【IT168专稿】要说到产品，上网行为管理可谓有很多远亲近邻，比如SOC(安全管理中心)、UTM、URL过滤、防水墙、安全审计、应用防火墙等。尽管有的产品只是过渡产品，尽管有些产品始终存在，但当如今人们刚刚对上网行为管理产品有些熟悉的时候，具备类似功能的上述产品难免会困扰广大用户的选择。

　　近日，记者就此采访了北京信息安全测评中心产品测试主管刘国伟，就产品层面为我们好好梳理一下。
 

北京信息安全测评中心产品测试主管刘国伟

　　如何理解上网行为管理产品的内涵

　　为什么会出现上网行为管理这样一种产品呢?我们都知道，随着互联网或者说网络应用的发展程度越来越高，无论从信息量的角度还是从应用方式的角度，我们既感觉到网络所带来的便利，又感受到诸多非法、恶意的风险的压力，甚至实实在在、无处不在的攻击。

　　“这一点正是导致上网行为管理产品出现的基础大环境。”刘国伟开门见山地指出：“然而，更为重要的原因还是人们对流量控制和信息泄露的需求和意识越来越强烈。”

　　是的，正是由于用户对于自身网络内容和访问方式的安全性和管理性需求，上网行为管理产品才得以在市场上得到越来越多的认可。“我觉得它是一个类似叫执法者或仲裁者的产品，它肯定有一个主体和一个客体。”刘国伟从主、客体的角度解析上网行为管理产品的内涵。

　　他认为，上网行为管理产品所管理的主体就是用户，在初期可能是通过IP或者MAC地址绑定到PC机或者终端上，现在更多是通过证书或者其他认证方式最终落实到人上。但是主体最终一定是人，而不是计算机。而客体其实就是人们上网所要使用的资源，包括互联网本身的资源和用户由于业务需要所访问的一些网络资源，等等这些都是上网行为管理所要管理的一个客体。

　　总结一句话，上网行为管理产品最终的目的，就是通过技术手段，达到让主体访问应该访问的客体，而其没有权利或者不应该访问的客体就不应该被访问到。

　　最难做的还是客体的识别

　　作为任何一个产品，功能都是直接解释其概念的最好答案。刘国伟认为，上网行为管理产品应该具备2大功能，一个叫控制，包括URL过滤、协议过滤以及流量控制，也就是人们通常所说的管理功能;另一个叫做审计，就是看用户发送的信息里边有没有包含一些用户比较敏感的信息，这个就对应该产品的安全。而综合管理和安全这两大功能来看的话，最终还需要看用户的需求偏重哪块功能，从而突出或确定该产品所体现出的功能特性。

　　“但是从原点上讲，它要实现对主体访问客体的控制，必须要有3个核心的东西：一个是对客体的识别，例如现在常说的URL的过滤、针对协议的过滤以及流量管理;第二个，是它对主体的识别，包括以前是用IP和MAC地址，现在通过认证证书;第三个，也是核心的东西，就是控制。”刘国伟指出：“但现在来看，这三个技术可能比较难做好的，还是在客体识别上，因为现在互联网资源确实非常复杂，而且更新特别快，所以对上网行为管理产品来说，必须得能跟上互联网的变化，而这块要求应该是蛮高的。”

　　但是刘国伟也毫不讳言地说：“就像病毒库那样，在上网行为管理产品的客体识别方面，中国本土类的产品反而是非常占优势的一个机会。”

　　区别与之类似功能的产品

　　目前，与上网行为管理产品的功能类似的一些产品，包括：SOC、安全审计、Web过滤产品、流量管理、防水墙，以及部署了上网行为管理功能的路由、防火墙或UTM产品。

　　那么，首先来看看SOC与上网行为管理产品的区别。内网安全管理产品的来源就是因为很多安全问题符合2/8原则，也就是说有80%的安全问题是来自于内部的，包括一些病毒、一些违法的访问等。但是，上网行为管理产品是一个由内到外的访问的产品，但对于比如内部有人恶意破坏一台服务器的情况是管不住的。

　　其次，安全审计类产品。这类产品的来源是因为在国内有很多比如企业或者政府，希望对比如企业员工等做的一些行为以及产生的流量要有记录(这一点现在相应的一些法规或者政策也有要求)。这类产品在市场上目前分为2大类：一类是网络审计，另一类是数据库审计。顾名思义，前者是侧重于网络上的一些流量的审计，后者则是对数据库的操作所做的审计。从这2类产品来看的话，它只关注审计这块，而且根据审计对象的不同还做了细分，但是从网络访问来看的话，这2类产品不仅能审计内部访问，还可以审计由内到外的访问。但是上网行为管理产品所做的审计，根据产品所管理对象的定义，应该只是从内网访问到互联网的这些行为。

　　第三，web过滤产品、流量管理以及防水墙等产品。刘国伟认为，这几类产品更多的都是关注了某一点具体的功能，并且最终关注的点跟上网行为管理产品是有一些重合的。上网行为管理产品的核心其实是对行为的管理以及审计，特别是对关键信息的审计。而单拿出审计来看的话，可能防水墙在这块和它是有一些重合的，而流量管理产品又可能在控制这块有一些重合。但需要注意的是，即使有功能上的重合，但各产品所做的深度和技术实现，肯定是有一些差别的，而具体有何侧重，还需要落实到具体的用户需求才好评判。

　　第四，部署了上网行为管理功能的路由、防火墙或UTM产品。当然，任何产品的出现一定是有需求市场与之对应的。但就核心技术讲，刘国伟表示，像这些产品最终关注的还是OSI模型中基于第三层，也就是网络层协议的内容，就算这类产品能做一些基于第四层应用层的审计，最终的技术效能也是不可能和专门做上网行为管理的产品来比对的。

　　然而，即使如此，其实用户层面才是最终区分产品的一环。而所谓高中低端用户，无非是用户数量上的差异。数量的多少，但这一点将直接导致其对网络带宽的占用程度、对网络响应的要求有多高、及其对审计所带来的难度有多大。刘国伟特别指出的是，从用户的角度来讲，特别是如前所述的客体识别这块尤其有难度，需要看产品如何对客体进行识别、识别的效率、跟随客体变化所做更新的速度等，但最终这些肯定都会落实到相应厂商在相应产品上研发和服务能力。