互聯(lián)網(wǎng)視聽(tīng)節(jié)目監(jiān)測(cè)從業(yè)人員上網(wǎng)行為審計(jì)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

高詩(shī)建

摘 ? 要：文章根據(jù)互聯(lián)網(wǎng)視聽(tīng)節(jié)目監(jiān)測(cè)從業(yè)人員的工作內(nèi)容，提出上網(wǎng)行為審計(jì)系統(tǒng)的設(shè)計(jì)并加以實(shí)現(xiàn)，系統(tǒng)滿足加強(qiáng)互聯(lián)網(wǎng)信息安全的需求，同時(shí)規(guī)范上網(wǎng)行為、提高工作效率。系統(tǒng)通過(guò)用戶準(zhǔn)入、上網(wǎng)行為記錄、流量控制、終端管理等技術(shù)手段，部署了一套完整的上網(wǎng)行為審計(jì)系統(tǒng)。本系統(tǒng)旨在解決互聯(lián)網(wǎng)視聽(tīng)節(jié)目監(jiān)測(cè)從業(yè)人員訪問(wèn)互聯(lián)網(wǎng)所衍生的信息安全隱患、工作效率低等問(wèn)題。

關(guān)鍵詞：上網(wǎng)行為審計(jì);信息安全;流控;終端管理

隨著互聯(lián)網(wǎng)的高速發(fā)展，信息化建設(shè)日益成熟，互聯(lián)網(wǎng)視聽(tīng)節(jié)目變得日益豐富多彩，隨之而來(lái)的監(jiān)管工作也變得復(fù)雜多變，并且尤為重要。由于監(jiān)管難度的增加，首先對(duì)互聯(lián)網(wǎng)視聽(tīng)節(jié)目進(jìn)行初步排查，其次，高級(jí)技術(shù)人員對(duì)排查結(jié)果進(jìn)行分析并撰寫報(bào)告。隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》與《信息安全等級(jí)保護(hù)管理辦法》的頒布與實(shí)施，工作人員如何在日常工作中合規(guī)、合法、文明訪問(wèn)互聯(lián)網(wǎng)變得尤為重要。文章將設(shè)計(jì)一套上網(wǎng)行為審計(jì)系統(tǒng)（以下簡(jiǎn)稱本系統(tǒng)），實(shí)現(xiàn)對(duì)工作人員訪問(wèn)互聯(lián)網(wǎng)的行為進(jìn)行記錄、審計(jì)、分析，以監(jiān)督工作人員合規(guī)、合法、文明訪問(wèn)互聯(lián)網(wǎng)。

1 ? ?系統(tǒng)設(shè)計(jì)背景與需求分析

由于互聯(lián)網(wǎng)的發(fā)展，信息安全問(wèn)題逐步地顯現(xiàn)出來(lái)。隨著信息安全相關(guān)政策法律的頒布與實(shí)施，原本工作中存在的信息安全漏洞將被發(fā)現(xiàn)并予以解決。規(guī)范上網(wǎng)行為并加以審計(jì)成了信息安全中非常重要的一個(gè)環(huán)節(jié)。

1.1 ?背景簡(jiǎn)介

近年來(lái)，多次出現(xiàn)網(wǎng)民在互聯(lián)網(wǎng)中進(jìn)行網(wǎng)絡(luò)誹謗以及上傳侵權(quán)非法音視頻導(dǎo)致的法律糾紛，并且造成極其惡劣的社會(huì)影響;部分單位工作人員通過(guò)工作業(yè)務(wù)網(wǎng)絡(luò)訪問(wèn)互聯(lián)網(wǎng)時(shí)，由于操作不規(guī)范導(dǎo)致業(yè)務(wù)系統(tǒng)遭受黑客攻擊，致使業(yè)務(wù)系統(tǒng)癱瘓，造成巨大經(jīng)濟(jì)損失;移動(dòng)互聯(lián)網(wǎng)的興起，導(dǎo)致工作期間使用移動(dòng)終端從事非工作事務(wù)更加便捷，嚴(yán)重影響工作效率。

1.2 ?需求分析

面對(duì)互聯(lián)網(wǎng)視聽(tīng)節(jié)目監(jiān)測(cè)從業(yè)人員訪問(wèn)互聯(lián)網(wǎng)所產(chǎn)生的種種負(fù)面影響，其主要是沒(méi)有對(duì)工作人員的上網(wǎng)行為進(jìn)行合理審計(jì)造成的。互聯(lián)網(wǎng)視聽(tīng)節(jié)目監(jiān)測(cè)人員的主要工作在于對(duì)互聯(lián)網(wǎng)中不符合要求的視聽(tīng)節(jié)目進(jìn)行排查。首先，該工作特性增加了終端受攻擊的概率;其次，工作人員長(zhǎng)期接觸不符合要求的視聽(tīng)節(jié)目有可能會(huì)對(duì)心理造成影響;最后，由于視聽(tīng)節(jié)目大多數(shù)使用流媒體技術(shù)，大量工作人員同時(shí)訪問(wèn)流媒體也勢(shì)必對(duì)網(wǎng)絡(luò)帶寬造成沖擊。針對(duì)目前訪問(wèn)互聯(lián)網(wǎng)存在的風(fēng)險(xiǎn)以及互聯(lián)網(wǎng)視聽(tīng)節(jié)目監(jiān)測(cè)人員所從事的業(yè)務(wù)特性，本系統(tǒng)需具備以下功能：對(duì)通過(guò)互聯(lián)網(wǎng)發(fā)布不當(dāng)言論、訪問(wèn)非法網(wǎng)站、惡意發(fā)帖的行為進(jìn)行攔截;對(duì)向外傳播內(nèi)部資料的行為進(jìn)行日志記錄與告警[1];解決工作人員訪問(wèn)互聯(lián)網(wǎng)方式不合規(guī)導(dǎo)致內(nèi)部網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)處于信息安全風(fēng)險(xiǎn)狀態(tài);解決某個(gè)工作人員或業(yè)務(wù)系統(tǒng)的操作導(dǎo)致互聯(lián)網(wǎng)出口數(shù)據(jù)量瞬間增大，導(dǎo)致核心業(yè)務(wù)不能得到帶寬保障的。

2 ? ?系統(tǒng)關(guān)鍵技術(shù)

2.1 ?審計(jì)識(shí)別技術(shù)

審計(jì)識(shí)別技術(shù)從類型上看可分為超文本傳輸協(xié)議（HyperText Transfer Protocol，HTTP）外發(fā)內(nèi)容、訪問(wèn)網(wǎng)站/下載、郵件、即時(shí)通信、文件傳輸協(xié)議（File Transfer Protocol，F(xiàn)TP），Telnet等5類。

HTTP外發(fā)內(nèi)容識(shí)別可對(duì)Web BBS的發(fā)帖內(nèi)容、外發(fā)的Web Mail郵箱內(nèi)容、通過(guò)網(wǎng)頁(yè)上傳的附件內(nèi)容、通過(guò)網(wǎng)頁(yè)上傳的文本內(nèi)容進(jìn)行審計(jì)與記錄，也可對(duì)微博所包含的附件等內(nèi)容進(jìn)行審計(jì)與記錄。通過(guò)流量過(guò)濾方式，對(duì)訪問(wèn)網(wǎng)站的統(tǒng)一資源定位符（Uniform Resource Locator，URL）進(jìn)行記錄，與此同時(shí)也可對(duì)通過(guò)URL下載文件的文件信息進(jìn)行記錄、存儲(chǔ)。通過(guò)對(duì)簡(jiǎn)單郵件傳輸協(xié)議（Simple Mail Transfer Protocol，SMTP）、POP3/IMAP協(xié)議的審計(jì)可對(duì)所有收發(fā)送郵件進(jìn)行記錄。在客戶端安裝探針，對(duì)客戶端的所有IM聊天內(nèi)容以及網(wǎng)絡(luò)應(yīng)用進(jìn)行監(jiān)控。通過(guò)截取數(shù)據(jù)流，對(duì)使用FTP上傳下載的文件名及內(nèi)容進(jìn)行記錄與審計(jì)。

2.2 ?流量管理與控制

為保障業(yè)務(wù)網(wǎng)絡(luò)高效、穩(wěn)定運(yùn)行，防止其他非業(yè)務(wù)用戶阻塞端口導(dǎo)致丟幀;亦或網(wǎng)絡(luò)中某個(gè)瞬間大量數(shù)據(jù)對(duì)整體網(wǎng)絡(luò)帶來(lái)沖擊。本系統(tǒng)具備兩種流量控制的方式：在半雙工方式下，流量控制是通過(guò)反向壓力也就是背壓計(jì)數(shù)實(shí)現(xiàn)的，這種計(jì)數(shù)是通過(guò)向發(fā)送源發(fā)送jamming信號(hào)使得信息源降低發(fā)送速度;在全雙工方式下，流量控制一般遵循IEEE 802.3X標(biāo)準(zhǔn)，由交換機(jī)向信息源發(fā)送“pause”幀令其暫停發(fā)送[2]。本系統(tǒng)還可利用HTTP解析、系統(tǒng)檢測(cè)、移動(dòng)應(yīng)用識(shí)別等方式識(shí)別移動(dòng)智能終端，發(fā)現(xiàn)“非法AP”，并對(duì)其進(jìn)行封堵。

3 ? ?系統(tǒng)實(shí)施部署

3.1 ?系統(tǒng)部署模式

本系統(tǒng)采用單網(wǎng)橋模式進(jìn)行部署，系統(tǒng)工作在二層交換機(jī)模式下，以網(wǎng)橋的模式部署在網(wǎng)絡(luò)的出口附近，以透明傳輸?shù)哪Ｊ浇橛诜阑饓εc核心三層交換設(shè)備之間。系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶上網(wǎng)行為進(jìn)行網(wǎng)絡(luò)準(zhǔn)入、行為控制、流量管理、日志審計(jì)等功能。單網(wǎng)橋模式的優(yōu)點(diǎn)在于可以不改變?cè)芯W(wǎng)絡(luò)拓?fù)渑c任何配置的情況下，只將本系統(tǒng)的廣域網(wǎng)（Wide Area Network，WAN）口，同出口防火墻局域網(wǎng)（Local Area Network，LAN）口相連，系統(tǒng)LAN口與核心交換機(jī)相連接，為系統(tǒng)分配一個(gè)網(wǎng)橋地址，即可滿足需求[3]。系統(tǒng)部署模式拓?fù)淙鐖D1所示。

3.2 ?用戶準(zhǔn)入策略配置

為防止非法用戶通過(guò)有線、無(wú)線等途徑使用局域網(wǎng)訪問(wèn)互聯(lián)網(wǎng)造成用戶損失，啟用本系統(tǒng)的用戶準(zhǔn)入策略。使用短信認(rèn)證的身份認(rèn)證方式對(duì)用戶進(jìn)行準(zhǔn)入限制，并將該用戶的手機(jī)號(hào)碼與硬件具備唯一性的MAC地址進(jìn)行綁定。對(duì)于未認(rèn)證通過(guò)的用戶分配受限的互聯(lián)網(wǎng)訪問(wèn)權(quán)限，并通過(guò)Web重定向至指定認(rèn)證頁(yè)面。

3.3 ?上網(wǎng)策略配置

審計(jì)上網(wǎng)行為和流量：本系統(tǒng)在該配置上，將辦公室、財(cái)務(wù)等部門涉及政策建立與資金流動(dòng)的郵件、IM聊天、FTP等應(yīng)用加入白名單不進(jìn)行日志記錄，其他所有行為都進(jìn)行日志記錄并儲(chǔ)存?？刂朴绊懝ぷ餍实膽?yīng)用：通過(guò)策略配置對(duì)存在金融行情交易、購(gòu)物、游戲等數(shù)據(jù)流進(jìn)行分析并加以控制。降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)：通過(guò)特征庫(kù)幫助用戶識(shí)別訪問(wèn)釣魚(yú)網(wǎng)站等不安全上網(wǎng)行為，同時(shí)對(duì)用戶主動(dòng)使用遠(yuǎn)程工具、木馬、含有病毒軟件等存在安全隱患應(yīng)用進(jìn)行分析并加以控制。

3.4 ?流控策略配置

由于互聯(lián)網(wǎng)視聽(tīng)節(jié)目監(jiān)測(cè)人員在日常需要通過(guò)在線音視頻觀看或者音視頻下載的方式完成工作量，且該部分占用帶寬較大，所以對(duì)線電影、P2P使用流量進(jìn)行預(yù)留30%帶寬保障且該部分?jǐn)?shù)據(jù)使用帶寬最大不可超過(guò)總帶寬的80%。預(yù)留10%帶寬給其他核心業(yè)務(wù)使用，避免其他核心業(yè)務(wù)在高峰期受到影響。預(yù)留10%帶寬容量給時(shí)延敏感型應(yīng)用、基礎(chǔ)應(yīng)用，剩余帶寬將浮動(dòng)分配給其他流量。

3.5 ?終端管理配置

本系統(tǒng)從共享接入、移動(dòng)終端方面對(duì)用戶終端進(jìn)行管理。

（1）由于本系統(tǒng)對(duì)上網(wǎng)數(shù)據(jù)進(jìn)行識(shí)別的原理是根據(jù)數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程中的MAC地址進(jìn)行用戶識(shí)別，而常見(jiàn)的無(wú)線路由器都為3層交換設(shè)備，將對(duì)數(shù)據(jù)包進(jìn)行重新封使得MAC地址變?yōu)樵摼€路由器的MAC地址，將無(wú)法對(duì)用戶行為進(jìn)行精確識(shí)別。本系統(tǒng)啟用共享接入檢測(cè)，對(duì)使用3層交換設(shè)備的用戶進(jìn)行賬號(hào)凍結(jié)、頁(yè)面告警提示的操作。

（2）為限制非法未經(jīng)允許的移動(dòng)終端訪問(wèn)網(wǎng)絡(luò)，對(duì)內(nèi)部網(wǎng)絡(luò)造成安全隱患。本系統(tǒng)制定移動(dòng)終端管理策略，啟用移動(dòng)終端檢測(cè)，對(duì)未經(jīng)允許訪問(wèn)網(wǎng)絡(luò)的移動(dòng)終端直接進(jìn)行斷網(wǎng)處理并頁(yè)面告警提示。

3.6 ?日志分析

在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度中對(duì)日志信息要求保存不低于60天，然而根據(jù)國(guó)家廣播電視總局二九三臺(tái)數(shù)據(jù)統(tǒng)計(jì)60天將產(chǎn)生大量行為日志。使用本系統(tǒng)自帶“日志中心”的報(bào)表工具，根據(jù)現(xiàn)實(shí)情況和關(guān)注點(diǎn)定制、定期導(dǎo)出所需報(bào)表，形成網(wǎng)絡(luò)調(diào)整依據(jù)、組織網(wǎng)絡(luò)資源使用情況報(bào)告、員工工作情況報(bào)告等。

4 ? ?結(jié)語(yǔ)

本系統(tǒng)以用戶準(zhǔn)入、上網(wǎng)行為記錄、流控、終端管理為核心，具備互聯(lián)網(wǎng)視聽(tīng)節(jié)目監(jiān)測(cè)人員上網(wǎng)行為的綜合性記錄及管控功能。同時(shí)融入惡意代碼防范的相關(guān)內(nèi)容，使得工作人員訪問(wèn)互聯(lián)網(wǎng)變得安全、文明、合規(guī)、合法，規(guī)避用人單位由于工作人員訪問(wèn)互聯(lián)網(wǎng)存在的諸多風(fēng)險(xiǎn)。本系統(tǒng)在實(shí)際投入使用后得到了本系統(tǒng)內(nèi)工作人員以及管理人員的認(rèn)可，同時(shí)也希望為從事互聯(lián)網(wǎng)視聽(tīng)節(jié)目監(jiān)測(cè)工作的同行提供思路和參考。

[參考文獻(xiàn)]

[1]張煒.一種基于終端行為信譽(yù)度的網(wǎng)絡(luò)訪問(wèn)管理方案及其實(shí)現(xiàn)[J].計(jì)算機(jī)與數(shù)字工程，2017（45）：121.

[2]周奇.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京：清華大學(xué)出版社，2018.

[3]葉水勇.基于多沙盒虛擬技術(shù)的端到端安全應(yīng)用與研究[J].電力信息與通信技術(shù)，2017（8）：26-30.

Internet behavior audit system design and build of Internet

audiovisual program monitoring staff

Gao Shijian

（State Administration of Radio and Television 293， Zhengzhou 451162， China）

Abstract：Based on the work of Internet audiovisual program monitoring staff， this paper presents the design and construction of the Internet behavior audit system to meet the information security and regulate online behavior and improve work efficiency. This Internet behavior audit system uses technical means such as user access， record Internet behavior， network traffic control and terminal management. The aim is to solve the problems of information security and low work efficiency caused by Internet audiovisual program monitoring staff accessing the Internet.

Key words：Internet behavior audit; information security; network traffic control; terminal management