上網行為管理審計在消防院校網絡管理中的應用研究

◆楊浩程

（應急管理部消防救援局昆明訓練總隊 云南 650208）

原公安消防部隊目前已全部退出現役，調出公安系統并轉制為國家綜合性消防救援隊伍，劃轉應急管理部領導管理。消防救援隊伍原先使用的金盾網將不再使用，改為接入國家電子政務外網。而消防院校隨著改革推進，院校的教學、科研、管理、后勤保障等工作也需要依托網絡特別是互聯網來開展。

1 消防院校網絡變化特點

隨著消防院校離開軍隊和公安體制，院校內部人員原有的網絡使用管理規章制度不再適用，網絡也以使用金盾網為主變為以使用互聯網為主，且隨著時代變化，對網絡依賴程度不斷提高、移動互聯網發展、無線接入設備數量增多、網絡用戶身份多樣化，網絡使用行為日趨復雜化，消防院校面臨的網絡安全隱患威脅日益嚴重。

2 消防院校網絡面對的問題

2.1 網絡用戶身份復雜

消防院校內人員較密集，使用網絡的用戶除學校行政人員、教師、學員、消防員外，還可能有后勤保障服務單位的員工、臨時來校人員等等，用戶身份多種多樣。

2.2 入網設備類型多樣

隨著無線上網設備的增多，接入網絡的設備包含服務器、PC、平板電腦、手機等。一些設備是消防院校內部的固定入網設備如工作業務用網絡終端等，但是也有大量的網絡用戶個人設備接入到網絡中。同時還有大量的網絡用戶采取私接無線路由器的方式進一步將網絡覆蓋進行未經校方批準的拓展。入網設備類型多種多樣，數量難以準確統計。私自拓展的網絡更是導致消防院校面對遭受來自內部的網絡攻擊風險和隱患，使得校園網絡出口處的網絡安全防護設備成為擺設。

2.3 用戶上網行為及目的復雜

隨著網絡時代的到來，整個社會全面觸網，消防院校退出軍隊體系后，對網絡使用管理將進一步放開，網絡用戶數量劇增。消防院校的網絡用戶除了正常的工作學習信息查詢處理外，還存在大量的網上購物、游戲、社交、郵件、下載、個人金融、在線音視頻等常見業務數據，甚至存在網絡賭博、網絡借貸、發動網絡攻擊、違規訪問境外非法網站、在境內外網站發表不當言論等可能。國家綜合性消防救援隊伍執行“兩嚴兩準”建設要求，消防院校網絡一旦出現問題，將嚴重影響消防救援隊伍的形象。

2.4 流媒體、P2P 數據泛濫

隨著入網終端的增多，特別是移動智能終端的增多，在消防院校網絡內的數據流量除了正常的工作業務數據外，還有大量的下載、視頻點播、視頻直播、視頻通話及P2P 數據流量。隨著網絡應用和入網終端的發展，視頻類應用的清晰度及碼流將不斷提高，隨之而來的將是視頻數據流量的大幅增長；此外還有基于P2P 的數據傳輸，如果入網終端持續開啟P2P 服務，除了在下載期間產生下行數據流量外，在無下行數據期間還將持續上傳數據。以上數據將大量耗費擠占消防院校網絡出口帶寬，造成日常工作業務和普通上網瀏覽數據傳輸緩慢，嚴重時甚至會導致正常業務數據中斷，外網對消防院校內部網絡訪問也將中斷。

2.5 否認操作行為

經過消防院校的網絡發生網絡泄密、網絡違法、違紀行為時，相關網絡終端及網絡用戶難以定位查找。當查找相關網絡終端及網絡用戶時，網絡終端及用戶可能只是臨時性接入網絡，發現違規行為時相關人員與終端已無從查找。即使作為院校內部固定入網設備，也存在相關上網操作記錄被自動或人為清除，數據恢復困難，痕跡無法檢測，進而導致網絡用戶可以隨意否認曾經發生的網絡操作行為。因無法準確確認網絡違規行為的責任人，最終導致相關調查工作只能確定到校園網內，而無法找到和徹底清除網絡內部的安全隱患。

3 應對措施

由此需加強消防院校網絡的上網行為管理和審計措施，以預防網絡安全管理事故的發生，即使在發生利用消防院校網絡的違規事件發生后，也便于開展相關調查處置工作。除了平時加強消防院校網絡安全宣傳教育工作外，還應當在相應網絡出口、網絡應用系統服務器區入口部署有關上網行為管理及審計設備，以技術手段來加強網絡的安全管理。

3.1 網絡用戶身份認證及權限控制

上網行為管理設備可對所有網絡用戶進行接入身份認證，確保網絡用戶在消防院校網內有唯一的身份。可對消防院校行政人員、教師、學員、消防員等人員分配個人入網賬號。對于后勤保障服務單位的員工，經申請后可允許接入校內網絡訪問后勤保障系統部分資源，也可允許其利用校內網絡訪問外網資源。以上人員入網可以采取本地認證的方式來進行，具體可采取Web 認證、用戶名+口令認證、IP/MAC/IP-MAC 綁定、USB-Key 等方式。

對于臨時來校人員，原則上不允許接入校內網絡，但若為外來訪客且確需利用校內網絡訪問外網的，可允許在通過身份認證后在一定時長內臨時接入。對于此部分人員上網身份認證，應當避免復雜的臨時賬號申請流程，改由通過短信或微信認證的形式來實現。

3.2 入網設備管理

目前許多家用級無線路由器已能對常見接入設備的類型和品牌型號進行識別，同理上網行為管理設備應能提供對私設無線AP 或代理服務器的識別功能，并能自動升級拓展識別庫。發現未經允許聯網的無線路由器等設備就阻斷其通信，避免蓄意通過非法AP 繞過身份認證接入網絡，杜絕非法的設備接入。

3.3 用戶上網行為審計分析

管理員可利用上網行為管理設備對網絡用戶的上網行為進行監控及在線管理，如對當前網絡用戶訪問的網址進行基于地址庫的識別，判斷網站類型，識別用戶目的。如發現干部、學員、消防員經常訪問賭博網站、網貸網站等，可提示對其個人加強監管，以免造成不良后果；也可對工作時間內網絡流量數據進行統計，分析工作時間內相關人員工作效率情況。此外還應能對IM聊天、微博、社交論壇發帖內容、郵件發送內容、郵件附件內容和上傳文件內容等進行監控分析，如對關鍵詞或傳輸的zip、doc、ppt 等文件類型進行監控記錄，避免泄密。目前很多網頁使用SSL加密，如Google 搜索、QQ 郵箱、甚至賭博網站，為避免用戶通過SSL 加密郵件、BBS、論壇發布的反動言論或者是向外發送組織的機密信息，上網行為管理設備最好能對此類加密應用進行識別，但網銀等涉及個人隱私的操作不得進行監控。

3.4 流量控制

針對流媒體、P2P 流量泛濫影響正常工作業務的問題，上網行為管理設備應對流媒體、P2P 等流量進行抑制，使其限制在指定的范圍之內，優先保證正常工作業務的帶寬需求。可采取按用戶分組、按網絡應用、按協議、按時段等多種方式對網絡帶寬進行合理分配，既保證正常的工作需求，又提高網絡帶寬使用率，滿足用戶工作、生活、娛樂等多種需求。除滿足傳統的網絡業務流量控制外，上網行為管理設備還應能升級支持包括移動APP在內的新網絡業務數據流量的識別和控制功能。

3.5 用戶操作日志審計與存儲

對于每一個用戶、每一臺終端的網上操作，上網行為管理設備應能生成相應的日志并進行存儲。如記錄存儲網站訪問快照、聊天記錄、論壇微博記錄、文件傳輸記錄等，相關的網絡日志存儲不少于6 個月。基于上網行為大數據對用戶操作行為進行分析，除掌握用戶網絡使用情況外，更可在發生網絡安全事故時，可根據相關日志精準追溯調查。

4 結束語

除使用上網行為管理設備外，還應當采取加強網絡安全宣傳教育、定期開展網絡安全檢查、使用多種網絡安全防護設備等手段加強消防院校的網絡安全工作，避免出現嚴重的泄密或違紀違法網絡安全事故，維護消防救援隊伍的良好形象。