上网行为管理审计在消防院校网络管理中的应用研究

◆杨浩程

（应急管理部消防救援局昆明训练总队 云南 650208）

原公安消防部队目前已全部退出现役，调出公安系统并转制为国家综合性消防救援队伍，划转应急管理部领导管理。消防救援队伍原先使用的金盾网将不再使用，改为接入国家电子政务外网。而消防院校随着改革推进，院校的教学、科研、管理、后勤保障等工作也需要依托网络特别是互联网来开展。

1 消防院校网络变化特点

随着消防院校离开军队和公安体制，院校内部人员原有的网络使用管理规章制度不再适用，网络也以使用金盾网为主变为以使用互联网为主，且随着时代变化，对网络依赖程度不断提高、移动互联网发展、无线接入设备数量增多、网络用户身份多样化，网络使用行为日趋复杂化，消防院校面临的网络安全隐患威胁日益严重。

2 消防院校网络面对的问题

2.1 网络用户身份复杂

消防院校内人员较密集，使用网络的用户除学校行政人员、教师、学员、消防员外，还可能有后勤保障服务单位的员工、临时来校人员等等，用户身份多种多样。

2.2 入网设备类型多样

随着无线上网设备的增多，接入网络的设备包含服务器、PC、平板电脑、手机等。一些设备是消防院校内部的固定入网设备如工作业务用网络终端等，但是也有大量的网络用户个人设备接入到网络中。同时还有大量的网络用户采取私接无线路由器的方式进一步将网络覆盖进行未经校方批准的拓展。入网设备类型多种多样，数量难以准确统计。私自拓展的网络更是导致消防院校面对遭受来自内部的网络攻击风险和隐患，使得校园网络出口处的网络安全防护设备成为摆设。

2.3 用户上网行为及目的复杂

随着网络时代的到来，整个社会全面触网，消防院校退出军队体系后，对网络使用管理将进一步放开，网络用户数量剧增。消防院校的网络用户除了正常的工作学习信息查询处理外，还存在大量的网上购物、游戏、社交、邮件、下载、个人金融、在线音视频等常见业务数据，甚至存在网络赌博、网络借贷、发动网络攻击、违规访问境外非法网站、在境内外网站发表不当言论等可能。国家综合性消防救援队伍执行“两严两准”建设要求，消防院校网络一旦出现问题，将严重影响消防救援队伍的形象。

2.4 流媒体、P2P 数据泛滥

随着入网终端的增多，特别是移动智能终端的增多，在消防院校网络内的数据流量除了正常的工作业务数据外，还有大量的下载、视频点播、视频直播、视频通话及P2P 数据流量。随着网络应用和入网终端的发展，视频类应用的清晰度及码流将不断提高，随之而来的将是视频数据流量的大幅增长；此外还有基于P2P 的数据传输，如果入网终端持续开启P2P 服务，除了在下载期间产生下行数据流量外，在无下行数据期间还将持续上传数据。以上数据将大量耗费挤占消防院校网络出口带宽，造成日常工作业务和普通上网浏览数据传输缓慢，严重时甚至会导致正常业务数据中断，外网对消防院校内部网络访问也将中断。

2.5 否认操作行为

经过消防院校的网络发生网络泄密、网络违法、违纪行为时，相关网络终端及网络用户难以定位查找。当查找相关网络终端及网络用户时，网络终端及用户可能只是临时性接入网络，发现违规行为时相关人员与终端已无从查找。即使作为院校内部固定入网设备，也存在相关上网操作记录被自动或人为清除，数据恢复困难，痕迹无法检测，进而导致网络用户可以随意否认曾经发生的网络操作行为。因无法准确确认网络违规行为的责任人，最终导致相关调查工作只能确定到校园网内，而无法找到和彻底清除网络内部的安全隐患。

3 应对措施

由此需加强消防院校网络的上网行为管理和审计措施，以预防网络安全管理事故的发生，即使在发生利用消防院校网络的违规事件发生后，也便于开展相关调查处置工作。除了平时加强消防院校网络安全宣传教育工作外，还应当在相应网络出口、网络应用系统服务器区入口部署有关上网行为管理及审计设备，以技术手段来加强网络的安全管理。

3.1 网络用户身份认证及权限控制

上网行为管理设备可对所有网络用户进行接入身份认证，确保网络用户在消防院校网内有唯一的身份。可对消防院校行政人员、教师、学员、消防员等人员分配个人入网账号。对于后勤保障服务单位的员工，经申请后可允许接入校内网络访问后勤保障系统部分资源，也可允许其利用校内网络访问外网资源。以上人员入网可以采取本地认证的方式来进行，具体可采取Web 认证、用户名+口令认证、IP/MAC/IP-MAC 绑定、USB-Key 等方式。

对于临时来校人员，原则上不允许接入校内网络，但若为外来访客且确需利用校内网络访问外网的，可允许在通过身份认证后在一定时长内临时接入。对于此部分人员上网身份认证，应当避免复杂的临时账号申请流程，改由通过短信或微信认证的形式来实现。

3.2 入网设备管理

目前许多家用级无线路由器已能对常见接入设备的类型和品牌型号进行识别，同理上网行为管理设备应能提供对私设无线AP 或代理服务器的识别功能，并能自动升级拓展识别库。发现未经允许联网的无线路由器等设备就阻断其通信，避免蓄意通过非法AP 绕过身份认证接入网络，杜绝非法的设备接入。

3.3 用户上网行为审计分析

管理员可利用上网行为管理设备对网络用户的上网行为进行监控及在线管理，如对当前网络用户访问的网址进行基于地址库的识别，判断网站类型，识别用户目的。如发现干部、学员、消防员经常访问赌博网站、网贷网站等，可提示对其个人加强监管，以免造成不良后果；也可对工作时间内网络流量数据进行统计，分析工作时间内相关人员工作效率情况。此外还应能对IM聊天、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等进行监控分析，如对关键词或传输的zip、doc、ppt 等文件类型进行监控记录，避免泄密。目前很多网页使用SSL加密，如Google 搜索、QQ 邮箱、甚至赌博网站，为避免用户通过SSL 加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息，上网行为管理设备最好能对此类加密应用进行识别，但网银等涉及个人隐私的操作不得进行监控。

3.4 流量控制

针对流媒体、P2P 流量泛滥影响正常工作业务的问题，上网行为管理设备应对流媒体、P2P 等流量进行抑制，使其限制在指定的范围之内，优先保证正常工作业务的带宽需求。可采取按用户分组、按网络应用、按协议、按时段等多种方式对网络带宽进行合理分配，既保证正常的工作需求，又提高网络带宽使用率，满足用户工作、生活、娱乐等多种需求。除满足传统的网络业务流量控制外，上网行为管理设备还应能升级支持包括移动APP在内的新网络业务数据流量的识别和控制功能。

3.5 用户操作日志审计与存储

对于每一个用户、每一台终端的网上操作，上网行为管理设备应能生成相应的日志并进行存储。如记录存储网站访问快照、聊天记录、论坛微博记录、文件传输记录等，相关的网络日志存储不少于6 个月。基于上网行为大数据对用户操作行为进行分析，除掌握用户网络使用情况外，更可在发生网络安全事故时，可根据相关日志精准追溯调查。

4 结束语

除使用上网行为管理设备外，还应当采取加强网络安全宣传教育、定期开展网络安全检查、使用多种网络安全防护设备等手段加强消防院校的网络安全工作，避免出现严重的泄密或违纪违法网络安全事故，维护消防救援队伍的良好形象。