摘 要: 航道业务信息化建设已开展多年,也已经取得了一定的成果,基本完成了组织内网络的构架和互联,为各位办公人员生活带来了极大的方便。但随着网絡技术等高速的发展,互联网中也同样存在很多问题,比如网络安全隐患、内网行为无法管控、流量控制力较弱、无法统一管理等。而最重要的是目前我们的网络系统中还缺乏一个对上网进行管理和审计的有效手段,致使存在因为内部员工上网行为不当,而导致的触犯法律问题。所以有鉴于以上情况,整个网络还存在着极大的优化空间。这些问题的存在,促使我们要继续加强信息化建设的力度。
关键词:航道业务;网络安全防护;网络优化
在长江航道现代化的今天,计算机参与信息化管理已成为必不可少的一部分。互联网办公网也是实现智能航道、数字航道的重要桥梁。本文讲述了航道业务系统内部的员工在互联网办公时还存的一些小问题以及优化的空间,然后描述我们如何去解决现阶段问题,实现绿色上网,最后剖析了绿色上网会给航道单位带来哪些增值效益。
一、互联网办公当前网络问题分析
近年来,随着信息化的高速发展,航道业务的办公、生产和互联网的结合度越来越高,互联网带宽效率已经成为影响我们航道立足长江、面向全国、走向世界发展的一个关键的元素。内部互联网使用的无序化,导致带宽分配不合理,有时候带宽资源被非关键应用所占用。
我认为主要问题有以下4点:
(1)带宽资源被非关键应用大量占用:单位内部人员有时上班时间使用P2P等软件下载与工作无关的资源、在线观看与工作无关的视频,导致办公期间带宽不足,ERP、邮件、OA、视频会议等系统因为带宽问题响应缓慢,会一定程度上影响工作效率。
(2)传统的缓存丢包式的流控无法控制P2P下行流量:P2P流量具有带宽侵蚀性,只要内部有对外P2P请求,即使流控设备能够丢掉部分P2P的下行报文,但是仍然会有大量的来自互联网的P2P下行报文会占满带宽,导致我们很多的核心业务如工作邮件、视频会议、工作资料的下载等得不到有效的保障。
(3)空闲时带宽利用率低:为了保障核心业务,往往针对非业务相关但是常用的应用的带宽进行严格的限制,然而,业务高峰期过后,常用应用流量依然被限制在很小的带宽里,导致带宽利用率不高,会使我们航道内部的员工的使用体验较差。
(4)一刀切的流量控制手段,也会降低我们航道内部的员工使用体验:由于我单位的流控策略是配额制,每个员工的上网时长、流量等按配额使用。一旦用量超过配额,将导致网络不可用。不仅影响了正常的办公,也会给我们的员工很不好的使用体验。
二、如何解决上述问题
(一)建立身份认证体系
现如今政府等机关单位对网络安全的要求越来越高,传统的的密码认证已经不再安全,只有多重认证才是现阶段唯一可行的主流安全技术。所以,为了保障网络的接入安全性,需要提高本单位网络接入认证手段。包括本地认证、第三方结合认证、短信认证、微信认证、Ukey认证、硬件特征码认证等,并且这些认证方式可以按需自由组合,有效区分用户,是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础。
(二)智能的带宽优化
随着航道业务对网络的依赖越来越大,网页端的应用越来越多且复杂,需要有一种具有灵活策略控制的功能的设备,统筹规范智能的进行流量管理,以提高本单位的带宽利用率。除了支持传统的基于用户和应用的流控功能外,还支持动态流控,多级父子通道,P2P智能流控等方式,从而实现带宽利用率最大化。保障与数字航道,智能航道有关的核心业务的同时,提高用户上网体验。流控策略的灵活性才能满足甚至超越目前航道业务的需求
(三)日志回溯
现如今互联网上应用更新跌代快速,新应用、新技术层出不穷;网络应用加密越来越复杂,同时多种网络技术能让非法内容直接绕过监管。网络行为审计迫切需要一种能够针对市面上广泛的软件应用和非法技术进行解密和全面审计,从而保证航道业务相关的行为审计的全面性。尤其是对https加密的网站、发帖、加密邮件内容进行识别、过滤和审计,全面管理各种网络行为。最后能给不需要审计的用户提供硬件免审计key。从而满足按照今年6月1号颁布的《网络安全法》的要求,采取监测、记录网络运行状态、网络安全事件的技术措施,并留存网络日志不少于六个月。保证机关事业单位对全面网络行为审计的需求。
(四)防止无线私接
因为现在无线网络的广泛使用,各种非法的网络接入方式导致政府办公内网暴露在不安全的网络环境下。如果无法对私接非法无线进行封堵,单应用精细化管控无法实现,造成应用管控漏洞。所以迫切需要寻求更智能、具备丰富应用识别库的设备。能够实现单应用精细化的功能管控,同时通应用标签化管控来是快速选择相应的应用。能够防止上网权限受到限制的用户通过使用ccproxy代理上网,绕过IT管理员的管控;防止路由器下私接多个用户共享上网的行为,在无需安装客户端下可发现共享上网的行为,并可设置封堵或者冻结该用户,防止网络被入侵。满足机关单位现如今对无线和应用管控需求。
(五)报表可视化
随着现如今市面上的对网络进行审计和带宽优化的设备功能也在不断增加,导致设备操作繁琐复杂,系统卡慢,数据导出困难。如果无法导出详细的审计数据和报表,网络流量不可视,同时操作极度复杂,已经满足不了现如今的航道业务对应的需求。更为智能、可视的报表尤为关键。需要为用户提供丰富的报表系统和大数据日志中心平台,实现流量对比、应用对比报表,把过去的一周、一个月和本周、本月的情况做对比,提供直观的网络变换情况,并可及时根据航道业务的互联网办公网络情况做智能策略调整。全面保证我们航道业务的外网办公的网络行为的可视化要求。
三、效益分析
身份认证、带宽的优化、防无线私接等可帮助类似我们航道一类的机关事业单位在信息化建设过程中,加快实现互联网出口的安全、快速、稳定三个基本要素,可带来以下几个效益:
(一)带宽价值最大化
我们机关事业单位可实现针对互联网出口带宽流量进行合理分配,限制业务无关的高带宽消耗的应用和恶意访问。保证整体航道外网有关的业务系统正常有序运行,提高带宽利用率。
(二)保障核心业务的同时兼顾员工的上网体验
动态流控技术,能够动态调整限制带宽阈值,有效提升航道员工用户的体验;同时,流控黑名单技术,让超额的用户的业务不中断,保障员工的上网体验且不影响正常业务的开展。
(三)记录上网轨迹,满足合法合规要求
有些带网络日志功能的设备可帮助我单位记录用户访问互联网的所有上网行为,一旦出现网络事故,能夠做到事后可追溯,满足公安部82号令和《网络安全法》的要求(采取监测、记录网络运行状态、网络安全事件的技术措施,并留存网络日志不少于六个月)。
(四)简化网络运维,降低管理难度
通过网络访问质量检测功能,帮助管理员清晰了解整体网络质量,快速定位网络访问质量差的用户和问题原因,并给出明确可操作的改进建议,降低网络管理难度。
(五)热点事件中的及时响应措施
市面上常见的网络日志和带宽优化的设备厂商有深信服、网康、启明、神州绿盟等品牌,我列举深信服的行为管理在全球勒索病毒WannaCry爆发期间的响应措施为例来具体说明。行为管理设备会给出策略建议,可以禁止外网对内网135/137/139/445端口的访问,切断外部攻击途径。对于未感染病毒的用户我们会给出以下建议加固终端,防止中毒1、免费下载设备给出链接的免疫工具并运行; 2、更新更新windows补丁;3给出预防建议:不要从陌生网站下载和运行可执行程序,不要打开陌生邮件的附件,不要使用陌生的U盘,不要使用U盘的自动运行功能,安装杀毒软件并更新病毒库等等。
四、结语
这些年来数字航道系列工程的建设与整合,信息化水平取得了较大进步。“一主六分七中心、一图一站三平台”的7131数字航道总体框架体系已初见雏形,长江航道信息化设施及设备不足,业务数字化应用缺乏支撑的问题得到很大的改善。但对于航道业务外网办公的优化的确还需加强,类似上网行为管理一类的设备可以充分利用带宽价值,保证核心业务的应用兼顾员工的办公体验,简化网络运维,降低管理难度等,进一步提升了航道服务品质和整体管理水平。
参考文献:
[1]刘赟.论计算机信息管理在机关事业单位网络安全中的重要性[J].电脑知识与技术,2017,13(14):27-28.
[2]张彭.浅谈机关事业单位计算机网络安全与管理[J].电脑迷,2017,(04):176.
[3]陈威超.浅谈机关事业单位网络管理的有效措施探讨[J].信息系统工程,2016,(11):54.
[4]刘毅新.机关事业单位网络安全防护与管理[J].无线互联科技,2016,(17):117-118.
[5]万忠武.机关事业单位计算机网络安全防护及管理[J/OL].电子技术与软件工程,2016,(05):221.
相关热词搜索: 航道 浅析 优化 业务 智能