■ 中國(guó)航天科技集團(tuán)有限公司第一研究院 王林強(qiáng) 吳步祺

編者按：隨著人們對(duì)網(wǎng)絡(luò)安全重視程度的提高，企業(yè)部往往署諸多安全設(shè)備和建立安全管理制度，但有時(shí)仍舊會(huì)對(duì)內(nèi)部員工不當(dāng)行為監(jiān)管不力，導(dǎo)致某些安全威脅的出現(xiàn)。

企業(yè)在使用互聯(lián)網(wǎng)享受便捷的同時(shí)，諸如病毒木馬、黑客攻擊等也在威脅著企業(yè)和員工的信息安全。由于缺少統(tǒng)一的管控措施，企業(yè)互聯(lián)網(wǎng)的使用仍然存在很多安全威脅和隱患，特別是一些重要的國(guó)有企業(yè)由于涉及很多國(guó)家重要信息，在使用互聯(lián)網(wǎng)進(jìn)行日常辦公時(shí)更加需要加強(qiáng)管理并進(jìn)行嚴(yán)格監(jiān)控，規(guī)范上網(wǎng)的行為，確?；ヂ?lián)網(wǎng)的安全可控使用。

存在的問(wèn)題

目前，很多企業(yè)雖然已經(jīng)在企業(yè)的互聯(lián)網(wǎng)邊界部署了防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描等安全設(shè)備，但對(duì)于內(nèi)部員工違規(guī)的互聯(lián)網(wǎng)活動(dòng)引起的安全與管理隱患卻無(wú)能為力。由于日常工作任務(wù)繁重，管理人員很容易忽視對(duì)于員工互聯(lián)網(wǎng)活動(dòng)的精細(xì)化管控的工作，具體包括：

1.未對(duì)員工訪問(wèn)互聯(lián)網(wǎng)的活動(dòng)行為進(jìn)行細(xì)顆粒度管控

互聯(lián)網(wǎng)當(dāng)前已經(jīng)滲透到了工作生活的每一個(gè)角落，員工在通過(guò)互聯(lián)網(wǎng)進(jìn)行日常辦公的同時(shí)，也在進(jìn)行在線聊天、瀏覽各類(lèi)網(wǎng)站等活動(dòng)，這些行為中包含著很多違規(guī)操作，不僅影響正常工作，而且極易引入如病毒木馬等潛在的安全隱患，因此需要對(duì)員工的互聯(lián)網(wǎng)活動(dòng)進(jìn)行細(xì)顆粒度的管控，以確保員工互聯(lián)網(wǎng)行為的安全性。

2.帶寬資源利用率低

據(jù)不完全統(tǒng)計(jì)，在互聯(lián)網(wǎng)活動(dòng)未加管理的企業(yè)中，帶寬資源有超過(guò)50%被文件、視頻下載等占用，導(dǎo)致盡管帶寬很大，卻總是擁擠不堪。這不僅造成帶寬資源大量浪費(fèi)，還使得企業(yè)的正常業(yè)務(wù)得不到應(yīng)有的帶寬保證。由于缺乏有效的識(shí)別與控制手段，運(yùn)維管理人員對(duì)此也束手無(wú)策。

圖1 系統(tǒng)部署示意圖

3.重要敏感信息存在外泄的危險(xiǎn)

員工在使用互聯(lián)網(wǎng)進(jìn)行日常辦公時(shí)，由于工作需要，經(jīng)常會(huì)通過(guò)外部郵箱、網(wǎng)盤(pán)或其他通訊工具與相關(guān)的外協(xié)廠商進(jìn)行文件信息的傳遞，但如果對(duì)這些工具不進(jìn)行嚴(yán)格的監(jiān)管，也很可能成為泄露企業(yè)重要信息的工具，由于內(nèi)部員工的粗心或安全意識(shí)的淡泊，企業(yè)的重要信息或文件很容易被傳遞到外部，給企業(yè)造成重大損失。

4.互聯(lián)網(wǎng)使用未進(jìn)行實(shí)名制認(rèn)證

部分單位對(duì)員工訪問(wèn)互聯(lián)網(wǎng)未執(zhí)行實(shí)名制認(rèn)證，員工在進(jìn)行互聯(lián)網(wǎng)的訪問(wèn)和使用時(shí)未進(jìn)行任何管控和審計(jì)，給企業(yè)的互聯(lián)網(wǎng)安全埋下了隱患。上網(wǎng)行為管理系統(tǒng)簡(jiǎn)介

目前市場(chǎng)主流的上網(wǎng)行為管理系統(tǒng)為軟硬件一體化設(shè)備，主要功能包括以下幾方面：

1.賬戶(hù)實(shí)名制管理

支持按照企業(yè)的組織結(jié)構(gòu)構(gòu)建用戶(hù)的賬戶(hù)組，對(duì)企業(yè)所有人員進(jìn)行賬戶(hù)實(shí)名制管理，訪問(wèn)互聯(lián)網(wǎng)前必須進(jìn)行帳戶(hù)名/密碼的身份驗(yàn)證，驗(yàn)證通過(guò)后方可進(jìn)行互聯(lián)網(wǎng)的使用，確保每位員工均為實(shí)名登錄。

2.權(quán)限控制

支持針對(duì)不同辦公需求的人員，設(shè)置不同的使用權(quán)限，包括應(yīng)用訪問(wèn)權(quán)限，網(wǎng)址訪問(wèn)權(quán)限，終端使用權(quán)限等。實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)活動(dòng)的精細(xì)化管控。

3.內(nèi)容過(guò)濾

支持針對(duì)互聯(lián)網(wǎng)活動(dòng)過(guò)程中涉及的來(lái)往郵件、網(wǎng)上聊天、論壇留言等信息進(jìn)行敏感內(nèi)容的過(guò)濾，防止敏感信息外泄。同時(shí)支持對(duì)黃色、暴力、反動(dòng)等不健康的信息進(jìn)行過(guò)濾，減少感染病毒木馬的幾率。

4.內(nèi)容審計(jì)

支持對(duì)訪問(wèn)互聯(lián)網(wǎng)內(nèi)容的全面審計(jì)，能夠根據(jù)訪問(wèn)時(shí)間、賬戶(hù)名、IP地址、應(yīng)用、網(wǎng)址等多個(gè)維度進(jìn)行精細(xì)化的審計(jì)。

應(yīng)用與實(shí)踐

本文以企業(yè)典型的互聯(lián)網(wǎng)使用環(huán)境為例，詳細(xì)介紹上網(wǎng)行為管理系統(tǒng)的部署方式以及在實(shí)際應(yīng)用過(guò)程中的主要技術(shù)措施，以達(dá)到對(duì)互聯(lián)網(wǎng)行為精細(xì)化管控的目的。

1.系統(tǒng)部署

上網(wǎng)行為管理系統(tǒng)支持串聯(lián)部署和并聯(lián)部署兩種方式。但在實(shí)際應(yīng)用時(shí)，為了確保上網(wǎng)行為管理系統(tǒng)能夠?qū)M(jìn)出網(wǎng)絡(luò)的所有流量信息進(jìn)行監(jiān)控和審計(jì)，因此一般將上網(wǎng)行為管理系統(tǒng)串聯(lián)部署在互聯(lián)網(wǎng)的出口處，以透明網(wǎng)橋的方式接入網(wǎng)絡(luò)，無(wú)需對(duì)原有的網(wǎng)絡(luò)結(jié)構(gòu)和配置進(jìn)行改動(dòng)。管理人員可以通過(guò)網(wǎng)絡(luò)以Web頁(yè)面的方式遠(yuǎn)程對(duì)設(shè)備進(jìn)行管理。具體的部署模式如圖1所示。

上網(wǎng)行為管理系統(tǒng)串聯(lián)在網(wǎng)絡(luò)鏈路的部署方式雖然管控強(qiáng)度更高，但設(shè)備一旦發(fā)生故障，企業(yè)的互聯(lián)網(wǎng)使用將中斷，給用戶(hù)的正常使用造成一定的影響，雖然可以通過(guò)開(kāi)啟bypass模式，使得流量直接通過(guò)設(shè)備，但無(wú)法對(duì)流量數(shù)據(jù)進(jìn)行管控和審計(jì)行為。

2.主要技術(shù)措施

為了能夠更好的發(fā)揮上網(wǎng)行為管理系統(tǒng)的作用，實(shí)現(xiàn)針對(duì)互聯(lián)網(wǎng)活動(dòng)的細(xì)顆粒度的管控和審計(jì)，有效推動(dòng)互聯(lián)網(wǎng)實(shí)名制認(rèn)證的管理方式，在實(shí)際進(jìn)行應(yīng)用部署時(shí)，有效的開(kāi)展以下幾方面的工作能夠極大促進(jìn)上網(wǎng)行為管理系統(tǒng)的使用效果。

（1）對(duì)互聯(lián)網(wǎng)計(jì)算機(jī)和賬戶(hù)名建立統(tǒng)一的命名規(guī)則

為了能夠在進(jìn)行互聯(lián)網(wǎng)活動(dòng)審計(jì)時(shí)能夠準(zhǔn)確定位到人和計(jì)算機(jī)，避免因命名規(guī)則不統(tǒng)一而引起賬戶(hù)名稱(chēng)沖突等問(wèn)題，可以對(duì)互聯(lián)網(wǎng)計(jì)算機(jī)和賬戶(hù)名建立統(tǒng)一的命名規(guī)則，如互聯(lián)網(wǎng)計(jì)算機(jī)命名規(guī)則為“樓號(hào)_房間號(hào)_IP地址”，賬戶(hù)命名規(guī)則為“單位_部門(mén)_姓名簡(jiǎn)稱(chēng)”等，單位、部門(mén)均可用特定字符表示。

（2）實(shí)現(xiàn)計(jì)算機(jī)IP地址與所在部門(mén)員工賬號(hào)的綁定

為了確保員工訪問(wèn)互聯(lián)網(wǎng)時(shí)使用的計(jì)算機(jī)是安全可靠的，同時(shí)滿(mǎn)足最小授權(quán)原則，可以根據(jù)單位的具體情況進(jìn)行計(jì)算機(jī)IP與員工賬號(hào)的綁定。

例如通過(guò)綁定限定本部門(mén)員工的賬號(hào)能且只能在本部門(mén)的互聯(lián)網(wǎng)計(jì)算機(jī)進(jìn)行登錄并進(jìn)行互聯(lián)網(wǎng)的訪問(wèn)等，杜絕了外來(lái)部門(mén)人員賬號(hào)在本部門(mén)互聯(lián)網(wǎng)計(jì)算機(jī)登錄并進(jìn)行互聯(lián)網(wǎng)活動(dòng)所帶來(lái)的安全隱患。

（3）針對(duì)人員、位置、時(shí)間、應(yīng)用進(jìn)行細(xì)顆粒度策略控制

為了最大限度保障員工在進(jìn)行互聯(lián)網(wǎng)活動(dòng)時(shí)的安全性，可以根據(jù)用戶(hù)、時(shí)間、應(yīng)用等條件設(shè)置策略，精確到任意用戶(hù)、任意應(yīng)用、任意時(shí)間段、任意網(wǎng)址、任意關(guān)鍵字內(nèi)容，實(shí)現(xiàn)針對(duì)不同用戶(hù)的不同需求進(jìn)行有針對(duì)性有時(shí)效性的策略設(shè)置，確保對(duì)用戶(hù)、使用時(shí)間段、允許的應(yīng)用、允許的最大帶寬等進(jìn)行細(xì)顆粒的訪問(wèn)控制。

（4）敏感內(nèi)容過(guò)濾

為了防止員工在使用互聯(lián)網(wǎng)進(jìn)行正常工作時(shí)，將涉及企業(yè)重要敏感信息通過(guò)互聯(lián)網(wǎng)外泄，通過(guò)上網(wǎng)行為管理系統(tǒng)進(jìn)行過(guò)濾設(shè)置，確保重要信息在經(jīng)過(guò)上網(wǎng)行為管理系統(tǒng)時(shí)被過(guò)濾，禁止敏感數(shù)據(jù)流出。

總結(jié)

本文首先針對(duì)目前企業(yè)內(nèi)部互聯(lián)網(wǎng)活動(dòng)管理中的不足進(jìn)行了描述，之后對(duì)上網(wǎng)行為管理系統(tǒng)的功能和部署方式進(jìn)行了介紹，最后對(duì)實(shí)際部署應(yīng)用過(guò)程中的幾點(diǎn)技術(shù)措施進(jìn)行了闡述。

通過(guò)部署上網(wǎng)行為管理系統(tǒng)，能夠有效地規(guī)范企業(yè)內(nèi)部互聯(lián)網(wǎng)資源的使用，形成互聯(lián)網(wǎng)實(shí)名制使用的強(qiáng)制規(guī)則，強(qiáng)化員工合規(guī)性操作的意識(shí)，確?；ヂ?lián)網(wǎng)應(yīng)用的安全可靠。同時(shí)也可以更好的滿(mǎn)足了網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的相關(guān)要求。