上网行为管理系统在供电企业的应用
2012-04-23 14:25:06 来源:
A-
A+
电力18讯:
随着供电企业信息化的不断深化和Internet的迅猛发展,在企业内部员工上网已经成为一种必要条件。企业内部的生产、管理信息系统,企业为了提高服务质量和竞争力,而开展的电子商务,企业和第三方的信息沟通以及资料收集都离不开网络。然而网络是一柄“双刃剑”,在为工作提供便利的同时,也会带来信息安全等其他负面影响。企业内部员工工作时间内浏览与工作无关网站、在线视频、网游、炒股、视频下载或利用企业网络浏览、发表、转发非法信息等不规范的网络行为,给企业带来带宽挤占问题、影响工作效率问题、信息安全,以及法律追究问题。
如何才能解决带宽挤占、影响工作效率、甚至法律风险等问题呢,同时又能保证企业正常的网络应用?很多企业都会出台相应的网络行为管理规范,但由于缺乏技术手段的支持,使得相关的管理要求得不到落实。如:有的员人在办公室外,而计算机在大量开启P2P下载、在线视频缓冲等,为此企业除需要出台管理办法外,还需要相应的技术支持手段,实时记录各终端的网络数据流,并以这些数据流为依据,审计员工的网络行为,从而达到规范企业的网络应用管理,提高企业的工作效率。
一、 网络管理软件的分类
企业网络管理软件主要分为上网行为管理系统、内网管理系统、文档加密系统。
上网行为管理系统:主要是管理上网内容,上网时间,控制流量,游戏,邮件,限制炒股娱乐网站,限制聊天等。
内网管理系统:包括交换机和链路管理、客户机硬件管理,内网文件监控,聊天内容以及邮件内容监控,打印机监控,桌面监控等。
文档加密系统:通过对文档的加密,使文档只有授权人员才可以阅读、编辑、打印,离开系统环境就无法使用,从而有效防止资料泄漏等。
二、 系统结构
红河供电局上网行为管理系统主要由网络行为网络行为管理网关、网络日志审计管理系统、日志服务器三部分组成。
网络行为管理网关主要实现局域网关口网络数据流的实时监测、管控,并向日志服务器同步传输日志记录。
日志服务器主要用于存储网络行为管理网关同步过来的日志记录。
网络日志审计管理系统,主要实现网络日志记录的识别、分类、审计、统计分析、异常报警、终端的分组管理、网络行为管控策略制定等。
三、 管理网关的部署方式
网络行为管理网关的部署方式主要有网关模式、网桥模式、旁路模式三种。
(一)网关模式
是把网络行为管理网关串接在网络链路中,并开启网络行为管理网关的路由功能,代理内网上网。这种模式的优点是:能够实现对上网行为按照预先制定的时间、终端分组、目标地址、关键字等组合策略进行管控,能够最大层度的实现企业网络行为管理的自动化。缺点是:首先行为管理网关的网络接口特别是光口的接口类型众多,在一台行为管理网关上难以全部兼容,也难以接入如POS光口;其次需要修改企业网络的路由策略,同时行为管理网关的吞吐量需要和路由器匹配,部署难度较大;再次增加了链路节点,增加了链路故障的范围和几率。
(二)网桥模式
网桥模式是把网络行为管理网关视为一条带过滤功能的网线使用,对于用户来说是透明的。这种模式的优缺点和网关模式基本相同,只是这种模式不需要对整个网络的路由策略进行调整。
(三)旁路模式
旁路模式是把网络数据流通过网络交换机的镜像端口指向到网络行为管理网关,使网络行为管理网关旁路于网络交换机。这种模式的优点是:不需要对网络进行调整,对网络的性能没有其他影响,部署方便。缺点是:只能实现网络数据流的监测,不能实现网络行为的自动管控。
四、 系统功能介绍
系统按照采集监测、识别分类、查询审计、统计分析、优化管理的思路设计,并实现了以下主要功能模块:系统设置、对象设置、上网行为管理、上网行为审计、日志查询、统计报表、趋势分析等。
系统设置模块主要实现对网络行为网关工作方式及参数的设置。如:部署模式、需要监控的IP范围、路由策略等。确保网络行为管理网关能够正常、稳定地运行,需要采集监测的实时数据流无遗漏以及正常的网络应用稳定、速度不受影响。
对象设置模块主要实现IP分组、网络应用识别规则、URL识别规则、时间计划、白名单、关键字、文件类型、准入规则等设置管理。是判断网络应用分类、访问网页分类、不合规信息、涉密信息、终端分组、时间划分的重要基础,该模块直接影响到整个系统的识别精度。
上网行为管理模块主要实现上网策略对象、组织结构、在线用户等管理。结合对象设置模块的识别规则、时间计划、IP分组等将上网行为管理策略按IP、MAC绑定到企业的组织机构或者终端。
上网行为审计模块主要实现实时流量、链接、应用监控。将网络行为管理网关采集监测的数据流和网络应用识别规则、URL识别规则、白名单、关键字、文件类型进行匹配,再结合上网行为管理模块的组织机构信息,识别出具体某一终端的网络行为的分类、内容,并根据上网策略对象的设定对链接自动执行阻止、过滤、放行,或临时决定对链接的管控。
日志查询模块主要实现历史流量、链接、应用查询。根据存储在日志服务器上的上网日志记录,按时间、终端、目标地址、关键字等组合条件进行查询。
统计报表模块主要实现流量、应用、时间、关键字的统计。根据存储在日志服务器上的上网日志记录,按时间、终端、目标地址、关键字等组合条件进行流量、应用分类、上网时间的统计,并以PDF的形势输出报表。
趋势分析模块主要实现流量、应用趋势分析。根据存储在日志服务器上的上网日志记录,分析一定时间段内全部或部分或单个终端的网络流量、各种网络应用的分布、趋势。为优化上网管理提供支持。
五、 应用效果
系统自从在红河供电局投入使用以来,出于对单台网络行为管理设备串接接入链路,会增加网络设备故障发生率的风险,系统采用旁路模式,虽然不能够对企业员工的上网行为进行实时的自动化管控,但通过制定相关的上网行为管理办法,由信息管理部门根据系统的统计结果,每月在企业内部公布,并且对违反管理规定的部门进行批评、考核,对于企业内上班时间玩网游、在线视频、视频下载等与工作无关的网络行为得到了有效的遏制。从网络流量来看,单月单台终端的网络上下行总流量从最初的8143.91GB下降到了现在的282.21GB。从应用分类来看,单月(包括下班、周末时间在内)企业总的网游时间从最初的23956.8小时,下降到现在的728.42小时。
六、 不足与改进
系统虽然能够按关键字过虑一些外传的数据,但一些加密过的涉密信息,系统还是无法识别或报警,对于涉密信息作者认为应该交由专业的防泄漏系统去解决,而不应该包括在网络行为管理系统的管理范畴。
系统对于应用识别的分类不够精细,不能只是按应用协议来分类,还应该结合内容检测来精细分类。因为虽然应用是同一种分类,但内容可能不一样,比如同样是P2P下载,有的可能是在下载视频、游戏,但有的可能是在下载与工作相关的软件、图纸资料。特别是对于大型企业来说由于上网的员工和终端众多,要一项项去审计企业海量的网络行为记录是否合规,是一件很痛苦的事,最终只能按流量或应用分类一刀切。
系统基本具备了企业内部网络中终端的网络应用信息,而内网管理系统具备了企业内部网络中交换机和链路的流量信息,如果将二者的信息整合,将会对提高企业内部网络的管理水平有不小的帮助。
七、 结束语
从红河供电局的应用情况可以看出,首先企业的网络行为管理想要取得实效,能够遏制与工作无关的网络行为,将网络资源最大化的交给合规的行为使用,应该是管理和技术并重,管理是前提,技术是支撑,没有管理就无从谈起,因为不知道那些行为不合规,没有技术,就不知道有没有不合规的行为。其次应该明确的是,上网行为管理系统虽然能够过虑一些外传的数据、具备一定的防ARP欺骗功能,但不应该将其视为网络信息安全产品,并不需要过多的考虑诸如防火墙、防泄漏的功能。
随着供电企业信息化的不断深化和Internet的迅猛发展,在企业内部员工上网已经成为一种必要条件。企业内部的生产、管理信息系统,企业为了提高服务质量和竞争力,而开展的电子商务,企业和第三方的信息沟通以及资料收集都离不开网络。然而网络是一柄“双刃剑”,在为工作提供便利的同时,也会带来信息安全等其他负面影响。企业内部员工工作时间内浏览与工作无关网站、在线视频、网游、炒股、视频下载或利用企业网络浏览、发表、转发非法信息等不规范的网络行为,给企业带来带宽挤占问题、影响工作效率问题、信息安全,以及法律追究问题。
如何才能解决带宽挤占、影响工作效率、甚至法律风险等问题呢,同时又能保证企业正常的网络应用?很多企业都会出台相应的网络行为管理规范,但由于缺乏技术手段的支持,使得相关的管理要求得不到落实。如:有的员人在办公室外,而计算机在大量开启P2P下载、在线视频缓冲等,为此企业除需要出台管理办法外,还需要相应的技术支持手段,实时记录各终端的网络数据流,并以这些数据流为依据,审计员工的网络行为,从而达到规范企业的网络应用管理,提高企业的工作效率。
一、 网络管理软件的分类
企业网络管理软件主要分为上网行为管理系统、内网管理系统、文档加密系统。
上网行为管理系统:主要是管理上网内容,上网时间,控制流量,游戏,邮件,限制炒股娱乐网站,限制聊天等。
内网管理系统:包括交换机和链路管理、客户机硬件管理,内网文件监控,聊天内容以及邮件内容监控,打印机监控,桌面监控等。
文档加密系统:通过对文档的加密,使文档只有授权人员才可以阅读、编辑、打印,离开系统环境就无法使用,从而有效防止资料泄漏等。
二、 系统结构
红河供电局上网行为管理系统主要由网络行为网络行为管理网关、网络日志审计管理系统、日志服务器三部分组成。
网络行为管理网关主要实现局域网关口网络数据流的实时监测、管控,并向日志服务器同步传输日志记录。
日志服务器主要用于存储网络行为管理网关同步过来的日志记录。
网络日志审计管理系统,主要实现网络日志记录的识别、分类、审计、统计分析、异常报警、终端的分组管理、网络行为管控策略制定等。
三、 管理网关的部署方式
网络行为管理网关的部署方式主要有网关模式、网桥模式、旁路模式三种。
(一)网关模式
是把网络行为管理网关串接在网络链路中,并开启网络行为管理网关的路由功能,代理内网上网。这种模式的优点是:能够实现对上网行为按照预先制定的时间、终端分组、目标地址、关键字等组合策略进行管控,能够最大层度的实现企业网络行为管理的自动化。缺点是:首先行为管理网关的网络接口特别是光口的接口类型众多,在一台行为管理网关上难以全部兼容,也难以接入如POS光口;其次需要修改企业网络的路由策略,同时行为管理网关的吞吐量需要和路由器匹配,部署难度较大;再次增加了链路节点,增加了链路故障的范围和几率。
(二)网桥模式
网桥模式是把网络行为管理网关视为一条带过滤功能的网线使用,对于用户来说是透明的。这种模式的优缺点和网关模式基本相同,只是这种模式不需要对整个网络的路由策略进行调整。
(三)旁路模式
旁路模式是把网络数据流通过网络交换机的镜像端口指向到网络行为管理网关,使网络行为管理网关旁路于网络交换机。这种模式的优点是:不需要对网络进行调整,对网络的性能没有其他影响,部署方便。缺点是:只能实现网络数据流的监测,不能实现网络行为的自动管控。
四、 系统功能介绍
系统按照采集监测、识别分类、查询审计、统计分析、优化管理的思路设计,并实现了以下主要功能模块:系统设置、对象设置、上网行为管理、上网行为审计、日志查询、统计报表、趋势分析等。
系统设置模块主要实现对网络行为网关工作方式及参数的设置。如:部署模式、需要监控的IP范围、路由策略等。确保网络行为管理网关能够正常、稳定地运行,需要采集监测的实时数据流无遗漏以及正常的网络应用稳定、速度不受影响。
对象设置模块主要实现IP分组、网络应用识别规则、URL识别规则、时间计划、白名单、关键字、文件类型、准入规则等设置管理。是判断网络应用分类、访问网页分类、不合规信息、涉密信息、终端分组、时间划分的重要基础,该模块直接影响到整个系统的识别精度。
上网行为管理模块主要实现上网策略对象、组织结构、在线用户等管理。结合对象设置模块的识别规则、时间计划、IP分组等将上网行为管理策略按IP、MAC绑定到企业的组织机构或者终端。
上网行为审计模块主要实现实时流量、链接、应用监控。将网络行为管理网关采集监测的数据流和网络应用识别规则、URL识别规则、白名单、关键字、文件类型进行匹配,再结合上网行为管理模块的组织机构信息,识别出具体某一终端的网络行为的分类、内容,并根据上网策略对象的设定对链接自动执行阻止、过滤、放行,或临时决定对链接的管控。
日志查询模块主要实现历史流量、链接、应用查询。根据存储在日志服务器上的上网日志记录,按时间、终端、目标地址、关键字等组合条件进行查询。
统计报表模块主要实现流量、应用、时间、关键字的统计。根据存储在日志服务器上的上网日志记录,按时间、终端、目标地址、关键字等组合条件进行流量、应用分类、上网时间的统计,并以PDF的形势输出报表。
趋势分析模块主要实现流量、应用趋势分析。根据存储在日志服务器上的上网日志记录,分析一定时间段内全部或部分或单个终端的网络流量、各种网络应用的分布、趋势。为优化上网管理提供支持。
五、 应用效果
系统自从在红河供电局投入使用以来,出于对单台网络行为管理设备串接接入链路,会增加网络设备故障发生率的风险,系统采用旁路模式,虽然不能够对企业员工的上网行为进行实时的自动化管控,但通过制定相关的上网行为管理办法,由信息管理部门根据系统的统计结果,每月在企业内部公布,并且对违反管理规定的部门进行批评、考核,对于企业内上班时间玩网游、在线视频、视频下载等与工作无关的网络行为得到了有效的遏制。从网络流量来看,单月单台终端的网络上下行总流量从最初的8143.91GB下降到了现在的282.21GB。从应用分类来看,单月(包括下班、周末时间在内)企业总的网游时间从最初的23956.8小时,下降到现在的728.42小时。
六、 不足与改进
系统虽然能够按关键字过虑一些外传的数据,但一些加密过的涉密信息,系统还是无法识别或报警,对于涉密信息作者认为应该交由专业的防泄漏系统去解决,而不应该包括在网络行为管理系统的管理范畴。
系统对于应用识别的分类不够精细,不能只是按应用协议来分类,还应该结合内容检测来精细分类。因为虽然应用是同一种分类,但内容可能不一样,比如同样是P2P下载,有的可能是在下载视频、游戏,但有的可能是在下载与工作相关的软件、图纸资料。特别是对于大型企业来说由于上网的员工和终端众多,要一项项去审计企业海量的网络行为记录是否合规,是一件很痛苦的事,最终只能按流量或应用分类一刀切。
系统基本具备了企业内部网络中终端的网络应用信息,而内网管理系统具备了企业内部网络中交换机和链路的流量信息,如果将二者的信息整合,将会对提高企业内部网络的管理水平有不小的帮助。
七、 结束语
从红河供电局的应用情况可以看出,首先企业的网络行为管理想要取得实效,能够遏制与工作无关的网络行为,将网络资源最大化的交给合规的行为使用,应该是管理和技术并重,管理是前提,技术是支撑,没有管理就无从谈起,因为不知道那些行为不合规,没有技术,就不知道有没有不合规的行为。其次应该明确的是,上网行为管理系统虽然能够过虑一些外传的数据、具备一定的防ARP欺骗功能,但不应该将其视为网络信息安全产品,并不需要过多的考虑诸如防火墙、防泄漏的功能。
评论
最新评论(0)
相关新闻:
-
无相关信息
编辑推荐
热点排行
推荐阅读