高詩建

摘 ? 要：文章根據(jù)互聯(lián)網(wǎng)視聽節(jié)目監(jiān)測從業(yè)人員的工作內(nèi)容，提出上網(wǎng)行為審計(jì)系統(tǒng)的設(shè)計(jì)并加以實(shí)現(xiàn)，系統(tǒng)滿足加強(qiáng)互聯(lián)網(wǎng)信息安全的需求，同時(shí)規(guī)范上網(wǎng)行為、提高工作效率。系統(tǒng)通過用戶準(zhǔn)入、上網(wǎng)行為記錄、流量控制、終端管理等技術(shù)手段，部署了一套完整的上網(wǎng)行為審計(jì)系統(tǒng)。本系統(tǒng)旨在解決互聯(lián)網(wǎng)視聽節(jié)目監(jiān)測從業(yè)人員訪問互聯(lián)網(wǎng)所衍生的信息安全隱患、工作效率低等問題。

關(guān)鍵詞：上網(wǎng)行為審計(jì);信息安全;流控;終端管理

隨著互聯(lián)網(wǎng)的高速發(fā)展，信息化建設(shè)日益成熟，互聯(lián)網(wǎng)視聽節(jié)目變得日益豐富多彩，隨之而來的監(jiān)管工作也變得復(fù)雜多變，并且尤為重要。由于監(jiān)管難度的增加，首先對互聯(lián)網(wǎng)視聽節(jié)目進(jìn)行初步排查，其次，高級技術(shù)人員對排查結(jié)果進(jìn)行分析并撰寫報(bào)告。隨著《中華人民共和國網(wǎng)絡(luò)安全法》與《信息安全等級保護(hù)管理辦法》的頒布與實(shí)施，工作人員如何在日常工作中合規(guī)、合法、文明訪問互聯(lián)網(wǎng)變得尤為重要。文章將設(shè)計(jì)一套上網(wǎng)行為審計(jì)系統(tǒng)（以下簡稱本系統(tǒng)），實(shí)現(xiàn)對工作人員訪問互聯(lián)網(wǎng)的行為進(jìn)行記錄、審計(jì)、分析，以監(jiān)督工作人員合規(guī)、合法、文明訪問互聯(lián)網(wǎng)。

1 ? ?系統(tǒng)設(shè)計(jì)背景與需求分析

由于互聯(lián)網(wǎng)的發(fā)展，信息安全問題逐步地顯現(xiàn)出來。隨著信息安全相關(guān)政策法律的頒布與實(shí)施，原本工作中存在的信息安全漏洞將被發(fā)現(xiàn)并予以解決。規(guī)范上網(wǎng)行為并加以審計(jì)成了信息安全中非常重要的一個(gè)環(huán)節(jié)。

1.1 ?背景簡介

近年來，多次出現(xiàn)網(wǎng)民在互聯(lián)網(wǎng)中進(jìn)行網(wǎng)絡(luò)誹謗以及上傳侵權(quán)非法音視頻導(dǎo)致的法律糾紛，并且造成極其惡劣的社會影響;部分單位工作人員通過工作業(yè)務(wù)網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)時(shí)，由于操作不規(guī)范導(dǎo)致業(yè)務(wù)系統(tǒng)遭受黑客攻擊，致使業(yè)務(wù)系統(tǒng)癱瘓，造成巨大經(jīng)濟(jì)損失;移動(dòng)互聯(lián)網(wǎng)的興起，導(dǎo)致工作期間使用移動(dòng)終端從事非工作事務(wù)更加便捷，嚴(yán)重影響工作效率。

1.2 ?需求分析

面對互聯(lián)網(wǎng)視聽節(jié)目監(jiān)測從業(yè)人員訪問互聯(lián)網(wǎng)所產(chǎn)生的種種負(fù)面影響，其主要是沒有對工作人員的上網(wǎng)行為進(jìn)行合理審計(jì)造成的?；ヂ?lián)網(wǎng)視聽節(jié)目監(jiān)測人員的主要工作在于對互聯(lián)網(wǎng)中不符合要求的視聽節(jié)目進(jìn)行排查。首先，該工作特性增加了終端受攻擊的概率;其次，工作人員長期接觸不符合要求的視聽節(jié)目有可能會對心理造成影響;最后，由于視聽節(jié)目大多數(shù)使用流媒體技術(shù)，大量工作人員同時(shí)訪問流媒體也勢必對網(wǎng)絡(luò)帶寬造成沖擊。針對目前訪問互聯(lián)網(wǎng)存在的風(fēng)險(xiǎn)以及互聯(lián)網(wǎng)視聽節(jié)目監(jiān)測人員所從事的業(yè)務(wù)特性，本系統(tǒng)需具備以下功能：對通過互聯(lián)網(wǎng)發(fā)布不當(dāng)言論、訪問非法網(wǎng)站、惡意發(fā)帖的行為進(jìn)行攔截;對向外傳播內(nèi)部資料的行為進(jìn)行日志記錄與告警[1];解決工作人員訪問互聯(lián)網(wǎng)方式不合規(guī)導(dǎo)致內(nèi)部網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)處于信息安全風(fēng)險(xiǎn)狀態(tài);解決某個(gè)工作人員或業(yè)務(wù)系統(tǒng)的操作導(dǎo)致互聯(lián)網(wǎng)出口數(shù)據(jù)量瞬間增大，導(dǎo)致核心業(yè)務(wù)不能得到帶寬保障的。

2 ? ?系統(tǒng)關(guān)鍵技術(shù)

2.1 ?審計(jì)識別技術(shù)

審計(jì)識別技術(shù)從類型上看可分為超文本傳輸協(xié)議（HyperText Transfer Protocol，HTTP）外發(fā)內(nèi)容、訪問網(wǎng)站/下載、郵件、即時(shí)通信、文件傳輸協(xié)議（File Transfer Protocol，F(xiàn)TP），Telnet等5類。

HTTP外發(fā)內(nèi)容識別可對Web BBS的發(fā)帖內(nèi)容、外發(fā)的Web Mail郵箱內(nèi)容、通過網(wǎng)頁上傳的附件內(nèi)容、通過網(wǎng)頁上傳的文本內(nèi)容進(jìn)行審計(jì)與記錄，也可對微博所包含的附件等內(nèi)容進(jìn)行審計(jì)與記錄。通過流量過濾方式，對訪問網(wǎng)站的統(tǒng)一資源定位符（Uniform Resource Locator，URL）進(jìn)行記錄，與此同時(shí)也可對通過URL下載文件的文件信息進(jìn)行記錄、存儲。通過對簡單郵件傳輸協(xié)議（Simple Mail Transfer Protocol，SMTP）、POP3/IMAP協(xié)議的審計(jì)可對所有收發(fā)送郵件進(jìn)行記錄。在客戶端安裝探針，對客戶端的所有IM聊天內(nèi)容以及網(wǎng)絡(luò)應(yīng)用進(jìn)行監(jiān)控。通過截取數(shù)據(jù)流，對使用FTP上傳下載的文件名及內(nèi)容進(jìn)行記錄與審計(jì)。

2.2 ?流量管理與控制

為保障業(yè)務(wù)網(wǎng)絡(luò)高效、穩(wěn)定運(yùn)行，防止其他非業(yè)務(wù)用戶阻塞端口導(dǎo)致丟幀;亦或網(wǎng)絡(luò)中某個(gè)瞬間大量數(shù)據(jù)對整體網(wǎng)絡(luò)帶來沖擊。本系統(tǒng)具備兩種流量控制的方式：在半雙工方式下，流量控制是通過反向壓力也就是背壓計(jì)數(shù)實(shí)現(xiàn)的，這種計(jì)數(shù)是通過向發(fā)送源發(fā)送jamming信號使得信息源降低發(fā)送速度;在全雙工方式下，流量控制一般遵循IEEE 802.3X標(biāo)準(zhǔn)，由交換機(jī)向信息源發(fā)送“pause”幀令其暫停發(fā)送[2]。本系統(tǒng)還可利用HTTP解析、系統(tǒng)檢測、移動(dòng)應(yīng)用識別等方式識別移動(dòng)智能終端，發(fā)現(xiàn)“非法AP”，并對其進(jìn)行封堵。

3 ? ?系統(tǒng)實(shí)施部署

3.1 ?系統(tǒng)部署模式

本系統(tǒng)采用單網(wǎng)橋模式進(jìn)行部署，系統(tǒng)工作在二層交換機(jī)模式下，以網(wǎng)橋的模式部署在網(wǎng)絡(luò)的出口附近，以透明傳輸?shù)哪Ｊ浇橛诜阑饓εc核心三層交換設(shè)備之間。系統(tǒng)實(shí)現(xiàn)對內(nèi)網(wǎng)用戶上網(wǎng)行為進(jìn)行網(wǎng)絡(luò)準(zhǔn)入、行為控制、流量管理、日志審計(jì)等功能。單網(wǎng)橋模式的優(yōu)點(diǎn)在于可以不改變原有網(wǎng)絡(luò)拓?fù)渑c任何配置的情況下，只將本系統(tǒng)的廣域網(wǎng)（Wide Area Network，WAN）口，同出口防火墻局域網(wǎng)（Local Area Network，LAN）口相連，系統(tǒng)LAN口與核心交換機(jī)相連接，為系統(tǒng)分配一個(gè)網(wǎng)橋地址，即可滿足需求[3]。系統(tǒng)部署模式拓?fù)淙鐖D1所示。

3.2 ?用戶準(zhǔn)入策略配置

為防止非法用戶通過有線、無線等途徑使用局域網(wǎng)訪問互聯(lián)網(wǎng)造成用戶損失，啟用本系統(tǒng)的用戶準(zhǔn)入策略。使用短信認(rèn)證的身份認(rèn)證方式對用戶進(jìn)行準(zhǔn)入限制，并將該用戶的手機(jī)號碼與硬件具備唯一性的MAC地址進(jìn)行綁定。對于未認(rèn)證通過的用戶分配受限的互聯(lián)網(wǎng)訪問權(quán)限，并通過Web重定向至指定認(rèn)證頁面。

3.3 ?上網(wǎng)策略配置

審計(jì)上網(wǎng)行為和流量：本系統(tǒng)在該配置上，將辦公室、財(cái)務(wù)等部門涉及政策建立與資金流動(dòng)的郵件、IM聊天、FTP等應(yīng)用加入白名單不進(jìn)行日志記錄，其他所有行為都進(jìn)行日志記錄并儲存?？刂朴绊懝ぷ餍实膽?yīng)用：通過策略配置對存在金融行情交易、購物、游戲等數(shù)據(jù)流進(jìn)行分析并加以控制。降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)：通過特征庫幫助用戶識別訪問釣魚網(wǎng)站等不安全上網(wǎng)行為，同時(shí)對用戶主動(dòng)使用遠(yuǎn)程工具、木馬、含有病毒軟件等存在安全隱患應(yīng)用進(jìn)行分析并加以控制。

3.4 ?流控策略配置

由于互聯(lián)網(wǎng)視聽節(jié)目監(jiān)測人員在日常需要通過在線音視頻觀看或者音視頻下載的方式完成工作量，且該部分占用帶寬較大，所以對線電影、P2P使用流量進(jìn)行預(yù)留30%帶寬保障且該部分?jǐn)?shù)據(jù)使用帶寬最大不可超過總帶寬的80%。預(yù)留10%帶寬給其他核心業(yè)務(wù)使用，避免其他核心業(yè)務(wù)在高峰期受到影響。預(yù)留10%帶寬容量給時(shí)延敏感型應(yīng)用、基礎(chǔ)應(yīng)用，剩余帶寬將浮動(dòng)分配給其他流量。

3.5 ?終端管理配置

本系統(tǒng)從共享接入、移動(dòng)終端方面對用戶終端進(jìn)行管理。

（1）由于本系統(tǒng)對上網(wǎng)數(shù)據(jù)進(jìn)行識別的原理是根據(jù)數(shù)據(jù)包轉(zhuǎn)發(fā)過程中的MAC地址進(jìn)行用戶識別，而常見的無線路由器都為3層交換設(shè)備，將對數(shù)據(jù)包進(jìn)行重新封使得MAC地址變?yōu)樵摼€路由器的MAC地址，將無法對用戶行為進(jìn)行精確識別。本系統(tǒng)啟用共享接入檢測，對使用3層交換設(shè)備的用戶進(jìn)行賬號凍結(jié)、頁面告警提示的操作。

（2）為限制非法未經(jīng)允許的移動(dòng)終端訪問網(wǎng)絡(luò)，對內(nèi)部網(wǎng)絡(luò)造成安全隱患。本系統(tǒng)制定移動(dòng)終端管理策略，啟用移動(dòng)終端檢測，對未經(jīng)允許訪問網(wǎng)絡(luò)的移動(dòng)終端直接進(jìn)行斷網(wǎng)處理并頁面告警提示。

3.6 ?日志分析

在網(wǎng)絡(luò)安全等級保護(hù)制度中對日志信息要求保存不低于60天，然而根據(jù)國家廣播電視總局二九三臺數(shù)據(jù)統(tǒng)計(jì)60天將產(chǎn)生大量行為日志。使用本系統(tǒng)自帶“日志中心”的報(bào)表工具，根據(jù)現(xiàn)實(shí)情況和關(guān)注點(diǎn)定制、定期導(dǎo)出所需報(bào)表，形成網(wǎng)絡(luò)調(diào)整依據(jù)、組織網(wǎng)絡(luò)資源使用情況報(bào)告、員工工作情況報(bào)告等。

4 ? ?結(jié)語

本系統(tǒng)以用戶準(zhǔn)入、上網(wǎng)行為記錄、流控、終端管理為核心，具備互聯(lián)網(wǎng)視聽節(jié)目監(jiān)測人員上網(wǎng)行為的綜合性記錄及管控功能。同時(shí)融入惡意代碼防范的相關(guān)內(nèi)容，使得工作人員訪問互聯(lián)網(wǎng)變得安全、文明、合規(guī)、合法，規(guī)避用人單位由于工作人員訪問互聯(lián)網(wǎng)存在的諸多風(fēng)險(xiǎn)。本系統(tǒng)在實(shí)際投入使用后得到了本系統(tǒng)內(nèi)工作人員以及管理人員的認(rèn)可，同時(shí)也希望為從事互聯(lián)網(wǎng)視聽節(jié)目監(jiān)測工作的同行提供思路和參考。

[參考文獻(xiàn)]

[1]張煒.一種基于終端行為信譽(yù)度的網(wǎng)絡(luò)訪問管理方案及其實(shí)現(xiàn)[J].計(jì)算機(jī)與數(shù)字工程，2017（45）：121.

[2]周奇.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京：清華大學(xué)出版社，2018.

[3]葉水勇.基于多沙盒虛擬技術(shù)的端到端安全應(yīng)用與研究[J].電力信息與通信技術(shù)，2017（8）：26-30.

Internet behavior audit system design and build of Internet

audiovisual program monitoring staff

Gao Shijian

（State Administration of Radio and Television 293， Zhengzhou 451162， China）

Abstract：Based on the work of Internet audiovisual program monitoring staff， this paper presents the design and construction of the Internet behavior audit system to meet the information security and regulate online behavior and improve work efficiency. This Internet behavior audit system uses technical means such as user access， record Internet behavior， network traffic control and terminal management. The aim is to solve the problems of information security and low work efficiency caused by Internet audiovisual program monitoring staff accessing the Internet.

Key words：Internet behavior audit; information security; network traffic control; terminal management