王斌,刘莹
(华东桐柏抽水蓄能发电有限责任公司,浙江天台371200)
上网行为管理,提升网络安全水平
王斌,刘莹
(华东桐柏抽水蓄能发电有限责任公司,浙江天台371200)
介绍了网络管理面临的问题与现状,上网行为管理的必要性和意义,桐柏公司对于上网行为管理的基本措施和基于深信服的AC1220上网行为管理装置的应用。
上网行为管理;网络安全;管理
网络的发展给我们的生活带来了便利,给工作带来了高效率,创造巨大价值的同时,也带来了一系列不可避免的问题,强化上网行为管理,提升网络安全水平是网络安全维护的必然趋势。本文主要介绍了桐柏公司在上网行为管理系统方面的应用。
桐柏公司的信息系统,主要包括内网和外网两个部分,内网是国家电网公司电力企业数据网,与普通民用的互联网在物理上完全隔离,主要业务是与生产有关的网络应用,包括生产运行实时监测系统(SIS)、视频会议系统、内网邮件系统、员工报销、ERP系统等。外网以统一互联网出口的形式与互联网联通,即桐柏公司通过网络专线连至浙江省电力公司的信通中心,从浙江省电力公司的信通中心出口与互联网连接,主要为桐柏公司员工因工作需要,与电力系统外单位的联系和资料查询所需的互联网服务。本文的上网行为管理,主要讨论的是针对外网的管理。
2.1.络管理面临的问题
网络的发展给我们的生活带来了便利,给工作带来了高效率,我们的生活和工作都已离不开互联网的应用,但同时,网络的开放性也给公司带来了更高的使用危险性、复杂性和混乱,主要包括员工工作效率低下、敏感信息外泄、公司面临法律风险、带宽滥用等。
2.1.1.络流量成负担
大部分企业单位,在公司内部对于网络流量的使用不设限制,经常有无序大型文件的上传下载,使得业务信息的应用无法得到有效的带宽保障。根据一份调查报告显示:28%的上网行为用在了BT,迅雷等P2P下载上,这些下载行为基本都集中在影视、娱乐文件上。由于P2P的设计原理使其形成了对网络资源的抢夺,使得网络中的其他应用无法得到应有的带宽,造成了网络拥堵,在线视频的兴起也加剧了带宽资源的消耗,致使重要业务无法正常开展。桐柏公司的统一互联网出口的带宽只有10 M,使用情况更是捉襟见肘。
2.1.2.络安全隐患
网络环境的复杂性、信息系统的脆弱性、开放性和易受攻击性,决定了网络安全威胁的客观存在,随着网上购物、移动支付的兴起,网络安全问题更是日益严峻,利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响了网络的正常使用。作为公司信息网络的管理者,我们不但要面对外来的破坏者利用网络暴力入侵,也要防止内部员工不谨慎的上网行为导致的误点带毒链接,访问不明网站等导致的病毒木马爆发。轻者影响网络的正常应用,重者造成数据丢失,系统瘫痪,重要数据和敏感信息被别有用心的个人或组织偷窃、破坏或删除。
2.1.3.律和安全风险
大部分企业内部员工的上网不受限制,但是他们在网上做了什么?对外发布了什么信息?企业单位完全不知情,也无记录可查询,一旦混杂着有害内容和违反法律的网络行为发生,造成大的负面影响,根据2017年6月1日正式实施的《网络安全法》,这将会给单位带来巨大的法律风险。
2.1.4.作效率难以提升
据一项调查显示,普通企业员工每天的互联网访问活动40%与工作无关。上班时间,炒股、聊天、游戏、网购、微博等都是普遍存在的现象。这种互联网的不合理使用必然导致员工工作效率的下降,同时员工也养成了不良的职业习惯。
2.1.5.容失控,泄密事件频繁发生
桐柏公司的主要工作在内网中进行,但内网用户是被默认为可以信任的用户,他们可以轻而易举的获取内网数据,如果不对外网行为加以管控,则可以通过各种途径,如邮件、qq等聊天工具,将内部数据外泄。
2.1.6.现网络问题后难以快速找到根源
当出口堵塞,网络访问异常时,通常难以在短时间内找到根源,只能通过网络层面的设备分析原因,简单的插拔网线,复位设备,以图解决问题。如果对网络上的行为有所统计,则可以分析故障发生前后,网络上发生了什么,有助于快速找到真正的原因。
2.2.柏公司对于上网行为管理的应用
强化员工的上网行为管理、保障网络资源的合理使用,避免人为的网络安全隐患、提升带宽利用率,不仅仅局限于网络安全管理,也与企业的管理和发展紧密联系在一起。正确的实施上网行为管理、确保网络安全,又要保障员工对于网络访问的合理需求,这不仅仅是技术层面,也是管理层面的问题。桐柏公司也确实是从管理手段和技术手段两方面着手的。
2.2.1.理层面
制定管理规定,国网公司制定了《网络与信息系统安全管理办法》,《信息安全等级保护管理办法》,新源公司制定了《信息安全管理标准》,桐柏公司制定了《信息机房管理制度》,《桐柏公司通讯机房管理制度》,《桐柏公司计算机监控系统分级授权管理办法》,《桐柏公司计算机监控系统移动存储设备使用管理办法》,《桐柏公司运维检修部设备专用计算机管理办法》等管理制度,从制度上规范员工的上网行为,明确哪些能做,哪些不能做。
桐柏公司落实责任人制度,各专业设备都指定了设备主人和A、B角,通过对系统运维责任的分解,做到责任到人,层层落实,对信息系统相关的服务器、网络、机房等运维责任均落实到个人并明确各负责人权限。禁止外单位设备接入信息内网,外来单位人员需要接入信息外网的设备均需审批备案。无论是内网电脑还是外网电脑,都明确负责人,分配IP地址与MAC绑定,保证电脑在指定的位置由指定的人员使用。
为合理分配网络资源,对于使用外网频繁的员工,配发外网电脑至个人;大部分员工工作时不需要使用外网的部门班组,则配置公用的外网电脑,以便有要事急需上网的员工使用。
2.2.2.术层面
桐柏公司的统一互联网出口,其拓扑示意图如图1所示。
图1.柏公司外网拓扑示意图
为了严格的遵守网络安全的标准,我们在互联网出口处设置了两层防火墙,第一层为迪普的传统防火墙,作用为实现NAT地址转换并设置ACL实现访问控制;第二层为启明星辰的天清汉马系列的下一代防火墙,实现web应用控制的访问;再下面连接了迪普的入侵防御设备,型号为IPS2000系列,能够更好的去检测病毒和攻击行为并去防御;以上设备都是为了防御一些攻击行为和病毒,但是对一些内部的客户端的限制很少,所以我们又采用了深信服的上网行为管理,一方面是为了限制一些客户端流量,此外更多的是对一些客户端的应用访问控制,并去进行网络分析。与本论文内容相关密切的就是深信服的AC1220上网行为管理装置,其主要实现的功能主要包括以下方面:
1)网页访问过滤
互联网上的网页资源非常丰富,如果员工长时间访问购物、财经、娱乐等于工作无关的网页,将极大的降低工作效率,访问一些不明网站或高风险提示的网站,则会带来较大的网络安全风险(病毒、木马等)。
所以,我们制定网页访问过滤策略,过滤非工作相关的网页。同时,该策略可以个性化定制,比如,普通员工不能访问购物网站,但计划物资部需要进行物资采购的员工可以通过指定的电脑访问相关的购物网站进行查询。
2)网络应用控制
聊天、看电影、玩游戏、炒股等,网上的应用也是五花八门,如果员工在工作时间使用这些应用,也会降低工作效率,并可能造成网速缓慢、信息外泄的可能。
对此,我们制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事。
3)信息内容审计
发邮件,聊天,访问论坛,发微博,都是常见的网络行为,然而,信息的保密性、健康性、政治性的问题也随之而来。
所以,制定有效的信息收发监控策略,可以有效的控制关键信息的传播范围,避免可能引起的法律风险。
4)上网行为分析
随着互联网上的活动越来越频繁,掌握员工的互联网使用状况可以避免很多潜在的风险。
5)日志管理
可以通过对日志的分析,了解整个网络系统的运行情况,方便快速定位和排除故障。
通过管理层面和技术层面的努力,桐柏公司对公司的互联网应用进行了有效的上网行为管理,规范了员工的上网行为,排除了网络安全隐患,抵御了潜在的网络安全风险,自G20峰会前安装上网行为管理装置,系统已运行大半年,期间未发生被通报的网络信息安全事件。可见该系统的应用,有效的提升了桐柏公司的网络安全水平。
[1]何牡.计算机通信网络安全维护措施分析[J].通讯世界,2015(15):15-16.
[2]杨曙光.计算机信息管理技术在网络安全中的应用[J].网络安全技术与应用,2015(04).
[3]深信服科技有限公司.上网行为管理技术手册[Z],2010.
[4]陈兵.网络安全[M].北京:国防工业出版社,2012.
[5]北京天融信有限公司.上网行为管理系统产品白皮书[Z],2009.
TP393.08
B
1672-5387(2017)09-0072-03
10.13599/j.cnki.11-5130.2017.09.025
2017-06-19
王斌(1979-),男,高级工程师,从事继电保护和信息运维工作。