為管理的基本措施和基于深信服的AC1220上網(wǎng)行為管理裝置的應用。

上網(wǎng)行為管理；網(wǎng)絡安全；管理

1 引言

網(wǎng)絡的發(fā)展給我們的生活帶來了便利，給工作帶來了高效率，創(chuàng)造巨大價值的同時，也帶來了一系列不可避免的問題，強化上網(wǎng)行為管理，提升網(wǎng)絡安全水平是網(wǎng)絡安全維護的必然趨勢。本文主要介紹了桐柏公司在上網(wǎng)行為管理系統(tǒng)方面的應用。

2 網(wǎng)絡管理面臨的問題與解決方案

桐柏公司的信息系統(tǒng)，主要包括內網(wǎng)和外網(wǎng)兩個部分，內網(wǎng)是國家電網(wǎng)公司電力企業(yè)數(shù)據(jù)網(wǎng)，與普通民用的互聯(lián)網(wǎng)在物理上完全隔離，主要業(yè)務是與生產(chǎn)有關的網(wǎng)絡應用，包括生產(chǎn)運行實時監(jiān)測系統(tǒng)（SIS）、視頻會議系統(tǒng)、內網(wǎng)郵件系統(tǒng)、員工報銷、ERP系統(tǒng)等。外網(wǎng)以統(tǒng)一互聯(lián)網(wǎng)出口的形式與互聯(lián)網(wǎng)聯(lián)通，即桐柏公司通過網(wǎng)絡專線連至浙江省電力公司的信通中心，從浙江省電力公司的信通中心出口與互聯(lián)網(wǎng)連接，主要為桐柏公司員工因工作需要，與電力系統(tǒng)外單位的聯(lián)系和資料查詢所需的互聯(lián)網(wǎng)服務。本文的上網(wǎng)行為管理，主要討論的是針對外網(wǎng)的管理。

2.1.絡管理面臨的問題

網(wǎng)絡的發(fā)展給我們的生活帶來了便利，給工作帶來了高效率，我們的生活和工作都已離不開互聯(lián)網(wǎng)的應用，但同時，網(wǎng)絡的開放性也給公司帶來了更高的使用危險性、復雜性和混亂，主要包括員工工作效率低下、敏感信息外泄、公司面臨法律風險、帶寬濫用等。

2.1.1.絡流量成負擔

大部分企業(yè)單位，在公司內部對于網(wǎng)絡流量的使用不設限制，經(jīng)常有無序大型文件的上傳下載，使得業(yè)務信息的應用無法得到有效的帶寬保障。根據(jù)一份調查報告顯示：28%的上網(wǎng)行為用在了BT，迅雷等P2P下載上，這些下載行為基本都集中在影視、娛樂文件上。由于P2P的設計原理使其形成了對網(wǎng)絡資源的搶奪，使得網(wǎng)絡中的其他應用無法得到應有的帶寬，造成了網(wǎng)絡擁堵，在線視頻的興起也加劇了帶寬資源的消耗，致使重要業(yè)務無法正常開展。桐柏公司的統(tǒng)一互聯(lián)網(wǎng)出口的帶寬只有10 M，使用情況更是捉襟見肘。

2.1.2.絡安全隱患

網(wǎng)絡環(huán)境的復雜性、信息系統(tǒng)的脆弱性、開放性和易受攻擊性，決定了網(wǎng)絡安全威脅的客觀存在，隨著網(wǎng)上購物、移動支付的興起，網(wǎng)絡安全問題更是日益嚴峻，利用網(wǎng)絡進行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴重影響了網(wǎng)絡的正常使用。作為公司信息網(wǎng)絡的管理者，我們不但要面對外來的破壞者利用網(wǎng)絡暴力入侵，也要防止內部員工不謹慎的上網(wǎng)行為導致的誤點帶毒鏈接，訪問不明網(wǎng)站等導致的病毒木馬爆發(fā)。輕者影響網(wǎng)絡的正常應用，重者造成數(shù)據(jù)丟失，系統(tǒng)癱瘓，重要數(shù)據(jù)和敏感信息被別有用心的個人或組織偷竊、破壞或刪除。

2.1.3.律和安全風險

大部分企業(yè)內部員工的上網(wǎng)不受限制，但是他們在網(wǎng)上做了什么？對外發(fā)布了什么信息？企業(yè)單位完全不知情，也無記錄可查詢，一旦混雜著有害內容和違反法律的網(wǎng)絡行為發(fā)生，造成大的負面影響，根據(jù)2017年6月1日正式實施的《網(wǎng)絡安全法》，這將會給單位帶來巨大的法律風險。

2.1.4.作效率難以提升

據(jù)一項調查顯示，普通企業(yè)員工每天的互聯(lián)網(wǎng)訪問活動40%與工作無關。上班時間，炒股、聊天、游戲、網(wǎng)購、微博等都是普遍存在的現(xiàn)象。這種互聯(lián)網(wǎng)的不合理使用必然導致員工工作效率的下降，同時員工也養(yǎng)成了不良的職業(yè)習慣。

2.1.5.容失控，泄密事件頻繁發(fā)生

桐柏公司的主要工作在內網(wǎng)中進行，但內網(wǎng)用戶是被默認為可以信任的用戶，他們可以輕而易舉的獲取內網(wǎng)數(shù)據(jù)，如果不對外網(wǎng)行為加以管控，則可以通過各種途徑，如郵件、qq等聊天工具，將內部數(shù)據(jù)外泄。

2.1.6.現(xiàn)網(wǎng)絡問題后難以快速找到根源

當出口堵塞，網(wǎng)絡訪問異常時，通常難以在短時間內找到根源，只能通過網(wǎng)絡層面的設備分析原因，簡單的插拔網(wǎng)線，復位設備，以圖解決問題。如果對網(wǎng)絡上的行為有所統(tǒng)計，則可以分析故障發(fā)生前后，網(wǎng)絡上發(fā)生了什么，有助于快速找到真正的原因。

2.2.柏公司對于上網(wǎng)行為管理的應用

強化員工的上網(wǎng)行為管理、保障網(wǎng)絡資源的合理使用，避免人為的網(wǎng)絡安全隱患、提升帶寬利用率，不僅僅局限于網(wǎng)絡安全管理，也與企業(yè)的管理和發(fā)展緊密聯(lián)系在一起。正確的實施上網(wǎng)行為管理、確保網(wǎng)絡安全，又要保障員工對于網(wǎng)絡訪問的合理需求，這不僅僅是技術層面，也是管理層面的問題。桐柏公司也確實是從管理手段和技術手段兩方面著手的。

2.2.1.理層面

制定管理規(guī)定，國網(wǎng)公司制定了《網(wǎng)絡與信息系統(tǒng)安全管理辦法》，《信息安全等級保護管理辦法》，新源公司制定了《信息安全管理標準》，桐柏公司制定了《信息機房管理制度》，《桐柏公司通訊機房管理制度》，《桐柏公司計算機監(jiān)控系統(tǒng)分級授權管理辦法》，《桐柏公司計算機監(jiān)控系統(tǒng)移動存儲設備使用管理辦法》，《桐柏公司運維檢修部設備專用計算機管理辦法》等管理制度，從制度上規(guī)范員工的上網(wǎng)行為，明確哪些能做，哪些不能做。

桐柏公司落實責任人制度，各專業(yè)設備都指定了設備主人和A、B角，通過對系統(tǒng)運維責任的分解，做到責任到人，層層落實，對信息系統(tǒng)相關的服務器、網(wǎng)絡、機房等運維責任均落實到個人并明確各負責人權限。禁止外單位設備接入信息內網(wǎng)，外來單位人員需要接入信息外網(wǎng)的設備均需審批備案。無論是內網(wǎng)電腦還是外網(wǎng)電腦，都明確負責人，分配IP地址與MAC綁定，保證電腦在指定的位置由指定的人員使用。

為合理分配網(wǎng)絡資源，對于使用外網(wǎng)頻繁的員工，配發(fā)外網(wǎng)電腦至個人；大部分員工工作時不需要使用外網(wǎng)的部門班組，則配置公用的外網(wǎng)電腦，以便有要事急需上網(wǎng)的員工使用。

2.2.2.術層面

桐柏公司的統(tǒng)一互聯(lián)網(wǎng)出口，其拓撲示意圖如圖1所示。

圖1.柏公司外網(wǎng)拓撲示意圖

為了嚴格的遵守網(wǎng)絡安全的標準，我們在互聯(lián)網(wǎng)出口處設置了兩層防火墻，第一層為迪普的傳統(tǒng)防火墻，作用為實現(xiàn)NAT地址轉換并設置ACL實現(xiàn)訪問控制；第二層為啟明星辰的天清漢馬系列的下一代防火墻，實現(xiàn)web應用控制的訪問；再下面連接了迪普的入侵防御設備，型號為IPS2000系列，能夠更好的去檢測病毒和攻擊行為并去防御；以上設備都是為了防御一些攻擊行為和病毒，但是對一些內部的客戶端的限制很少，所以我們又采用了深信服的上網(wǎng)行為管理，一方面是為了限制一些客戶端流量，此外更多的是對一些客戶端的應用訪問控制，并去進行網(wǎng)絡分析。與本論文內容相關密切的就是深信服的AC1220上網(wǎng)行為管理裝置，其主要實現(xiàn)的功能主要包括以下方面：

1）網(wǎng)頁訪問過濾

互聯(lián)網(wǎng)上的網(wǎng)頁資源非常豐富，如果員工長時間訪問購物、財經(jīng)、娛樂等于工作無關的網(wǎng)頁，將極大的降低工作效率，訪問一些不明網(wǎng)站或高風險提示的網(wǎng)站，則會帶來較大的網(wǎng)絡安全風險（病毒、木馬等）。

所以，我們制定網(wǎng)頁訪問過濾策略，過濾非工作相關的網(wǎng)頁。同時，該策略可以個性化定制，比如，普通員工不能訪問購物網(wǎng)站，但計劃物資部需要進行物資采購的員工可以通過指定的電腦訪問相關的購物網(wǎng)站進行查詢。

2）網(wǎng)絡應用控制

聊天、看電影、玩游戲、炒股等，網(wǎng)上的應用也是五花八門，如果員工在工作時間使用這些應用，也會降低工作效率，并可能造成網(wǎng)速緩慢、信息外泄的可能。

對此，我們制定有效的網(wǎng)絡應用控制策略，封堵與業(yè)務無關的網(wǎng)絡應用，引導員工在合適的時間做合適的事。

3）信息內容審計

發(fā)郵件，聊天，訪問論壇，發(fā)微博，都是常見的網(wǎng)絡行為，然而，信息的保密性、健康性、政治性的問題也隨之而來。

所以，制定有效的信息收發(fā)監(jiān)控策略，可以有效的控制關鍵信息的傳播范圍，避免可能引起的法律風險。

4）上網(wǎng)行為分析

隨著互聯(lián)網(wǎng)上的活動越來越頻繁，掌握員工的互聯(lián)網(wǎng)使用狀況可以避免很多潛在的風險。

5）日志管理

可以通過對日志的分析，了解整個網(wǎng)絡系統(tǒng)的運行情況，方便快速定位和排除故障。

3 結論

通過管理層面和技術層面的努力，桐柏公司對公司的互聯(lián)網(wǎng)應用進行了有效的上網(wǎng)行為管理，規(guī)范了員工的上網(wǎng)行為，排除了網(wǎng)絡安全隱患，抵御了潛在的網(wǎng)絡安全風險，自G20峰會前安裝上網(wǎng)行為管理裝置，系統(tǒng)已運行大半年，期間未發(fā)生被通報的網(wǎng)絡信息安全事件。可見該系統(tǒng)的應用，有效的提升了桐柏公司的網(wǎng)絡安全水平。

[1]何牡.計算機通信網(wǎng)絡安全維護措施分析[J].通訊世界，2015（15）：15-16.

[2]楊曙光.計算機信息管理技術在網(wǎng)絡安全中的應用[J].網(wǎng)絡安全技術與應用，2015（04）.

[3]深信服科技有限公司.上網(wǎng)行為管理技術手冊[Z]，2010.

[4]陳兵.網(wǎng)絡安全[M].北京：國防工業(yè)出版社，2012.

[5]北京天融信有限公司.上網(wǎng)行為管理系統(tǒng)產(chǎn)品白皮書[Z]，2009.

TP393.08

B

1672-5387（2017）09-0072-03

10.13599/j.cnki.11-5130.2017.09.025

2017-06-19

王斌（1979-），男，高級工程師，從事繼電保護和信息運維工作。