|
上网行为管理案例:中钢集团布局内网管控随着互联网日益延伸进企业内部,与此紧密相关的就是企业内部对于上网行为的管理。作为重要的中央企业,信息化建设的完善对中国中钢集团公司(简称中钢集团)具备极高的战略意义。中钢集团所属二级单位86家,主要从事冶金矿产资源开发与加工、冶金原料和相关产品贸易、以及相关工程技术服务与设备制造,是一家为钢铁工业和钢铁生产企业提供综合配套、系统集成服务的集资源开发、贸易物流、工程科技、设备制造、专业服务为一体的大型跨国企业集团。 随着互联网日益延伸进企业内部,与此紧密相关的就是企业内部对于上网行为的管理。作为重要的中央企业,信息化建设的完善对中国中钢集团公司(简称中钢集团)具备极高的战略意义。中钢集团所属二级单位86家,主要从事冶金矿产资源开发与加工、冶金原料和相关产品贸易、以及相关工程技术服务与设备制造,是一家为钢铁工业和钢铁生产企业提供综合配套、系统集成服务的集资源开发、贸易物流、工程科技、设备制造、专业服务为一体的大型跨国企业集团。 考虑到内部网络行为可能引申出在信息安全等方面一系列问题,中钢集团希望对内部的上网行为进行有效管理。 这并非中钢集团与上网行为管理产品的首次接触。 早在2006年时,中钢集团就选择过一款上网行为管理产品,由于对市场不甚了解,在匆忙部署运行后,发现这款产品常导致网络传输中出现丢包,传输效率越来越差。到2009年初,这款产品的服务合同到期后,中钢集团决定重新选购性能、功能满足需求的上网行为管理产品,将其作为安全管理类重点产品进行选择。 缘起内外需求 中钢集团信息管理部网络管理处经理乔吉洲表示,部署上网行为管理的内部需求来源于两方面:第一,对员工上网行为进行监控和审计;第二,对网络带宽进行有效管理。 对员工上网行为的监控中,需要对具体内容匹配关键词,要求提交词汇进行全记录,由后台的审计人员通过提炼、基于关键词再搜索进行分解。在上网日志的审计中,需要为后续的审查做全记录。 对带宽进行管理主要是为了解决网络拥塞问题,最常见的是P2P类应用占用了大量带宽资源,造成网络带宽使用的有效性严重下降,并导致Web浏览、邮件收发、数据库访问等关键应用的服务质量无法得到有效保障,增加带宽并不能缓解拥塞状况,反而助长了P2P应用的泛滥。中钢集团过去的网络带宽在30M,但正因缺乏有效的监控手段,带宽远远满足不了需求,而与此相对的是网络带宽费用的急剧增长,无休无止。 同时,部署上网行为管理也有来自外部的需求。国家已经公布了《企业内部控制基本法规》,作为央企之一的中钢集团,需要提供上网日志备查,这要求企业内部的审计功能日趋完善。在对用户上网行为管理的内部审计上,中钢集团需要上网行为管理产品弥补这一空白地带,进行内部员工对外部网站的访问审计、外发邮件包括使用外部邮箱的审计、以及对敏感问题的论坛发帖审计。 网络现状与实施目标 中钢集团现有的网络带宽出口为60Mbps,内网用户在1200-1600人之间,日常使用台式机约为1200台,移动笔记本约为300台。每天链接数高达三十万次、网站的点击率达八十万次,要求上网行为管理设备必须有足够的能力去把这些数据全部完整的记录和存储,对设备的数据抓包处理能力提出了很高要求。 乔吉洲表示,鉴于中钢用户数较多,带宽较大,在实施上网监控与带宽管理时首先要保证不影响原网络效率或影响较小;其次,记录的日志完整没有丢失,做到对用户的访问记录的完整及时记录;第三,能够识别多种网络应用协议,对协议进行有效的带宽管理,同时对新出现的网络应用协议进行持续跟踪与完善;第四,提供完善的报表工具,用户可根据多种条件自定义报表。 同时,上网行为管理设备的强大数据支持——应用协议库和URL库的更新至关重要。负责人表示期望每周更新,否则难以应对层出不穷的病毒、钓鱼网站和其它安全问题。 依据这些实际需求,通过对多家供应商技术实力、系统性能、服务水平乃至企业文化等硬性指标和软性指标的严格筛选,中钢集团最终决定部署网康上网行为管理,将网康产品串接在负载均衡设备和计费网关之间。 产品易用,高效进行IT运维 中钢集团的信息管理处有五个处,共29人。负责基础运维的是网络处,另有负责系统管理和数据库的系统管理处、负责应用系统建设的建设处、负责系统维护的维护管理处和专门负责信息化标准建设的信息标准处。对IT支撑部门而言,有较充足的人员配置和明确责任分工。上网行为管理的部署运行隶属于网络处负责。 依据经验,在上网行为管理部署运行初期,由于数据初始化,会增加一部分管理工作量,一旦步入正轨,就相对方便。 网康上网行为管理很完善细致地覆盖了中钢集团的管理需求,对用户上网行为管控达到甚至超出了预期效果。乔吉洲介绍道,“我们要求记录中以这样的方式表现‘某一个用户在某一个时点打开了某一个URL’,在固定每用户IP与实名对应的前提下,提交审计时可以精准地按人、时间、事件快速定位,这样一来,每个人要对这个IP发生的所有事情承担所有责任。网康的产品对细节的实现让我们满意。”但同时,他也强调“动态管理”,在上班时间禁止的无关应用,如上开心网偷菜,在下班时间会解禁。 中钢集团总部大楼的办公区内电脑未经安全审计不得接入网络,这一部分与大楼的无线网络部分划归了网康上网行为管理覆盖的范畴。在网康上网行为管理之外,中钢集团还部署了身份认证系统和计费系统,网康上网行为管理与后两个系统一道共同控制着外来笔记本接入网络。乔吉洲举例道:“外来笔记本接入网络后,未经网康上网行为管理的安全认证,不能打开内部网页;开启内部网页后,无计费系统认证不能连接互联网;提交身份信息进行安全认证、登记计费系统启用临时账号的二次认证后可以连接互联网,所有的流量才会在上网行为管理中得到监控,这些信息会被保留下来,与最初申请接入的身份信息核对,明确具体IP的使用责任人。” 如今中钢网络处IT人员做每日巡检时,除了监控之外,就是流量巡检,对工作时间内进行P2P下载的员工可以直接从统计实时报表中查询定位。于是,在实际工作中,他们没有严格控制流量,而是直接联络对方通知停止下载。“这样做的意义远甚于单纯地控制流量,如果我只知道IP而不知道用户实名,那么对问题的责任追索会耗掉更大成本。” 在流量巡检中,必须通过基于应用层的分析工具,去把协议识别出来,然后做有效的控制,这得益于网康上网行为管理的深度包检测(DPI)技术,它提供了带宽管理所需要的识别功能。这就解决了传统的安全设备如防火墙通过封锁端口来规避无关应用或有害应用的同时,会屏蔽其它有效应用的问题。 管控策略实施后,中钢集团IT人员可以流量图也好,查看用户上网行为趋势,如应用、网站、流量、访问等,在这些数据和趋势基础上,才能做针对性的策略调整。“部署网康上网行为管理后,每天早晨我上班后的第一件事,就是看一下昨天的日志报表,看看大家昨天一天都干嘛了。”乔吉洲笑言。 设备平稳运行,保障关键业务 选定并部署运行网康上网行为管理后,中钢集团认为产品从性能、功能及售后服务等方面都能够充分满足需求:实现了对内部用户访问互联网的内容的监控与审计,防止敏感信息外泄,规避法律风险,降低安全威胁;实现对互联网网络应用带宽的有效监控,优化配置带宽使用,提升工作效率;实现对网站访问的分类管理,屏蔽与工作无关网站;通过内置的报表工具,实现对用户网络应用、网络带宽访问网站等趋势的跟踪,持续优化管理策略。同时,网康上网行为管理的管控策略最大程度地体现了上网行为管理的灵活性与人性化。 乔吉洲表示,网康上网行为管理首先帮助中钢集团达到了基本的合规性要求;其次,设备部署运行后对应用协议的识别和有效控制了产品购买的预期,在工作时间可以压缩非工作用的网络流量如P2P下载、视频、音频,保障了核心应用系统,提升了正常办公的效率。 管控策略实施后,通过网康上网行为管理的审计功能,负责网络管理的工作人员能以流量图的形式查看用户上网行为趋势,如应用、网站、流量、访问等,每周、每月的趋势累计起来,在这些数据和趋势基础上,才能做针对性的策略调整。 责编:孔维维 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|