隨著(zhù)互聯(lián)網(wǎng)日益延伸進(jìn)企業(yè)內部，與此緊密相關(guān)的就是企業(yè)內部對于上網(wǎng)行為的管理。作為重要的中央企業(yè)，信息化建設的完善對中國中鋼集團公司（簡(jiǎn)稱(chēng)中鋼集團）具備極高的戰略意義。中鋼集團所屬二級單位86家，主要從事冶金礦產(chǎn)資源開(kāi)發(fā)與加工、冶金原料和相關(guān)產(chǎn)品貿易、以及相關(guān)工程技術(shù)服務(wù)與設備制造，是一家為鋼鐵工業(yè)和鋼鐵生產(chǎn)企業(yè)提供綜合配套、系統集成服務(wù)的集資源開(kāi)發(fā)、貿易物流、工程科技、設備制造、專(zhuān)業(yè)服務(wù)為一體的大型跨國企業(yè)集團。

　　考慮到內部網(wǎng)絡(luò )行為可能引申出在信息安全等方面一系列問(wèn)題，中鋼集團希望對內部的上網(wǎng)行為進(jìn)行有效管理。

　　這并非中鋼集團與上網(wǎng)行為管理產(chǎn)品的首次接觸。

　　早在2006年時(shí)，中鋼集團就選擇過(guò)一款上網(wǎng)行為管理產(chǎn)品，由于對市場(chǎng)不甚了解，在匆忙部署運行后，發(fā)現這款產(chǎn)品常導致網(wǎng)絡(luò )傳輸中出現丟包，傳輸效率越來(lái)越差。到2009年初，這款產(chǎn)品的服務(wù)合同到期后，中鋼集團決定重新選購性能、功能滿(mǎn)足需求的上網(wǎng)行為管理產(chǎn)品，將其作為安全管理類(lèi)重點(diǎn)產(chǎn)品進(jìn)行選擇。

　　緣起內外需求

　　中鋼集團信息管理部網(wǎng)絡(luò )管理處經(jīng)理喬吉洲表示，部署上網(wǎng)行為管理的內部需求來(lái)源于兩方面：第一，對員工上網(wǎng)行為進(jìn)行監控和審計；第二，對網(wǎng)絡(luò )帶寬進(jìn)行有效管理。

　　對員工上網(wǎng)行為的監控中，需要對具體內容匹配關(guān)鍵詞，要求提交詞匯進(jìn)行全記錄，由后臺的審計人員通過(guò)提煉、基于關(guān)鍵詞再搜索進(jìn)行分解。在上網(wǎng)日志的審計中，需要為后續的審查做全記錄。

　　對帶寬進(jìn)行管理主要是為了解決網(wǎng)絡(luò )擁塞問(wèn)題，最常見(jiàn)的是P2P類(lèi)應用占用了大量帶寬資源，造成網(wǎng)絡(luò )帶寬使用的有效性嚴重下降，并導致Web瀏覽、郵件收發(fā)、數據庫訪(fǎng)問(wèn)等關(guān)鍵應用的服務(wù)質(zhì)量無(wú)法得到有效保障，增加帶寬并不能緩解擁塞狀況，反而助長(cháng)了P2P應用的泛濫。中鋼集團過(guò)去的網(wǎng)絡(luò )帶寬在30M，但正因缺乏有效的監控手段，帶寬遠遠滿(mǎn)足不了需求，而與此相對的是網(wǎng)絡(luò )帶寬費用的急劇增長(cháng)，無(wú)休無(wú)止。

　　同時(shí)，部署上網(wǎng)行為管理也有來(lái)自外部的需求。國家已經(jīng)公布了《企業(yè)內部控制基本法規》，作為央企之一的中鋼集團，需要提供上網(wǎng)日志備查，這要求企業(yè)內部的審計功能日趨完善。在對用戶(hù)上網(wǎng)行為管理的內部審計上，中鋼集團需要上網(wǎng)行為管理產(chǎn)品彌補這一空白地帶，進(jìn)行內部員工對外部網(wǎng)站的訪(fǎng)問(wèn)審計、外發(fā)郵件包括使用外部郵箱的審計、以及對敏感問(wèn)題的論壇發(fā)帖審計。

　　網(wǎng)絡(luò )現狀與實(shí)施目標

　　中鋼集團現有的網(wǎng)絡(luò )帶寬出口為60Mbps，內網(wǎng)用戶(hù)在1200-1600人之間，日常使用臺式機約為1200臺，移動(dòng)筆記本約為300臺。每天鏈接數高達三十萬(wàn)次、網(wǎng)站的點(diǎn)擊率達八十萬(wàn)次，要求上網(wǎng)行為管理設備必須有足夠的能力去把這些數據全部完整的記錄和存儲，對設備的數據抓包處理能力提出了很高要求。

　　喬吉洲表示，鑒于中鋼用戶(hù)數較多，帶寬較大，在實(shí)施上網(wǎng)監控與帶寬管理時(shí)首先要保證不影響原網(wǎng)絡(luò )效率或影響較??；其次，記錄的日志完整沒(méi)有丟失，做到對用戶(hù)的訪(fǎng)問(wèn)記錄的完整及時(shí)記錄；第三，能夠識別多種網(wǎng)絡(luò )應用協(xié)議，對協(xié)議進(jìn)行有效的帶寬管理，同時(shí)對新出現的網(wǎng)絡(luò )應用協(xié)議進(jìn)行持續跟蹤與完善；第四，提供完善的報表工具，用戶(hù)可根據多種條件自定義報表。

　　同時(shí)，上網(wǎng)行為管理設備的強大數據支持--應用協(xié)議庫和URL庫的更新至關(guān)重要。負責人表示期望每周更新，否則難以應對層出不窮的病毒、釣魚(yú)網(wǎng)站和其它安全問(wèn)題。

　　依據這些實(shí)際需求，通過(guò)對多家供應商技術(shù)實(shí)力、系統性能、服務(wù)水平乃至企業(yè)文化等硬性指標和軟性指標的嚴格篩選，中鋼集團最終決定部署網(wǎng)康上網(wǎng)行為管理，將網(wǎng)康產(chǎn)品串接在負載均衡設備和計費網(wǎng)關(guān)之間。

　　產(chǎn)品易用，高效進(jìn)行IT運維

　　中鋼集團的信息管理處有五個(gè)處，共29人。負責基礎運維的是網(wǎng)絡(luò )處，另有負責系統管理和數據庫的系統管理處、負責應用系統建設的建設處、負責系統維護的維護管理處和專(zhuān)門(mén)負責信息化標準建設的信息標準處。對IT支撐部門(mén)而言，有較充足的人員配置和明確責任分工。上網(wǎng)行為管理的部署運行隸屬于網(wǎng)絡(luò )處負責。

　　依據經(jīng)驗，在上網(wǎng)行為管理部署運行初期，由于數據初始化，會(huì )增加一部分管理工作量，一旦步入正軌，就相對方便。

　　網(wǎng)康上網(wǎng)行為管理很完善細致地覆蓋了中鋼集團的管理需求，對用戶(hù)上網(wǎng)行為管控達到甚至超出了預期效果。喬吉洲介紹道，“我們要求記錄中以這樣的方式表現‘某一個(gè)用戶(hù)在某一個(gè)時(shí)點(diǎn)打開(kāi)了某一個(gè)URL’，在固定每用戶(hù)IP與實(shí)名對應的前提下，提交審計時(shí)可以精準地按人、時(shí)間、事件快速定位，這樣一來(lái)，每個(gè)人要對這個(gè)IP發(fā)生的所有事情承擔所有責任。網(wǎng)康的產(chǎn)品對細節的實(shí)現讓我們滿(mǎn)意?！钡瑫r(shí)，他也強調“動(dòng)態(tài)管理”，在上班時(shí)間禁止的無(wú)關(guān)應用，如上開(kāi)心網(wǎng)偷菜，在下班時(shí)間會(huì )解禁。

　　中鋼集團總部大樓的辦公區內電腦未經(jīng)安全審計不得接入網(wǎng)絡(luò )，這一部分與大樓的無(wú)線(xiàn)網(wǎng)絡(luò )部分劃歸了網(wǎng)康上網(wǎng)行為管理覆蓋的范疇。在網(wǎng)康上網(wǎng)行為管理之外，中鋼集團還部署了身份認證系統和計費系統，網(wǎng)康上網(wǎng)行為管理與后兩個(gè)系統一道共同控制著(zhù)外來(lái)筆記本接入網(wǎng)絡(luò )。喬吉洲舉例道：“外來(lái)筆記本接入網(wǎng)絡(luò )后，未經(jīng)網(wǎng)康上網(wǎng)行為管理的安全認證，不能打開(kāi)內部網(wǎng)頁(yè)；開(kāi)啟內部網(wǎng)頁(yè)后，無(wú)計費系統認證不能連接互聯(lián)網(wǎng)；提交身份信息進(jìn)行安全認證、登記計費系統啟用臨時(shí)賬號的二次認證后可以連接互聯(lián)網(wǎng)，所有的流量才會(huì )在上網(wǎng)行為管理中得到監控，這些信息會(huì )被保留下來(lái)，與最初申請接入的身份信息核對，明確具體IP的使用責任人?！?

　　如今中鋼網(wǎng)絡(luò )處IT人員做每日巡檢時(shí)，除了監控之外，就是流量巡檢，對工作時(shí)間內進(jìn)行P2P下載的員工可以直接從統計實(shí)時(shí)報表中查詢(xún)定位。于是，在實(shí)際工作中，他們沒(méi)有嚴格控制流量，而是直接聯(lián)絡(luò )對方通知停止下載?！斑@樣做的意義遠甚于單純地控制流量，如果我只知道IP而不知道用戶(hù)實(shí)名，那么對問(wèn)題的責任追索會(huì )耗掉更大成本?！?

　　在流量巡檢中，必須通過(guò)基于應用層的分析工具，去把協(xié)議識別出來(lái)，然后做有效的控制，這得益于網(wǎng)康上網(wǎng)行為管理的深度包檢測（DPI）技術(shù)，它提供了帶寬管理所需要的識別功能。這就解決了傳統的安全設備如防火墻通過(guò)封鎖端口來(lái)規避無(wú)關(guān)應用或有害應用的同時(shí)，會(huì )屏蔽其它有效應用的問(wèn)題。

　　管控策略實(shí)施后，中鋼集團IT人員可以流量圖也好，查看用戶(hù)上網(wǎng)行為趨勢，如應用、網(wǎng)站、流量、訪(fǎng)問(wèn)等，在這些數據和趨勢基礎上，才能做針對性的策略調整?！安渴鹁W(wǎng)康上網(wǎng)行為管理后，每天早晨我上班后的第一件事，就是看一下昨天的日志報表，看看大家昨天一天都干嘛了?！眴碳扌ρ?。

　　設備平穩運行，保障關(guān)鍵業(yè)務(wù)

　　選定并部署運行網(wǎng)康上網(wǎng)行為管理后，中鋼集團認為產(chǎn)品從性能、功能及售后服務(wù)等方面都能夠充分滿(mǎn)足需求：實(shí)現了對內部用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)的內容的監控與審計，防止敏感信息外泄，規避法律風(fēng)險，降低安全威脅；實(shí)現對互聯(lián)網(wǎng)網(wǎng)絡(luò )應用帶寬的有效監控，優(yōu)化配置帶寬使用，提升工作效率；實(shí)現對網(wǎng)站訪(fǎng)問(wèn)的分類(lèi)管理，屏蔽與工作無(wú)關(guān)網(wǎng)站；通過(guò)內置的報表工具，實(shí)現對用戶(hù)網(wǎng)絡(luò )應用、網(wǎng)絡(luò )帶寬訪(fǎng)問(wèn)網(wǎng)站等趨勢的跟蹤，持續優(yōu)化管理策略。同時(shí)，網(wǎng)康上網(wǎng)行為管理的管控策略最大程度地體現了上網(wǎng)行為管理的靈活性與人性化。

　　喬吉洲表示，網(wǎng)康上網(wǎng)行為管理首先幫助中鋼集團達到了基本的合規性要求；其次，設備部署運行后對應用協(xié)議的識別和有效控制了產(chǎn)品購買(mǎi)的預期，在工作時(shí)間可以壓縮非工作用的網(wǎng)絡(luò )流量如P2P下載、視頻、音頻，保障了核心應用系統，提升了正常辦公的效率。

　　管控策略實(shí)施后，通過(guò)網(wǎng)康上網(wǎng)行為管理的審計功能，負責網(wǎng)絡(luò )管理的工作人員能以流量圖的形式查看用戶(hù)上網(wǎng)行為趨勢，如應用、網(wǎng)站、流量、訪(fǎng)問(wèn)等，每周、每月的趨勢累計起來(lái)，在這些數據和趨勢基礎上，才能做針對性的策略調整。