隨著互聯(lián)網(wǎng)日益延伸進(jìn)企業(yè)內(nèi)部，與此緊密相關(guān)的就是企業(yè)內(nèi)部對(duì)于上網(wǎng)行為的管理。作為重要的中央企業(yè)，信息化建設(shè)的完善對(duì)中國(guó)中鋼集團(tuán)公司（簡(jiǎn)稱(chēng)中鋼集團(tuán)）具備極高的戰(zhàn)略意義。中鋼集團(tuán)所屬二級(jí)單位86家，主要從事冶金礦產(chǎn)資源開(kāi)發(fā)與加工、冶金原料和相關(guān)產(chǎn)品貿(mào)易、以及相關(guān)工程技術(shù)服務(wù)與設(shè)備制造，是一家為鋼鐵工業(yè)和鋼鐵生產(chǎn)企業(yè)提供綜合配套、系統(tǒng)集成服務(wù)的集資源開(kāi)發(fā)、貿(mào)易物流、工程科技、設(shè)備制造、專(zhuān)業(yè)服務(wù)為一體的大型跨國(guó)企業(yè)集團(tuán)。

　　考慮到內(nèi)部網(wǎng)絡(luò)行為可能引申出在信息安全等方面一系列問(wèn)題，中鋼集團(tuán)希望對(duì)內(nèi)部的上網(wǎng)行為進(jìn)行有效管理。

　　這并非中鋼集團(tuán)與上網(wǎng)行為管理產(chǎn)品的首次接觸。

　　早在2006年時(shí)，中鋼集團(tuán)就選擇過(guò)一款上網(wǎng)行為管理產(chǎn)品，由于對(duì)市場(chǎng)不甚了解，在匆忙部署運(yùn)行后，發(fā)現(xiàn)這款產(chǎn)品常導(dǎo)致網(wǎng)絡(luò)傳輸中出現(xiàn)丟包，傳輸效率越來(lái)越差。到2009年初，這款產(chǎn)品的服務(wù)合同到期后，中鋼集團(tuán)決定重新選購(gòu)性能、功能滿(mǎn)足需求的上網(wǎng)行為管理產(chǎn)品，將其作為安全管理類(lèi)重點(diǎn)產(chǎn)品進(jìn)行選擇。

　　緣起內(nèi)外需求

　　中鋼集團(tuán)信息管理部網(wǎng)絡(luò)管理處經(jīng)理喬吉洲表示，部署上網(wǎng)行為管理的內(nèi)部需求來(lái)源于兩方面：第一，對(duì)員工上網(wǎng)行為進(jìn)行監(jiān)控和審計(jì)；第二，對(duì)網(wǎng)絡(luò)帶寬進(jìn)行有效管理。

　　對(duì)員工上網(wǎng)行為的監(jiān)控中，需要對(duì)具體內(nèi)容匹配關(guān)鍵詞，要求提交詞匯進(jìn)行全記錄，由后臺(tái)的審計(jì)人員通過(guò)提煉、基于關(guān)鍵詞再搜索進(jìn)行分解。在上網(wǎng)日志的審計(jì)中，需要為后續(xù)的審查做全記錄。

　　對(duì)帶寬進(jìn)行管理主要是為了解決網(wǎng)絡(luò)擁塞問(wèn)題，最常見(jiàn)的是P2P類(lèi)應(yīng)用占用了大量帶寬資源，造成網(wǎng)絡(luò)帶寬使用的有效性嚴(yán)重下降，并導(dǎo)致Web瀏覽、郵件收發(fā)、數(shù)據(jù)庫(kù)訪問(wèn)等關(guān)鍵應(yīng)用的服務(wù)質(zhì)量無(wú)法得到有效保障，增加帶寬并不能緩解擁塞狀況，反而助長(zhǎng)了P2P應(yīng)用的泛濫。中鋼集團(tuán)過(guò)去的網(wǎng)絡(luò)帶寬在30M，但正因缺乏有效的監(jiān)控手段，帶寬遠(yuǎn)遠(yuǎn)滿(mǎn)足不了需求，而與此相對(duì)的是網(wǎng)絡(luò)帶寬費(fèi)用的急劇增長(zhǎng)，無(wú)休無(wú)止。

　　同時(shí)，部署上網(wǎng)行為管理也有來(lái)自外部的需求。國(guó)家已經(jīng)公布了《企業(yè)內(nèi)部控制基本法規(guī)》，作為央企之一的中鋼集團(tuán)，需要提供上網(wǎng)日志備查，這要求企業(yè)內(nèi)部的審計(jì)功能日趨完善。在對(duì)用戶(hù)上網(wǎng)行為管理的內(nèi)部審計(jì)上，中鋼集團(tuán)需要上網(wǎng)行為管理產(chǎn)品彌補(bǔ)這一空白地帶，進(jìn)行內(nèi)部員工對(duì)外部網(wǎng)站的訪問(wèn)審計(jì)、外發(fā)郵件包括使用外部郵箱的審計(jì)、以及對(duì)敏感問(wèn)題的論壇發(fā)帖審計(jì)。

　　網(wǎng)絡(luò)現(xiàn)狀與實(shí)施目標(biāo)

　　中鋼集團(tuán)現(xiàn)有的網(wǎng)絡(luò)帶寬出口為60Mbps，內(nèi)網(wǎng)用戶(hù)在1200-1600人之間，日常使用臺(tái)式機(jī)約為1200臺(tái)，移動(dòng)筆記本約為300臺(tái)。每天鏈接數(shù)高達(dá)三十萬(wàn)次、網(wǎng)站的點(diǎn)擊率達(dá)八十萬(wàn)次，要求上網(wǎng)行為管理設(shè)備必須有足夠的能力去把這些數(shù)據(jù)全部完整的記錄和存儲(chǔ)，對(duì)設(shè)備的數(shù)據(jù)抓包處理能力提出了很高要求。

　　喬吉洲表示，鑒于中鋼用戶(hù)數(shù)較多，帶寬較大，在實(shí)施上網(wǎng)監(jiān)控與帶寬管理時(shí)首先要保證不影響原網(wǎng)絡(luò)效率或影響較小；其次，記錄的日志完整沒(méi)有丟失，做到對(duì)用戶(hù)的訪問(wèn)記錄的完整及時(shí)記錄；第三，能夠識(shí)別多種網(wǎng)絡(luò)應(yīng)用協(xié)議，對(duì)協(xié)議進(jìn)行有效的帶寬管理，同時(shí)對(duì)新出現(xiàn)的網(wǎng)絡(luò)應(yīng)用協(xié)議進(jìn)行持續(xù)跟蹤與完善；第四，提供完善的報(bào)表工具，用戶(hù)可根據(jù)多種條件自定義報(bào)表。

　　同時(shí)，上網(wǎng)行為管理設(shè)備的強(qiáng)大數(shù)據(jù)支持--應(yīng)用協(xié)議庫(kù)和URL庫(kù)的更新至關(guān)重要。負(fù)責(zé)人表示期望每周更新，否則難以應(yīng)對(duì)層出不窮的病毒、釣魚(yú)網(wǎng)站和其它安全問(wèn)題。

　　依據(jù)這些實(shí)際需求，通過(guò)對(duì)多家供應(yīng)商技術(shù)實(shí)力、系統(tǒng)性能、服務(wù)水平乃至企業(yè)文化等硬性指標(biāo)和軟性指標(biāo)的嚴(yán)格篩選，中鋼集團(tuán)最終決定部署網(wǎng)康上網(wǎng)行為管理，將網(wǎng)康產(chǎn)品串接在負(fù)載均衡設(shè)備和計(jì)費(fèi)網(wǎng)關(guān)之間。

　　產(chǎn)品易用，高效進(jìn)行IT運(yùn)維

　　中鋼集團(tuán)的信息管理處有五個(gè)處，共29人。負(fù)責(zé)基礎(chǔ)運(yùn)維的是網(wǎng)絡(luò)處，另有負(fù)責(zé)系統(tǒng)管理和數(shù)據(jù)庫(kù)的系統(tǒng)管理處、負(fù)責(zé)應(yīng)用系統(tǒng)建設(shè)的建設(shè)處、負(fù)責(zé)系統(tǒng)維護(hù)的維護(hù)管理處和專(zhuān)門(mén)負(fù)責(zé)信息化標(biāo)準(zhǔn)建設(shè)的信息標(biāo)準(zhǔn)處。對(duì)IT支撐部門(mén)而言，有較充足的人員配置和明確責(zé)任分工。上網(wǎng)行為管理的部署運(yùn)行隸屬于網(wǎng)絡(luò)處負(fù)責(zé)。

　　依據(jù)經(jīng)驗(yàn)，在上網(wǎng)行為管理部署運(yùn)行初期，由于數(shù)據(jù)初始化，會(huì)增加一部分管理工作量，一旦步入正軌，就相對(duì)方便。

　　網(wǎng)康上網(wǎng)行為管理很完善細(xì)致地覆蓋了中鋼集團(tuán)的管理需求，對(duì)用戶(hù)上網(wǎng)行為管控達(dá)到甚至超出了預(yù)期效果。喬吉洲介紹道，“我們要求記錄中以這樣的方式表現(xiàn)‘某一個(gè)用戶(hù)在某一個(gè)時(shí)點(diǎn)打開(kāi)了某一個(gè)URL’，在固定每用戶(hù)IP與實(shí)名對(duì)應(yīng)的前提下，提交審計(jì)時(shí)可以精準(zhǔn)地按人、時(shí)間、事件快速定位，這樣一來(lái)，每個(gè)人要對(duì)這個(gè)IP發(fā)生的所有事情承擔(dān)所有責(zé)任。網(wǎng)康的產(chǎn)品對(duì)細(xì)節(jié)的實(shí)現(xiàn)讓我們滿(mǎn)意。”但同時(shí)，他也強(qiáng)調(diào)“動(dòng)態(tài)管理”，在上班時(shí)間禁止的無(wú)關(guān)應(yīng)用，如上開(kāi)心網(wǎng)偷菜，在下班時(shí)間會(huì)解禁。

　　中鋼集團(tuán)總部大樓的辦公區(qū)內(nèi)電腦未經(jīng)安全審計(jì)不得接入網(wǎng)絡(luò)，這一部分與大樓的無(wú)線(xiàn)網(wǎng)絡(luò)部分劃歸了網(wǎng)康上網(wǎng)行為管理覆蓋的范疇。在網(wǎng)康上網(wǎng)行為管理之外，中鋼集團(tuán)還部署了身份認(rèn)證系統(tǒng)和計(jì)費(fèi)系統(tǒng)，網(wǎng)康上網(wǎng)行為管理與后兩個(gè)系統(tǒng)一道共同控制著外來(lái)筆記本接入網(wǎng)絡(luò)。喬吉洲舉例道：“外來(lái)筆記本接入網(wǎng)絡(luò)后，未經(jīng)網(wǎng)康上網(wǎng)行為管理的安全認(rèn)證，不能打開(kāi)內(nèi)部網(wǎng)頁(yè)；開(kāi)啟內(nèi)部網(wǎng)頁(yè)后，無(wú)計(jì)費(fèi)系統(tǒng)認(rèn)證不能連接互聯(lián)網(wǎng)；提交身份信息進(jìn)行安全認(rèn)證、登記計(jì)費(fèi)系統(tǒng)啟用臨時(shí)賬號(hào)的二次認(rèn)證后可以連接互聯(lián)網(wǎng)，所有的流量才會(huì)在上網(wǎng)行為管理中得到監(jiān)控，這些信息會(huì)被保留下來(lái)，與最初申請(qǐng)接入的身份信息核對(duì)，明確具體IP的使用責(zé)任人。”

　　如今中鋼網(wǎng)絡(luò)處IT人員做每日巡檢時(shí)，除了監(jiān)控之外，就是流量巡檢，對(duì)工作時(shí)間內(nèi)進(jìn)行P2P下載的員工可以直接從統(tǒng)計(jì)實(shí)時(shí)報(bào)表中查詢(xún)定位。于是，在實(shí)際工作中，他們沒(méi)有嚴(yán)格控制流量，而是直接聯(lián)絡(luò)對(duì)方通知停止下載。“這樣做的意義遠(yuǎn)甚于單純地控制流量，如果我只知道IP而不知道用戶(hù)實(shí)名，那么對(duì)問(wèn)題的責(zé)任追索會(huì)耗掉更大成本。”

　　在流量巡檢中，必須通過(guò)基于應(yīng)用層的分析工具，去把協(xié)議識(shí)別出來(lái)，然后做有效的控制，這得益于網(wǎng)康上網(wǎng)行為管理的深度包檢測(cè)（DPI）技術(shù)，它提供了帶寬管理所需要的識(shí)別功能。這就解決了傳統(tǒng)的安全設(shè)備如防火墻通過(guò)封鎖端口來(lái)規(guī)避無(wú)關(guān)應(yīng)用或有害應(yīng)用的同時(shí)，會(huì)屏蔽其它有效應(yīng)用的問(wèn)題。

　　管控策略實(shí)施后，中鋼集團(tuán)IT人員可以流量圖也好，查看用戶(hù)上網(wǎng)行為趨勢(shì)，如應(yīng)用、網(wǎng)站、流量、訪問(wèn)等，在這些數(shù)據(jù)和趨勢(shì)基礎(chǔ)上，才能做針對(duì)性的策略調(diào)整。“部署網(wǎng)康上網(wǎng)行為管理后，每天早晨我上班后的第一件事，就是看一下昨天的日志報(bào)表，看看大家昨天一天都干嘛了。”喬吉洲笑言。

　　設(shè)備平穩(wěn)運(yùn)行，保障關(guān)鍵業(yè)務(wù)

　　選定并部署運(yùn)行網(wǎng)康上網(wǎng)行為管理后，中鋼集團(tuán)認(rèn)為產(chǎn)品從性能、功能及售后服務(wù)等方面都能夠充分滿(mǎn)足需求：實(shí)現(xiàn)了對(duì)內(nèi)部用戶(hù)訪問(wèn)互聯(lián)網(wǎng)的內(nèi)容的監(jiān)控與審計(jì)，防止敏感信息外泄，規(guī)避法律風(fēng)險(xiǎn)，降低安全威脅；實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)網(wǎng)絡(luò)應(yīng)用帶寬的有效監(jiān)控，優(yōu)化配置帶寬使用，提升工作效率；實(shí)現(xiàn)對(duì)網(wǎng)站訪問(wèn)的分類(lèi)管理，屏蔽與工作無(wú)關(guān)網(wǎng)站；通過(guò)內(nèi)置的報(bào)表工具，實(shí)現(xiàn)對(duì)用戶(hù)網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)帶寬訪問(wèn)網(wǎng)站等趨勢(shì)的跟蹤，持續(xù)優(yōu)化管理策略。同時(shí)，網(wǎng)康上網(wǎng)行為管理的管控策略最大程度地體現(xiàn)了上網(wǎng)行為管理的靈活性與人性化。

　　喬吉洲表示，網(wǎng)康上網(wǎng)行為管理首先幫助中鋼集團(tuán)達(dá)到了基本的合規(guī)性要求；其次，設(shè)備部署運(yùn)行后對(duì)應(yīng)用協(xié)議的識(shí)別和有效控制了產(chǎn)品購(gòu)買(mǎi)的預(yù)期，在工作時(shí)間可以壓縮非工作用的網(wǎng)絡(luò)流量如P2P下載、視頻、音頻，保障了核心應(yīng)用系統(tǒng)，提升了正常辦公的效率。

　　管控策略實(shí)施后，通過(guò)網(wǎng)康上網(wǎng)行為管理的審計(jì)功能，負(fù)責(zé)網(wǎng)絡(luò)管理的工作人員能以流量圖的形式查看用戶(hù)上網(wǎng)行為趨勢(shì)，如應(yīng)用、網(wǎng)站、流量、訪問(wèn)等，每周、每月的趨勢(shì)累計(jì)起來(lái)，在這些數(shù)據(jù)和趨勢(shì)基礎(chǔ)上，才能做針對(duì)性的策略調(diào)整。