实施准入系统 规范企业安全上网行为*

刘佳丽

实施准入系统 规范企业安全上网行为*

刘佳丽

（抚顺石油化工研究院，辽宁抚顺113001）

以某石化企业为例,介绍如何通过3套系统联动，帮助企业更好地利用网络技术来规范企业安全上网行为，也为其它企业的规范上网提供了一种很好的解决方案。

网络系统；安全准入；行为管理

随着互联网接入的普及和带宽的增加，企业内部网早已作为了一个半开放的网络系统，运行环境正变得愈来愈复杂。在企业员工上网条件得到改善的同时，也给企业网络的安全使用带来了更高的危险性和复杂性。据IDC的数据统计，企业中员工30%～40%的上网活动与工作无关，同时这些员工随意使用网络将导致3个问题：（1）工作效率低下，（2）网络性能恶化，（3）网络违法行为[1]。

上网行为管理是中国近年来一个新兴的市场，主要涵盖了网页、网站过滤和访问控制，电子邮件的审计，网络游戏的控制，网络聊天、炒股、网上购物的管理，滥用网络下载工具的管理等，此类型的产品主要应用于企业用户，帮助企业解决互联网应用带来的负面影响问题。终端安全管理系统和工号实名认证系统可以解决非法接入、外联、代理等问题，并能对终端自身进行安全防护。本文以某石化企业为例，提供了一种3套系统联动的方案，很好地解决了该企业存在的网络安全及管理问题，也为其它企业的规范上网提供了一种很好的解决方案。

1 企业网络管理普遍面临的问题

在对企业用户长期的服务工作中发现，目前企业网络普遍存在如下问题。

（1）企业用户众多，无法对企业网络的用户准入进行有效管理。

企业网络中用户数量众多，难以按照企业规定对用户进行有效管理，未经授权的用户和外来人员都有可能使用企业网络来查找相关信息，大大增加了网络行为管理的难度。

（2）企业人员对网络使用需求多样，无法统一管理。

企业内部人员对网络使用需求不一，难以统一管理。例如：如何控制互联网使用权限，如何限制员工的网络带宽，以保障关键业务的网络带宽，如何控制员工业务之外的网络使用情况。

（3）企业员工业务使用需求不一致，控制对应人员的非业务应用难以实现。

企业的人员组成中，各个部门对互联网业务需求的重点不一致，因此控制非业务使用就需要能够准确识别网络应用的类别。举例来说，销售人员可能需要使用即时聊天工具与客户进行沟通，但不需要使用P2P下载，在这种情况下，如何开启销售人员的即时聊天软件使用权限而控制P2P下载又是企业网络管理所面对的一个问题。

（4）互联网的开放性使得企业员工上网外发信息、言论等行为难以管理。

网上言论得不到规范，工作时间恶意发帖、发表恶意言论等都会带来法律风险，同时也会带来企业商业秘密泄露的风险。这也是企业亟需解决的互联网管理问题[2]。

因此，如何有效地解决这些问题，以便提高员工的工作效率，降低企业网络的安全风险，减少企业的损失，已经成为企业信息化建设中一个迫在眉睫的紧要任务。

2 某石化企业网络现状及需要解决的问题

某石化企业目前的网络结构为双核心+汇聚+接入的三层网络结构，主干为万兆。企业局域网通过网通接入互联网，带宽为百兆。为确保网络安全，建设了防火墙系统、入侵检测系统、防病毒系统、远程接入VPN系统等。在网络管理方面，部署了上网计费系统、桌面管理系统和网络管理系统，从而实现对上Internet网计算机的控制。

但还存在以下问题：

（1）非法接入。目前第三方计算机用网线接入企业内部网络接口均可以访问内网资源；

（2）使用代理服务器。目前企业内没有允许上Internet网的计算机可以通过代理上网，其上网行为不受到控制；

（3）泄密无法查证。目前企业内网络无法详细记录某某通过单位互联网访问和发送了哪些信息，一旦泄密，将无法查证。

3 具体解决方案

为解决以上问题，该企业决定采用3套系统联动来实现，分别为终端安全管理系统、工号实名认证系统和上网行为管理系统。

终端安全管理系统可通过终端安全策略管理、终端资产管理和终端防信息泄露管理3个方面实现对终端的管理，提升企业终端管理效率，优化企业终端维护环节，构建企业终端安全管理平台。该企业在终端安全管理系统上部署安装了一套补丁更新系统（即微软的WSUS2.0系统），WSUS服务器负责从微软下载补丁文件，管理员可以实现选择性地下发，这样只能访问内网的用户终端也能自动打系统补丁[3]。

工号实名认证系统主要针对用户实名准入管理，强调用户计算机对企业网络的准入行为进行审核、审计和管理。

上网行为管理系统主要用以对内部人员的上网行为进行管理，对其所发布的信息进行审计，防止不良信息散发到互联网上，阻止员工访问不良网站，阻断不必要的网络应用，对用户的网络访问行为进行监控，并保留上网行为的记录，以备日后审计之用。同时还可以对网游、股票、P2P应用（例如BT、电驴等占有带宽大的P2P应用软件）和即时通讯进行封堵，禁止使用代理服务器上网。上网行为管理系统可以促使企业合理利用网络资源，创造一个绿色的上网环境[4]。

3.1 网络拓扑图

以上3套系统的具体接入方式为：在互联网防火墙和核心交换机之间接入上网行为管理系统（桥接进网络），同时在上网行为管理系统和核心交换机之间部署工号准入认证系统（桥接进网络）。终端安全管理系统的服务器端由于是旁路模式所以对网络无影响。具体的网络拓扑图如图1所示。

图1 3套系统接入拓扑图Fig.1 Three sets of systems access topology

3.2 实施方法及过程

3.2.1 准备工作

（1）核查现有的工号信息，制作工号与姓名对应关系表，保证录入工号准入系统的信息是正确的；

（2）落实用户使用网络的情况，确定每1台计算机的网络访问权限，即是全网访问 (互联网和内网)还是只可以访问内网；

（3）重新规划IP地址和VLAN，确定每1台网络中的计算机的新IP地址。用户也需要调整计算机的IP地址，将可上互联网的用户与只能访问内网的用户区分开；

（4）安装终端管理系统客户端。3.2.2 实施过程

（1）上网行为管理系统调试完毕后，开启基本的审计功能，如上网行为的记录，邮件审计，BBS的审计等。

（2）将终端安全管理系统的策略设置为：审计和阻断非法外联；对非移动PC启用IP和MAC地址绑定功能；主机完整性策略会检测系统是否安装了指定软件；开启主机防火墙功能。

4 结论

通过采用终端安全管理系统、工号实名认证系统和上网行为管理系统的联动，实现了该企业上网行为的规范管理、提升了带宽利用率、保护了内部数据安全、防止了机密信息泄漏、降低了企业的法律风险责任等，达到了预期效果，并为其它企业的规范上网提供了一种很好的借鉴方案。

[1]苏磊.浅谈上网行为管理在网络中应用[J].中小企业管理与科技，2009（12）：15-16.

[2]张军峰，白学斌.企业上网计算机安全准入控制系统平台搭建及应用研究[J].中国科技信息，2008（18）：23-24.

[3]冯登国.计算机通信网络安全[M].北京：清华大学出版社，2001：56-58.

[4]杨伟超，刘阳.信息资源网站安全设计研究[J].信息技术，2010（6）：26-27.

Implementation of Enterprise Security Access System to Regulate Online Behavior

LIU Jia-li
（Fushun Research Institute of Petroleum and Petrochemicals，SINOPEC，Liaoning Fushun 113001，China）

Using a petrochemical company as an example，it was described how to carry out linkage of three systems to standardize enterprise security access and make better use of network resources，which can provide a good internet solution to other companies.

Network；Security access；Behavior Management

TP 393.08

A

1671-0460（2010）05-0594-03

2010-08-11

刘佳丽（1976-），女，黑龙江建三江人，工程师，2000年毕业于石油大学（华东）计算数学及应用软件专业，现从事网络管理维护工作。E-mail：liujiali.fshy@sinopec.com。