产品易用，高效进行IT运维

　　中钢集团的信息管理处共有五个处，29人。负责基础运维的是网络处，另有负责系统管理和数据库的系统管理处、负责应用系统建设的建设处、负责系统维护的维护管理处和专门负责信息化标准建设的信息标准处。对IT支撑部门而言，有较充足的人员配置和明确责任分工。上网行为管理的部署运行隶属于网络处负责。

　　依据经验，在上网行为管理部署运行初期，由于数据初始化，会增加一部分管理工作量，一旦步入正轨，就相对方便。

　　网康上网行为管理很完善细致地覆盖了中钢集团的管理需求，对用户上网行为管控达到甚至超出了预期效果。乔吉洲介绍道，“我们要求记录中以这样的方式表现‘某一个用户在某一个时点打开了某一个URL’，在固定每用户IP与实名对应的前提下，提交审计时可以精准地按人、时间、事件快速定位，这样一来，每个人要对这个IP发生的所有事情承担所有责任。网康的产品对细节的实现让我们满意。”但同时，他也强调“动态管理”，在上班时间禁止的无关应用，如上开心网偷菜，在下班时间会解禁。

　　中钢集团总部大楼的办公区内电脑未经安全审计不得接入网络，这一部分与大楼的无线网络部分划归了网康上网行为管理覆盖的范畴。在网康上网行为管理之外，中钢集团还部署了身份认证系统和计费系统，网康上网行为管理与后两个系统一道共同控制着外来笔记本接入网络。乔吉洲举例道：“外来笔记本接入网络后，未经网康上网行为管理的安全认证，不能打开内部网页;开启内部网页后，无计费系统认证不能连接互联网;提交身份信息进行安全认证、登记计费系统启用临时账号的二次认证后可以连接互联网，所有的流量才会在上网行为管理中得到监控，这些信息会被保留下来，与最初申请接入的身份信息核对，明确具体IP的使用责任人。”

　　如今中钢网络处IT人员做每日巡检时，除了监控之外，就是流量巡检，对工作时间内进行P2P下载的员工可以直接从统计实时报表中查询定位。于是，在实际工作中，他们没有严格控制流量，而是直接联络对方通知停止下载。“这样做的意义远甚于单纯地控制流量，如果我只知道IP而不知道用户实名，那么对问题的责任追索会耗掉更大成本。”

　　在流量巡检中，必须通过基于应用层的分析工具，去把协议识别出来，然后做有效的控制，这得益于网康上网行为管理的深度包检测(DPI)技术，它提供了带宽管理所需要的识别功能。这就解决了传统的安全设备如防火墙通过封锁端口来规避无关应用或有害应用的同时，会屏蔽其它有效应用的问题。

　　管控策略实施后，中钢集团IT人员可以流量图也好，查看用户上网行为趋势，如应用、网站、流量、访问等，在这些数据和趋势基础上，才能做针对性的策略调整。“部署网康上网行为管理后，每天早晨我上班后的第一件事，就是看一下昨天的日志报表，看看大家昨天一天都干嘛了。”乔吉洲笑言。