网络行为管理在企业局域网中的研究与应用

曹义新

［摘要］ 从一个典型企业局域网的现状出发，提出当前网络行为管理难点并加以分析，借鉴成熟的信息化建设管理经验，进一步研究并探索网络行为管理在其拓扑结构中的规划设计和实施应用，对应用后的企业局域网进行评估，最后给出思考和展望。

［关键词］ 网络行为管理；企业局域网；网络监控

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 036

［中图分类号］TP393；F272.7［文献标识码］A［文章编号］1673 - 0194（2012）10- 0063- 04

随着网络与信息技术的飞速发展和广泛应用，企业信息化的进程日新月异。企业局域网从早期的文件共享、文件传输、静态网页浏览及Ｔｅｌｎｅｔ命令等内容单一、静态简单、小规模较为封闭的应用模式，逐步发展到包括Ｅ－Ｍａｉｌ、ＥＲＰ、ＯＡ、ＣＲＭ、视频会议、ＶｏＩＰ、电子商务等内容丰富、动态复杂、大规模日益开放的应用模式，成为提升企业核心竞争力的基础设施和必要保障。

企业信息化高速发展的另一方面，即带来的管理难题也越来越突出，其中重中之重就是如何保证企业局域网应用性能和安全已经成为困扰企业高效管理且亟待解决的主要问题之一。网络行为管理在这种背景下应运而生，并逐步成为目前国内外网络与信息研究领域的热点方向之一。

研究小组从一个典型企业局域网的现状出发，提出当前网络行为管理难点并加以分析，同时借鉴成熟的信息化建设管理经验，从而进一步研究并探索网络行为管理在其拓扑结构中的规划设计和实施应用，对应用网络行为管理后的企业局域网进行评估，并给出思考和展望。

１企业局域网中网络行为管理难点的提出与分析

目前，典型的企业局域网在网络运维和带宽控制等网络行为管理方面面临以下问题和挑战。

１．１ 企业局域网历史遗留问题带来的负面影响

典型的企业局域网往往都是在早期简单的局域网基础上逐步扩建起来的，其扩建过程中随意性很大，给网络行为管理的应用带来了极大困难。网络行为管理的应用要求企业局域网具有透明性，管理节点要求落实到网络终端设备，最好与使用管理人员相对应，要有网络与信息安全策略等。具体来说，有以下几方面的整合改造：①网络终端设备要尽量使用固定ＩＰ地址，网络中各级ＩＰ地址分配策略尽量使用静态分配策略，最好是网络终端设备的ＩＰ地址和ＭＡＣ地址相邦定，也可以在核心交换设备上使用８０２．１Ｘ协议等认证授权技术手段来实现管理节点与使用管理人员相对应；②企业局域网中尽量不要使用路由器等网络转发设备，以防降低网络行为管理的可追溯性，同时也要做好ＮＡＴ管理工作；③针对具体企业部门尽量划分在一个逻辑ＩＰ地址段内，地理位置不同的企业区域采用不同数字开头的私有ＩＰ地址群显著标明，以有效阻断网络风暴及ＡＲＰ病毒等在全网传播；④做好杀毒防黑等网络与信息安全工作，建立健全ＩＰ地址与使用管理人员关系表并加以动态完善，这也是实施网络行为管理的基础性工作。

１．２ 企业局域网流量负担大，带宽恶性占用现象严重

当企业信息化浪潮向纵深方向发展的同时，网络应用模式的巨大转变给企业局域网的承载能力带来了不可估量的压力。①当前的Ｐ２Ｐ和视频点播软件具有端口模拟、数据包伪装、超线程下载等高占用带宽网络技术的应用，造成各部门高配置ＰＣ在使用这类软件时占据几兆甚至几十兆的带宽是常见现象，并且这些下载、点播里面９０％以上都是与工作学习无关的内容，而对行政干预手段来说也是“真空地带”，不能达到预期效果，这就将会人为地产生针对带宽等网络资源的竞争现象。而企业局域网中各个应用在拥塞的广域网链路上展开带宽之争时，非关键型应用往往总是占据上风，从而导致网络带宽的有效使用率非常低，企业信息化系统的ＲＯＩ（投资回报率）随之也降低，同时也将严重阻塞企业局域网关键业务的开展和应用。②当前企业局域网对于网络行为的管理手段仅限于各类交换机和防火墙等，而这些设备都是通过端口、协议号来进行应用区分的，无法进行高效的网络应用层面的管理。现在大量的病毒和恶意软件可以选取随机端口或者进行包伪装，这些特点使管理调整手段失去了效力，成为企业局域网内经常出现网速忽快忽慢现象的原因之一。随着这类软件的发展，可能会发生正常应用软件在使用时会有很大延迟甚至因为找不到服务器而中断的现象，这是严重的非人为带宽恶性占用表现。

针对网络速度慢、带宽资源紧张的问题，最容易的解决方法是不断增加企业局域网及广域网的链路带宽，加大网络带宽投资。但是，这是一种很大的浪费，治标不治本，不能从根本解决上带宽不足的问题，因为扩充的“道路”依旧会被更多的流媒体、网络游戏和Ｐ２Ｐ下载等固有不利因素所吞噬。

１．３ 网络与信息安全方面存在诸多隐忧

网络与信息安全是企业信息化工作的重中之重，是信息化建设体系的前提和基础，更是伴随着信息化建设过程整个生命周期中始终必须严抓的关键环节，从这个角度来说，杀毒防黑是企业局域网中必须认真考虑的一个重要事情。

目前，在网络与信息安全方面存在诸多隐患有：①存在病毒、蠕虫、蜜罐、僵尸网络、摆渡软件等恶意流氓软件在企业局域网中快速广泛传播的可能，其特点是在企业局域网内部开始发作，并占用大量的网络带宽资源及系统资源，严重影响用户的正常访问甚至导致全网瘫痪；②网络黑客入侵无处不在，可以通过微软操作系统漏洞或员工电子邮件等渠道悄悄进入，然后发起攻击。攻击发生的时候，可能的情况是企业局域网内的几台中毒ＰＣ机同时往上游某些服务器发送大量攻击包，使得这些服务器不胜负荷而倒下，同时也阻塞了广域网通道。面对这种困境，企业局域网中通常采用的防火墙＋ＩＤＳ的解决方案显得无能为力。

１．４ 跨地域的企业区域间的连接经常拥塞甚至中断，关键应用得不到保障

企业往往有总部和若干个分支机构等地理区域，它们之间主要通过ＶＰＮ链路或专线进行互联互通。如果区域间的连接经常拥塞甚至中断，关键应用得不到保障，这将严重影响到企业的正常运营，不可避免地造成经济利益上的重大损失。

因此，企业迫切需要在局域网中添加配备“关键应用保障引擎”，平时监控整个网络中是否有异常、隐患、甚至是网络灾难爆发的预兆，而在网络灾难爆发的时候能够确保关键应用的“维生通道”，确保关键应用在任何时候都不受影响。

１．５ 企业局域网中网络行为的可追溯性得不到保障

目前企业局域网中网络行为的可追溯性得不到保障，主要是没有完善的日志记录存储系统。网络行为管理应该详尽记录用户的上网轨迹，做到网络行为有据可查，满足公安部及工信部等主管部门对网络行为记录的相关要求，规避可能的法规风险。

１．６ 企业文化和人本问题等人文因素亟待和谐发展

优秀企业文化对提升企业核心竞争力是异常重要的，对巩固和优化企业局域网的网络行为管理来说也同样重要。网络行为管理从管理学的理论角度来说，是可以完美解决的。如果员工拥有正确的上网动机及良好的信息化专业素质，强化自律意识，营造良好的企业文化氛围；企业拥有完备的企业局域网规章制度管理体系，特别是例如ＩＰ地址等信息网络资源的管理制度和高度自觉的“企业执行力”，优秀的企业法律意识，网络行为管理从技术层面上来说就变得简单易行。一个企业家的哲理震撼了研究小组，他说：“当企业遇到难题的时候，我首先想到的是用管理的方法解决这个问题。只有用管理的方法不能很好地解决这个问题时，我才考虑用工程的方法，因为采用管理的方法成本最低”。科学的管理能真正提高企业的运营效率，但科学的管理需要管理科学。

人本问题也是企业文化发展的重点问题之一，“以人为本”和谐发展企业文化是当前发展方向。为了给员工一个宽松的网络环境，给员工的工作创新提供一个崭新平台，企业局域网规章制度管理体系不能过于呆板，以防抹煞员工工作创新的积极性，延缓企业文化的发展进程；另一方面企业员工的隐私权也要得到一定的保护，员工不希望自己的隐私在任何情况下被他人获知，企业也不想自己的商业机密被泄露，所以一个相对安全的企业局域网环境是必要的。辩证地处理好企业文化和人本问题等人文因素之间的关系，更要加强网络行为管理技术层面的研究和应用探索，使其和谐发展。

总之，目前企业局域网管理混乱的现状，既有历史遗留原因：例如随意扩建和动态ＩＰ地址分配策略等，也有管理上的因素：例如员工的不自觉行为甚至是恶意行为，还有网络上的病毒和黑客入侵等，甚至是企业文化的不良因素导致的。因此要确保企业正常工作和关键业务安全高效运行，在显著提高企业生产效率的同时保障企业信息化系统的ＲＯＩ，就要从根本上解决上述问题。

２网络行为管理在典型企业局域网拓扑结构中的规划设计和实施应用

典型企业局域网包含上述问题产生和存在的客观特征因素，网络拓扑架构采用双核心交换的热备模式接入，正常情况下由主核心交换机承担全部任务，只有在主交换异常的情况下，热备交换机才起到数据传输的作用。网络拓扑架构中有两个地理区域，其间用相对可靠的１０Ｍ专线连接，网络中还存在ＶＰＮ等关键应用等，具体网络拓扑架构如图1。

经过分析讨论后考虑网络行为管理设备的接入方式为：①在各地理区域中主核心交换机和ＵＴＭ之间桥接一路，对用户的上网行为起到监控作用；②ＶＰＮ单独一路桥接，这是对上网行为监控作用的补充；③地理区域间专线的桥接，这是对内部关键应用的监控和保障，可以桥接在专线的任意一端，考虑到两台网络行为管理设备的负载均衡，让每台网络行为管理设备有两路物理桥接。网络行为管理设备为透明设备，只需桥接在企业局域网中就可以了，改造后的网络拓扑架构如图2。

改造后的网络拓扑架构需要完善和改进的地方还是存在的，主要有以下几点。

２．１ 改造后的网络拓扑架构中网络行为管理设备单点故障的规避

在典型企业局域网中网络行为管理设备接入的同时也带来了单点故障的可能。对于上述的第一种接入，网络双机热备的机制规避了单点故障；对于上述的第二种接入和第三种接入，就要求网络行为管理设备具有旁通（Ｂｙｐａｓｓ）的功能，才能规避单点故障，但网络行为管理设备旁通功能的触发条件等具体设置还需进一步探索和论证。

２．２ 网络行为管理设备日志记录的连续性问题

网络行为管理设备的日志记录一般要求具有连续性，对于上述典型企业局域网来说，备用核心交换机和网络行为管理设备旁通功能的启用都不能产生网络行为管理设备的日志记录，这个问题也需要进一步探索研究来寻找一个妥善的解决方案。

２．３ 网络行为管理设备对采用动态ＩＰ地址分配策略的网络终端设备在监控管理上的问题

在典型企业局域网中对必须采用动态ＩＰ地址分配策略的网络终端设备来说，网络行为管理设备不能通过ＩＰ地址与使用管理人员关系表来定位，其可追溯性存在一定问题。目前拟采用绑定网络终端设备的ＭＡＣ地址或在网络终端设备上安装客户端软件使用８０２．１Ｘ协议等方式来弥补，这个工作还在论证当中。

２．４ 网络行为管理设备的选型问题

对典型企业局域网来说，怎样选用最适合的网络行为管理设备是不可忽视的重要前提工作，选型恰当合适，不但能有最好的性价比，而且还有事半功倍的效果。目前国内的网络行为管理设备主要有网派、深信服、网康、网帅、启明星辰等等一些品牌，具体的型号和功能也各具特色，选型工作比较复杂。目前采用试用设备的方式，使用效果良好。选型工作也还在论证当中。

总的来说，虽然对典型企业局域网改造后的状况需要思考和改进的地方是客观存在的，但网络行为管理整体功能和性能达到了预期目的。

３对具有网络行为管理功能的典型企业局域网进行应用评估

对具有网络行为管理功能的典型企业局域网进行应用评估主要从功能和性能两方面入手。在功能上，要能达到基本解决现有的监控“真空”问题，改善上述网络行为管理难点问题；在性能上，要求能对局域网具有“自适应”应变能力，在网络稍有异常的情况下还有较好的性能。另外，对具有网络行为管理功能的典型企业局域网进行风险评估也具有必要性。总地来说，目前评估的结果为良好。

两种网络行为管理设备在典型企业局域网中的软件应用界面见图3。

４思考和展望

虽然在上述典型企业局域网中网络行为管理的监控功能已较为完善，但审计功能有待进一步发展。网络行为审计和具体的企业文化有关，又分为事先审计和事后审计，导致不同的网络行为审计控制策略，所以不同的企业局域网网络行为审计的方式和内容都不一样。目前从技术上来说定制企业自己的网络行为审计控制策略没有技术难题，但怎样梳理企业有关规章制度及转换成网络行为审计控制策略的过程比较复杂困难。

网络与信息技术始终飞速发展，网络行为管理技术也要定期更新。应用协议特征库的定期升级就能保障网络行为管理技术的时效性。目前大多数网络行为管理设备都提供收费的应用协议特征库定期升级服务，但应用协议特征库的匹配准确率还有待于进一步验证。

网络行为管理系统每天产生大量的日志，而如何将有用的数据在极短时间内从海量数据中过滤出来，让管理员能在有效的时间段内发现网络中出现的问题，就需要报表分析功能，通过丰富的报表工具，管理员可以根据企业局域网的现实情况和关注点定制、定期导出所需的网络资源使用情况、员工工作情况等报告，形成网络行为管理策略调整的依据。目前网络行为管理设备报表分析功能还有待于进一步完善。

５结束语

保证企业局域网的网络与信息安全最重要的不是运用一种或几种成熟的安全防御和网络行为管理技术，而是思想上的高度重视。企业局域网的安全必须依靠企业树立“三分技术，七分管理”的思想，并制定相关的网络管理策略和规章制度，形成良好的企业文化以促进企业局域网和谐发展，形成一个真正意义上的全方位多层次宽领域的网络行为管理体系。

主要参考文献

［１］蔡皖东．网络与信息安全［Ｍ］．西安：西北工业大学出版社，２００４.

［２］王群．计算机网络安全技术［Ｍ］．北京：清华大学出版社，２００８.

［３］方煜宗．上网行为管理产品的发展方向［Ｊ］ ．信息安全与通信保密，２００９ （９）.

［４］郭军．网络管理与控制技术［Ｍ］．北京：人民邮电出版社，１９９９.

［５］胡晓荷．上网行为管理，完善网络掌控［Ｊ］．信息安全与通信保密，２００６（１０）.

［６］那罡．管理行为 降低风险［Ｊ］． 中国计算机用户，２００６（19）.