摘 要：網(wǎng)絡(luò)已經(jīng)成為信息化建設(shè)的主要載體，而上網(wǎng)行為管理則是構(gòu)建高效、安全的單位內(nèi)部網(wǎng)絡(luò)的重要手段?；谀壳熬W(wǎng)絡(luò)應(yīng)用現(xiàn)狀，針對(duì)內(nèi)部上網(wǎng)行為進(jìn)行分析，并闡述具體管理方案。

關(guān)鍵詞：網(wǎng)絡(luò)；行為管理；網(wǎng)絡(luò)應(yīng)用

一、背景介紹

隨著近些年的信息化應(yīng)用的不斷加深，網(wǎng)絡(luò)為學(xué)校各部門工作提供了便利的手段和信息溝通方式，但是同時(shí)也帶來了安全、效率與穩(wěn)定性等以下幾個(gè)方面的問題。

1.隨意外發(fā)信息。內(nèi)網(wǎng)用戶所發(fā)信息其中可能混雜有害內(nèi)容，如在不知情的情況下發(fā)生，可能會(huì)產(chǎn)生很大的負(fù)面影響，甚至?xí)渡瞎偎尽Ｒ虼?，必須?duì)在論壇博客等在網(wǎng)絡(luò)公共場(chǎng)合發(fā)表言論等行為進(jìn)行關(guān)鍵字過濾。

2.工作效率低下。網(wǎng)絡(luò)在豐富了單位同外界溝通途徑的同時(shí)，也給員工帶來了更多的偷懶機(jī)會(huì)，部分員工會(huì)在上班期間從事于工作無關(guān)的網(wǎng)絡(luò)活動(dòng)，比如，訪問購物、炒股等行為，因此，對(duì)上網(wǎng)行為進(jìn)行監(jiān)管，比如，對(duì)色情、反動(dòng)網(wǎng)站的屏蔽勢(shì)在必行。

3.網(wǎng)絡(luò)安全有待加強(qiáng)?；ヂ?lián)網(wǎng)的迅速普及，網(wǎng)絡(luò)應(yīng)用已成為教育發(fā)展中必不可少的一部分。但同時(shí)面臨著各種各樣的進(jìn)攻和威脅：機(jī)密泄漏、數(shù)據(jù)丟失、網(wǎng)絡(luò)濫用……因此認(rèn)識(shí)到自己的風(fēng)險(xiǎn)所在，建立全面的內(nèi)網(wǎng)安全體系任務(wù)迫在眉睫。

因此，如何行之有效地管理上網(wǎng)行為變得越來越重要，為了應(yīng)對(duì)上面提到的這些問題需要制訂出一套全面的上網(wǎng)行為管理解決方案。

二、上網(wǎng)行為管理解決思路

1.對(duì)P2P行為的全面管控。相比較以往傳統(tǒng)的WEB業(yè)務(wù)來說，P2P業(yè)務(wù)表現(xiàn)出高速傳輸、上下行流量對(duì)稱等優(yōu)點(diǎn)，但同時(shí)帶來數(shù)據(jù)量大、在線時(shí)間長(zhǎng)等方面的問題。此外，由于P2P采用的是點(diǎn)對(duì)點(diǎn)的傳輸方式，也會(huì)給社會(huì)帶來一定的負(fù)面影響。目前P2P技術(shù)應(yīng)用的范圍不斷擴(kuò)展，主流的下載軟件比如BT、電驢、迅雷等都采用了P2P的技術(shù)，而上網(wǎng)行為管理就是為了能夠?qū)θ粘５腜2P行為進(jìn)行識(shí)別。早期的P2P應(yīng)用一般采用都是固定的端口號(hào)，比較容易受掌控，后來很多P2P協(xié)議都采用動(dòng)態(tài)端口來躲避檢測(cè)，目前出現(xiàn)的新型P2P應(yīng)用已經(jīng)能夠運(yùn)用一些加密的手法。所以，對(duì)于P2P的識(shí)別必須基于統(tǒng)計(jì)學(xué)的智能檢測(cè)技術(shù)，對(duì)各種P2P行為進(jìn)行流量和傳輸特性進(jìn)行全面的分析，包括對(duì)不常見的甚至是未知的P2P行為也能夠準(zhǔn)確識(shí)別。

2.必要的流量控制功能。在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境下進(jìn)行流量控制一般都是針對(duì)應(yīng)用層進(jìn)行管理。當(dāng)某一網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)負(fù)荷較大時(shí)，可根據(jù)需要對(duì)全局業(yè)務(wù)進(jìn)行評(píng)估和平衡，對(duì)客戶業(yè)務(wù)進(jìn)行調(diào)度，根據(jù)優(yōu)先級(jí)進(jìn)行響應(yīng)，以提高效率。

3.有效的識(shí)別和控制。

（1）行為管理能有效地識(shí)別與控制URL，限制局域網(wǎng)內(nèi)終端訪問指定URL或禁止訪問URL，同時(shí)能夠?qū)钟蚓W(wǎng)內(nèi)終端訪問特定URL網(wǎng)頁的行為給予記錄，此外系統(tǒng)還應(yīng)該能夠識(shí)別和過濾SSL加密網(wǎng)站。

（2）對(duì)HTTP/FTP上傳下載識(shí)別控制：能夠?qū)κ褂谜咴谡搲⒉┛偷染W(wǎng)絡(luò)公共場(chǎng)合發(fā)布信息的內(nèi)容進(jìn)行識(shí)別和過濾，同時(shí)記錄發(fā)生該行為的計(jì)算機(jī)的具體信息，以供管理員查詢。

（3）代理識(shí)別：代理識(shí)別技術(shù)能夠防止用戶突破行為管理限制，對(duì)部分網(wǎng)絡(luò)用戶通過代理服務(wù)器訪問不良信息或訪問內(nèi)部本身無權(quán)限訪問的資源信息的行為進(jìn)行遏制，做到全面的識(shí)別控制。

4.恰當(dāng)?shù)脑L問控制策略。根據(jù)調(diào)查最受關(guān)注卻又與工作無關(guān)的網(wǎng)站有：新聞?lì)惥W(wǎng)站、購物類網(wǎng)站、視頻類網(wǎng)站、網(wǎng)上銀行等。因此，上網(wǎng)行為管理可內(nèi)置URL識(shí)別庫，并支持手工添加應(yīng)用規(guī)則并分類。對(duì)URL進(jìn)行細(xì)致分類，制訂應(yīng)用識(shí)別規(guī)則，以控制用戶訪問URL。同時(shí)，行為管理應(yīng)可支持基于時(shí)間段的訪問控制。

5.完善的網(wǎng)絡(luò)審計(jì)功能。網(wǎng)絡(luò)審計(jì)既包括對(duì)內(nèi)網(wǎng)用戶身份的合法性、安全性的審計(jì)，又包括對(duì)組織內(nèi)部網(wǎng)絡(luò)的各種使用情況進(jìn)行審計(jì)。具體行為有系統(tǒng)信息綜合審計(jì)、網(wǎng)絡(luò)連接審計(jì)與保護(hù)、文件操作審計(jì)等。

6.建立外置數(shù)據(jù)中心，加強(qiáng)行為管理的數(shù)據(jù)保障。建立外置數(shù)據(jù)中心的目的主要是方便日志存儲(chǔ)，日志存儲(chǔ)的空間是由提供存儲(chǔ)日志的第三方日志服務(wù)器決定的，可提供相關(guān)內(nèi)容檢索，定位所需信息，即時(shí)或定期發(fā)送日志事件到指定郵件且支持各種圖形化數(shù)據(jù)統(tǒng)計(jì)、自動(dòng)生成報(bào)表等功能。

7.實(shí)時(shí)的行為日志記錄。

（1）流量日志統(tǒng)計(jì)：支持用戶流量、IP流量、網(wǎng)站流量、用戶組流量等統(tǒng)計(jì)及相應(yīng)的統(tǒng)計(jì)排名，同時(shí)支持上行下行流量統(tǒng)計(jì)及排名。

（2）郵件日志統(tǒng)計(jì)：支持用戶郵件、IP郵件、用戶組郵件等的統(tǒng)計(jì)和排名。

（3）網(wǎng)絡(luò)監(jiān)控日志：包括了對(duì)內(nèi)網(wǎng)用戶的各種URL訪問行為、P2P下載行為、Email/Webmail行為、上網(wǎng)時(shí)長(zhǎng)進(jìn)行日志統(tǒng)計(jì)，必要時(shí)還可對(duì)通訊軟件的聊天內(nèi)容和BBS發(fā)帖內(nèi)容進(jìn)行日志統(tǒng)計(jì)。

8.內(nèi)網(wǎng)安全保障。上網(wǎng)行為管理應(yīng)該具備基本的防DOS攻擊功能，防ARP欺騙功能，能有效地防止來自內(nèi)網(wǎng)、外網(wǎng)的DOS攻擊，防止ARP欺騙內(nèi)網(wǎng)泛濫。另外，應(yīng)配備防火墻，具備網(wǎng)關(guān)殺毒功能，實(shí)行網(wǎng)絡(luò)準(zhǔn)入規(guī)則，抵御外網(wǎng)病毒入侵內(nèi)網(wǎng)，統(tǒng)一部署殺毒軟件等。

三、上網(wǎng)行為管理解決方案

1.上網(wǎng)行為管理的原理。目前，常見的上網(wǎng)行為管理部署方式包括ARP模式、網(wǎng)關(guān)模式、網(wǎng)橋模式和旁路偵聽模式4種。ARP模式是通過發(fā)送ARP數(shù)據(jù)包來欺騙并轉(zhuǎn)發(fā)被監(jiān)控電腦的上網(wǎng)數(shù)據(jù)，其原理和ARP病毒類似。網(wǎng)關(guān)模式就是使所有的網(wǎng)絡(luò)數(shù)據(jù)流通過監(jiān)控主機(jī)來控制流量，缺點(diǎn)為內(nèi)外網(wǎng)所有數(shù)據(jù)都從主機(jī)交換，如果監(jiān)控主機(jī)出現(xiàn)毛病則全部網(wǎng)絡(luò)不通。網(wǎng)橋模式的監(jiān)控建立在Windows系統(tǒng)提供的透明網(wǎng)橋技術(shù)上，用一臺(tái)性能較高的服務(wù)器作為監(jiān)控主機(jī)來實(shí)現(xiàn)監(jiān)控。旁路偵聽模式就是通過抓取網(wǎng)絡(luò)數(shù)據(jù)包的方式獲得監(jiān)聽數(shù)據(jù)，從而達(dá)到監(jiān)控的目的，目前對(duì)網(wǎng)絡(luò)監(jiān)控一般都采用旁路偵聽模式，其缺點(diǎn)是無法對(duì)流量進(jìn)行控制。

2.上網(wǎng)行為管理的設(shè)備。上網(wǎng)行為管理從實(shí)現(xiàn)方式上可以分為：硬件監(jiān)控系統(tǒng)和軟件監(jiān)控系統(tǒng)。硬件系統(tǒng)架構(gòu)的優(yōu)點(diǎn)在于產(chǎn)品運(yùn)行穩(wěn)定，部署方便，只要按說明書連接使用就行了。對(duì)操作系統(tǒng)無依賴性，后期維護(hù)方便。軟件方式優(yōu)點(diǎn)在于靈活、價(jià)廉，升級(jí)維護(hù)起來方便。硬件監(jiān)控系統(tǒng)和軟件監(jiān)控系統(tǒng)在原理上沒有太大的區(qū)別，都是需要獲取到網(wǎng)絡(luò)數(shù)據(jù)包后，才能對(duì)終端進(jìn)行控制，軟件方案的成本相對(duì)較低，硬件方案的成本相對(duì)較高。用戶應(yīng)根據(jù)自身的情況來決定選取哪一種方案。當(dāng)然，在實(shí)際工作中關(guān)鍵還是在于要看單位的實(shí)際情況，進(jìn)行實(shí)地測(cè)試。

單位里的規(guī)章制度不可能完全控制或強(qiáng)行禁止人的自主行為和網(wǎng)上行為，如何在非實(shí)施“強(qiáng)權(quán)”的同時(shí)，解決員工利用工作時(shí)間進(jìn)行與工作無關(guān)的事件，對(duì)于單位網(wǎng)絡(luò)管理人員來說是件動(dòng)腦筋的事情。單位管理者必須認(rèn)識(shí)到實(shí)施上網(wǎng)行為管理只是一種手段，而絕不是目的，其管理目的是為建立一個(gè)規(guī)范的上網(wǎng)制度，并以此來提高工作效率。

參考文獻(xiàn)：

[1]付愷.基于上網(wǎng)行為管理和VPN的校園網(wǎng)絡(luò)安全體系的設(shè)計(jì)與實(shí)現(xiàn).中國教育現(xiàn)代化，2007（07）.

[2]李雙虎.淺談中小型校園網(wǎng)管理.科技信息，2009（26）.

（作者單位 江蘇省鎮(zhèn)江市第三中學(xué)）