李 欣

(西山煤電(集團)公司職工總醫(yī)院，山西 太原 030053)

隨著計算機網(wǎng)絡技術的成熟和發(fā)展，互聯(lián)網(wǎng)已成為社會生活、生產(chǎn)中必不可少的工具。但由于網(wǎng)絡應用和服務越來越廣泛深入，網(wǎng)絡安全的控制難度也越來越大。其中部分員工肆意使用互聯(lián)網(wǎng)資源對企業(yè)所造成的損失，已經(jīng)遠遠超出了企業(yè)管理者的預估，因此，強化員工上網(wǎng)行為管理，確?；ヂ?lián)網(wǎng)資源的合理使用已經(jīng)成為網(wǎng)絡安全維護的必然趨勢。

1 網(wǎng)絡現(xiàn)狀

西山煤電(集團)公司職工總醫(yī)院現(xiàn)有可上網(wǎng)電腦160余臺，劃分在一個獨立的VLAN中，IP地址都是自動獲取。通過H3C ER3100路由器接入移動光纖，經(jīng)過路由器自帶的軟件接收網(wǎng)絡日志。通過對日志的研究分析，發(fā)現(xiàn)在安全方面存在很多問題：

1)由于這160多臺電腦連接的是互聯(lián)網(wǎng)，無法象內(nèi)網(wǎng)電腦那樣采取軟件管理、網(wǎng)絡配置等多種管理手段，限制其使用某些功能。一些合法用戶，由于某種原因造成無法正常上網(wǎng)，有時會自行修改其IP地址進行上網(wǎng)，導致其它合法用戶IP沖突無法上網(wǎng)。而路由器日志是根據(jù)IP記錄上網(wǎng)網(wǎng)址，導致出現(xiàn)安全問題時，無法通過日志定位是哪臺電腦出現(xiàn)問題。

2)用戶沒有經(jīng)過正常途徑申請和批準。攜帶筆記本電腦，私接路由器或交換機，造成整個網(wǎng)絡路由環(huán)路和客戶端的IP地址無法自動獲取，此種行為無法控制。

3)在互聯(lián)網(wǎng)安全方面，HTTP、SMTP、FTP等協(xié)議，幾乎每天都面臨不同的安全風險，病毒、蠕蟲、垃圾郵件、木馬程序等惡意行為也在伺機攻擊企業(yè)的網(wǎng)絡系統(tǒng)，且管理人員很難定位是哪臺客戶機中了病毒。

4)管理人員無法知道員工在工作時間上網(wǎng)主要是在做什么事情，無法限制員工對非法網(wǎng)站的訪問，從而有效規(guī)避法律風險。

5)隨意使用在線音頻和視頻應用、P2P類下載工具軟件帶來的網(wǎng)絡資源的擁塞，導致在高峰期網(wǎng)絡速度慢。

2 解決問題的對策

2．1 加強教育和宣傳

反復在該院宣傳上網(wǎng)安全管理的重要性，使員工理解進行上網(wǎng)安全管理的必要性和重要性，同時使員工理解上網(wǎng)行為管理是一種約束和規(guī)范企業(yè)員工遵守工作紀律、提高工作效率、保護醫(yī)院隱私的工具，是行政管理的電子化輔助手段，而不是為了監(jiān)控員工上網(wǎng)，侵犯員工的隱私。

2．2 完善醫(yī)院互聯(lián)網(wǎng)管理有關規(guī)定

根據(jù)《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》等國家有關法律法規(guī)規(guī)定，制訂了《關于加強醫(yī)院網(wǎng)絡管理的規(guī)定》，所有上網(wǎng)科室必須填寫申請表，經(jīng)相關領導批準后給予開通。

2．3 應用實現(xiàn)—部署網(wǎng)康上網(wǎng)行為管理產(chǎn)品

1)接入模式：該院采用網(wǎng)橋模式。在路由器和核心交換機之間安裝了網(wǎng)康上網(wǎng)行為管理產(chǎn)品(NI3310)，此種模式不需要更改網(wǎng)絡結構和配置。

2)基于用戶策略的控制方式，根據(jù)NI3310掃描到的IP和MAC地址，根據(jù)科室設置，設置相應的用戶組，并給每個用戶設置密碼。設置不同的用戶組，便于管理員根據(jù)不同科室的職能和需求，分別設置不同的安全策略。

3)設置認證方式為WEB本地認證。管理人員設定統(tǒng)一的初始口令，把用戶賬號分發(fā)給用戶，保障用戶身份的安全。用戶開機上網(wǎng)時，第一次必須輸入用戶名和密碼。

4)開啟IP和MAC地址綁定功能，防止用戶非法修改IP地址。NI3310支持將用戶的IP地址和網(wǎng)卡MAC地址綁定，被綁定的IP地址將不能被別的MAC地址使用，主要是為了防止IP地址被盜用，但并不禁止MAC使用別的IP。通過這樣可以有效解決用戶非法接入和私自修改IP的問題，可以防止有人非法使用可以上網(wǎng)的電腦。

5)NI3310提供了豐富的查詢和統(tǒng)計功能，安裝運行一段時間后可以明顯看出，在該院目前網(wǎng)絡流量中，迅雷、BT等P2P下載工具及風行、PPLV等流媒體下載占據(jù)了主要的流量。經(jīng)過分析，上傳流量明顯高于下載流量，這很不正常，只能說明P2P類工具占據(jù)了網(wǎng)絡的主要流量。針對以上現(xiàn)象，該院在策略管理—策略設置中作了相應設置，新建應用策略控制，阻止對游戲、股票、P2P工具、網(wǎng)絡電視、QQ等的訪問。NI3310內(nèi)置了全面的應用協(xié)議控制數(shù)據(jù)庫，具有深度內(nèi)容檢測(DcI)技術，精確識別各種應用的協(xié)議特征。針對未知的P2P協(xié)議的下載軟件、未知的股票等應用軟件、甚至一些特殊應用(比如走80端口的web迅雷)，都可以做到封堵。由于院辦、人事科等職能科室需要使用MSN或QQ與其他單位聯(lián)系，所以部分科室未封MSN和QQ應用。

6)在策略管理設置中對網(wǎng)頁瀏覽進行限制，封堵對各種違法、違規(guī)及木馬病毒等網(wǎng)頁的瀏覽。NI3310擁有全球最大的中文網(wǎng)頁過濾數(shù)據(jù)庫，可以精確過濾不良信息。根據(jù)日志中的訪問顯示，可以進一步自定義需要封堵的網(wǎng)站。

7)在策略管理中進行網(wǎng)頁策略搜索的設置，通過設置控制方式、搜索 類別、關鍵字等，實現(xiàn)對用戶對搜索引擎使用的控制，如禁止搜索敏感文字，禁止員工在上班時間搜索視頻等。

8)在策略管理中設置合理的網(wǎng)絡流量設置，對于圖書館等需要大量下載資料的部門，不設置流量限制，而其余部門僅需要瀏覽網(wǎng)頁查找資料，設置較小的流量。

9)在策略管理—時間對象中進行上網(wǎng)時間的設置，對于機關職能科室，設置周一到周五早上7：30－19：30為工作時間(已對下班時間適當?shù)难娱L)，在其余時間禁止上網(wǎng)。而臨床科室由于有值班人員，考慮到具體情況，未設置時間限制。

10)在策略管理—審計策略設置中設置合適的審計策略。NI3310可以對QQ、MSN通等常用的聊天工具，以及對郵件收發(fā)、論壇發(fā)帖、FTP、TELNET、HTTPS等容易泄密、影響網(wǎng)絡安全的行為進行審計和管控。結合該院具體情況，上互聯(lián)網(wǎng)的電腦在一個單獨的VLAN中，與內(nèi)部網(wǎng)絡隔離，敏感資料外泄可能性很小，且考慮到保護員工隱私，因此，在審計策略設置中未作郵件發(fā)送及接收審計、QQ/MSN審計，而是設置FTP審計、HTTPS審計、TELNET審計、發(fā)帖審計，尤其是重點關注發(fā)帖審計，防止員工擅自發(fā)布不良言論，規(guī)避法律風險，在出現(xiàn)問題時有據(jù)可查。

11)在策略管理—防護設置－全局設置中，開啟ARP報警，當局域網(wǎng)內(nèi)發(fā)生ARP攻擊時可以及時得到反饋，并能確定發(fā)出ARP攻擊的主機。

12)根據(jù)NI3310提供的查詢和統(tǒng)計功能，審查每天的網(wǎng)絡訪問情況，帶寬資源的利用情況、策略的審計結果。為網(wǎng)絡管理員的決策和管理提供重要的數(shù)據(jù)依據(jù)，并以此為依據(jù)進行其他控制策略的微調(diào)。

3 運行效果

部署NI3310一段時間后，取得了較好的效果。網(wǎng)絡運行越來越穩(wěn)定，上網(wǎng)速率較以前有明顯的改善。在統(tǒng)計表中可以看到，P2P應用和流媒體下載基本消失，醫(yī)學類網(wǎng)站瀏覽、搜索等成為最常見的應用，工作效率有了很大的提高。

總之，上網(wǎng)行為管理有利于網(wǎng)絡管理者及時了解網(wǎng)絡運行情況，并對網(wǎng)絡整體狀況做出基本分析，發(fā)現(xiàn)造成網(wǎng)絡異常的原因，并進行快速故障定位。并能監(jiān)督、控制、引導用戶正確使用網(wǎng)絡。較好地解決了在安全和暢通的前提下，充分利用網(wǎng)絡資源的問題。