上網(wǎng)行為管理平臺在單位網(wǎng)絡安全管理中的應用

◆楊浩程

上網(wǎng)行為管理平臺在單位網(wǎng)絡安全管理中的應用

◆楊浩程

（應急管理部消防救援局昆明訓練總隊 云南 650208）

當今網(wǎng)絡應用越來越多，隨之產(chǎn)生了工作時間訪問與工作無關網(wǎng)站，工作效率低下甚至出現(xiàn)網(wǎng)絡違法行為、泄露內(nèi)部信息與機密的問題，本文就如何使用上網(wǎng)行為管理平臺來加強單位的網(wǎng)絡安全管理工作進行了探討，供相關讀者參考。

網(wǎng)絡安全；網(wǎng)絡行為審計

隨著信息技術的飛速發(fā)展，計算機網(wǎng)絡越來越多地被用于當代社會的工作、生活之中，無論是行政機構、軍隊、事業(yè)單位、社會團體、企業(yè)、個人都越來越依賴IP網(wǎng)絡，在享受網(wǎng)絡便利的同時，因為網(wǎng)絡用戶行為越來越復雜，基于網(wǎng)絡的破壞、泄密甚至是犯罪等行為不可避免地越來越多，對一個單位網(wǎng)絡的穩(wěn)定性和安全性形成了嚴峻的威脅，在一些情況下還需要對網(wǎng)絡行為進行溯源。利用專門的設備或信息系統(tǒng)針對本單位網(wǎng)絡用戶行為進行管理審計與記錄的必要性日益凸顯。

為了加強單位網(wǎng)絡安全與穩(wěn)定，筆者認為應分別從以下方面進行管理。

1 確保入網(wǎng)用戶及設備的合法性

對于接入本單位網(wǎng)絡的用戶，應保證其合法性，這是對上網(wǎng)行為進行管理和溯源的基礎。對于入網(wǎng)用戶應采取多種方式進行認證。首先內(nèi)部人員可以通過Web頁面、ID+密碼、指定IP、個人Key等方式進行認證，并記錄用戶接入相關信息，確保用戶入網(wǎng)經(jīng)授權且有據(jù)可查；其次應盡量避免外來人員臨時性接入本單位內(nèi)部網(wǎng)絡，確實需要接入的，則應對其入網(wǎng)進行有效認證并記錄，比如采取手機短信驗證碼、“微信”掃描等進行認證，確保入網(wǎng)記錄可查。

對于接入本單位內(nèi)部網(wǎng)絡的設備，也應該進行嚴格的認證。服務器、交換機、打印機等設備，應當為其指定專門的IP地址，地址段與普通網(wǎng)絡終端應有區(qū)別。對于單位內(nèi)部人員，除使用PC等單位內(nèi)部終端外，還可能同時通過手機、平板電腦等多個設備接入網(wǎng)絡，可移動設備入網(wǎng)，也必須通過認證。同時為了避免私自在單位內(nèi)部網(wǎng)絡上架設的無線路由器導致接入失控的局面，最好是一方面單位內(nèi)部主動提供WIFI接入；另一方面對入網(wǎng)設備采取IP與MAC地址綁定的方式嚴格限制設備的接入，或采用能識別市面上大多數(shù)無線路由器的網(wǎng)絡接入控制設備，一旦發(fā)現(xiàn)無線路由器私自接入，即自動對其進行阻斷。

2 用戶上網(wǎng)行為進行統(tǒng)計分析

上網(wǎng)行為管理平臺，需對用戶上網(wǎng)所使用的各種協(xié)議進行識別和分類統(tǒng)計管理。觀察本單位網(wǎng)絡協(xié)議主要有哪些，每一類協(xié)議持續(xù)時間和高峰時間是什么樣的情況，如http、ftp、smtp、p2p等。在統(tǒng)計的基礎上對單位網(wǎng)絡流量進行分析，判斷工作時段內(nèi)是否存在大量的非工作業(yè)務流量，如發(fā)現(xiàn)工作時間內(nèi)存在大量的流媒體或p2p下載流量，則代表正常工作業(yè)務所需網(wǎng)絡帶寬可能無法保證，影響正常地工作業(yè)務數(shù)據(jù)傳輸，在此基礎上，上網(wǎng)行為管理設備應能針對每一個網(wǎng)絡協(xié)議進行分時段的優(yōu)先級與最大帶寬限制，保證工作業(yè)務數(shù)據(jù)的優(yōu)先傳輸。如工作時段內(nèi)非工作業(yè)務數(shù)據(jù)流量過大，則提示可能存在單位內(nèi)部管理松懈，消極怠工的情況。

上網(wǎng)行為管理平臺，需要對網(wǎng)絡用戶訪問的目標地址和網(wǎng)絡流量進行識別和分類統(tǒng)計。上網(wǎng)行為管理平臺應自帶網(wǎng)址識別庫和網(wǎng)絡流量識別庫，且可以定期更新，如對用戶訪問的網(wǎng)址進行統(tǒng)計識別，以掌握單位內(nèi)部新聞類、搜索類、娛樂類、博彩類等網(wǎng)站在各個時段的訪問量，以及諸如各類股票交易軟件、游戲平臺、OA平臺的數(shù)據(jù)量，對本單位的網(wǎng)絡業(yè)務流量進行綜合判斷。

上網(wǎng)行為管理平臺，需要對單個網(wǎng)絡用戶的網(wǎng)絡操作行為進行分類統(tǒng)計管理。網(wǎng)絡用戶的操作行為多種多樣，除了日常工作使用外，還可能同時存在多種非工作業(yè)務數(shù)據(jù)。針對單個用戶，如果在工作時段某個用戶存在長時間的游戲、在線視頻、股票交易等流量，則提示該用戶可能存在工作效率低下的問題。如果發(fā)現(xiàn)個別用戶長期訪問賭博類、網(wǎng)貸類網(wǎng)址，對于政府和企事業(yè)單位，該用戶存在一定程度的安全隱患，至少不應在財務崗位上使用該用戶；如果該用戶身份為學生，學校則應及時了解情況，對其加強相關教育與管理。此外，在日常統(tǒng)計中如發(fā)現(xiàn)某個用戶經(jīng)常通過VPN違規(guī)訪問境外網(wǎng)站，則提示應對其網(wǎng)絡操作行為加強監(jiān)管，提前避免不必要的風險。

上網(wǎng)行為管理平臺最好能對SSL加密應用進行識別。SSL協(xié)議廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸，以避免通信在網(wǎng)絡傳輸過程中不會被截取及竊聽。目前越來越多的網(wǎng)頁使用SSL加密，如網(wǎng)銀、QQ郵箱、甚至部分賭博網(wǎng)站，而因為采用了加密技術，可能會無法對其內(nèi)容進行識別管理，別有用心的用戶可以利用這一缺陷繞過管理，通過SSL加密通信進行賭博、收發(fā)郵件、訪問社交媒體、甚至是發(fā)布違法言論或者是向外發(fā)送單位涉密信息，導致管理漏洞。所以上網(wǎng)行為管理平臺最好能對SSL加密通信進行識別，以實現(xiàn)對用戶網(wǎng)絡行為的有效分析與統(tǒng)計。

3 搜索關鍵詞及社交媒體操作記錄統(tǒng)計分析

上網(wǎng)行為管理平臺應能對通過單位網(wǎng)絡訪問主流搜索引擎進行分析，查看關鍵詞搜索記錄，以此判斷當前單位內(nèi)部的關注熱點，并能對內(nèi)部人員的上網(wǎng)操作行為傾向進行研判，提前掌握近期單位內(nèi)部網(wǎng)絡熱點信息。

在網(wǎng)絡使用過程中，當前各種即時通信軟件和社交媒體所占流量也越來越多，如：QQ、微信、旺旺、微博、論壇等，此外還有工作或生活上的郵件業(yè)務往來。上網(wǎng)管理平臺應能對這些即時通信和社交媒體、在線郵件流量進行較為完整的記錄。如針對即時通信類的發(fā)信賬戶與收信賬戶、通信內(nèi)容的記錄，針對“微博”以及主流論壇的內(nèi)網(wǎng)IP、發(fā)帖賬號、帖子鏈接及內(nèi)容等的記錄，針對郵件的發(fā)件人賬號、收件人賬號、郵件內(nèi)容等的記錄。以上記錄應支持關鍵詞檢索及基于關鍵詞的自動告警等功能，并能進行快速的查找溯源。

4 對文件傳輸進行記錄

在網(wǎng)絡的日常使用中，還可能存在大量的文件傳輸流量，如通過即時通信軟件、在線郵件、P2P客戶端、“網(wǎng)盤”等進行文件的傳輸與共享。如果傳輸?shù)奈募邪舾行畔ⅲ缭盒！⒖蒲袉挝晃垂_的核心技術，個人隱私，企業(yè)的經(jīng)濟情報、財務資料、客戶信息，各種人事任免信息，甚至是政府、軍隊的涉密信息，一旦外泄，將產(chǎn)生嚴重的后果。上網(wǎng)行為管理平臺應能提供限制傳輸文件類型、單一文件大小、限制傳輸類型、限制文件收發(fā)地址、指定專門服務器等手段，對經(jīng)內(nèi)部網(wǎng)絡的文件收發(fā)進行管理和監(jiān)控并記錄。如將包含doc、ppt、xls、zip等文件作為重點監(jiān)控對象，在做好數(shù)據(jù)傳輸監(jiān)控記錄的同時，應提供可設定條件的泄密觸發(fā)預警，及時發(fā)現(xiàn)泄密風險。在發(fā)現(xiàn)泄密風險后，可根據(jù)傳輸日志、關鍵詞等，對可能泄密人員進行溯源，對泄密行為進行快速準確的追蹤。

5 其他問題

上網(wǎng)行為管理平臺與網(wǎng)絡防火墻的運行目的都是為了提升網(wǎng)絡安全，網(wǎng)絡防火墻用途是防范阻斷外來的網(wǎng)絡攻擊為主，而上網(wǎng)行為管理平臺主要是上網(wǎng)行為安全和內(nèi)容安全進行管理，對單位網(wǎng)絡使用情況進行統(tǒng)計分析，二者是互為補充的關系。

上網(wǎng)行為管理平臺應提供豐富的報表管理功能，如根據(jù)時間、行為類型等生成報表，直觀地幫助管理人員掌握網(wǎng)絡使用狀況流量排名、搜索關鍵詞排名、網(wǎng)站訪問排名、網(wǎng)址類型排名等多種輔助決策數(shù)據(jù)，以了解網(wǎng)絡用戶是否正常使用網(wǎng)絡，是否向網(wǎng)絡發(fā)布了違規(guī)違法信息等等，為加強單位內(nèi)部管理提供參考依據(jù)。同時可根據(jù)實際需要，設置相應的網(wǎng)站和用戶白名單，對敏感私密的合法網(wǎng)絡行為和部分用戶不進行監(jiān)控，對于上網(wǎng)行為日志等執(zhí)行嚴格的保密和查閱管理。

6 結(jié)束語

對于網(wǎng)絡運行，三分靠技術，七分靠管理，單位應制定完善的管理制度，并提前告知用戶相關要求，輔以上網(wǎng)行為管理平臺，提高單位網(wǎng)絡的安全性與使用效率，促進各項工作高效正常開展。