上網行為管理系統在企業安全管控中的應用

■ 中國航天科技集團有限公司第一研究院 王林強 吳步祺

編者按：隨著人們對網絡安全重視程度的提高，企業部往往署諸多安全設備和建立安全管理制度，但有時仍舊會對內部員工不當行為監管不力，導致某些安全威脅的出現。

企業在使用互聯網享受便捷的同時，諸如病毒木馬、黑客攻擊等也在威脅著企業和員工的信息安全。由于缺少統一的管控措施，企業互聯網的使用仍然存在很多安全威脅和隱患，特別是一些重要的國有企業由于涉及很多國家重要信息，在使用互聯網進行日常辦公時更加需要加強管理并進行嚴格監控，規范上網的行為，確保互聯網的安全可控使用。

存在的問題

目前，很多企業雖然已經在企業的互聯網邊界部署了防火墻、入侵檢測系統、漏洞掃描等安全設備，但對于內部員工違規的互聯網活動引起的安全與管理隱患卻無能為力。由于日常工作任務繁重，管理人員很容易忽視對于員工互聯網活動的精細化管控的工作，具體包括：

1.未對員工訪問互聯網的活動行為進行細顆粒度管控

互聯網當前已經滲透到了工作生活的每一個角落，員工在通過互聯網進行日常辦公的同時，也在進行在線聊天、瀏覽各類網站等活動，這些行為中包含著很多違規操作，不僅影響正常工作，而且極易引入如病毒木馬等潛在的安全隱患，因此需要對員工的互聯網活動進行細顆粒度的管控，以確保員工互聯網行為的安全性。

2.帶寬資源利用率低

據不完全統計，在互聯網活動未加管理的企業中，帶寬資源有超過50%被文件、視頻下載等占用，導致盡管帶寬很大，卻總是擁擠不堪。這不僅造成帶寬資源大量浪費，還使得企業的正常業務得不到應有的帶寬保證。由于缺乏有效的識別與控制手段，運維管理人員對此也束手無策。

圖1 系統部署示意圖

3.重要敏感信息存在外泄的危險

員工在使用互聯網進行日常辦公時，由于工作需要，經常會通過外部郵箱、網盤或其他通訊工具與相關的外協廠商進行文件信息的傳遞，但如果對這些工具不進行嚴格的監管，也很可能成為泄露企業重要信息的工具，由于內部員工的粗心或安全意識的淡泊，企業的重要信息或文件很容易被傳遞到外部，給企業造成重大損失。

4.互聯網使用未進行實名制認證

部分單位對員工訪問互聯網未執行實名制認證，員工在進行互聯網的訪問和使用時未進行任何管控和審計，給企業的互聯網安全埋下了隱患。上網行為管理系統簡介

目前市場主流的上網行為管理系統為軟硬件一體化設備，主要功能包括以下幾方面：

1.賬戶實名制管理

支持按照企業的組織結構構建用戶的賬戶組，對企業所有人員進行賬戶實名制管理，訪問互聯網前必須進行帳戶名/密碼的身份驗證，驗證通過后方可進行互聯網的使用，確保每位員工均為實名登錄。

2.權限控制

支持針對不同辦公需求的人員，設置不同的使用權限，包括應用訪問權限，網址訪問權限，終端使用權限等。實現對互聯網活動的精細化管控。

3.內容過濾

支持針對互聯網活動過程中涉及的來往郵件、網上聊天、論壇留言等信息進行敏感內容的過濾，防止敏感信息外泄。同時支持對黃色、暴力、反動等不健康的信息進行過濾，減少感染病毒木馬的幾率。

4.內容審計

支持對訪問互聯網內容的全面審計，能夠根據訪問時間、賬戶名、IP地址、應用、網址等多個維度進行精細化的審計。

應用與實踐

本文以企業典型的互聯網使用環境為例，詳細介紹上網行為管理系統的部署方式以及在實際應用過程中的主要技術措施，以達到對互聯網行為精細化管控的目的。

1.系統部署

上網行為管理系統支持串聯部署和并聯部署兩種方式。但在實際應用時，為了確保上網行為管理系統能夠對進出網絡的所有流量信息進行監控和審計，因此一般將上網行為管理系統串聯部署在互聯網的出口處，以透明網橋的方式接入網絡，無需對原有的網絡結構和配置進行改動。管理人員可以通過網絡以Web頁面的方式遠程對設備進行管理。具體的部署模式如圖1所示。

上網行為管理系統串聯在網絡鏈路的部署方式雖然管控強度更高，但設備一旦發生故障，企業的互聯網使用將中斷，給用戶的正常使用造成一定的影響，雖然可以通過開啟bypass模式，使得流量直接通過設備，但無法對流量數據進行管控和審計行為。

2.主要技術措施

為了能夠更好的發揮上網行為管理系統的作用，實現針對互聯網活動的細顆粒度的管控和審計，有效推動互聯網實名制認證的管理方式，在實際進行應用部署時，有效的開展以下幾方面的工作能夠極大促進上網行為管理系統的使用效果。

（1）對互聯網計算機和賬戶名建立統一的命名規則

為了能夠在進行互聯網活動審計時能夠準確定位到人和計算機，避免因命名規則不統一而引起賬戶名稱沖突等問題，可以對互聯網計算機和賬戶名建立統一的命名規則，如互聯網計算機命名規則為“樓號_房間號_IP地址”，賬戶命名規則為“單位_部門_姓名簡稱”等，單位、部門均可用特定字符表示。

（2）實現計算機IP地址與所在部門員工賬號的綁定

為了確保員工訪問互聯網時使用的計算機是安全可靠的，同時滿足最小授權原則，可以根據單位的具體情況進行計算機IP與員工賬號的綁定。

例如通過綁定限定本部門員工的賬號能且只能在本部門的互聯網計算機進行登錄并進行互聯網的訪問等，杜絕了外來部門人員賬號在本部門互聯網計算機登錄并進行互聯網活動所帶來的安全隱患。

（3）針對人員、位置、時間、應用進行細顆粒度策略控制

為了最大限度保障員工在進行互聯網活動時的安全性，可以根據用戶、時間、應用等條件設置策略，精確到任意用戶、任意應用、任意時間段、任意網址、任意關鍵字內容，實現針對不同用戶的不同需求進行有針對性有時效性的策略設置，確保對用戶、使用時間段、允許的應用、允許的最大帶寬等進行細顆粒的訪問控制。

（4）敏感內容過濾

為了防止員工在使用互聯網進行正常工作時，將涉及企業重要敏感信息通過互聯網外泄，通過上網行為管理系統進行過濾設置，確保重要信息在經過上網行為管理系統時被過濾，禁止敏感數據流出。

總結

本文首先針對目前企業內部互聯網活動管理中的不足進行了描述，之后對上網行為管理系統的功能和部署方式進行了介紹，最后對實際部署應用過程中的幾點技術措施進行了闡述。

通過部署上網行為管理系統，能夠有效地規范企業內部互聯網資源的使用，形成互聯網實名制使用的強制規則，強化員工合規性操作的意識，確保互聯網應用的安全可靠。同時也可以更好的滿足了網絡安全等級保護2.0的相關要求。