上网行为管理系统研究

1引言

进入21世纪以来，互联网实现了快速的发展和普及，我国政府机关员工上网条件得到了比较大的改善，但同时也给政府网络信息安全带来严重的挑战。如近年发生的“棱镜门”事件，更凸显网络信息安全非常重要，将深刻影响网络时代的政府管理，网络空间的国际规则竞争更加激烈。

2网络现状与问题

2014年以前，贺州市科学技术局办公网络设备比较陈旧落后，只有普通的路由器和二层交换机，网络的最大缺陷是管理不可控、网络设备不能设置安全参数等。具体表现在病毒、木马程序等恶意行为严重威胁该单位内部的办公系统，网络存在严重的安全隐患。网络音乐、QQ聊天、在线电影等上班时间不适当的网络行为，假如不进行严格控制管理，将会影响单位员工的工作效率和工作形象，还会占用大量的网络带宽资源，严重时会造成网络阻塞现象，给正常业务开展造成一定的影响。为了提高单位员工的工作效率，保障网络带宽合理使用，有效降低非工作上网行为，避免上网导致的网络信息安全问题，2014年6月该局与贺州学院计算机科学与信息工程学院进行横向科研项目合作，共同解决该单位网络存在的问题。笔者有幸全程参与了项目的规划设计和设备安装，在该局办公网络里面部署安装了一个高效、安全的深信服上网行为管理系统，同时安装了华为的高性能防火墙、可网管的交换机，提高了网络管理可控性和安全性，同时也提高了该局的信息化水平。

3上网行为管理系统的优势

目前流行的上网行为管理系统功能比较强大，能全面识别和管理网络应用的每个动作，它的工作原理是建立强大的应用特征库，当应用的行为报文通过网络时，假如这些报文与应用特征库匹配，那么就打上特殊的标签，根据已配置好的策略进行控制管理。上网行为管理系统能检测用户的接入是否合法，因为它支持多种上网认证方式，比如Web认证、PPPOE认证、Radius认证、短信认证、微信认证、二维码认证等方式。它支持不同用户权限分配，可以根据用户身份、用户组、有线或者是无线网络接入、接入时间、接入地点等灵活分配管理策略，分配方式非常灵活。它可以分配合适的带宽保证网络业务的需求，原理是划分多线路和多级父子通道，将网络用户放入不同的带宽通道，针对繁忙或者空闲的带宽通道执行动态监控功能，空闲时受限通道可以突破上限，充分提高网络带宽的利用率，同时也可以有效限制P2P流量的上传和下载。除了这些功能外，它还可以对网络内容进行记录，如聊天记录、论坛帖子等内容，可以对邮件进行加密和解密，可以过滤不良网站，防止终端电脑中病毒、木马程序而泄密。

4解决方案

贺州市科学技术局网络解决方案的设备选型基本原则是：稳定可靠、技术先进、可扩展与可兼容。在满足现有需求的前提下，充分考虑当今网络技术迅猛发展的趋势，所选设备以原装品牌为主，能满足上述的需求外，适度超前，在未来的8至10年内还能满足办公上网需求。网络解决方案的建设主要内容是：（1）增加高可用的华为防火墙提高单位网络的出口安全，防止不法人员攻击单位网络。（2）构建高可用互联网络，采用国际著名厂商华为三层交换机和华为二层交换机保证关键业务流量不中断、不堵塞。（3）通过对机房设备及线路进行重新梳理及打上相关标签，使得机房整齐有序，方便网络管理及后期维护，通过对需要使用OA系统的办公室进行综合布线，同时设置网络设备相关参数，实现OA系统内外网隔离，有效增强网络的安全性。（4）增加1台高性能服务器，为单位的业务系统提供稳定的硬件平台，同时保证信息数据的安全性、完整性。（5）通过采用深信服AC-1200-ZL上网行为管理系统，规范员工上网行为（如禁止上班时间QQ聊天、炒股、网络游戏等），全面提升员工工作效率，其次进行流量控制、带宽管理，全面提升带宽利用率；用户上网采用基于IE浏览器的WEB认证方式，方便了用户的身份识别和认证。贺州市科学技术局上网行为管理系统和其他网络设备的安装实施后，不同的科室设置了不同的上网策略，对互联网的访问内容做了严格的限制，不同的员工拥有不同的访问权限，对所有科室的上网内容进行了实时监控管理。通过半年多的使用发现，单位网络一直比较稳定，上网速度比改造前改善明显，同时大大加强了网络的可管理性和安全性。

5总结

贺州市科学技术局上网行为管理系统和其他网络设备的成功安装实施，全面树立了单位在网络上的崭新形象，有利于促使单位由管理型向管理服务型的角色转换，有效降低了办公费用，提高了办公效率，促进了勤政、廉政建设，大大提高单位的信息化建设水平。

作者：吴国祖 王洪波