今日頭條
官方微信
官方抖音
案例頻道隨著互聯網日益延伸進企業內部,與此緊密相關的就是企業內部對于上網行為的管理。作為重要的中央企業,信息化建設的完善對中國中鋼集團公司(簡稱中鋼集團)具備極高的戰略意義。中鋼集團所屬二級單位86家,主要從事冶金礦產資源開發與加工、冶金原料和相關產品貿易、以及相關工程技術服務與設備制造,是一家為鋼鐵工業和鋼鐵生產企業提供綜合配套、系統集成服務的集資源開發、貿易物流、工程科技、設備制造、專業服務為一體的大型跨國企業集團。
考慮到內部網絡行為可能引申出在信息安全等方面一系列問題,中鋼集團希望對內部的上網行為進行有效管理。
這并非中鋼集團與上網行為管理產品的首次接觸。
早在2006年時,中鋼集團就選擇過一款上網行為管理產品,由于對市場不甚了解,在匆忙部署運行后,發現這款產品常導致網絡傳輸中出現丟包,傳輸效率越來越差。到2009年初,這款產品的服務合同到期后,中鋼集團決定重新選購性能、功能滿足需求的上網行為管理產品,將其作為安全管理類重點產品進行選擇。
緣起內外需求
中鋼集團信息管理部網絡管理處經理喬吉洲表示,部署上網行為管理的內部需求來源于兩方面:第一,對員工上網行為進行監控和審計;第二,對網絡帶寬進行有效管理。
對員工上網行為的監控中,需要對具體內容匹配關鍵詞,要求提交詞匯進行全記錄,由后臺的審計人員通過提煉、基于關鍵詞再搜索進行分解。在上網日志的審計中,需要為后續的審查做全記錄。
對帶寬進行管理主要是為了解決網絡擁塞問題,最常見的是P2P類應用占用了大量帶寬資源,造成網絡帶寬使用的有效性嚴重下降,并導致Web瀏覽、郵件收發、數據庫訪問等關鍵應用的服務質量無法得到有效保障,增加帶寬并不能緩解擁塞狀況,反而助長了P2P應用的泛濫。中鋼集團過去的網絡帶寬在30M,但正因缺乏有效的監控手段,帶寬遠遠滿足不了需求,而與此相對的是網絡帶寬費用的急劇增長,無休無止。
同時,部署上網行為管理也有來自外部的需求。國家已經公布了《企業內部控制基本法規》,作為央企之一的中鋼集團,需要提供上網日志備查,這要求企業內部的審計功能日趨完善。在對用戶上網行為管理的內部審計上,中鋼集團需要上網行為管理產品彌補這一空白地帶,進行內部員工對外部網站的訪問審計、外發郵件包括使用外部郵箱的審計、以及對敏感問題的論壇發帖審計。
網絡現狀與實施目標
中鋼集團現有的網絡帶寬出口為60Mbps,內網用戶在1200-1600人之間,日常使用臺式機約為1200臺,移動筆記本約為300臺。每天鏈接數高達三十萬次、網站的點擊率達八十萬次,要求上網行為管理設備必須有足夠的能力去把這些數據全部完整的記錄和存儲,對設備的數據抓包處理能力提出了很高要求。
喬吉洲表示,鑒于中鋼用戶數較多,帶寬較大,在實施上網監控與帶寬管理時首先要保證不影響原網絡效率或影響較小;其次,記錄的日志完整沒有丟失,做到對用戶的訪問記錄的完整及時記錄;第三,能夠識別多種網絡應用協議,對協議進行有效的帶寬管理,同時對新出現的網絡應用協議進行持續跟蹤與完善;第四,提供完善的報表工具,用戶可根據多種條件自定義報表。
同時,上網行為管理設備的強大數據支持--應用協議庫和URL庫的更新至關重要。負責人表示期望每周更新,否則難以應對層出不窮的病毒、釣魚網站和其它安全問題。
依據這些實際需求,通過對多家供應商技術實力、系統性能、服務水平乃至企業文化等硬性指標和軟性指標的嚴格篩選,中鋼集團最終決定部署網康上網行為管理,將網康產品串接在負載均衡設備和計費網關之間。
產品易用,高效進行IT運維
中鋼集團的信息管理處有五個處,共29人。負責基礎運維的是網絡處,另有負責系統管理和數據庫的系統管理處、負責應用系統建設的建設處、負責系統維護的維護管理處和專門負責信息化標準建設的信息標準處。對IT支撐部門而言,有較充足的人員配置和明確責任分工。上網行為管理的部署運行隸屬于網絡處負責。
依據經驗,在上網行為管理部署運行初期,由于數據初始化,會增加一部分管理工作量,一旦步入正軌,就相對方便。
網康上網行為管理很完善細致地覆蓋了中鋼集團的管理需求,對用戶上網行為管控達到甚至超出了預期效果。喬吉洲介紹道,“我們要求記錄中以這樣的方式表現‘某一個用戶在某一個時點打開了某一個URL’,在固定每用戶IP與實名對應的前提下,提交審計時可以精準地按人、時間、事件快速定位,這樣一來,每個人要對這個IP發生的所有事情承擔所有責任。網康的產品對細節的實現讓我們滿意。”但同時,他也強調“動態管理”,在上班時間禁止的無關應用,如上開心網偷菜,在下班時間會解禁。
中鋼集團總部大樓的辦公區內電腦未經安全審計不得接入網絡,這一部分與大樓的無線網絡部分劃歸了網康上網行為管理覆蓋的范疇。在網康上網行為管理之外,中鋼集團還部署了身份認證系統和計費系統,網康上網行為管理與后兩個系統一道共同控制著外來筆記本接入網絡。喬吉洲舉例道:“外來筆記本接入網絡后,未經網康上網行為管理的安全認證,不能打開內部網頁;開啟內部網頁后,無計費系統認證不能連接互聯網;提交身份信息進行安全認證、登記計費系統啟用臨時賬號的二次認證后可以連接互聯網,所有的流量才會在上網行為管理中得到監控,這些信息會被保留下來,與最初申請接入的身份信息核對,明確具體IP的使用責任人。”
如今中鋼網絡處IT人員做每日巡檢時,除了監控之外,就是流量巡檢,對工作時間內進行P2P下載的員工可以直接從統計實時報表中查詢定位。于是,在實際工作中,他們沒有嚴格控制流量,而是直接聯絡對方通知停止下載。“這樣做的意義遠甚于單純地控制流量,如果我只知道IP而不知道用戶實名,那么對問題的責任追索會耗掉更大成本。”
在流量巡檢中,必須通過基于應用層的分析工具,去把協議識別出來,然后做有效的控制,這得益于網康上網行為管理的深度包檢測(DPI)技術,它提供了帶寬管理所需要的識別功能。這就解決了傳統的安全設備如防火墻通過封鎖端口來規避無關應用或有害應用的同時,會屏蔽其它有效應用的問題。
管控策略實施后,中鋼集團IT人員可以流量圖也好,查看用戶上網行為趨勢,如應用、網站、流量、訪問等,在這些數據和趨勢基礎上,才能做針對性的策略調整。“部署網康上網行為管理后,每天早晨我上班后的第一件事,就是看一下昨天的日志報表,看看大家昨天一天都干嘛了。”喬吉洲笑言。
設備平穩運行,保障關鍵業務
選定并部署運行網康上網行為管理后,中鋼集團認為產品從性能、功能及售后服務等方面都能夠充分滿足需求:實現了對內部用戶訪問互聯網的內容的監控與審計,防止敏感信息外泄,規避法律風險,降低安全威脅;實現對互聯網網絡應用帶寬的有效監控,優化配置帶寬使用,提升工作效率;實現對網站訪問的分類管理,屏蔽與工作無關網站;通過內置的報表工具,實現對用戶網絡應用、網絡帶寬訪問網站等趨勢的跟蹤,持續優化管理策略。同時,網康上網行為管理的管控策略最大程度地體現了上網行為管理的靈活性與人性化。
喬吉洲表示,網康上網行為管理首先幫助中鋼集團達到了基本的合規性要求;其次,設備部署運行后對應用協議的識別和有效控制了產品購買的預期,在工作時間可以壓縮非工作用的網絡流量如P2P下載、視頻、音頻,保障了核心應用系統,提升了正常辦公的效率。
管控策略實施后,通過網康上網行為管理的審計功能,負責網絡管理的工作人員能以流量圖的形式查看用戶上網行為趨勢,如應用、網站、流量、訪問等,每周、每月的趨勢累計起來,在這些數據和趨勢基礎上,才能做針對性的策略調整。
北京市公安局海淀分局備案號:11010802023656號