劉佳麗

實(shí)施準(zhǔn)入系統(tǒng) 規(guī)范企業(yè)安全上網(wǎng)行為*

劉佳麗

（撫順石油化工研究院，遼寧撫順113001）

以某石化企業(yè)為例,介紹如何通過(guò)3套系統(tǒng)聯(lián)動(dòng)，幫助企業(yè)更好地利用網(wǎng)絡(luò)技術(shù)來(lái)規(guī)范企業(yè)安全上網(wǎng)行為，也為其它企業(yè)的規(guī)范上網(wǎng)提供了一種很好的解決方案。

網(wǎng)絡(luò)系統(tǒng)；安全準(zhǔn)入；行為管理

隨著互聯(lián)網(wǎng)接入的普及和帶寬的增加，企業(yè)內(nèi)部網(wǎng)早已作為了一個(gè)半開(kāi)放的網(wǎng)絡(luò)系統(tǒng)，運(yùn)行環(huán)境正變得愈來(lái)愈復(fù)雜。在企業(yè)員工上網(wǎng)條件得到改善的同時(shí)，也給企業(yè)網(wǎng)絡(luò)的安全使用帶來(lái)了更高的危險(xiǎn)性和復(fù)雜性。據(jù)IDC的數(shù)據(jù)統(tǒng)計(jì)，企業(yè)中員工30%～40%的上網(wǎng)活動(dòng)與工作無(wú)關(guān)，同時(shí)這些員工隨意使用網(wǎng)絡(luò)將導(dǎo)致3個(gè)問(wèn)題：（1）工作效率低下，（2）網(wǎng)絡(luò)性能惡化，（3）網(wǎng)絡(luò)違法行為[1]。

上網(wǎng)行為管理是中國(guó)近年來(lái)一個(gè)新興的市場(chǎng)，主要涵蓋了網(wǎng)頁(yè)、網(wǎng)站過(guò)濾和訪(fǎng)問(wèn)控制，電子郵件的審計(jì)，網(wǎng)絡(luò)游戲的控制，網(wǎng)絡(luò)聊天、炒股、網(wǎng)上購(gòu)物的管理，濫用網(wǎng)絡(luò)下載工具的管理等，此類(lèi)型的產(chǎn)品主要應(yīng)用于企業(yè)用戶(hù)，幫助企業(yè)解決互聯(lián)網(wǎng)應(yīng)用帶來(lái)的負(fù)面影響問(wèn)題。終端安全管理系統(tǒng)和工號(hào)實(shí)名認(rèn)證系統(tǒng)可以解決非法接入、外聯(lián)、代理等問(wèn)題，并能對(duì)終端自身進(jìn)行安全防護(hù)。本文以某石化企業(yè)為例，提供了一種3套系統(tǒng)聯(lián)動(dòng)的方案，很好地解決了該企業(yè)存在的網(wǎng)絡(luò)安全及管理問(wèn)題，也為其它企業(yè)的規(guī)范上網(wǎng)提供了一種很好的解決方案。

1 企業(yè)網(wǎng)絡(luò)管理普遍面臨的問(wèn)題

在對(duì)企業(yè)用戶(hù)長(zhǎng)期的服務(wù)工作中發(fā)現(xiàn)，目前企業(yè)網(wǎng)絡(luò)普遍存在如下問(wèn)題。

（1）企業(yè)用戶(hù)眾多，無(wú)法對(duì)企業(yè)網(wǎng)絡(luò)的用戶(hù)準(zhǔn)入進(jìn)行有效管理。

企業(yè)網(wǎng)絡(luò)中用戶(hù)數(shù)量眾多，難以按照企業(yè)規(guī)定對(duì)用戶(hù)進(jìn)行有效管理，未經(jīng)授權(quán)的用戶(hù)和外來(lái)人員都有可能使用企業(yè)網(wǎng)絡(luò)來(lái)查找相關(guān)信息，大大增加了網(wǎng)絡(luò)行為管理的難度。

（2）企業(yè)人員對(duì)網(wǎng)絡(luò)使用需求多樣，無(wú)法統(tǒng)一管理。

企業(yè)內(nèi)部人員對(duì)網(wǎng)絡(luò)使用需求不一，難以統(tǒng)一管理。例如：如何控制互聯(lián)網(wǎng)使用權(quán)限，如何限制員工的網(wǎng)絡(luò)帶寬，以保障關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)帶寬，如何控制員工業(yè)務(wù)之外的網(wǎng)絡(luò)使用情況。

（3）企業(yè)員工業(yè)務(wù)使用需求不一致，控制對(duì)應(yīng)人員的非業(yè)務(wù)應(yīng)用難以實(shí)現(xiàn)。

企業(yè)的人員組成中，各個(gè)部門(mén)對(duì)互聯(lián)網(wǎng)業(yè)務(wù)需求的重點(diǎn)不一致，因此控制非業(yè)務(wù)使用就需要能夠準(zhǔn)確識(shí)別網(wǎng)絡(luò)應(yīng)用的類(lèi)別。舉例來(lái)說(shuō)，銷(xiāo)售人員可能需要使用即時(shí)聊天工具與客戶(hù)進(jìn)行溝通，但不需要使用P2P下載，在這種情況下，如何開(kāi)啟銷(xiāo)售人員的即時(shí)聊天軟件使用權(quán)限而控制P2P下載又是企業(yè)網(wǎng)絡(luò)管理所面對(duì)的一個(gè)問(wèn)題。

（4）互聯(lián)網(wǎng)的開(kāi)放性使得企業(yè)員工上網(wǎng)外發(fā)信息、言論等行為難以管理。

網(wǎng)上言論得不到規(guī)范，工作時(shí)間惡意發(fā)帖、發(fā)表惡意言論等都會(huì)帶來(lái)法律風(fēng)險(xiǎn)，同時(shí)也會(huì)帶來(lái)企業(yè)商業(yè)秘密泄露的風(fēng)險(xiǎn)。這也是企業(yè)亟需解決的互聯(lián)網(wǎng)管理問(wèn)題[2]。

因此，如何有效地解決這些問(wèn)題，以便提高員工的工作效率，降低企業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，減少企業(yè)的損失，已經(jīng)成為企業(yè)信息化建設(shè)中一個(gè)迫在眉睫的緊要任務(wù)。

2 某石化企業(yè)網(wǎng)絡(luò)現(xiàn)狀及需要解決的問(wèn)題

某石化企業(yè)目前的網(wǎng)絡(luò)結(jié)構(gòu)為雙核心+匯聚+接入的三層網(wǎng)絡(luò)結(jié)構(gòu)，主干為萬(wàn)兆。企業(yè)局域網(wǎng)通過(guò)網(wǎng)通接入互聯(lián)網(wǎng)，帶寬為百兆。為確保網(wǎng)絡(luò)安全，建設(shè)了防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)、遠(yuǎn)程接入VPN系統(tǒng)等。在網(wǎng)絡(luò)管理方面，部署了上網(wǎng)計(jì)費(fèi)系統(tǒng)、桌面管理系統(tǒng)和網(wǎng)絡(luò)管理系統(tǒng)，從而實(shí)現(xiàn)對(duì)上Internet網(wǎng)計(jì)算機(jī)的控制。

但還存在以下問(wèn)題：

（1）非法接入。目前第三方計(jì)算機(jī)用網(wǎng)線(xiàn)接入企業(yè)內(nèi)部網(wǎng)絡(luò)接口均可以訪(fǎng)問(wèn)內(nèi)網(wǎng)資源；

（2）使用代理服務(wù)器。目前企業(yè)內(nèi)沒(méi)有允許上Internet網(wǎng)的計(jì)算機(jī)可以通過(guò)代理上網(wǎng)，其上網(wǎng)行為不受到控制；

（3）泄密無(wú)法查證。目前企業(yè)內(nèi)網(wǎng)絡(luò)無(wú)法詳細(xì)記錄某某通過(guò)單位互聯(lián)網(wǎng)訪(fǎng)問(wèn)和發(fā)送了哪些信息，一旦泄密，將無(wú)法查證。

3 具體解決方案

為解決以上問(wèn)題，該企業(yè)決定采用3套系統(tǒng)聯(lián)動(dòng)來(lái)實(shí)現(xiàn)，分別為終端安全管理系統(tǒng)、工號(hào)實(shí)名認(rèn)證系統(tǒng)和上網(wǎng)行為管理系統(tǒng)。

終端安全管理系統(tǒng)可通過(guò)終端安全策略管理、終端資產(chǎn)管理和終端防信息泄露管理3個(gè)方面實(shí)現(xiàn)對(duì)終端的管理，提升企業(yè)終端管理效率，優(yōu)化企業(yè)終端維護(hù)環(huán)節(jié)，構(gòu)建企業(yè)終端安全管理平臺(tái)。該企業(yè)在終端安全管理系統(tǒng)上部署安裝了一套補(bǔ)丁更新系統(tǒng)（即微軟的WSUS2.0系統(tǒng)），WSUS服務(wù)器負(fù)責(zé)從微軟下載補(bǔ)丁文件，管理員可以實(shí)現(xiàn)選擇性地下發(fā)，這樣只能訪(fǎng)問(wèn)內(nèi)網(wǎng)的用戶(hù)終端也能自動(dòng)打系統(tǒng)補(bǔ)丁[3]。

工號(hào)實(shí)名認(rèn)證系統(tǒng)主要針對(duì)用戶(hù)實(shí)名準(zhǔn)入管理，強(qiáng)調(diào)用戶(hù)計(jì)算機(jī)對(duì)企業(yè)網(wǎng)絡(luò)的準(zhǔn)入行為進(jìn)行審核、審計(jì)和管理。

上網(wǎng)行為管理系統(tǒng)主要用以對(duì)內(nèi)部人員的上網(wǎng)行為進(jìn)行管理，對(duì)其所發(fā)布的信息進(jìn)行審計(jì)，防止不良信息散發(fā)到互聯(lián)網(wǎng)上，阻止員工訪(fǎng)問(wèn)不良網(wǎng)站，阻斷不必要的網(wǎng)絡(luò)應(yīng)用，對(duì)用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn)行為進(jìn)行監(jiān)控，并保留上網(wǎng)行為的記錄，以備日后審計(jì)之用。同時(shí)還可以對(duì)網(wǎng)游、股票、P2P應(yīng)用（例如BT、電驢等占有帶寬大的P2P應(yīng)用軟件）和即時(shí)通訊進(jìn)行封堵，禁止使用代理服務(wù)器上網(wǎng)。上網(wǎng)行為管理系統(tǒng)可以促使企業(yè)合理利用網(wǎng)絡(luò)資源，創(chuàng)造一個(gè)綠色的上網(wǎng)環(huán)境[4]。

3.1 網(wǎng)絡(luò)拓?fù)鋱D

以上3套系統(tǒng)的具體接入方式為：在互聯(lián)網(wǎng)防火墻和核心交換機(jī)之間接入上網(wǎng)行為管理系統(tǒng)（橋接進(jìn)網(wǎng)絡(luò)），同時(shí)在上網(wǎng)行為管理系統(tǒng)和核心交換機(jī)之間部署工號(hào)準(zhǔn)入認(rèn)證系統(tǒng)（橋接進(jìn)網(wǎng)絡(luò)）。終端安全管理系統(tǒng)的服務(wù)器端由于是旁路模式所以對(duì)網(wǎng)絡(luò)無(wú)影響。具體的網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

圖1 3套系統(tǒng)接入拓?fù)鋱DFig.1 Three sets of systems access topology

3.2 實(shí)施方法及過(guò)程

3.2.1 準(zhǔn)備工作

（1）核查現(xiàn)有的工號(hào)信息，制作工號(hào)與姓名對(duì)應(yīng)關(guān)系表，保證錄入工號(hào)準(zhǔn)入系統(tǒng)的信息是正確的；

（2）落實(shí)用戶(hù)使用網(wǎng)絡(luò)的情況，確定每1臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限，即是全網(wǎng)訪(fǎng)問(wèn) (互聯(lián)網(wǎng)和內(nèi)網(wǎng))還是只可以訪(fǎng)問(wèn)內(nèi)網(wǎng)；

（3）重新規(guī)劃IP地址和VLAN，確定每1臺(tái)網(wǎng)絡(luò)中的計(jì)算機(jī)的新IP地址。用戶(hù)也需要調(diào)整計(jì)算機(jī)的IP地址，將可上互聯(lián)網(wǎng)的用戶(hù)與只能訪(fǎng)問(wèn)內(nèi)網(wǎng)的用戶(hù)區(qū)分開(kāi)；

（4）安裝終端管理系統(tǒng)客戶(hù)端。3.2.2 實(shí)施過(guò)程

（1）上網(wǎng)行為管理系統(tǒng)調(diào)試完畢后，開(kāi)啟基本的審計(jì)功能，如上網(wǎng)行為的記錄，郵件審計(jì)，BBS的審計(jì)等。

（2）將終端安全管理系統(tǒng)的策略設(shè)置為：審計(jì)和阻斷非法外聯(lián)；對(duì)非移動(dòng)PC啟用IP和MAC地址綁定功能；主機(jī)完整性策略會(huì)檢測(cè)系統(tǒng)是否安裝了指定軟件；開(kāi)啟主機(jī)防火墻功能。

4 結(jié)論

通過(guò)采用終端安全管理系統(tǒng)、工號(hào)實(shí)名認(rèn)證系統(tǒng)和上網(wǎng)行為管理系統(tǒng)的聯(lián)動(dòng)，實(shí)現(xiàn)了該企業(yè)上網(wǎng)行為的規(guī)范管理、提升了帶寬利用率、保護(hù)了內(nèi)部數(shù)據(jù)安全、防止了機(jī)密信息泄漏、降低了企業(yè)的法律風(fēng)險(xiǎn)責(zé)任等，達(dá)到了預(yù)期效果，并為其它企業(yè)的規(guī)范上網(wǎng)提供了一種很好的借鑒方案。

[1]蘇磊.淺談上網(wǎng)行為管理在網(wǎng)絡(luò)中應(yīng)用[J].中小企業(yè)管理與科技，2009（12）：15-16.

[2]張軍峰，白學(xué)斌.企業(yè)上網(wǎng)計(jì)算機(jī)安全準(zhǔn)入控制系統(tǒng)平臺(tái)搭建及應(yīng)用研究[J].中國(guó)科技信息，2008（18）：23-24.

[3]馮登國(guó).計(jì)算機(jī)通信網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2001：56-58.

[4]楊偉超，劉陽(yáng).信息資源網(wǎng)站安全設(shè)計(jì)研究[J].信息技術(shù)，2010（6）：26-27.

Implementation of Enterprise Security Access System to Regulate Online Behavior

LIU Jia-li
（Fushun Research Institute of Petroleum and Petrochemicals，SINOPEC，Liaoning Fushun 113001，China）

Using a petrochemical company as an example，it was described how to carry out linkage of three systems to standardize enterprise security access and make better use of network resources，which can provide a good internet solution to other companies.

Network；Security access；Behavior Management

TP 393.08

A

1671-0460（2010）05-0594-03

2010-08-11

劉佳麗（1976-），女，黑龍江建三江人，工程師，2000年畢業(yè)于石油大學(xué)（華東）計(jì)算數(shù)學(xué)及應(yīng)用軟件專(zhuān)業(yè)，現(xiàn)從事網(wǎng)絡(luò)管理維護(hù)工作。E-mail：liujiali.fshy@sinopec.com。