上網(wǎng)行為管理，提升網(wǎng)絡(luò)安全水平

王斌，劉瑩

（華東桐柏抽水蓄能發(fā)電有限責(zé)任公司，浙江天臺(tái)371200）

上網(wǎng)行為管理，提升網(wǎng)絡(luò)安全水平

王斌，劉瑩

（華東桐柏抽水蓄能發(fā)電有限責(zé)任公司，浙江天臺(tái)371200）

介紹了網(wǎng)絡(luò)管理面臨的問題與現(xiàn)狀，上網(wǎng)行為管理的必要性和意義,桐柏公司對于上網(wǎng)行為管理的基本措施和基于深信服的AC1220上網(wǎng)行為管理裝置的應(yīng)用。

上網(wǎng)行為管理；網(wǎng)絡(luò)安全；管理

1 引言

網(wǎng)絡(luò)的發(fā)展給我們的生活帶來了便利，給工作帶來了高效率，創(chuàng)造巨大價(jià)值的同時(shí)，也帶來了一系列不可避免的問題，強(qiáng)化上網(wǎng)行為管理，提升網(wǎng)絡(luò)安全水平是網(wǎng)絡(luò)安全維護(hù)的必然趨勢。本文主要介紹了桐柏公司在上網(wǎng)行為管理系統(tǒng)方面的應(yīng)用。

2 網(wǎng)絡(luò)管理面臨的問題與解決方案

桐柏公司的信息系統(tǒng)，主要包括內(nèi)網(wǎng)和外網(wǎng)兩個(gè)部分，內(nèi)網(wǎng)是國家電網(wǎng)公司電力企業(yè)數(shù)據(jù)網(wǎng)，與普通民用的互聯(lián)網(wǎng)在物理上完全隔離，主要業(yè)務(wù)是與生產(chǎn)有關(guān)的網(wǎng)絡(luò)應(yīng)用，包括生產(chǎn)運(yùn)行實(shí)時(shí)監(jiān)測系統(tǒng)（SIS）、視頻會(huì)議系統(tǒng)、內(nèi)網(wǎng)郵件系統(tǒng)、員工報(bào)銷、ERP系統(tǒng)等。外網(wǎng)以統(tǒng)一互聯(lián)網(wǎng)出口的形式與互聯(lián)網(wǎng)聯(lián)通，即桐柏公司通過網(wǎng)絡(luò)專線連至浙江省電力公司的信通中心，從浙江省電力公司的信通中心出口與互聯(lián)網(wǎng)連接，主要為桐柏公司員工因工作需要，與電力系統(tǒng)外單位的聯(lián)系和資料查詢所需的互聯(lián)網(wǎng)服務(wù)。本文的上網(wǎng)行為管理，主要討論的是針對外網(wǎng)的管理。

2.1.絡(luò)管理面臨的問題

網(wǎng)絡(luò)的發(fā)展給我們的生活帶來了便利，給工作帶來了高效率，我們的生活和工作都已離不開互聯(lián)網(wǎng)的應(yīng)用，但同時(shí)，網(wǎng)絡(luò)的開放性也給公司帶來了更高的使用危險(xiǎn)性、復(fù)雜性和混亂，主要包括員工工作效率低下、敏感信息外泄、公司面臨法律風(fēng)險(xiǎn)、帶寬濫用等。

2.1.1.絡(luò)流量成負(fù)擔(dān)

大部分企業(yè)單位，在公司內(nèi)部對于網(wǎng)絡(luò)流量的使用不設(shè)限制，經(jīng)常有無序大型文件的上傳下載，使得業(yè)務(wù)信息的應(yīng)用無法得到有效的帶寬保障。根據(jù)一份調(diào)查報(bào)告顯示：28%的上網(wǎng)行為用在了BT，迅雷等P2P下載上，這些下載行為基本都集中在影視、娛樂文件上。由于P2P的設(shè)計(jì)原理使其形成了對網(wǎng)絡(luò)資源的搶奪，使得網(wǎng)絡(luò)中的其他應(yīng)用無法得到應(yīng)有的帶寬，造成了網(wǎng)絡(luò)擁堵，在線視頻的興起也加劇了帶寬資源的消耗，致使重要業(yè)務(wù)無法正常開展。桐柏公司的統(tǒng)一互聯(lián)網(wǎng)出口的帶寬只有10 M，使用情況更是捉襟見肘。

2.1.2.絡(luò)安全隱患

網(wǎng)絡(luò)環(huán)境的復(fù)雜性、信息系統(tǒng)的脆弱性、開放性和易受攻擊性，決定了網(wǎng)絡(luò)安全威脅的客觀存在，隨著網(wǎng)上購物、移動(dòng)支付的興起，網(wǎng)絡(luò)安全問題更是日益嚴(yán)峻，利用網(wǎng)絡(luò)進(jìn)行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴(yán)重影響了網(wǎng)絡(luò)的正常使用。作為公司信息網(wǎng)絡(luò)的管理者，我們不但要面對外來的破壞者利用網(wǎng)絡(luò)暴力入侵，也要防止內(nèi)部員工不謹(jǐn)慎的上網(wǎng)行為導(dǎo)致的誤點(diǎn)帶毒鏈接，訪問不明網(wǎng)站等導(dǎo)致的病毒木馬爆發(fā)。輕者影響網(wǎng)絡(luò)的正常應(yīng)用，重者造成數(shù)據(jù)丟失，系統(tǒng)癱瘓，重要數(shù)據(jù)和敏感信息被別有用心的個(gè)人或組織偷竊、破壞或刪除。

2.1.3.律和安全風(fēng)險(xiǎn)

大部分企業(yè)內(nèi)部員工的上網(wǎng)不受限制，但是他們在網(wǎng)上做了什么？對外發(fā)布了什么信息？企業(yè)單位完全不知情，也無記錄可查詢，一旦混雜著有害內(nèi)容和違反法律的網(wǎng)絡(luò)行為發(fā)生，造成大的負(fù)面影響，根據(jù)2017年6月1日正式實(shí)施的《網(wǎng)絡(luò)安全法》，這將會(huì)給單位帶來巨大的法律風(fēng)險(xiǎn)。

2.1.4.作效率難以提升

據(jù)一項(xiàng)調(diào)查顯示，普通企業(yè)員工每天的互聯(lián)網(wǎng)訪問活動(dòng)40%與工作無關(guān)。上班時(shí)間，炒股、聊天、游戲、網(wǎng)購、微博等都是普遍存在的現(xiàn)象。這種互聯(lián)網(wǎng)的不合理使用必然導(dǎo)致員工工作效率的下降，同時(shí)員工也養(yǎng)成了不良的職業(yè)習(xí)慣。

2.1.5.容失控，泄密事件頻繁發(fā)生

桐柏公司的主要工作在內(nèi)網(wǎng)中進(jìn)行，但內(nèi)網(wǎng)用戶是被默認(rèn)為可以信任的用戶，他們可以輕而易舉的獲取內(nèi)網(wǎng)數(shù)據(jù)，如果不對外網(wǎng)行為加以管控，則可以通過各種途徑，如郵件、qq等聊天工具，將內(nèi)部數(shù)據(jù)外泄。

2.1.6.現(xiàn)網(wǎng)絡(luò)問題后難以快速找到根源

當(dāng)出口堵塞，網(wǎng)絡(luò)訪問異常時(shí)，通常難以在短時(shí)間內(nèi)找到根源，只能通過網(wǎng)絡(luò)層面的設(shè)備分析原因，簡單的插拔網(wǎng)線，復(fù)位設(shè)備，以圖解決問題。如果對網(wǎng)絡(luò)上的行為有所統(tǒng)計(jì)，則可以分析故障發(fā)生前后，網(wǎng)絡(luò)上發(fā)生了什么，有助于快速找到真正的原因。

2.2.柏公司對于上網(wǎng)行為管理的應(yīng)用

強(qiáng)化員工的上網(wǎng)行為管理、保障網(wǎng)絡(luò)資源的合理使用，避免人為的網(wǎng)絡(luò)安全隱患、提升帶寬利用率，不僅僅局限于網(wǎng)絡(luò)安全管理，也與企業(yè)的管理和發(fā)展緊密聯(lián)系在一起。正確的實(shí)施上網(wǎng)行為管理、確保網(wǎng)絡(luò)安全，又要保障員工對于網(wǎng)絡(luò)訪問的合理需求，這不僅僅是技術(shù)層面，也是管理層面的問題。桐柏公司也確實(shí)是從管理手段和技術(shù)手段兩方面著手的。

2.2.1.理層面

制定管理規(guī)定，國網(wǎng)公司制定了《網(wǎng)絡(luò)與信息系統(tǒng)安全管理辦法》，《信息安全等級保護(hù)管理辦法》，新源公司制定了《信息安全管理標(biāo)準(zhǔn)》，桐柏公司制定了《信息機(jī)房管理制度》，《桐柏公司通訊機(jī)房管理制度》，《桐柏公司計(jì)算機(jī)監(jiān)控系統(tǒng)分級授權(quán)管理辦法》，《桐柏公司計(jì)算機(jī)監(jiān)控系統(tǒng)移動(dòng)存儲(chǔ)設(shè)備使用管理辦法》，《桐柏公司運(yùn)維檢修部設(shè)備專用計(jì)算機(jī)管理辦法》等管理制度，從制度上規(guī)范員工的上網(wǎng)行為，明確哪些能做，哪些不能做。

桐柏公司落實(shí)責(zé)任人制度，各專業(yè)設(shè)備都指定了設(shè)備主人和A、B角，通過對系統(tǒng)運(yùn)維責(zé)任的分解，做到責(zé)任到人，層層落實(shí)，對信息系統(tǒng)相關(guān)的服務(wù)器、網(wǎng)絡(luò)、機(jī)房等運(yùn)維責(zé)任均落實(shí)到個(gè)人并明確各負(fù)責(zé)人權(quán)限。禁止外單位設(shè)備接入信息內(nèi)網(wǎng)，外來單位人員需要接入信息外網(wǎng)的設(shè)備均需審批備案。無論是內(nèi)網(wǎng)電腦還是外網(wǎng)電腦，都明確負(fù)責(zé)人，分配IP地址與MAC綁定，保證電腦在指定的位置由指定的人員使用。

為合理分配網(wǎng)絡(luò)資源，對于使用外網(wǎng)頻繁的員工，配發(fā)外網(wǎng)電腦至個(gè)人；大部分員工工作時(shí)不需要使用外網(wǎng)的部門班組，則配置公用的外網(wǎng)電腦，以便有要事急需上網(wǎng)的員工使用。

2.2.2.術(shù)層面

桐柏公司的統(tǒng)一互聯(lián)網(wǎng)出口，其拓?fù)涫疽鈭D如圖1所示。

圖1.柏公司外網(wǎng)拓?fù)涫疽鈭D

為了嚴(yán)格的遵守網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)，我們在互聯(lián)網(wǎng)出口處設(shè)置了兩層防火墻，第一層為迪普的傳統(tǒng)防火墻，作用為實(shí)現(xiàn)NAT地址轉(zhuǎn)換并設(shè)置ACL實(shí)現(xiàn)訪問控制；第二層為啟明星辰的天清漢馬系列的下一代防火墻，實(shí)現(xiàn)web應(yīng)用控制的訪問；再下面連接了迪普的入侵防御設(shè)備，型號(hào)為IPS2000系列，能夠更好的去檢測病毒和攻擊行為并去防御；以上設(shè)備都是為了防御一些攻擊行為和病毒，但是對一些內(nèi)部的客戶端的限制很少，所以我們又采用了深信服的上網(wǎng)行為管理，一方面是為了限制一些客戶端流量，此外更多的是對一些客戶端的應(yīng)用訪問控制，并去進(jìn)行網(wǎng)絡(luò)分析。與本論文內(nèi)容相關(guān)密切的就是深信服的AC1220上網(wǎng)行為管理裝置，其主要實(shí)現(xiàn)的功能主要包括以下方面：

1）網(wǎng)頁訪問過濾

互聯(lián)網(wǎng)上的網(wǎng)頁資源非常豐富，如果員工長時(shí)間訪問購物、財(cái)經(jīng)、娛樂等于工作無關(guān)的網(wǎng)頁，將極大的降低工作效率，訪問一些不明網(wǎng)站或高風(fēng)險(xiǎn)提示的網(wǎng)站，則會(huì)帶來較大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)（病毒、木馬等）。

所以，我們制定網(wǎng)頁訪問過濾策略，過濾非工作相關(guān)的網(wǎng)頁。同時(shí)，該策略可以個(gè)性化定制，比如，普通員工不能訪問購物網(wǎng)站，但計(jì)劃物資部需要進(jìn)行物資采購的員工可以通過指定的電腦訪問相關(guān)的購物網(wǎng)站進(jìn)行查詢。

2）網(wǎng)絡(luò)應(yīng)用控制

聊天、看電影、玩游戲、炒股等，網(wǎng)上的應(yīng)用也是五花八門，如果員工在工作時(shí)間使用這些應(yīng)用，也會(huì)降低工作效率，并可能造成網(wǎng)速緩慢、信息外泄的可能。

對此，我們制定有效的網(wǎng)絡(luò)應(yīng)用控制策略，封堵與業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)應(yīng)用，引導(dǎo)員工在合適的時(shí)間做合適的事。

3）信息內(nèi)容審計(jì)

發(fā)郵件，聊天，訪問論壇，發(fā)微博，都是常見的網(wǎng)絡(luò)行為，然而，信息的保密性、健康性、政治性的問題也隨之而來。

所以，制定有效的信息收發(fā)監(jiān)控策略，可以有效的控制關(guān)鍵信息的傳播范圍，避免可能引起的法律風(fēng)險(xiǎn)。

4）上網(wǎng)行為分析

隨著互聯(lián)網(wǎng)上的活動(dòng)越來越頻繁，掌握員工的互聯(lián)網(wǎng)使用狀況可以避免很多潛在的風(fēng)險(xiǎn)。

5）日志管理

可以通過對日志的分析，了解整個(gè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況，方便快速定位和排除故障。

3 結(jié)論

通過管理層面和技術(shù)層面的努力，桐柏公司對公司的互聯(lián)網(wǎng)應(yīng)用進(jìn)行了有效的上網(wǎng)行為管理，規(guī)范了員工的上網(wǎng)行為，排除了網(wǎng)絡(luò)安全隱患，抵御了潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，自G20峰會(huì)前安裝上網(wǎng)行為管理裝置，系統(tǒng)已運(yùn)行大半年，期間未發(fā)生被通報(bào)的網(wǎng)絡(luò)信息安全事件?？梢娫撓到y(tǒng)的應(yīng)用，有效的提升了桐柏公司的網(wǎng)絡(luò)安全水平。

[1]何牡.計(jì)算機(jī)通信網(wǎng)絡(luò)安全維護(hù)措施分析[J].通訊世界，2015（15）：15-16.

[2]楊曙光.計(jì)算機(jī)信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（04）.

[3]深信服科技有限公司.上網(wǎng)行為管理技術(shù)手冊[Z]，2010.

[4]陳兵.網(wǎng)絡(luò)安全[M].北京：國防工業(yè)出版社，2012.

[5]北京天融信有限公司.上網(wǎng)行為管理系統(tǒng)產(chǎn)品白皮書[Z]，2009.

TP393.08

B

1672-5387（2017）09-0072-03

10.13599/j.cnki.11-5130.2017.09.025

2017-06-19

王斌（1979-），男，高級工程師，從事繼電保護(hù)和信息運(yùn)維工作。