企业上网行为管理系统的应用从企业网络访问互联网的信息安全出发,介绍了在企业内网建设上网行为管理系统。构建完整的终端与用户上网行为的管理体系,为企业提供—个安全、高效的企业上网环境。随着Internet接入的普及和带宽的增加。一方面员工上网条件得到改善,另一方面也给公司带来更高的网络使用危险性、复杂性和混乱性。内网用户访问互联网多样化资源信息方便易行,同时很有可能受到网络上木马、病毒等的攻击,从而造成内网的瘫痪。另外在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐和电影等BT下载、在线收看流媒体的员工正在日益增加。从事与工作无关的活动,不仅影响工作效率,而且占用了带宽资源,很有可能使得企业的重要业务得不到保障,更有甚者,发表不良、反动言论,严重影响公司的企业形象。在企业内网建设一个高效性、安全性和规范性的上网行为管理系统,可以提高员工工作效率,有效降低非工作上网行为,保障网络资源合理使用;减少安全风险,避免上网导致的病毒、恶意代码给企业带来的潜在风险;同时提高网络可管理性,便于网络与行政管理。一、网络现状与问题目前,大型企业网络现状拓扑如图1所示。企业内网核心交换机通过防火墙与IP城域网连接,以访问互联网。现有网络网关处通过部署防火墙解决网络安全问题。但是随着员工的增多,缺乏规划的管理逐渐暴露出诸多问题:点击图片查看大图图1网络现状拓扑图(1)安全问题:在互联网应用方面,HTTP、SMTP、FTP、POP3等协议,几乎每天都面临不同的安全风险,病毒、蠕虫、垃圾邮件、木马程序、网络钓鱼等恶意行为也在伺机攻击企业的IT系统。(2)保密问题:客户资料、商业信息、企业秘密等机密文件,可能轻易地通过E-mail、QQ、MSN、BBS等网络行为向外发送,防火墙对此是无法耻的,这就导致重要焦斟泄,造成安全隐患。(3)管理问题:网络游戏、聊天交友、BT下载、在线音乐、在线电影等不适当的网络行为不但影响了员工的工作效率,而且还占用企业大量的网络出口带宽资源。给企业正常的网络业务带来极大的影响。企业上网的解决方案为对访问互联网敏感信息的内容进行检查、过滤和控制,屏蔽来自互联网的恶意代码、非法网页和有害信息,应在企业内网互联网出口部署上网行为管理系统网关设备,并实现与终端管理平台用户目录集成,构建完整的终端与用户行为的管理体系。上网行为管理系统网关设备具备以下特征:(1)提供全面准确的通信内容管理、网络行为管理手段;(2)满足高性能要求,提供强大的分析和处理能力,保证正常网络通信的质量;(3)具备高可靠的自身安全性,保证网络、自身设备的高可用性;(4)提供方便灵活的部署方式,丰富的系统管理能力。上网行为管理系统的部署应以现有网络改动最小为原则,简化部署过程,减少链路或业务中断时间。根据不同的部署方式有不同的建设方案:1.旁挂方式考虑到互联网访问的要求高可用性及实时性,系统性能不能降低原有网络带宽,延迟,抖动等性能指标,同时不改变用户习惯,新增上网行为管理器物理旁接在现有网络互联网出口处。为保障系统高可用性,上网行为管理器采用双机冗余部署方式,设备发生故障时,不影响访问互联网。旁挂方式网络拓扑结构如图2所示。点击图片查看大图图2旁挂方式网络拓扑图上网行为管理器通过办公用户互联网核心交换机现网多余的SPAN端I=/流量映射方式,使上网行为管理系统获取办公用户的互联网访问流量并进行分析和策略过滤控制,或者采用路由方式进行流量分析和策略过来控制,都不会对现有网络的处理速度产生影响。另外,新增1台服务器,作为日志存储服务器,提供存储6个月以上的报告能力。该新增服务器在本系统中起外置存储作用,故无需双机备份。2.串接方式新增上网行为管理器物理串接在网关NAT设备和核心交换机之间,可以对上网行为管理系统的数据进行上网安全过滤、上网行为控制和审计。串接方式网络拓扑结构如图3所示。为保障系统高可用性,上网行为管理器采用双机冗余网桥(透明)模式部署,且设备发生故障时自动切换为中继设备,除上网行为管理功能失效外,不影响访问互联网。点击图片查看大图图3串接方式网络拓扑图另外。新增1台服务器,作为日志存储服务器,,提供存储6个月以上的报告能力。该新增服务器在本系统中起外置存储作用,故无需双机备份。三、方案对比以上两种方案中,旁挂方式的优点在于无需对现网作调整、不会降低原有网络性能指标、不改变用户习惯。施工容易,缺点是需在三层交换机上作端口影像。串接方式的优点是无需在三层交换机上作端口影像,效率较高,但会影响现网数据流量等性能指标、且涉及业务割接,施工难度大。综合分析,由于旁挂方式无需对现有网络进行调整且不会降低现网性能指标、施工比较简单方便等优势,因此采用旁挂方式实施。系统实现功能上网行为管理系统包含了上网安全过滤、上网行为控制、报告和审计、集中管理和委派权限、报警机制等功能。(1)上网安全过滤:管理上网行为的一个重要原因就是提升上网安全性,系统可以提供多种安全强化能力,主动过滤含有恶意插件、危险脚本、木马、病毒的恶意网站,即使内网终端感染木马、病毒、被黑客控制,系统同样可以识别、封堵并报警。系统提供恶意网站过滤、恶意网站库快速更新、恶意代码的实时扫描识别与控制、代理回避技术过滤、客户端危险流量识别、定位与控制、多种控制动作、非80端口恶意流量侦测。(2)上网行为控制:系统能够识别用户访问网页、P2P下载、聊天、炒股等行为,并能结合对象化的上网策略对用户的上网行为进行灵活的控制。系统可提供基于用户、用户组、IP、IP段以及时间、工作日等多种策略元素进行管理策略设置。例如:工作时间段不允许用户浏览与工作无关网站,而在下班时问段或周末则不做控制;不同的用户、用户组实现不同的分时段控制策略等。系统可提供控制动作提供阻止、提示警告、仅监控等多种管理方式,可实现基于访问时间长度、流量份额、文件类型、关键词过滤等多种方式对用户的互联网访问进行管理。(3)报告和审计:系统具备报告记录与统计分析功能,可使管理员方便直观地看到当前网络访问的网络流量、风险趋势等总体情况,也能够针对一个或多个用户、用户组、IP网段进行详细统计,对这些统计对象的指定时间段、指定网站类型、指定应用类型的上网行为进行审计。(4)集中管理和委派权限:系统可对各分公司上网策略、日志审计进行集中的管理,也可以基于角色对各种管理权限进行委派,不同角色的权限可进行灵活的划分,同时提供对各类管理员操作记录的审计功能。(5)报警机制:系统可实时监控用户访问情况与系统状况,出现异常情况时可自动告警。系统提供多种报警机制、自定义异常报警机制。系统可实现与网管系统结合功能提供标准管理接口,支持SNMP协议,支持网管系统的配置、故障、性能、安全等各方面所需的管理能力。四、实施效果企业上网行为系统部署后,不同的部门设置不同的互联网访问策略,对可访问的互联网内容做了严格的限制,不同岗位的员工拥有相应的互联网访问权限,对每一项互联网业务按需分配了网络带宽,保证了主要业务的畅通无阻,对所有部门的上网行为进行了实时监控管理,保留详细用户访问记录备查。通过一段时间的使用发现,公司内网越来越稳定,网络速度明显改善。阻止了不良网站的访问,减少恶意软件的侵扰,终端故障率降低。由于控制了网络游戏的使用,员工工作效率有较大提高。同时,系统加强了对E—mail、BBS等外发信息的监管,减少了企业机密信息外泄的可能。通过对上网行为的分析,可以掌控各部门的上网使用情况,提高网络可管理性,便于网络与行政管理。五、结束语企业上网行为管理系统的建设为企业提供了一个高效、安全和规范的互联网环境。系统建成并实施后,为企业提供完整的解决方案来实现统一的用户管理。员工更高的工作效率来提高企业的整体创新和管理能力,促使企业向知识型、学习型企业发展,实现企业的管理规范化,有效地支持企业的战略发展。