今日頭條
官方微信
官方抖音
案例頻道隨著互聯(lián)網(wǎng)日益延伸進企業(yè)內(nèi)部,與此緊密相關(guān)的就是企業(yè)內(nèi)部對于上網(wǎng)行為的管理。作為重要的中央企業(yè),信息化建設的完善對中國中鋼集團公司(簡稱中鋼集團)具備極高的戰(zhàn)略意義。中鋼集團所屬二級單位86家,主要從事冶金礦產(chǎn)資源開發(fā)與加工、冶金原料和相關(guān)產(chǎn)品貿(mào)易、以及相關(guān)工程技術(shù)服務與設備制造,是一家為鋼鐵工業(yè)和鋼鐵生產(chǎn)企業(yè)提供綜合配套、系統(tǒng)集成服務的集資源開發(fā)、貿(mào)易物流、工程科技、設備制造、專業(yè)服務為一體的大型跨國企業(yè)集團。
考慮到內(nèi)部網(wǎng)絡行為可能引申出在信息安全等方面一系列問題,中鋼集團希望對內(nèi)部的上網(wǎng)行為進行有效管理。
這并非中鋼集團與上網(wǎng)行為管理產(chǎn)品的首次接觸。
早在2006年時,中鋼集團就選擇過一款上網(wǎng)行為管理產(chǎn)品,由于對市場不甚了解,在匆忙部署運行后,發(fā)現(xiàn)這款產(chǎn)品常導致網(wǎng)絡傳輸中出現(xiàn)丟包,傳輸效率越來越差。到2009年初,這款產(chǎn)品的服務合同到期后,中鋼集團決定重新選購性能、功能滿足需求的上網(wǎng)行為管理產(chǎn)品,將其作為安全管理類重點產(chǎn)品進行選擇。
緣起內(nèi)外需求
中鋼集團信息管理部網(wǎng)絡管理處經(jīng)理喬吉洲表示,部署上網(wǎng)行為管理的內(nèi)部需求來源于兩方面:第一,對員工上網(wǎng)行為進行監(jiān)控和審計;第二,對網(wǎng)絡帶寬進行有效管理。
對員工上網(wǎng)行為的監(jiān)控中,需要對具體內(nèi)容匹配關(guān)鍵詞,要求提交詞匯進行全記錄,由后臺的審計人員通過提煉、基于關(guān)鍵詞再搜索進行分解。在上網(wǎng)日志的審計中,需要為后續(xù)的審查做全記錄。
對帶寬進行管理主要是為了解決網(wǎng)絡擁塞問題,最常見的是P2P類應用占用了大量帶寬資源,造成網(wǎng)絡帶寬使用的有效性嚴重下降,并導致Web瀏覽、郵件收發(fā)、數(shù)據(jù)庫訪問等關(guān)鍵應用的服務質(zhì)量無法得到有效保障,增加帶寬并不能緩解擁塞狀況,反而助長了P2P應用的泛濫。中鋼集團過去的網(wǎng)絡帶寬在30M,但正因缺乏有效的監(jiān)控手段,帶寬遠遠滿足不了需求,而與此相對的是網(wǎng)絡帶寬費用的急劇增長,無休無止。
同時,部署上網(wǎng)行為管理也有來自外部的需求。國家已經(jīng)公布了《企業(yè)內(nèi)部控制基本法規(guī)》,作為央企之一的中鋼集團,需要提供上網(wǎng)日志備查,這要求企業(yè)內(nèi)部的審計功能日趨完善。在對用戶上網(wǎng)行為管理的內(nèi)部審計上,中鋼集團需要上網(wǎng)行為管理產(chǎn)品彌補這一空白地帶,進行內(nèi)部員工對外部網(wǎng)站的訪問審計、外發(fā)郵件包括使用外部郵箱的審計、以及對敏感問題的論壇發(fā)帖審計。
網(wǎng)絡現(xiàn)狀與實施目標
中鋼集團現(xiàn)有的網(wǎng)絡帶寬出口為60Mbps,內(nèi)網(wǎng)用戶在1200-1600人之間,日常使用臺式機約為1200臺,移動筆記本約為300臺。每天鏈接數(shù)高達三十萬次、網(wǎng)站的點擊率達八十萬次,要求上網(wǎng)行為管理設備必須有足夠的能力去把這些數(shù)據(jù)全部完整的記錄和存儲,對設備的數(shù)據(jù)抓包處理能力提出了很高要求。
喬吉洲表示,鑒于中鋼用戶數(shù)較多,帶寬較大,在實施上網(wǎng)監(jiān)控與帶寬管理時首先要保證不影響原網(wǎng)絡效率或影響較小;其次,記錄的日志完整沒有丟失,做到對用戶的訪問記錄的完整及時記錄;第三,能夠識別多種網(wǎng)絡應用協(xié)議,對協(xié)議進行有效的帶寬管理,同時對新出現(xiàn)的網(wǎng)絡應用協(xié)議進行持續(xù)跟蹤與完善;第四,提供完善的報表工具,用戶可根據(jù)多種條件自定義報表。
同時,上網(wǎng)行為管理設備的強大數(shù)據(jù)支持--應用協(xié)議庫和URL庫的更新至關(guān)重要。負責人表示期望每周更新,否則難以應對層出不窮的病毒、釣魚網(wǎng)站和其它安全問題。
依據(jù)這些實際需求,通過對多家供應商技術(shù)實力、系統(tǒng)性能、服務水平乃至企業(yè)文化等硬性指標和軟性指標的嚴格篩選,中鋼集團最終決定部署網(wǎng)康上網(wǎng)行為管理,將網(wǎng)康產(chǎn)品串接在負載均衡設備和計費網(wǎng)關(guān)之間。
產(chǎn)品易用,高效進行IT運維
中鋼集團的信息管理處有五個處,共29人。負責基礎運維的是網(wǎng)絡處,另有負責系統(tǒng)管理和數(shù)據(jù)庫的系統(tǒng)管理處、負責應用系統(tǒng)建設的建設處、負責系統(tǒng)維護的維護管理處和專門負責信息化標準建設的信息標準處。對IT支撐部門而言,有較充足的人員配置和明確責任分工。上網(wǎng)行為管理的部署運行隸屬于網(wǎng)絡處負責。
依據(jù)經(jīng)驗,在上網(wǎng)行為管理部署運行初期,由于數(shù)據(jù)初始化,會增加一部分管理工作量,一旦步入正軌,就相對方便。
網(wǎng)康上網(wǎng)行為管理很完善細致地覆蓋了中鋼集團的管理需求,對用戶上網(wǎng)行為管控達到甚至超出了預期效果。喬吉洲介紹道,“我們要求記錄中以這樣的方式表現(xiàn)‘某一個用戶在某一個時點打開了某一個URL’,在固定每用戶IP與實名對應的前提下,提交審計時可以精準地按人、時間、事件快速定位,這樣一來,每個人要對這個IP發(fā)生的所有事情承擔所有責任。網(wǎng)康的產(chǎn)品對細節(jié)的實現(xiàn)讓我們滿意。”但同時,他也強調(diào)“動態(tài)管理”,在上班時間禁止的無關(guān)應用,如上開心網(wǎng)偷菜,在下班時間會解禁。
中鋼集團總部大樓的辦公區(qū)內(nèi)電腦未經(jīng)安全審計不得接入網(wǎng)絡,這一部分與大樓的無線網(wǎng)絡部分劃歸了網(wǎng)康上網(wǎng)行為管理覆蓋的范疇。在網(wǎng)康上網(wǎng)行為管理之外,中鋼集團還部署了身份認證系統(tǒng)和計費系統(tǒng),網(wǎng)康上網(wǎng)行為管理與后兩個系統(tǒng)一道共同控制著外來筆記本接入網(wǎng)絡。喬吉洲舉例道:“外來筆記本接入網(wǎng)絡后,未經(jīng)網(wǎng)康上網(wǎng)行為管理的安全認證,不能打開內(nèi)部網(wǎng)頁;開啟內(nèi)部網(wǎng)頁后,無計費系統(tǒng)認證不能連接互聯(lián)網(wǎng);提交身份信息進行安全認證、登記計費系統(tǒng)啟用臨時賬號的二次認證后可以連接互聯(lián)網(wǎng),所有的流量才會在上網(wǎng)行為管理中得到監(jiān)控,這些信息會被保留下來,與最初申請接入的身份信息核對,明確具體IP的使用責任人。”
如今中鋼網(wǎng)絡處IT人員做每日巡檢時,除了監(jiān)控之外,就是流量巡檢,對工作時間內(nèi)進行P2P下載的員工可以直接從統(tǒng)計實時報表中查詢定位。于是,在實際工作中,他們沒有嚴格控制流量,而是直接聯(lián)絡對方通知停止下載。“這樣做的意義遠甚于單純地控制流量,如果我只知道IP而不知道用戶實名,那么對問題的責任追索會耗掉更大成本。”
在流量巡檢中,必須通過基于應用層的分析工具,去把協(xié)議識別出來,然后做有效的控制,這得益于網(wǎng)康上網(wǎng)行為管理的深度包檢測(DPI)技術(shù),它提供了帶寬管理所需要的識別功能。這就解決了傳統(tǒng)的安全設備如防火墻通過封鎖端口來規(guī)避無關(guān)應用或有害應用的同時,會屏蔽其它有效應用的問題。
管控策略實施后,中鋼集團IT人員可以流量圖也好,查看用戶上網(wǎng)行為趨勢,如應用、網(wǎng)站、流量、訪問等,在這些數(shù)據(jù)和趨勢基礎上,才能做針對性的策略調(diào)整。“部署網(wǎng)康上網(wǎng)行為管理后,每天早晨我上班后的第一件事,就是看一下昨天的日志報表,看看大家昨天一天都干嘛了。”喬吉洲笑言。
設備平穩(wěn)運行,保障關(guān)鍵業(yè)務
選定并部署運行網(wǎng)康上網(wǎng)行為管理后,中鋼集團認為產(chǎn)品從性能、功能及售后服務等方面都能夠充分滿足需求:實現(xiàn)了對內(nèi)部用戶訪問互聯(lián)網(wǎng)的內(nèi)容的監(jiān)控與審計,防止敏感信息外泄,規(guī)避法律風險,降低安全威脅;實現(xiàn)對互聯(lián)網(wǎng)網(wǎng)絡應用帶寬的有效監(jiān)控,優(yōu)化配置帶寬使用,提升工作效率;實現(xiàn)對網(wǎng)站訪問的分類管理,屏蔽與工作無關(guān)網(wǎng)站;通過內(nèi)置的報表工具,實現(xiàn)對用戶網(wǎng)絡應用、網(wǎng)絡帶寬訪問網(wǎng)站等趨勢的跟蹤,持續(xù)優(yōu)化管理策略。同時,網(wǎng)康上網(wǎng)行為管理的管控策略最大程度地體現(xiàn)了上網(wǎng)行為管理的靈活性與人性化。
喬吉洲表示,網(wǎng)康上網(wǎng)行為管理首先幫助中鋼集團達到了基本的合規(guī)性要求;其次,設備部署運行后對應用協(xié)議的識別和有效控制了產(chǎn)品購買的預期,在工作時間可以壓縮非工作用的網(wǎng)絡流量如P2P下載、視頻、音頻,保障了核心應用系統(tǒng),提升了正常辦公的效率。
管控策略實施后,通過網(wǎng)康上網(wǎng)行為管理的審計功能,負責網(wǎng)絡管理的工作人員能以流量圖的形式查看用戶上網(wǎng)行為趨勢,如應用、網(wǎng)站、流量、訪問等,每周、每月的趨勢累計起來,在這些數(shù)據(jù)和趨勢基礎上,才能做針對性的策略調(diào)整。
北京市公安局海淀分局備案號:11010802023656號