上海铁路局互联网出口安全与优化部署方案

怀 真 上海铁路局信息技术所

上海铁路局互联网出口安全与优化部署方案

怀 真 上海铁路局信息技术所

当前，上海铁路局职工访问互联网的习惯正在发生变化，从最早使用PC、有线局域网，到更多使用移动终端、WLAN来进行办公，如果过度开放的上网环境会带来各种问题，例如工作效率低下、WIFI热点违规使用、带宽滥用和浪费、WLAN安全隐患、数据泄密、网络违规违法等，因此有必要在上海铁路局各单位互联网出口处部署一整套针对上述各种问题的安全与优化的解决方案，保证网络资源得到充分和安全的利用、上网行为得到有效的管理。

互联网出口；安全与优化；网络资源；上网行为

1 概况

上海铁路局是中国铁路总公司下属的特大型运输企业，日常工作中，铁路职工需要使用互联网与外界取得联系，很容易导致国家铁路机密信息、工作秘密及商业秘密等内部敏感信息泄露；工作间歇时间，部分铁路职工通过互联网观看在线视频、玩在线游戏、浏览违规网站或论坛等行为得不到有效遏制。因此，需要在上海铁路局各单位互联网出口处部署一整安全与优化系统，实现上网行为管理、上网安全防护。

图1 系统结构图

2 实施方案

本次方案采用上网行为管理设备两台、网络安全防护与监控设备两台、负载均衡设备两台、日志收集和监控服务器一台，部署位置如图1所示。

2.1 设备功能介绍

2.1.1 互联网出口负载均衡器功能介绍

HA部署两台负载均衡AD设备，实现内网用户访问外网资源时的智能选路，并且针对链路做健康检查，避免因为一条线路异常造成访问中断，给内部用户提供更好的上网体验。

2.1.2 网络安全防护与监控设备功能介绍

HA部署两台网络安全防护与监控设备于互联网出口，针对用户的上网终端提供2-7层的安全威胁过滤、木马恶意流量检测、僵尸网络肉鸡检测、入侵防御安全防护功能，同时开启网络安全监控功能，监控包括：入侵攻击、网络层攻击以及僵尸网络攻击，实现网络安全的可视化实时监控；

2.1.3 上网行为管理设备功能介绍

HA部署两台上网行为管理设备于互联网出口，针对有线网络终端和用户提供接入认证、权限控制、合规审计；此外，还针对有线用户、关键应用、流量控制等功能提供全局统一的带宽控制策略。针对无线接入的用户，可以做身份准入，行为监控审计、流量控制等。保障有线、无线网络更加高效、安全可靠的运行。可以检测出用户私自接入无线路由设备，降低单位网络风险。可以对重要用户设置带宽保障功能，保障重要用户网络体验和重要业务顺畅运行。

2.1.4 日志收集和监控服务器功能介绍

为了加强对上海铁路局互联网出口设备的系统日志的收集和监控，同时满足日志保留时间6个月以上的要求，需配置一台日志收集和监控服务器。

3 方案的现实意义

在上海铁路局各单位互联网出口处部署一整套安全与优化系统，具有如下11个现实意义，从而给上海铁路局职工提供一个更安全、更高效的上网环境。

3.1 网页过滤策略

上班时间从事私人活动，管理者却难以阻止，如上班时间浏览购物网站、上微博、论坛发帖等。上网行为管理设备能针对不同用户(组)提供基于角色的管理方法，让管理者实现指定用户和部门在工作时间只能访问特定的网站，例如行业信息网站、公司门户网站等，而其他未经允许的网页浏览都将被拒绝。

3.2 IM（即时通讯）聊天软件的管理

上班时间使用QQ、MSN等私人聊天，不仅影响工作效率，还可能因IM传文件而引入病毒和向外泄密。面对的众多IM软件，上网行为管理设备通过检测应用数据包的特征字段，实现对IM聊天软件的管控，提升工作效率。

3.3 全面的行为管理

网页过滤、IM聊天等管控只是内网行为管理的一部分。面对用户上班即挂机下载，搜索最新网络新闻、图片，上班时间更新博客、上传图片、看在线视频、网络游戏等问题，上网行为管理设备支持应用识别规则库，包含1 500多种应用，对员工上网行为进行全面管理。

3.4 上网时间管理

上网行为管理设备通过为不同部门、不同用户，基于时间段进行权限分配，也可以限制用户一天内总的上网时间，实现人性化管理。支持设定一定的上网时间值，当用户超过这个阀值时，将自动弹出提醒页面，提醒员工上班时间注意提高工作效率，不要从事与工作无关的网络活动。

3.5 带宽动态调节

上网行为管理设备支持动态流控功能，通过设定阈值，实现当整体带宽利用率过低时自动调整释放更多的带宽资源，让带宽得到有效利用，避免浪费，比传统单一、死板的流控方法更有效的提升带宽利用率。

3.6 带宽统计和管理

上网行为管理设备数据中心对内网用户的各种网络行为进行统计并形成趋势和报表等。借助图形化报表、曲线和统计结果，可以帮助IT管理者轻松掌控网络行为分布和带宽资源使用等情况。

同时，上网行为管理设备基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智能流控，细致划分与分配带宽资源，如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行为得到带宽保障，提升整个机构的带宽使用效率。

3.7 关键词过滤

在部署上网行为管理设备后，通过定义关键字的方式，实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤，从而避免敏感信息泄露问题给企业带来经济损失。同时，有效防止不良信息外发行为，避免引来法律纠纷。即使发生了不良信息外发行为，也能够通过对内网用户上网行为实施记录审计，能够在发生网络违法事件的时候通过审计日志追查相关责任人，避免由企业承担相应法律责任。

3.8 防病毒、木马

内网用户在访问internet时，常常会无意中下载到一些包含恶意病毒的文件，这些病毒程序通常是极具破坏力的，严重时会造成计算机系统的崩溃，使员工无法正常工作。而如果在上网过程中使用上网安全桌面，则可以有效的防止这些病毒程序对本机造成破坏。

3.9 拦截不良网页

上网行为管理设备内置自动更新的海量URL库，包括色情、反动等分类，潜藏在此类网站中的威胁将被AC过滤；AC允许用户手工添加新URL分类；再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字，实现对各类网页的全面过滤，降低内网用户访问不良网页和危险网页的可能。

假冒网上银行的钓鱼网站、加密的反动网站等，显示"加密化"已经成为趋势，而业界多数设备无法对SSL加密网页进行管控。AC通过证书验证链接黑白名单技术，过滤含有不可信任数字证书的SSL网站，实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。

3.10 智能的DOS攻击防护

网络安全防护与监控设备采用自主研发的DOS攻击算法，可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等，实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护，实现L2-L7层的异常流量清洗。

3.11 文件传输控制

针对QQ、MSN等IM软件的病毒，通过引诱用户下载指定文件或打开指定URL链接而传播；上网行为管理设备的“拦截不良网页”措施将避免用户访问含病毒URL地址；上网行为管理设备还可限制使用QQ、MSN等传递文件。

通过HTTP、FTP从互联网下载的文件，往往打开或运行后导致用户电脑感染病毒、木马，甚至瘫痪。该风险“感染点”还会伺机爆发，感染更多用户，使整个网络瘫痪。而此类行为和流量经过上网行为管理设备时，上网行为管理设备首先限制用户通过HTTP、FTP上传下载指定类型的文件，对于允许传输的文件，上网行为管理设备的网关杀毒功能将查杀该文件中潜藏的病毒、木马。

4 结束语

通过在上海铁路局各单位互联网出口处部署一整安全与优化系统，可提升铁路职工的工作效率、提升上海铁路局互联网带宽的利用率、避免敏感信息泄露、保障终端安全。

[1]费宗莲.大型企业互联网出口安全防护实例[J].计算机安全,2005,(1)：57.

[2]姜新超.Internet出口安全[J].信息与电脑（理论版）,2013,(3).

[3]周贤禄,丰贵琼.浅谈上网行为管理系统在网络安全中的应用[J].中国信息化,2013,(4).

[4]李庭芳.员工上网行为管理探究[D].北京：北京大学,2009年.

责任编辑：王 华

来稿日期：2015-08-18