内容安全管理系统在企业WLAN中的应用

曲劲光

（中国移动通信集团宁夏有限公司，银川 750002）

1 引言

随着互联网应用的迅速发展，计算机网络在经济和生活的各个领域正在迅速普及，信息的获取、共享和传播更加方便。政府、企业对网络的依赖程度越来越大，信息安全的重要性也在不断提升。

互联网也给企业带来前所未有的混合威胁的风险。一方面，互联网中存在着太多的风险，如恶意网站、网上欺诈、网络病毒及恶意代码，给企业网络安全带来巨大威胁；而另一方面网络违规行为泛滥，如员工随意不受控制地访问非法网站、传递敏感信息、发布非法言论、滥用网络资源（包括P2P下载、IM（即时通信）、网络游戏、在线视频、炒股等）、外泄敏感业务信息等，严重影响企业网络安全，造成难以弥补的损失。

如何打造安全高效的上网环境、规范网络行为，保证网络系统正常运行，已经成为企业重点关注的问题。

配备传统的网络防护设备，是企业安全上网的前提。传统网络防护设备（如防火墙、入侵检测系统等）是解决网络安全问题的基础设备，其所具备的访问控制、网络攻击事件检测等功能，能够抵抗大多数来自外网的攻击；但是不能监控网络内容和已经授权的内部正常网络访问行为。然而，相对于网络层安全，由正常网络应用行为导致的安全事件，更加隐蔽，不易察觉，所以损失也更加巨大。因此，还需要细粒度的应用层和内容层策略控制。

内容安全管理正顺应了互联网应用普及时代对网络安全的新要求。通过内容安全管理，企业可以加强员工上网行为管理，保障网络资源合理使用，避免人为的网络安全隐患，提升互联网使用率，拥有更加安全的网络环境，从而利用网络创造更多价值。

2 WLAN与SCM

无线局域网（WLAN）技术的发展使人们摆脱了传统线缆的束缚，可以更方便、灵活、快捷地访问网络资源。无线局域网具有像以太网和令牌环这样的传统局域网的所有特性和优势，而且不受电缆连接的限制，实现了更大的自由和灵活性。由于便携式设备（例如笔记本电脑和PDA）的普及，这些设备的使用者要求随处都能够使用网络，但却不需要“寻找”或“插拔”网线，这样的需求导致了对无线局域网络需求的不断增加。

SCM(Security Content Management)系统是一个近几年才出现的技术方案。在技术上，SCM来源于传统网络安全设备，但又是传统网络安全设备的技术延伸。传统网络安全设备强调对网络外部的防护，通过过滤外部网络的不必要及不安全的事件，实现安全的网络运行维护。

随着国家建设和谐社会的号召，信息安全问题的日益突出，内容安全管理需求的不断发展，需要从企业网络内部安全的角度去管理整个网络和系统，而传统的网络安全设备在这方面缺少技术支撑。于是，出现了SCM的概念。SCM系统是一个处理内容安全的系统，在企业内部管理各类内容安全的问题。

3 SCM系统在WLAN中的解决方案

为了应对新的内容安全挑战，针对目前WLAN中存在的非法互联网站访问、敏感信息泄露等内容安全问题，SCM平台采用先进的深度智能内容分析和协议识别等技术，提供全面精细的网页过滤、敏感信息监控、全程网络行为监管及网络流量分析管理，实现动态、多层次的网络内容安全管理。

基于宁夏移动WLAN内容安全管理需要解决的问题，SCM平台的具体解决方案如下。

3.1 深度Web过滤

通过SCM系统内置的全面中英文网页过滤数据库，包括超过1000万条的URL，多种精细分类（如不良言论、色情暴力、网络“钓鱼”等）；实现全面、准确、高效的不良、高风险网站过滤。同时SCM支持自定义关键字库，系统可对网页页面内容、搜索引擎、邮件、论坛、即时通信等进行基于内容关键字的准确检测、过滤、报警和记录，实现深度内容安全管理。

同时，SCM系统可以通过云安全中心及时更新URL分类数据库和网络应用协议数据库，提供全天候的内容安全管理。对于浏览存在于URL数据库的URL，管理人员可以选择“告警”，“记录”和“阻断”等3种方式，无论选择哪种方式，相关日志都会被存储起来，如图1所示。

3.2 网络行为管理

SCM系统支持基于IP地址、用户/用户组、协议、时间、关键字等多种组合策略，对邮件、论坛、即时通信、在线视频、P2P下载、网络游戏、炒股、文件上传下载等行为进行全面监控管理。

对于网站访问行为，记录包括源/目的IP地址、访问时间、URL、网页浏览时间等，并提供网页还原功能，如图2所示。

图1 SCM系统根据URL数据库记录的日志

图2 通过SCM平台的站点访问事件

3.3 全面信息外发管理

SCM系统具有灵活的信息外发管理功能，支持基于时间、用户、内容关键字、协议等多种条件组合，对邮件收发（WebMail、SMTP、POP3）、论坛、即时通信、文件上传下载（HTTP、FTP）等进行全面信息外发管理，提供实时告警、阻断和信息还原功能，避免网络信息外泄、非法言论传播，并提供多种事件分析报表(包括网页浏览、电子邮件、网络言论、网络应用等)，方便事后分析取证。对于开启协议还原的网络言论，如图3所示。

3.4 多维度精细流量管理

SCM系统支持基于协议识别的流量管理功能，可限制P2P（如迅雷、eDonkey/eMule、BitTorrent等）、在线视频（如PPLIVE、PPStream等）动态协议，更加精确可靠；系统采用全局维度（协议/端口）、局部维度（源/目的IP地址、网段）、时间维度（时间）、流量纬度（优先级、最大可用带宽、最小保证带宽）等流量控制四元组，实现基于内容、面向对象的流量保护策略。对于WLAN用户，通过合理分配网络带宽，可以保证每个用户的正常上网。分配策略如图4所示。

3.5 集成高性能防火墙

SCM集成高性能防火墙，为WLAN管理员提供更完备高效的网络访问控制和网络行为管理。系统采用智能状态检测技术，可实现基于源/目的IP地址、协议/端口、时间、用户、VLAN、安全区的访问控制；并提供基于策略的NAT、端口PAT，支持多种协议包括OSPF、DNS、DHCP、VLAN、SNTP等。如图5所示。

4 总结与展望

图3 通过开启论坛协议还原的日志

综上所述，SCM系统可以监督并管理WLAN上网中存在的内容安全事件。通过SCM云安全信誉库，可以极大地提高网页浏览的安全性；同时，可以对网页浏览、网络行为、信息外发、流量分配、防火墙进行多维度的过滤、记录或者告警；另外，开启协议还原功能，可以帮助管理人员事后对WLAN网络的内容安全事件进行取证。SCM系统提高了WLAN用户上网的安全性，并提供了全程的内容审计，实现了绿色上网，保证了WLAN的和谐建设。

图4 SCM对流量的限制

图5 SCM系统的防火墙配置

[1] Nsfocus. NSF-PROD-SCM-V5.6-WH-产品白皮书[EB/OL].http://www.nsfocus.com/, 2011.

[2] 中国云计算网. 云计算带来全新的互联网安全[EB/OL].http://www.cloudcomputing-china.cn/, 2011.

[3] Eric Ouellet等著，张颖等译. 构建Cisco局域网[M]. 北京：科学出版社, 2003.