国企的中钢集团,需要提供上网日志备查,这要求企业内部的审计功能日趋完善。在对用户上网行为管理的内部审计上,中钢集团需要上网行为管理产品弥补这一空白地带,进行内部员工对外部网站的访问审计、外发邮件包括使用外部邮箱的审计,以及对敏感问题的论坛发帖审计。
实施后收益显著
中钢集团现有的网络带宽出口为60Mbps,内网用户在1200~1600人之间,日常使用台式机约为1200台,移动笔记本约为300台。每天链接高达30万次、网站的点击率达80万次,要求上网行为管理设备必须有足够的能力去把这些数据全部完整的记录和存储,对设备的数据抓包处理能力提出了很高要求。
乔吉洲表示:鉴于中钢集团用户数较多,带宽较大,在实施上网监控与带宽管理时首先要保证不影响原网络效率或影响较小;其次,记录的日志完整没有丢失,做到对用户的访问记录的完整及时记录;第三,能够识别多种网络应用协议,对协议进行有效的带宽管理,同时对新出现的网络应用协议进行持续跟踪与完善;第四,提供完善的报表工具,用户可根据多种条件自定义报表。
同时,上网行为管理设备的强大数据支持—应用协议库和URL库的更新至关重要。负责人表示期望每周更新,否则难以应对层出不穷的病毒、钓鱼网站和其他安全问题。
选定并部署了网康科技的上网行为管理后,中钢集团实现对内部用户访问互联网的内容的监控与审计,防止敏感信息外泄,规避法律风险,降低安全威胁;同时,优化配置带宽使用,屏蔽与工作无关网站,提升了工作效率,企业获得的益处逐渐显现。
上网行为“透明化”
中钢集团的信息管理处有5个处,共29人。负责基础运维的是网络处,另有负责系统管理和数据库的系统管理处、负责应用系统建设的建设处、负责系统维护的维护管理处和专门负责信息化标准建设的信息标准处。对IT支撑部门而言,有较充足的人员配置和明确责任分工。上网行为管理的部署运行隶属于网络处负责。
依据经验,在上网行为管理部署运行初期,由于数据初始化,会增加一部分管理工作量,一旦步入正轨,就相对方便。
乔吉洲介绍说,“我们要求记录中以这样的方式表现‘某一个用户在某一个时点打开了某一个URL’,在固定每用户IP与实名对应的前提下,提交审计时可以精准地按人、时间、事件快速定位,这样一来,每个人要对这个IP发生的所有事情承担所有责任。”同时,他也强调“动态管理”,在上班时间禁止的无关应用,如上开心网偷菜,在下班时间会解禁。
中钢集团总部大楼的办公区内电脑未经安全审计不得接入网络,这一部分与大楼的无线网络部分划归了上网行为管理覆盖的范畴。在上网行为管理之外,还部署了身份认证系统和计费系统,上网行为管理与后两个系统一道共同控制着外来笔记本接入网络。
乔吉洲举例:“外来笔记本接入网络后,未经上网行为管理的安全认证,不能打开内部网页;开启内部网页后,无计费系统认证不能连接互联网;提交身份信息进行安全认证、登记计费系统启用临时账号的二次认证后可以连接互联网,所有流量才会在上网行为管理中得到监控,这些信息会被保留下来,与最初申请接入的身份信息核对,明确具体IP的使用责任人。”
如今,中钢集团网络处IT人员做每日巡检时,除了监控之外,就是流量巡检,对工作时间内进行P2P下载的员工可以直接从统计实时报表中查询定位。于是,在实际工作中,他们没有严格控制流量,而是直接联络对方通知停止下载。“这样做的意义远甚于单纯地控制流量,如果我只知道IP而不知道用户实名,那么对问题的责任追索会耗掉更大成本。”
在流量巡检中,必须通过基于应用层的分析工具,去把协议识别出来,然后做有效的控制,这得益于上网行为管理的深度包检测(DPI)技术,它提供了带宽管理所需要的识别功能。这就解决了传统的安全设备如防火墙通过封锁端口来规避无关应用或有害应用的同时,会屏蔽其他有效应用的问题。
管控策略实施后,中钢集团IT人员可以查看用户上网行为趋势,如应用、网站、流量、访问等,在这些数据和趋势基础上,才能做针对性的策略调整。“部署上网行为管理后,每天早晨我上班后的第一件事,就是看一下昨天的日志报表,看看大家昨天一天都干嘛了。”乔吉洲笑言。
相关热词搜索: 中钢