【IT168 专稿】根据中国互联网络信息中心(CNNIC)在2009年1月发布的《中国互联网络发展状况统计报告》显示,截至2008年12月31日,中国网民规模达到2.98亿人,普及率达到22.6%,超过全球平均水平;网民规模较2007年增长8800万人,年增长率为41.9%;网络游戏在各项应用中排在第六位。
可见,互联网经过十几年的高速发展,如今已经渗透到社会生活的每一个角落,成为人们学习、工作、生活不可或缺的工具,也成为企业高效运营、提高竞争力的基础平台。互联网的开放性、交互性、延伸性为人们快速获取知识、即时沟通以及跨地域交流提供了极大的便利,同时,随着互联网的快速发展,各种网络犯罪、网络诈骗、色情网站等有害资源也肆意蔓延。
Dynamics Markets Limited早前的一项调查结果显示:中国员工每周花在网上处理私人事务的时间比其它地区的员工更长,高达5.6小时。中国有60%的员工在上班时间浏览个人信件,员工上网下载音乐比拉美高16%,员工进入聊天室比其它地区的平均水平高8%,员工上班时间玩在线游戏比其它地区高12%。统计显示,中国员工比其它地区的员工花费更多的时间使用IM、玩游戏、P2P或流动媒体。
那么,对于企业来说,用好网络资源,提高运行效率,降低企业网络运营成本,使之更好地为企业效益服务,已到了刻不容缓的地步。可以预计,2009年将是企业打造低成本绿色网络的关键一年。
首先,低成本、高效运营的IT网络是企业追求的终极目标
从产品生命周期的观点看,无论是硬件还是软件,大致可分为五个阶段,即:规划和设计、开发(购买)和测试、实施、运营、终止。而前三个阶段从时间的角度看,只占硬件和软件生命周期的20%,其余80%的时间基本上是对其进行运营。
当前大量企业都建立了以网络为基础的信息化平台。如果整个IT的运营管理做得不好,那么这些花费大笔投资建立起来的系统功能再强大也没有用,其对企业的价值贡献甚微,甚至为负,因为使用者根本无法顺利使用他们,或者虽然可以使用但却不能带来预期的收益,反而为企业增加不必要的成本。
在全球金融危机的大背景下,企业将空前关注IT网络设备的使用价值和效率,更加关注设备的运营成本。
其次,绿色网络是企业实现高效率、高效益的根本保证
早在2007年10月,中共中央总书记胡锦涛在中国共产党第十七次全国代表大会上就指出"加强网络文化建设和管理,营造良好网络环境"。2009年2月6日,中宣部部长刘云山在整治互联网低俗之风专项行动工作会议上指出"网上淫秽色情和低俗内容泛滥不仅阻碍我国互联网的健康发展,而且严重侵蚀人们的心灵,败坏社会风气,危害未成年人的健康成长","整治网上低俗之风、净化网络文化环境是中央做出的重大部署,是广大人民群众的强烈愿望"。
据IDC的调查,超过70%的信息安全隐患来自企业内部。可以想象,员工在上班时间上网聊天、浏览色情图片、购物和玩游戏等行为将会严重影响工作效率;日益流行的BT、电驴等P2P下载软件将会非常容易导致关键业务的带宽无法保证;部分缺乏保密意识的员工则可通过MSN、QQ等即时通信软件和邮件等方式,有意或无意地将企业内部机密信息泄漏,从而给企业带来巨大的损失。
由此可见,互联网上网行为带来的负面效应已引起党中央的严重关切和注意。同时,良莠不齐、泥沙俱下的网络环境是日益困扰企业的心病。
我们知道,传统的杀毒软件、防火墙、IPS、IDS都是防范来自企业外部的攻击,是被动防守型的,它们能保证互联网信息在传递过程中的安全性,而不能保证互联网信息在使用过程中的安全性。面对层出不同的互联网上网行为,企业必须要从原有的被动防守的思路中解放出来,要主动出击,规范互联网上网行为,切实打造低成本绿色的网络环境。企业要想做到主动出击,可以借助上网行为管理系统从规范员工的"行为"入手。据了解,该系统可以从如下几个方面来规范员工的上网行为:
1. 控管员工上网行为,提高员工工作效率
用户是上网行为管理产品最核心的要素,任何一条策略都是针对某个用户或者某个部门设置的,因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。
通过IP识别、MAC识别、IP/MAC绑定、NTLM认证、BASIC认证、Web认证、AD域透明认证、LDAP认证、RADIUS认证、POP3认证、ESMTP认证等方式确保能对各种网络行为具体到户,落实到人,实现真正意义上的用户身份管理。
上网行为管理系统还应该能够根据多种条件及其组合对网络应用进行灵活的管理,包括:
用户、部门及其组合
时间段,如上班时间、下班时间、周末等
提供自定义协议,对特定的应用进行控制
对网络应用进行封堵、允许
对一些用户上网行为实行免监控,对一些用户的上网,实行暂时或永久屏蔽
对诸如操作系统软件补丁升级、防病毒软件升级的网站实行免监控
总之,企业可以根据需要,合理分配不同部门、员工的上网权限,如什么时间、什么部门和人可以上外网、什么时间、什么部门和人不能上外网,以及通过策略控制实现哪些互联网资源是可以访问的,哪些互联网资源是严格禁止使用,并且可以将所有与上网相关的行为记录下来。例如,对企业研发、商务等关键部门的上网行为、聊天内容和邮件内容进行记录,以便事后审计,并在内部起到威慑的效果。通过这些管控策略,规范员工的上网行为,从而提高员工的工作效率。
2. 保障和控制网络流量,充分有效利用互联网出口带宽
互联网的网络应用层出不穷,对带宽资源的占用也越来越高,特别是以P2P为代表的下载软件,如果不加限制,会严重消耗企业的带宽资源,从而影响正常的业务数据的传输。上网行为管理系统应支持应用层的带宽分配与流量管理,可以针对用户或部门、按照时间段,对每一种应用协议进行带宽限制。
上网行为管理系统就像一台网络协议分析仪,能够识别并统计网络上有哪些类型的数据在传输,哪些应用在运行,哪些协议在使用,哪些服务器的流量占用了主要的带宽资源,哪个用户的上网行为显著消耗了带宽等。根据这些量化的统计数据,通过预先设定若干个虚拟的带宽通道,将带宽通道与具体的用户或网络应用绑定,从而对其流量进行限制、整形,达到带宽管理的目的。这些带宽管理策略应该能够实现如下功能:
针对每一个用户/部门设置带宽
针对每一种网络应用设置带宽
防止个别成员独占部门带宽
优先级设置
对突发流量进行整形
3. 防止访问色情、病毒等非法网站,降低设备染毒风险
上网行为管理系统应该可以针对来自内部的攻击进行识别与防范。如果内网发生ARP攻击行为,引起网络流量异常增加,该系统可以在第一时间识别感染ARP病毒的主机,并发送告警邮件给管理员,提示及时防范。此外,当发生异常流量时,通过设置来源IP访问的上传包速率、上传速率、新建连接速率、小包发送速率等多个阀值,对突发流量进行带宽整形,对危险主机进行带宽"抑制",同时保障上网行为管理系统自身的请求响应能力。对于超出阀值的流量,除了带宽限制,还可以完全阻塞、或者只阻塞超出阀值部分的流量,对于异常流量的IP,可以设置加入黑名单进行屏蔽。
4. 减少网管人员工作量,降低企业网管运营成本
一方面,我们知道,要想使企业的网络设备处于高效的利用状态,就必须部署上网行为管理系统,从而加强对员工的上网行为进行规范和管控,保证企业的网络设备免受来自系统内部的攻击。这样就能大大减少IT网管人员为维护企业的内部网络而疲于奔命。
另一方面,对于集团用户经常是跨地域、跨区域的组织结构,往往要部署多台上网行为管理系统。在这种网络环境中,需要统一的集中管理平台,帮助管理员随时了解各分支机构的设备运行状态,统一制定、下发上网行为管理的策略,并定期收集各分支机构用户上网行为日志,从而节省企业网络运营和维护成本,便于网络管理者统揽全局,提高对用户互联网行为管控的效率与力度。
5. 防止机密信息外泄,保证企业数据安全
对于上市公司以及知识敏感型企业,关键设计文档、软件源代码、市场销售计划等核心机密文档,可以通过电子邮件、MSN/QQ等在线聊天工具以及BBS论坛"轻易而快速"地传递到外部,给企业造成重大损失。
上网行为管理系统应该可以完整地记录内网用户网络访问的日志,包括上网时间、网络流量、Web访问记录、接收与发送的邮件、IM聊天的内容、论坛发帖内容、网络游戏记录、P2P下载记录,以及访问在线视频、在线炒股活动等等。同时,针对用户上网行为以及相关内容查询统计,帮助管理员对用户的网络活动进行较长时间的回溯与反查,从而全面了解员工的各种行为,为改进网络管理和防止企业机密信息外泄,保证企业安全提供详实准确的依据。
基于为企业打造低成本绿色网络的设计理念,北京网康科技有限公司推出的互联网控制网关(NetentSec Internet Control Gateway,简称网康ICG)是一款专业的上网行为管理产品,是面向企业用户的软硬件一体化的控制管理网关。网康ICG完全能够按照上述五个方面的要求,规范和管控员工的上网行为,帮助客户打造低成本的绿色网络环境,尽享互联网的应用价值。