貴州省黔西南州煙草公司（簡稱“州公司”）各單位互聯(lián)網(wǎng)訪問原先為各自出口、費用自理且沒有相應的安全防護措施。為完善互聯(lián)網(wǎng)訪問、應用安全防護能力，達到上網(wǎng)行為可控、可查、可追述的管理要求，后改為經(jīng)上級單位做互聯(lián)網(wǎng)統(tǒng)一出口規(guī)劃后，需由州公司統(tǒng)一提供互聯(lián)網(wǎng)出口服務，但這給州公司網(wǎng)絡管理人員日常網(wǎng)絡管理帶來了極大的風險和壓力，同時也給互聯(lián)網(wǎng)線路帶來了更高的服務要求。怎樣使互聯(lián)網(wǎng)訪問應用安全性最好、線路帶寬使用率最高、限制產(chǎn)生大量連接會話的P2P應用，成為了黔西南煙草信息中心網(wǎng)絡運維和管理所關注的重中之重。

互聯(lián)網(wǎng)運維難題多

隨著互聯(lián)網(wǎng)統(tǒng)一出口建設的進一步推進，各下屬分公司員工均需要通過現(xiàn)有專線接入到州公司，然后由州公司互聯(lián)網(wǎng)出口訪問互聯(lián)網(wǎng)資源。一方面員工上網(wǎng)條件得到改善；另一方面由于互聯(lián)網(wǎng)的開放性，也給機構帶來更高的網(wǎng)絡使用危險性、復雜性和混亂性。用戶訪問互聯(lián)網(wǎng)信息的同時，很有可能受到網(wǎng)絡上木馬、病毒等的攻擊，從而造成信息安全事故。

在互聯(lián)網(wǎng)運維過程中存在的問題表現(xiàn)有以下幾個方面：IT部門不清楚網(wǎng)絡流量和內(nèi)部員工的網(wǎng)絡活動情況，無法為IT決策提供數(shù)據(jù)支撐；沒有技術保障的IT管理制度形同虛設；濫用互聯(lián)網(wǎng)應用，使網(wǎng)絡業(yè)務系統(tǒng)運行緩慢，視頻會議帶寬得不到保障，單純擴展帶寬沒有效果；缺乏細致的流量管理辦法，導致業(yè)務系統(tǒng)應用帶寬搶占嚴重；機密信息泄漏頻發(fā)，急需防范泄密；惡意插件、腳本泛濫，給單位網(wǎng)絡帶來安全風險。

應用層網(wǎng)絡技術現(xiàn)狀

目前互聯(lián)網(wǎng)應用，通常是TCP、UDP混合協(xié)議傳輸，更強調(diào)帶寬侵占性。州公司信息中心根據(jù)多年網(wǎng)絡運維管理經(jīng)驗，參考兄弟公司管理方法，摸索出適合自身情況的網(wǎng)絡管理方法。

在多方論證后發(fā)現(xiàn)，基于應用識別的智能（動態(tài)）流控技術可以實現(xiàn)根據(jù)應用進行合理分配帶寬資源，同時，可以保證互聯(lián)網(wǎng)出口帶寬最大利用率?；趹米R別的智能（動態(tài)）流控技術在帶寬有限時，通過業(yè)績流量控制來限制P2P、流媒體等消耗帶寬的應用，保障郵件、訪問網(wǎng)站等與業(yè)務有關的重要應用的正常帶寬范圍；當互聯(lián)網(wǎng)出口帶寬只有30%或者更低使用率時，適當降低控制閥值。傳統(tǒng)流控技術造成帶寬浪費的情況也不再出現(xiàn)。

識別是管理的基礎

網(wǎng)絡應用極其豐富，尤其隨著大量社交型網(wǎng)絡應用的出現(xiàn)，由此引發(fā)各種管理和安全問題。識別是管理的基礎，全面的網(wǎng)絡應用識別幫助管理員透徹了解網(wǎng)絡應用現(xiàn)狀和用戶行為，保障管理效果。通過全面識別各種應用，進而對單位互聯(lián)網(wǎng)出口進行有效管理和維護。

州公司信息中心根據(jù)多年信息化建設、網(wǎng)絡安全建設、運維與管理經(jīng)驗，以不斷發(fā)現(xiàn)問題、解決問題、創(chuàng)新實踐為原則；建設單位高效、高可用性、高安全性信息化網(wǎng)絡為主要目標；摸索出有效的解決方案，并不斷完善，實現(xiàn)互聯(lián)網(wǎng)統(tǒng)一出口的高效運維管理。核心技術主要包括以下四個方面：

一、URL識別——通過千萬級靜態(tài)URL庫、基于網(wǎng)頁智能分析系統(tǒng)IWAS、SSL內(nèi)容識別技術等，有效應對互聯(lián)網(wǎng)上數(shù)以萬計的網(wǎng)頁；

二、應用規(guī)則識別——識別網(wǎng)絡主流應用，包括IM、P2P/P2P流媒體、游戲、辦公應用、網(wǎng)銀、股票行情軟件、股票交易軟件、木馬、代理軟件等；

三、深度內(nèi)容檢測——IM聊天、在線炒股、網(wǎng)絡游戲、在線流媒體、P2P應用、Email、常用TCP/IP協(xié)議等，基于數(shù)據(jù)包特征精準識別；

四、智能識別——種類泛濫的P2P行為，靜態(tài)“應用識別規(guī)則”已經(jīng)捉襟見肘，所以通過P2P智能識別，識別不常見、未來可能出現(xiàn)的P2P行為，進而封堵、流控和審計。

基于Web應用的控制技術

為應對互聯(lián)網(wǎng)網(wǎng)頁容量爆炸性增長，州公司信息中心根據(jù)多年的運維經(jīng)驗，參考多種技術實現(xiàn)方式，最終采用“靜態(tài)URL庫+URL智能識別+云系統(tǒng)”三重識別體系。更開發(fā)了一套人工智能的網(wǎng)頁智能分析系統(tǒng)（Intelligent Webpage Analysis System， IWAS），能夠根據(jù)已知網(wǎng)址、正文內(nèi)容、關鍵字、代碼特征等特點進行自動學習和智能分類，真正完善網(wǎng)頁訪問行為管理。

有限的帶寬資源如何分配給不同部門、用戶或不同應用，如何保障核心單位用戶煙草核心業(yè)務系統(tǒng)帶寬資源，限制網(wǎng)絡殺手如BT迅雷等占用資源，一直以來都是州公司信息中心工作研究的重點課題。經(jīng)過反復測試、總結，最終發(fā)現(xiàn)基于應用識別的、精細智能的流量管理可以有效防止帶寬濫用，提升帶寬使用效率。

通過帶寬的“自由競爭”與“動態(tài)分配”，除了基于父子通道進行流量控制之外，還根據(jù)在線的用戶數(shù)量將帶寬動態(tài)分配給在線用戶，如4M的線路，可以動態(tài)分配給5個或者20個在線用戶使用，從而實現(xiàn)帶寬資源的充分利用，達到在網(wǎng)絡應用高峰期保障核心用戶、核心業(yè)務帶寬，限制無關應用占用資源，在帶寬空閑時實現(xiàn)資源的充分利用的目的。

以往，通過封IP、端口等管控“帶寬殺手”P2P應用的方式極不徹底。加密P2P、不常見P2P、新P2P工具等讓眾多P2P管理手段束手無策。現(xiàn)在憑借州公司信息中心開發(fā)的一套P2P智能識別技術，不僅識別和管控常用P2P、加密P2P，對不常見和未來將出現(xiàn)的P2P亦能管控。能限制指定用戶的P2P所占用的帶寬，既允許指定用戶使用P2P，又不會濫用帶寬，充分滿足管理的靈活性。

經(jīng)濟壓力顯著下降

經(jīng)過前期大量測試、驗證，發(fā)現(xiàn)網(wǎng)絡監(jiān)控方案可大大提升員工辦公效率以及節(jié)約單位互聯(lián)網(wǎng)帶寬資源，減少互聯(lián)網(wǎng)統(tǒng)一出口后升級帶寬帶來的支出成本。

通過有效地應用層識別技術和精細化的帶寬管理，可以用最少的投資達到最好的效果，解決了單位互聯(lián)網(wǎng)統(tǒng)一出口后存在的應用控制、行為審計、流量控制、運維管理等問題。

基于應用識別的P2P智能識別技術，不僅能識別和管控常用P2P軟件及版本，對不常見的和未來將出現(xiàn)的P2P亦能管控。提供的P2P流控技術，將限制指定用戶開啟P2P后占用的帶寬。既允許用戶使用P2P，又不會濫用帶寬。

州公司信息中心一直以來都在不斷探索用最少的投資達到最好的管理效果，所以在解決單位互聯(lián)網(wǎng)統(tǒng)一出口后存在的問題，也需要充分考慮單位網(wǎng)絡現(xiàn)狀，分析存在的問題，找到最有效、最經(jīng)濟的解決方案。

經(jīng)過信息中心論證，通過有效的應用層識別技術和精細化的帶寬管理，大大減少了統(tǒng)一出口帶寬擴容帶來的經(jīng)濟壓力。

“三分制度、七分管理”，缺乏技術手段支撐的管理制度就像一道沒有裝鎖的門，只能依賴人工值守或被管理者的自覺遵守。選擇適合單位IT環(huán)境的技術手段，才不會讓管理制度流于形式，有效支撐組織的IT管理，幫助規(guī)范網(wǎng)絡，減少IT管理員的無謂工作量，優(yōu)化組織IT環(huán)境。精細化的技術手段可以規(guī)范網(wǎng)絡行為，是對行政管理的一種補充；網(wǎng)絡管理實現(xiàn)了流程化，通過設置上網(wǎng)登記制度、帶寬分配制度等，將網(wǎng)絡管理流程化，將人員上網(wǎng)與制度結合，保證網(wǎng)絡管理規(guī)范化；管理變得更透明，增強網(wǎng)絡可控性，規(guī)避組織機構的風險。