[用上网行为管理设备重新掌握失控的网络]对酒后行为失控或者

用上网行为管理设备重新掌握失控的网络对酒后行为失控或者 摘要：员工对互联网的滥用，导致了工作效率降低、网络资源被不合理使用甚至导致网络崩溃、内部信息被泄露。员工的不良上网行为还容易为单位带来法律风险。本文通过应用实例就利用上网行为管理设备对单位企业网的管理提出一种可行的安全方案。 ：TP393：A：1009-3044(xx)18-31560-01 (Usage Management Devices to Control the Network) XU Zhi-bin (Office of Technology,Anhui Television Station,Hefei 230066,China) Abstract:For eployees overindulgent and inappropriate use of inter could cause a series problem including lower work efficiency and waste of work resource. Sometimes it might even paralyze the work operation or leaking of pany information,which will result in legal disputes to the pany. This article will provide a feasible plan to resolve the abusing of inter through practical examples that use the inter usage management devices. Key World:Inter;Overindulgenge;Usage Management 互联网近年来发展迅速，基于互联网的各种应用也激剧增加，为更好地适应办公自动化、信息化的趋势，提高办公效率，满足员工通过互联网获取外部信息、加强对外交流沟通的需求。安徽电视台内部办公网于xx年进行了整体升级改造，构建了以CISCO高性能交换机为核心、CISCO三层边缘交换机为接入层的内部网络。办公网通过电信百兆光纤接入国际互联网，在安全防范方面，安徽电视台办公网配置了双层高性能防火墙、代理服务器以及相应的入侵检测设备，建立了全网统一的网络防病毒体系，基本形成了一个配置合理、安全等级较高、防范措施较为严密的内部办公网网络架构。目前全台已有600百余台办公电脑可以通过办公网平台登录互联网。安徽电视台员工借助办公网平台，工作效率得到了很大提高，获取外部信息和对外交流沟通更加方便快捷。 但随着互联网技术的飞速发展和我台使用办公网的员工数量的不断增长，我台员工对互联网的应用也日趋复杂，由于缺乏对网络资源的有效管理，造成员工对网络资源的滥用，并逐渐暴露出越来越多的问题。综合起来，这些问题集中体现在以下几个方面： (1)部分员工在工作时间利用办公电脑和办公网从事玩网络游戏、炒股票、网上购物等与工作无关的事情。导致部分员工工作效率不高，严重浪费办公资源，造成不良影响。 (2)部分员工在工作时间利用办公电脑和办公网进行音乐/电影等这P2P方式下载或者在线收看网络流媒体，造成带宽拥挤及网络性能恶化。通过P2P方式进行大数据量下载的问题从xx年下半年开始变得十分严重，数次导致办公网出口带宽被耗尽，造成正常互联网访问无法进行的严重后果。 (3)缺乏对员工利用办公电脑和办公网访问互联网等网络行为的进行有效记录和留存。中国公安部第82号令互联网安全保护技术措施规定，明确规定了连接到互联网上的单位要做到记录并留存用户上网信息，并要求联网单位要依此规定落实记录留存的技术措施。一旦出现员工从事不良网络行为而我们又不能按要求提供用户上网行为记录的话，我台将可能面临着法律上的风险。 (4)由于办公网是一个相对开放的网络系统，运行状况愈来愈复杂。网络管理人员难以及时了解网络运行基本状况，并对网络整体状况作出基本的分析，难以及时发现可能存在的问题（如病毒、木马造成的网络异常），并进行快速的故障定位。在一定程度上影响了我台办公网的安全稳定运行。 针对以上提到的问题，我们也曾试图在现有网络架构下通过行政管理手段和技术管理手段加以解决。如制定相应的办公网使用规范、在交换机和防火墙上进行安全策略定制等，但实际效果并不理想。原因在于尽管可以通过行政管理手段对违反使用规范的员工进行处罚，但在处罚之前严重后果已经形成了。交换机和防火墙上的安全策略定制配置繁琐而且缺乏灵活性，无法满足实际工作中多种多样的应用需求。 在认真研究分析安徽电视台办公网面临问题的基础上，我们开始寻求一种合理有效的解决方案，这种方案应能满足以下的功能需求： (1)可以通过权限划分，为不同级别的用户分配不同的上网权限，只允许符合指定条件的用户登录。 (2)可以通过网页过滤、关键字过滤、内容检测等多种控制功能，禁止员工在指定时间访问与工作无关的网站。 (3)具备流量控制和带宽管理功能，可以优化带宽资源，可以按用户或按组对带宽进行分配，精确地进行流量限制。应具备QOS功能，保证重要数据优先传送。 (4)实现对任何P2P软件的控制，但允许指定用户使用P2P软件。 (5)准确记录用户所访问过的网站并按要求对记录进行保存。 (6)按用户、协议和时间对互联网流量进行统计分析。 (7)丰富的数据报表功能，能以图表的方式对各种上网行为统计汇总。并提供时间、服务、网站访问、使用网络流量等分类排行。 市场上有多款上网行为管理设备可供选择，在反复比较和试用的基础上，我台最终选择了深圳深信服公司的SINFOR M5400-AC上网行为管理设备来进行互联网访问的管理控制。经过半年多的运行，取得了较为理想的效果。 深信服公司的上网行为管理设备有从M5100到M5800的系列产品，我们经过综合考虑我台网络带宽状况和使用办公网的员工数量并留有一定发展余地，选择了M5400型产品。SINFOR M5400-AC是针对中、大型企业和重要分支机构使用的千兆产品，适合内网用户在4001200人的客户，支持2个百兆网络接口、4个千兆网络接口（1LAN、1DMZ、4WAN）。 SINFOR M5400-AC采用标准1U机架式结构，安装很方便。支持透明、网关、网桥、旁路等多种网络接入方式，使用灵活。拓朴如图1所示： 根据对SINFOR M5400-AC的功能需求，我们在实施中采用了透明安装方式，这种安装方式不需要变更现在网络架构，也不需要对现有网络设备的配置进行变更。直接接入内层防火墙与核心交换机之间，并在SINFOR M5400-AC控制台做相应设置即可。SINFOR M5400-AC的应用，基本解决了我台在上网行为管理方面所曾经出现的各种问题。 首先，我们在网页过滤功能中使用了URL过滤定制、关键字过滤、文件类型过滤等多种方式对网页访问进行控制，遏制了部分员工在工作时间从事玩网络游戏、炒股票、网上购物等行为。防范员工有意或无意对色情、反动等不良网站的访问。促使员工合理规范地访问互联网。 其次，我们利用具备SINFOR M5400-AC的流量和p2p控制功能，对带宽资源的使用进行了优化，精确地对流量进行了限制。我们根据员工级别和应用需求按IP地址划分成若干个组，每个组设定了该组的上行带宽和下行带宽，还设定了应该组内单个用户的上行带宽和下行带宽。对于不需要进行P2P上下载文件的用户进行了P2P阻断。对于需要进行P2P上下载文件的用户也根据不同情况对组和组内用户的p2p上行和下行带宽进行控制。我们通过启用QOS功能，保证邮件收发和网页访问的数据优先传送。通过流量和P2P控制，我台的带宽资源得到了合理使用，从今年二月份启用至今，网络带宽使用一直控制在合理范围内，没有再发生过网络堵塞等故障，有效地保证了员工获取外界信息和对外交流沟通的通畅。其配置如图2所示： 我们利用SINFOR M5400-AC较为完善的日志系统，较为完整地记录了员工的上网行为，并可以在必要时通过日志管理系统和数据中心进行查看和分析，有效地避免了可能存在的法律风险。我们还利用数据报表功能按用户、协议和时间对互联网流量和各种上网行为统计汇总、分析，作为我台办公