单位网络管理初探

摘 要：网络已经成为信息化建设的主要载体，而上网行为管理则是构建高效、安全的单位内部网络的重要手段。基于目前网络应用现状，针对内部上网行为进行分析，并阐述具体管理方案。

关键词：网络；行为管理；网络应用

一、背景介绍

随着近些年的信息化应用的不断加深，网络为学校各部门工作提供了便利的手段和信息沟通方式，但是同时也带来了安全、效率与稳定性等以下几个方面的问题。

1.随意外发信息。内网用户所发信息其中可能混杂有害内容，如在不知情的情况下发生，可能会产生很大的负面影响，甚至会扯上官司。因此，必须对在论坛博客等在网络公共场合发表言论等行为进行关键字过滤。

2.工作效率低下。网络在丰富了单位同外界沟通途径的同时，也给员工带来了更多的偷懒机会，部分员工会在上班期间从事于工作无关的网络活动，比如，访问购物、炒股等行为，因此，对上网行为进行监管，比如，对色情、反动网站的屏蔽势在必行。

3.网络安全有待加强。互联网的迅速普及，网络应用已成为教育发展中必不可少的一部分。但同时面临着各种各样的进攻和威胁：机密泄漏、数据丢失、网络滥用……因此认识到自己的风险所在，建立全面的内网安全体系任务迫在眉睫。

因此，如何行之有效地管理上网行为变得越来越重要，为了应对上面提到的这些问题需要制订出一套全面的上网行为管理解决方案。

二、上网行为管理解决思路

1.对P2P行为的全面管控。相比较以往传统的WEB业务来说，P2P业务表现出高速传输、上下行流量对称等优点，但同时带来数据量大、在线时间长等方面的问题。此外，由于P2P采用的是点对点的传输方式，也会给社会带来一定的负面影响。目前P2P技术应用的范围不断扩展，主流的下载软件比如BT、电驴、迅雷等都采用了P2P的技术，而上网行为管理就是为了能够对日常的P2P行为进行识别。早期的P2P应用一般采用都是固定的端口号，比较容易受掌控，后来很多P2P协议都采用动态端口来躲避检测，目前出现的新型P2P应用已经能够运用一些加密的手法。所以，对于P2P的识别必须基于统计学的智能检测技术，对各种P2P行为进行流量和传输特性进行全面的分析，包括对不常见的甚至是未知的P2P行为也能够准确识别。

2.必要的流量控制功能。在传统的网络环境下进行流量控制一般都是针对应用层进行管理。当某一网络应用业务负荷较大时，可根据需要对全局业务进行评估和平衡，对客户业务进行调度，根据优先级进行响应，以提高效率。

3.有效的识别和控制。

（1）行为管理能有效地识别与控制URL，限制局域网内终端访问指定URL或禁止访问URL，同时能够对局域网内终端访问特定URL网页的行为给予记录，此外系统还应该能够识别和过滤SSL加密网站。

（2）对HTTP/FTP上传下载识别控制：能够对使用者在论坛、博客等网络公共场合发布信息的内容进行识别和过滤，同时记录发生该行为的计算机的具体信息，以供管理员查询。

（3）代理识别：代理识别技术能够防止用户突破行为管理限制，对部分网络用户通过代理服务器访问不良信息或访问内部本身无权限访问的资源信息的行为进行遏制，做到全面的识别控制。

4.恰当的访问控制策略。根据调查最受关注却又与工作无关的网站有：新闻类网站、购物类网站、视频类网站、网上银行等。因此，上网行为管理可内置URL识别库，并支持手工添加应用规则并分类。对URL进行细致分类，制订应用识别规则，以控制用户访问URL。同时，行为管理应可支持基于时间段的访问控制。

5.完善的网络审计功能。网络审计既包括对内网用户身份的合法性、安全性的审计，又包括对组织内部网络的各种使用情况进行审计。具体行为有系统信息综合审计、网络连接审计与保护、文件操作审计等。

6.建立外置数据中心，加强行为管理的数据保障。建立外置数据中心的目的主要是方便日志存储，日志存储的空间是由提供存储日志的第三方日志服务器决定的，可提供相关内容检索，定位所需信息，即时或定期发送日志事件到指定邮件且支持各种图形化数据统计、自动生成报表等功能。

7.实时的行为日志记录。

（1）流量日志统计：支持用户流量、IP流量、网站流量、用户组流量等统计及相应的统计排名，同时支持上行下行流量统计及排名。

（2）邮件日志统计：支持用户邮件、IP邮件、用户组邮件等的统计和排名。

（3）网络监控日志：包括了对内网用户的各种URL访问行为、P2P下载行为、Email/Webmail行为、上网时长进行日志统计，必要时还可对通讯软件的聊天内容和BBS发帖内容进行日志统计。

8.内网安全保障。上网行为管理应该具备基本的防DOS攻击功能，防ARP欺骗功能，能有效地防止来自内网、外网的DOS攻击，防止ARP欺骗内网泛滥。另外，应配备防火墙，具备网关杀毒功能，实行网络准入规则，抵御外网病毒入侵内网，统一部署杀毒软件等。

三、上网行为管理解决方案

1.上网行为管理的原理。目前，常见的上网行为管理部署方式包括ARP模式、网关模式、网桥模式和旁路侦听模式4种。ARP模式是通过发送ARP数据包来欺骗并转发被监控电脑的上网数据，其原理和ARP病毒类似。网关模式就是使所有的网络数据流通过监控主机来控制流量，缺点为内外网所有数据都从主机交换，如果监控主机出现毛病则全部网络不通。网桥模式的监控建立在Windows系统提供的透明网桥技术上，用一台性能较高的服务器作为监控主机来实现监控。旁路侦听模式就是通过抓取网络数据包的方式获得监听数据，从而达到监控的目的，目前对网络监控一般都采用旁路侦听模式，其缺点是无法对流量进行控制。

2.上网行为管理的设备。上网行为管理从实现方式上可以分为：硬件监控系统和软件监控系统。硬件系统架构的优点在于产品运行稳定，部署方便，只要按说明书连接使用就行了。对操作系统无依赖性，后期维护方便。软件方式优点在于灵活、价廉，升级维护起来方便。硬件监控系统和软件监控系统在原理上没有太大的区别，都是需要获取到网络数据包后，才能对终端进行控制，软件方案的成本相对较低，硬件方案的成本相对较高。用户应根据自身的情况来决定选取哪一种方案。当然，在实际工作中关键还是在于要看单位的实际情况，进行实地测试。

单位里的规章制度不可能完全控制或强行禁止人的自主行为和网上行为，如何在非实施“强权”的同时，解决员工利用工作时间进行与工作无关的事件，对于单位网络管理人员来说是件动脑筋的事情。单位管理者必须认识到实施上网行为管理只是一种手段，而绝不是目的，其管理目的是为建立一个规范的上网制度，并以此来提高工作效率。

参考文献：

[1]付恺.基于上网行为管理和VPN的校园网络安全体系的设计与实现.中国教育现代化，2007（07）.

[2]李双虎.浅谈中小型校园网管理.科技信息，2009（26）.

（作者单位 江苏省镇江市第三中学）

推荐访问:初探 网络管理 单位