上網(wǎng)行為管理系統(tǒng)在崗南水庫中的應(yīng)用

□張素芳

上網(wǎng)行為管理系統(tǒng)在崗南水庫中的應(yīng)用

□張素芳

介紹通過上網(wǎng)行為管理系統(tǒng)，確保網(wǎng)絡(luò)安全、高效與穩(wěn)定，從而保證信息安全，營造綠色、健康、和諧的網(wǎng)絡(luò)環(huán)境。

上網(wǎng)行為；網(wǎng)絡(luò)安全；功能實(shí)現(xiàn)

崗南水庫位于河北省平山縣崗南鎮(zhèn)附近的滹沱河干流上，距省會(huì)石家莊約58km，是海河流域子牙河水系兩大支流之一滹沱河中下游重要的大（1）型水利樞紐工程，控制流域面積15900 km2，總庫容15.71億m3。雖然地處偏僻山區(qū)，隨著信息化建設(shè)的不斷深化和網(wǎng)絡(luò)的廣泛應(yīng)用，崗南水庫管理局已實(shí)現(xiàn)全網(wǎng)覆蓋，建立了完善的辦公自動(dòng)化系統(tǒng)，網(wǎng)絡(luò)的應(yīng)用已普及到工作的方方面面，職工的日常工作、信息的上傳下達(dá)、各類操作軟件的普及應(yīng)用等等都與網(wǎng)絡(luò)密不可分。

1.上網(wǎng)行為管理建設(shè)的必要性

網(wǎng)絡(luò)是把雙刃劍，提供了便利的工作手段和信息共享方式，也給運(yùn)行管理和信息安全帶來隱患。要確保應(yīng)用網(wǎng)絡(luò)的安全、高效與穩(wěn)定還面臨著以下幾個(gè)方面的問題。

一是用戶眾多，增加管理難度。目前，崗南水庫管理局共劃分11個(gè)處室，平均每個(gè)處室20多人，面對比較龐大的用戶數(shù)量，加之不同處室對網(wǎng)絡(luò)的應(yīng)用需求不盡相同，職工使用網(wǎng)絡(luò)的水平層參不齊，很難對全部職工使用統(tǒng)一方式進(jìn)行管理，必須要根據(jù)所需求的應(yīng)用特點(diǎn)來準(zhǔn)確引導(dǎo)網(wǎng)絡(luò)應(yīng)用，這就大大增加了網(wǎng)絡(luò)管理的難度。

二是難于有效管理網(wǎng)絡(luò)狀況。作為信息職能部門的管理者，沒有可操控全局的網(wǎng)絡(luò)軟件，很難直觀的看到內(nèi)部發(fā)生的網(wǎng)絡(luò)行為，不能實(shí)時(shí)有效的進(jìn)行統(tǒng)一管理，使得審計(jì)、分析、統(tǒng)計(jì)都變得相當(dāng)困難，無法為領(lǐng)導(dǎo)提供清晰的上網(wǎng)行為管理數(shù)據(jù)以供決策參考。

三是網(wǎng)絡(luò)安全隱患難以防范?；ヂ?lián)網(wǎng)資源豐富，如果員工無意中瀏覽帶有病毒、木馬的網(wǎng)頁和郵件，或在互聯(lián)網(wǎng)網(wǎng)站上下載帶有病毒、木馬的應(yīng)用軟件，對全局的局域網(wǎng)造成安全隱患。

四是網(wǎng)速和帶寬效率下降，辦公成本增加。由于崗南水庫地處山區(qū)，網(wǎng)絡(luò)受到一定限制，增加帶寬難度大，網(wǎng)速很難得到大幅度提高，網(wǎng)速和帶寬得不到根本的改善，仍然會(huì)存在一個(gè)人占用帶寬，其他人無法使用網(wǎng)絡(luò)的狀況。

正是在這樣的背景下，我們架設(shè)了上網(wǎng)行為管理設(shè)備，以此來合理利用帶寬平衡眾多用戶之間的網(wǎng)絡(luò)使用狀態(tài)，提高職工的工作效率并達(dá)到監(jiān)管與審計(jì)的目的，達(dá)到工作時(shí)間人人都能上網(wǎng)，各處室都能正常開展業(yè)務(wù)工作，以保證單位及職工信息安全，維護(hù)穩(wěn)定的工作環(huán)境。

2.上網(wǎng)行為管理系統(tǒng)的功能實(shí)現(xiàn)

上網(wǎng)行為管理設(shè)備安裝于崗南水庫管理局四樓程控機(jī)房，在不改變原有網(wǎng)絡(luò)拓?fù)涞臓顟B(tài)下，采用網(wǎng)橋模式部署于路由器與防火墻之間。在設(shè)備上制定了相關(guān)策略對內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行限制，以保證正常辦公的網(wǎng)絡(luò)暢通，有效地解決網(wǎng)絡(luò)內(nèi)部非法應(yīng)用帶寬較大的問題。通過限制內(nèi)網(wǎng)用戶訪問非法網(wǎng)站并對非法流量進(jìn)行封堵，減少內(nèi)網(wǎng)安全隱患，保證內(nèi)網(wǎng)的安全。

根據(jù)單位目前網(wǎng)絡(luò)狀況以及用戶需求，我們配置了相應(yīng)的策略，以實(shí)現(xiàn)所需要的功能。具體配置方法如下：一是上網(wǎng)行為管理支持基于時(shí)間段的網(wǎng)絡(luò)行為訪問控制。時(shí)間段以半小時(shí)為單位，時(shí)長可以自由設(shè)置，時(shí)間段數(shù)量可以自由設(shè)置，以一個(gè)星期為周期。目前設(shè)置為工作期間 （上午8∶30～11∶30，下午1∶30～5∶00）關(guān)閉大流量傳輸?shù)染W(wǎng)站及軟件的訪問權(quán)限，其余時(shí)間不做限制。二是由于不同的處室對網(wǎng)絡(luò)需求不同，設(shè)置權(quán)限也不盡相同。對于部分處室特殊的工作需要，也設(shè)置了對應(yīng)的權(quán)限，盡量選擇在職工占據(jù)帶寬不集中的時(shí)間段為特殊處室開辟綠色通道。三是使用上網(wǎng)行為管理支持基于用戶組的訪問控制，不同的處室、不同的領(lǐng)導(dǎo)層，根據(jù)情況可以劃分為不同的用戶組，不同的用戶組分配不同的上網(wǎng)行為管理權(quán)限。四是信息部門職能管理人員可以通過上網(wǎng)行為管理設(shè)備監(jiān)管各個(gè)處室及職工的上網(wǎng)行為，對于訪問惡意網(wǎng)站、含有病毒的高風(fēng)險(xiǎn)網(wǎng)站、沒有安全保障的軟件，可通過該設(shè)備有效遏制，以保證全局的信息安全。五是全面防御ARP病毒，通過免費(fèi)ARP的定時(shí)發(fā)送機(jī)制，初步防治內(nèi)網(wǎng)ARP病毒?？煽康碾p向綁定：通過一鍵完成的IP/MAC地址綁定功能，固定網(wǎng)關(guān)的ARP列表，強(qiáng)力有效地對付ARP病毒攻擊。

3.結(jié)論

上網(wǎng)行為管理系統(tǒng)實(shí)施后，有效解決了單位不規(guī)范上網(wǎng)行為導(dǎo)致的不良影響，使帶寬分配更加合理，保證了信息安全，營造出綠色、健康、和諧的網(wǎng)絡(luò)環(huán)境。□

2016-07-07

張素芳,女,漢族，河北省崗南水庫管理局，工程師。