上网行为管理系统在企业安全管控中的应用

■ 中国航天科技集团有限公司第一研究院 王林强 吴步祺

编者按：随着人们对网络安全重视程度的提高，企业部往往署诸多安全设备和建立安全管理制度，但有时仍旧会对内部员工不当行为监管不力，导致某些安全威胁的出现。

企业在使用互联网享受便捷的同时，诸如病毒木马、黑客攻击等也在威胁着企业和员工的信息安全。由于缺少统一的管控措施，企业互联网的使用仍然存在很多安全威胁和隐患，特别是一些重要的国有企业由于涉及很多国家重要信息，在使用互联网进行日常办公时更加需要加强管理并进行严格监控，规范上网的行为，确保互联网的安全可控使用。

存在的问题

目前，很多企业虽然已经在企业的互联网边界部署了防火墙、入侵检测系统、漏洞扫描等安全设备，但对于内部员工违规的互联网活动引起的安全与管理隐患却无能为力。由于日常工作任务繁重，管理人员很容易忽视对于员工互联网活动的精细化管控的工作，具体包括：

1.未对员工访问互联网的活动行为进行细颗粒度管控

互联网当前已经渗透到了工作生活的每一个角落，员工在通过互联网进行日常办公的同时，也在进行在线聊天、浏览各类网站等活动，这些行为中包含着很多违规操作，不仅影响正常工作，而且极易引入如病毒木马等潜在的安全隐患，因此需要对员工的互联网活动进行细颗粒度的管控，以确保员工互联网行为的安全性。

2.带宽资源利用率低

据不完全统计，在互联网活动未加管理的企业中，带宽资源有超过50%被文件、视频下载等占用，导致尽管带宽很大，却总是拥挤不堪。这不仅造成带宽资源大量浪费，还使得企业的正常业务得不到应有的带宽保证。由于缺乏有效的识别与控制手段，运维管理人员对此也束手无策。

图1 系统部署示意图

3.重要敏感信息存在外泄的危险

员工在使用互联网进行日常办公时，由于工作需要，经常会通过外部邮箱、网盘或其他通讯工具与相关的外协厂商进行文件信息的传递，但如果对这些工具不进行严格的监管，也很可能成为泄露企业重要信息的工具，由于内部员工的粗心或安全意识的淡泊，企业的重要信息或文件很容易被传递到外部，给企业造成重大损失。

4.互联网使用未进行实名制认证

部分单位对员工访问互联网未执行实名制认证，员工在进行互联网的访问和使用时未进行任何管控和审计，给企业的互联网安全埋下了隐患。上网行为管理系统简介

目前市场主流的上网行为管理系统为软硬件一体化设备，主要功能包括以下几方面：

1.账户实名制管理

支持按照企业的组织结构构建用户的账户组，对企业所有人员进行账户实名制管理，访问互联网前必须进行帐户名/密码的身份验证，验证通过后方可进行互联网的使用，确保每位员工均为实名登录。

2.权限控制

支持针对不同办公需求的人员，设置不同的使用权限，包括应用访问权限，网址访问权限，终端使用权限等。实现对互联网活动的精细化管控。

3.内容过滤

支持针对互联网活动过程中涉及的来往邮件、网上聊天、论坛留言等信息进行敏感内容的过滤，防止敏感信息外泄。同时支持对黄色、暴力、反动等不健康的信息进行过滤，减少感染病毒木马的几率。

4.内容审计

支持对访问互联网内容的全面审计，能够根据访问时间、账户名、IP地址、应用、网址等多个维度进行精细化的审计。

应用与实践

本文以企业典型的互联网使用环境为例，详细介绍上网行为管理系统的部署方式以及在实际应用过程中的主要技术措施，以达到对互联网行为精细化管控的目的。

1.系统部署

上网行为管理系统支持串联部署和并联部署两种方式。但在实际应用时，为了确保上网行为管理系统能够对进出网络的所有流量信息进行监控和审计，因此一般将上网行为管理系统串联部署在互联网的出口处，以透明网桥的方式接入网络，无需对原有的网络结构和配置进行改动。管理人员可以通过网络以Web页面的方式远程对设备进行管理。具体的部署模式如图1所示。

上网行为管理系统串联在网络链路的部署方式虽然管控强度更高，但设备一旦发生故障，企业的互联网使用将中断，给用户的正常使用造成一定的影响，虽然可以通过开启bypass模式，使得流量直接通过设备，但无法对流量数据进行管控和审计行为。

2.主要技术措施

为了能够更好的发挥上网行为管理系统的作用，实现针对互联网活动的细颗粒度的管控和审计，有效推动互联网实名制认证的管理方式，在实际进行应用部署时，有效的开展以下几方面的工作能够极大促进上网行为管理系统的使用效果。

（1）对互联网计算机和账户名建立统一的命名规则

为了能够在进行互联网活动审计时能够准确定位到人和计算机，避免因命名规则不统一而引起账户名称冲突等问题，可以对互联网计算机和账户名建立统一的命名规则，如互联网计算机命名规则为“楼号_房间号_IP地址”，账户命名规则为“单位_部门_姓名简称”等，单位、部门均可用特定字符表示。

（2）实现计算机IP地址与所在部门员工账号的绑定

为了确保员工访问互联网时使用的计算机是安全可靠的，同时满足最小授权原则，可以根据单位的具体情况进行计算机IP与员工账号的绑定。

例如通过绑定限定本部门员工的账号能且只能在本部门的互联网计算机进行登录并进行互联网的访问等，杜绝了外来部门人员账号在本部门互联网计算机登录并进行互联网活动所带来的安全隐患。

（3）针对人员、位置、时间、应用进行细颗粒度策略控制

为了最大限度保障员工在进行互联网活动时的安全性，可以根据用户、时间、应用等条件设置策略，精确到任意用户、任意应用、任意时间段、任意网址、任意关键字内容，实现针对不同用户的不同需求进行有针对性有时效性的策略设置，确保对用户、使用时间段、允许的应用、允许的最大带宽等进行细颗粒的访问控制。

（4）敏感内容过滤

为了防止员工在使用互联网进行正常工作时，将涉及企业重要敏感信息通过互联网外泄，通过上网行为管理系统进行过滤设置，确保重要信息在经过上网行为管理系统时被过滤，禁止敏感数据流出。

总结

本文首先针对目前企业内部互联网活动管理中的不足进行了描述，之后对上网行为管理系统的功能和部署方式进行了介绍，最后对实际部署应用过程中的几点技术措施进行了阐述。

通过部署上网行为管理系统，能够有效地规范企业内部互联网资源的使用，形成互联网实名制使用的强制规则，强化员工合规性操作的意识，确保互联网应用的安全可靠。同时也可以更好的满足了网络安全等级保护2.0的相关要求。