◆杨浩程
上网行为管理平台在单位网络安全管理中的应用
◆杨浩程
(应急管理部消防救援局昆明训练总队 云南 650208)
当今网络应用越来越多,随之产生了工作时间访问与工作无关网站,工作效率低下甚至出现网络违法行为、泄露内部信息与机密的问题,本文就如何使用上网行为管理平台来加强单位的网络安全管理工作进行了探讨,供相关读者参考。
网络安全;网络行为审计
随着信息技术的飞速发展,计算机网络越来越多地被用于当代社会的工作、生活之中,无论是行政机构、军队、事业单位、社会团体、企业、个人都越来越依赖IP网络,在享受网络便利的同时,因为网络用户行为越来越复杂,基于网络的破坏、泄密甚至是犯罪等行为不可避免地越来越多,对一个单位网络的稳定性和安全性形成了严峻的威胁,在一些情况下还需要对网络行为进行溯源。利用专门的设备或信息系统针对本单位网络用户行为进行管理审计与记录的必要性日益凸显。
为了加强单位网络安全与稳定,笔者认为应分别从以下方面进行管理。
对于接入本单位网络的用户,应保证其合法性,这是对上网行为进行管理和溯源的基础。对于入网用户应采取多种方式进行认证。首先内部人员可以通过Web页面、ID+密码、指定IP、个人Key等方式进行认证,并记录用户接入相关信息,确保用户入网经授权且有据可查;其次应尽量避免外来人员临时性接入本单位内部网络,确实需要接入的,则应对其入网进行有效认证并记录,比如采取手机短信验证码、“微信”扫描等进行认证,确保入网记录可查。
对于接入本单位内部网络的设备,也应该进行严格的认证。服务器、交换机、打印机等设备,应当为其指定专门的IP地址,地址段与普通网络终端应有区别。对于单位内部人员,除使用PC等单位内部终端外,还可能同时通过手机、平板电脑等多个设备接入网络,可移动设备入网,也必须通过认证。同时为了避免私自在单位内部网络上架设的无线路由器导致接入失控的局面,最好是一方面单位内部主动提供WIFI接入;另一方面对入网设备采取IP与MAC地址绑定的方式严格限制设备的接入,或采用能识别市面上大多数无线路由器的网络接入控制设备,一旦发现无线路由器私自接入,即自动对其进行阻断。
上网行为管理平台,需对用户上网所使用的各种协议进行识别和分类统计管理。观察本单位网络协议主要有哪些,每一类协议持续时间和高峰时间是什么样的情况,如http、ftp、smtp、p2p等。在统计的基础上对单位网络流量进行分析,判断工作时段内是否存在大量的非工作业务流量,如发现工作时间内存在大量的流媒体或p2p下载流量,则代表正常工作业务所需网络带宽可能无法保证,影响正常地工作业务数据传输,在此基础上,上网行为管理设备应能针对每一个网络协议进行分时段的优先级与最大带宽限制,保证工作业务数据的优先传输。如工作时段内非工作业务数据流量过大,则提示可能存在单位内部管理松懈,消极怠工的情况。
上网行为管理平台,需要对网络用户访问的目标地址和网络流量进行识别和分类统计。上网行为管理平台应自带网址识别库和网络流量识别库,且可以定期更新,如对用户访问的网址进行统计识别,以掌握单位内部新闻类、搜索类、娱乐类、博彩类等网站在各个时段的访问量,以及诸如各类股票交易软件、游戏平台、OA平台的数据量,对本单位的网络业务流量进行综合判断。
上网行为管理平台,需要对单个网络用户的网络操作行为进行分类统计管理。网络用户的操作行为多种多样,除了日常工作使用外,还可能同时存在多种非工作业务数据。针对单个用户,如果在工作时段某个用户存在长时间的游戏、在线视频、股票交易等流量,则提示该用户可能存在工作效率低下的问题。如果发现个别用户长期访问赌博类、网贷类网址,对于政府和企事业单位,该用户存在一定程度的安全隐患,至少不应在财务岗位上使用该用户;如果该用户身份为学生,学校则应及时了解情况,对其加强相关教育与管理。此外,在日常统计中如发现某个用户经常通过VPN违规访问境外网站,则提示应对其网络操作行为加强监管,提前避免不必要的风险。
上网行为管理平台最好能对SSL加密应用进行识别。SSL协议广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,以避免通信在网络传输过程中不会被截取及窃听。目前越来越多的网页使用SSL加密,如网银、QQ邮箱、甚至部分赌博网站,而因为采用了加密技术,可能会无法对其内容进行识别管理,别有用心的用户可以利用这一缺陷绕过管理,通过SSL加密通信进行赌博、收发邮件、访问社交媒体、甚至是发布违法言论或者是向外发送单位涉密信息,导致管理漏洞。所以上网行为管理平台最好能对SSL加密通信进行识别,以实现对用户网络行为的有效分析与统计。
上网行为管理平台应能对通过单位网络访问主流搜索引擎进行分析,查看关键词搜索记录,以此判断当前单位内部的关注热点,并能对内部人员的上网操作行为倾向进行研判,提前掌握近期单位内部网络热点信息。
在网络使用过程中,当前各种即时通信软件和社交媒体所占流量也越来越多,如:QQ、微信、旺旺、微博、论坛等,此外还有工作或生活上的邮件业务往来。上网管理平台应能对这些即时通信和社交媒体、在线邮件流量进行较为完整的记录。如针对即时通信类的发信账户与收信账户、通信内容的记录,针对“微博”以及主流论坛的内网IP、发帖账号、帖子链接及内容等的记录,针对邮件的发件人账号、收件人账号、邮件内容等的记录。以上记录应支持关键词检索及基于关键词的自动告警等功能,并能进行快速的查找溯源。
在网络的日常使用中,还可能存在大量的文件传输流量,如通过即时通信软件、在线邮件、P2P客户端、“网盘”等进行文件的传输与共享。如果传输的文件中包含敏感信息,如院校、科研单位未公开的核心技术,个人隐私,企业的经济情报、财务资料、客户信息,各种人事任免信息,甚至是政府、军队的涉密信息,一旦外泄,将产生严重的后果。上网行为管理平台应能提供限制传输文件类型、单一文件大小、限制传输类型、限制文件收发地址、指定专门服务器等手段,对经内部网络的文件收发进行管理和监控并记录。如将包含doc、ppt、xls、zip等文件作为重点监控对象,在做好数据传输监控记录的同时,应提供可设定条件的泄密触发预警,及时发现泄密风险。在发现泄密风险后,可根据传输日志、关键词等,对可能泄密人员进行溯源,对泄密行为进行快速准确的追踪。
上网行为管理平台与网络防火墙的运行目的都是为了提升网络安全,网络防火墙用途是防范阻断外来的网络攻击为主,而上网行为管理平台主要是上网行为安全和内容安全进行管理,对单位网络使用情况进行统计分析,二者是互为补充的关系。
上网行为管理平台应提供丰富的报表管理功能,如根据时间、行为类型等生成报表,直观地帮助管理人员掌握网络使用状况流量排名、搜索关键词排名、网站访问排名、网址类型排名等多种辅助决策数据,以了解网络用户是否正常使用网络,是否向网络发布了违规违法信息等等,为加强单位内部管理提供参考依据。同时可根据实际需要,设置相应的网站和用户白名单,对敏感私密的合法网络行为和部分用户不进行监控,对于上网行为日志等执行严格的保密和查阅管理。
对于网络运行,三分靠技术,七分靠管理,单位应制定完善的管理制度,并提前告知用户相关要求,辅以上网行为管理平台,提高单位网络的安全性与使用效率,促进各项工作高效正常开展。