隨著網(wǎng)絡(luò)與信息技術(shù)的飛速發(fā)展和廣泛應(yīng)用,企業(yè)信息化的進程日新月異。企業(yè)局域網(wǎng)從早期的文件共享、文件傳輸、靜態(tài)網(wǎng)頁瀏覽及Telnet命令等內(nèi)容單一、靜態(tài)簡單、小規(guī)模較為封閉的應(yīng)用模式,逐步發(fā)展到包括E-Mail、ERP、OA、CRM、視頻會議、VoIP、電子商務(wù)等內(nèi)容豐富、動態(tài)復(fù)雜、大規(guī)模日益開放的應(yīng)用模式,成為提升企業(yè)核心競爭力的基礎(chǔ)設(shè)施和必要保障。
企業(yè)信息化高速發(fā)展的另一方面,即帶來的管理難題也越來越突出,其中重中之重就是如何保證企業(yè)局域網(wǎng)應(yīng)用性能和安全已經(jīng)成為困擾企業(yè)高效管理且亟待解決的主要問題之一。網(wǎng)絡(luò)行為管理在這種背景下應(yīng)運而生,并逐步成為目前國內(nèi)外網(wǎng)絡(luò)與信息研究領(lǐng)域的熱點方向之一。
研究小組從一個典型企業(yè)局域網(wǎng)的現(xiàn)狀出發(fā),提出當前網(wǎng)絡(luò)行為管理難點并加以分析,同時借鑒成熟的信息化建設(shè)管理經(jīng)驗,從而進一步研究并探索網(wǎng)絡(luò)行為管理在其拓撲結(jié)構(gòu)中的規(guī)劃設(shè)計和實施應(yīng)用,對應(yīng)用網(wǎng)絡(luò)行為管理后的企業(yè)局域網(wǎng)進行評估,并給出思考和展望。
1 企業(yè)局域網(wǎng)中網(wǎng)絡(luò)行為管理難點的提出與分析
目前,典型的企業(yè)局域網(wǎng)在網(wǎng)絡(luò)運維和帶寬控制等網(wǎng)絡(luò)行為管理方面面臨以下問題和挑戰(zhàn)。
1.1 企業(yè)局域網(wǎng)歷史遺留問題帶來的負面影響
典型的企業(yè)局域網(wǎng)往往都是在早期簡單的局域網(wǎng)基礎(chǔ)上逐步擴建起來的,其擴建過程中隨意性很大,給網(wǎng)絡(luò)行為管理的應(yīng)用帶來了極大困難。網(wǎng)絡(luò)行為管理的應(yīng)用要求企業(yè)局域網(wǎng)具有透明性,管理節(jié)點要求落實到網(wǎng)絡(luò)終端設(shè)備,最好與使用管理人員相對應(yīng),要有網(wǎng)絡(luò)與信息安全策略等。具體來說,有以下幾方面的整合改造:①網(wǎng)絡(luò)終端設(shè)備要盡量使用固定IP地址,網(wǎng)絡(luò)中各級IP地址分配策略盡量使用靜態(tài)分配策略,最好是網(wǎng)絡(luò)終端設(shè)備的IP地址和MAC地址相邦定,也可以在核心交換設(shè)備上使用802.1X協(xié)議等認證授權(quán)技術(shù)手段來實現(xiàn)管理節(jié)點與使用管理人員相對應(yīng);②企業(yè)局域網(wǎng)中盡量不要使用路由器等網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備,以防降低網(wǎng)絡(luò)行為管理的可追溯性,同時也要做好NAT管理工作;③針對具體企業(yè)部門盡量劃分在一個邏輯IP地址段內(nèi),地理位置不同的企業(yè)區(qū)域采用不同數(shù)字開頭的私有IP地址群顯著標明,以有效阻斷網(wǎng)絡(luò)風暴及ARP病毒等在全網(wǎng)傳播;④做好殺毒防黑等網(wǎng)絡(luò)與信息安全工作,建立健全IP地址與使用管理人員關(guān)系表并加以動態(tài)完善,這也是實施網(wǎng)絡(luò)行為管理的基礎(chǔ)性工作。
1.2 企業(yè)局域網(wǎng)流量負擔大,帶寬惡性占用現(xiàn)象嚴重
當企業(yè)信息化浪潮向縱深方向發(fā)展的同時,網(wǎng)絡(luò)應(yīng)用模式的巨大轉(zhuǎn)變給企業(yè)局域網(wǎng)的承載能力帶來了不可估量的壓力。①當前的P2P和視頻點播軟件具有端口模擬、數(shù)據(jù)包偽裝、超線程下載等高占用帶寬網(wǎng)絡(luò)技術(shù)的應(yīng)用,造成各部門高配置PC在使用這類軟件時占據(jù)幾兆甚至幾十兆的帶寬是常見現(xiàn)象,并且這些下載、點播里面90%以上都是與工作學習無關(guān)的內(nèi)容,而對行政干預(yù)手段來說也是“真空地帶”,不能達到預(yù)期效果,這就將會人為地產(chǎn)生針對帶寬等網(wǎng)絡(luò)資源的競爭現(xiàn)象。而企業(yè)局域網(wǎng)中各個應(yīng)用在擁塞的廣域網(wǎng)鏈路上展開帶寬之爭時,非關(guān)鍵型應(yīng)用往往總是占據(jù)上風,從而導致網(wǎng)絡(luò)帶寬的有效使用率非常低,企業(yè)信息化系統(tǒng)的ROI(投資回報率)隨之也降低,同時也將嚴重阻塞企業(yè)局域網(wǎng)關(guān)鍵業(yè)務(wù)的開展和應(yīng)用。②當前企業(yè)局域網(wǎng)對于網(wǎng)絡(luò)行為的管理手段僅限于各類交換機和防火墻等,而這些設(shè)備都是通過端口、協(xié)議號來進行應(yīng)用區(qū)分的,無法進行高效的網(wǎng)絡(luò)應(yīng)用層面的管理,F(xiàn)在大量的病毒和惡意軟件可以選取隨機端口或者進行包偽裝,這些特點使管理調(diào)整手段失去了效力,成為企業(yè)局域網(wǎng)內(nèi)經(jīng)常出現(xiàn)網(wǎng)速忽快忽慢現(xiàn)象的原因之一。隨著這類軟件的發(fā)展,可能會發(fā)生正常應(yīng)用軟件在使用時會有很大延遲甚至因為找不到服務(wù)器而中斷的現(xiàn)象,這是嚴重的非人為帶寬惡性占用表現(xiàn)。
針對網(wǎng)絡(luò)速度慢、帶寬資源緊張的問題,最容易的解決方法是不斷增加企業(yè)局域網(wǎng)及廣域網(wǎng)的鏈路帶寬,加大網(wǎng)絡(luò)帶寬投資。但是,這是一種很大的浪費,治標不治本,不能從根本解決上帶寬不足的問題,因為擴充的“道路”依舊會被更多的流媒體、網(wǎng)絡(luò)游戲和P2P下載等固有不利因素所吞噬。
1.3 網(wǎng)絡(luò)與信息安全方面存在諸多隱憂
網(wǎng)絡(luò)與信息安全是企業(yè)信息化工作的重中之重,是信息化建設(shè)體系的前提和基礎(chǔ),更是伴隨著信息化建設(shè)過程整個生命周期中始終必須嚴抓的關(guān)鍵環(huán)節(jié),從這個角度來說,殺毒防黑是企業(yè)局域網(wǎng)中必須認真考慮的一個重要事情。
目前,在網(wǎng)絡(luò)與信息安全方面存在諸多隱患有:①存在病毒、蠕蟲、蜜罐、僵尸網(wǎng)絡(luò)、擺渡軟件等惡意流氓軟件在企業(yè)局域網(wǎng)中快速廣泛傳播的可能,其特點是在企業(yè)局域網(wǎng)內(nèi)部開始發(fā)作,并占用大量的網(wǎng)絡(luò)帶寬資源及系統(tǒng)資源,嚴重影響用戶的正常訪問甚至導致全網(wǎng)癱瘓;②網(wǎng)絡(luò)黑客入侵無處不在,可以通過微軟操作系統(tǒng)漏洞或員工電子郵件等渠道悄悄進入,然后發(fā)起攻擊。攻擊發(fā)生的時候,可能的情況是企業(yè)局域網(wǎng)內(nèi)的幾臺中毒PC機同時往上游某些服務(wù)器發(fā)送大量攻擊包,使得這些服務(wù)器不勝負荷而倒下,同時也阻塞了廣域網(wǎng)通道。面對這種困境,企業(yè)局域網(wǎng)中通常采用的防火墻+IDS的解決方案顯得無能為力。
1.4 跨地域的企業(yè)區(qū)域間的連接經(jīng)常擁塞甚至中斷,關(guān)鍵應(yīng)用得不到保障
企業(yè)往往有總部和若干個分支機構(gòu)等地理區(qū)域,它們之間主要通過VPN鏈路或?qū)>進行互聯(lián)互通。如果區(qū)域間的連接經(jīng)常擁塞甚至中斷,關(guān)鍵應(yīng)用得不到保障,這將嚴重影響到企業(yè)的正常運營,不可避免地造成經(jīng)濟利益上的重大損失。
因此,企業(yè)迫切需要在局域網(wǎng)中添加配備“關(guān)鍵應(yīng)用保障引擎”,平時監(jiān)控整個網(wǎng)絡(luò)中是否有異常、隱患、甚至是網(wǎng)絡(luò)災(zāi)難爆發(fā)的預(yù)兆,而在網(wǎng)絡(luò)災(zāi)難爆發(fā)的時候能夠確保關(guān)鍵應(yīng)用的“維生通道”,確保關(guān)鍵應(yīng)用在任何時候都不受影響。
1.5 企業(yè)局域網(wǎng)中網(wǎng)絡(luò)行為的可追溯性得不到保障
目前企業(yè)局域網(wǎng)中網(wǎng)絡(luò)行為的可追溯性得不到保障,主要是沒有完善的日志記錄存儲系統(tǒng)。網(wǎng)絡(luò)行為管理應(yīng)該詳盡記錄用戶的上網(wǎng)軌跡,做到網(wǎng)絡(luò)行為有據(jù)可查,滿足公安部及工信部等主管部門對網(wǎng)絡(luò)行為記錄的相關(guān)要求,規(guī)避可能的法規(guī)風險。
1.6 企業(yè)文化和人本問題等人文因素亟待和諧發(fā)展
優(yōu)秀企業(yè)文化對提升企業(yè)核心競爭力是異常重要的,對鞏固和優(yōu)化企業(yè)局域網(wǎng)的網(wǎng)絡(luò)行為管理來說也同樣重要。網(wǎng)絡(luò)行為管理從管理學的理論角度來說,是可以完美解決的。如果員工擁有正確的上網(wǎng)動機及良好的信息化專業(yè)素質(zhì),強化自律意識,營造良好的企業(yè)文化氛圍;企業(yè)擁有完備的企業(yè)局域網(wǎng)規(guī)章制度管理體系,特別是例如IP地址等信息網(wǎng)絡(luò)資源的管理制度和高度自覺的“企業(yè)執(zhí)行力”,優(yōu)秀的企業(yè)法律意識,網(wǎng)絡(luò)行為管理從技術(shù)層面上來說就變得簡單易行。一個企業(yè)家的哲理震撼了研究小組,他說:“當企業(yè)遇到難題的時候,我首先想到的是用管理的方法解決這個問題。只有用管理的方法不能很好地解決這個問題時,我才考慮用工程的方法,因為采用管理的方法成本最低”?茖W的管理能真正提高企業(yè)的運營效率,但科學的管理需要管理科學。
人本問題也是企業(yè)文化發(fā)展的重點問題之一,“以人為本”和諧發(fā)展企業(yè)文化是當前發(fā)展方向。為了給員工一個寬松的網(wǎng)絡(luò)環(huán)境,給員工的工作創(chuàng)新提供一個嶄新平臺,企業(yè)局域網(wǎng)規(guī)章制度管理體系不能過于呆板,以防抹煞員工工作創(chuàng)新的積極性,延緩企業(yè)文化的發(fā)展進程;另一方面企業(yè)員工的隱私權(quán)也要得到一定的保護,員工不希望自己的隱私在任何情況下被他人獲知,企業(yè)也不想自己的商業(yè)機密被泄露,所以一個相對安全的企業(yè)局域網(wǎng)環(huán)境是必要的。辯證地處理好企業(yè)文化和人本問題等人文因素之間的關(guān)系,更要加強網(wǎng)絡(luò)行為管理技術(shù)層面的研究和應(yīng)用探索,使其和諧發(fā)展。
總之,目前企業(yè)局域網(wǎng)管理混亂的現(xiàn)狀,既有歷史遺留原因:例如隨意擴建和動態(tài)IP地址分配策略等,也有管理上的因素:例如員工的不自覺行為甚至是惡意行為,還有網(wǎng)絡(luò)上的病毒和黑客入侵等,甚至是企業(yè)文化的不良因素導致的。因此要確保企業(yè)正常工作和關(guān)鍵業(yè)務(wù)安全高效運行,在顯著提高企業(yè)生產(chǎn)效率的同時保障企業(yè)信息化系統(tǒng)的ROI,就要從根本上解決上述問題。
2 網(wǎng)絡(luò)行為管理在典型企業(yè)局域網(wǎng)拓撲結(jié)構(gòu)中的規(guī)劃設(shè)計和實施應(yīng)用
典型企業(yè)局域網(wǎng)包含上述問題產(chǎn)生和存在的客觀特征因素,網(wǎng)絡(luò)拓撲架構(gòu)采用雙核心交換的熱備模式接入,正常情況下由主核心交換機承擔全部任務(wù),只有在主交換異常的情況下,熱備交換機才起到數(shù)據(jù)傳輸?shù)淖饔谩>W(wǎng)絡(luò)拓撲架構(gòu)中有兩個地理區(qū)域,其間用相對可靠的10M專線連接,網(wǎng)絡(luò)中還存在VPN等關(guān)鍵應(yīng)用等,具體網(wǎng)絡(luò)拓撲架構(gòu)如圖1。
圖1 典型企業(yè)局域網(wǎng)的網(wǎng)絡(luò)拓撲架構(gòu)圖
經(jīng)過分析討論后考慮網(wǎng)絡(luò)行為管理設(shè)備的接入方式為:①在各地理區(qū)域中主核心交換機和UTM之間橋接一路,對用戶的上網(wǎng)行為起到監(jiān)控作用;②VPN單獨一路橋接,這是對上網(wǎng)行為監(jiān)控作用的補充;③地理區(qū)域間專線的橋接,這是對內(nèi)部關(guān)鍵應(yīng)用的監(jiān)控和保障,可以橋接在專線的任意一端,考慮到兩臺網(wǎng)絡(luò)行為管理設(shè)備的負載均衡,讓每臺網(wǎng)絡(luò)行為管理設(shè)備有兩路物理橋接。網(wǎng)絡(luò)行為管理設(shè)備為透明設(shè)備,只需橋接在企業(yè)局域網(wǎng)中就可以了,改造后的網(wǎng)絡(luò)拓撲架構(gòu)如圖2。
圖2 典型企業(yè)局域網(wǎng)改造后的網(wǎng)絡(luò)拓撲架構(gòu)圖
改造后的網(wǎng)絡(luò)拓撲架構(gòu)需要完善和改進的地方還是存在的,主要有以下幾點。
2.1 改造后的網(wǎng)絡(luò)拓撲架構(gòu)中網(wǎng)絡(luò)行為管理設(shè)備單點故障的規(guī)避
在典型企業(yè)局域網(wǎng)中網(wǎng)絡(luò)行為管理設(shè)備接入的同時也帶來了單點故障的可能。對于上述的第一種接入,網(wǎng)絡(luò)雙機熱備的機制規(guī)避了單點故障;對于上述的第二種接入和第三種接入,就要求網(wǎng)絡(luò)行為管理設(shè)備具有旁通(Bypass)的功能,才能規(guī)避單點故障,但網(wǎng)絡(luò)行為管理設(shè)備旁通功能的觸發(fā)條件等具體設(shè)置還需進一步探索和論證。
2.2 網(wǎng)絡(luò)行為管理設(shè)備日志記錄的連續(xù)性問題
網(wǎng)絡(luò)行為管理設(shè)備的日志記錄一般要求具有連續(xù)性,對于上述典型企業(yè)局域網(wǎng)來說,備用核心交換機和網(wǎng)絡(luò)行為管理設(shè)備旁通功能的啟用都不能產(chǎn)生網(wǎng)絡(luò)行為管理設(shè)備的日志記錄,這個問題也需要進一步探索研究來尋找一個妥善的解決方案。
2.3 網(wǎng)絡(luò)行為管理設(shè)備對采用動態(tài)IP地址分配策略的網(wǎng)絡(luò)終端設(shè)備在監(jiān)控管理上的問題
在典型企業(yè)局域網(wǎng)中對必須采用動態(tài)IP地址分配策略的網(wǎng)絡(luò)終端設(shè)備來說,網(wǎng)絡(luò)行為管理設(shè)備不能通過IP地址與使用管理人員關(guān)系表來定位,其可追溯性存在一定問題。目前擬采用綁定網(wǎng)絡(luò)終端設(shè)備的MAC地址或在網(wǎng)絡(luò)終端設(shè)備上安裝客戶端軟件使用802.1X協(xié)議等方式來彌補,這個工作還在論證當中。
2.4 網(wǎng)絡(luò)行為管理設(shè)備的選型問題
對典型企業(yè)局域網(wǎng)來說,怎樣選用最適合的網(wǎng)絡(luò)行為管理設(shè)備是不可忽視的重要前提工作,選型恰當合適,不但能有最好的性價比,而且還有事半功倍的效果。目前國內(nèi)的網(wǎng)絡(luò)行為管理設(shè)備主要有網(wǎng)派、深信服、網(wǎng)康、網(wǎng)帥、啟明星辰等等一些品牌,具體的型號和功能也各具特色,選型工作比較復(fù)雜。目前采用試用設(shè)備的方式,使用效果良好。選型工作也還在論證當中。
總的來說,雖然對典型企業(yè)局域網(wǎng)改造后的狀況需要思考和改進的地方是客觀存在的,但網(wǎng)絡(luò)行為管理整體功能和性能達到了預(yù)期目的。
3 對具有網(wǎng)絡(luò)行為管理功能的典型企業(yè)局域網(wǎng)進行應(yīng)用評估
對具有網(wǎng)絡(luò)行為管理功能的典型企業(yè)局域網(wǎng)進行應(yīng)用評估主要從功能和性能兩方面入手。在功能上,要能達到基本解決現(xiàn)有的監(jiān)控“真空”問題,改善上述網(wǎng)絡(luò)行為管理難點問題;在性能上,要求能對局域網(wǎng)具有“自適應(yīng)”應(yīng)變能力,在網(wǎng)絡(luò)稍有異常的情況下還有較好的性能。另外,對具有網(wǎng)絡(luò)行為管理功能的典型企業(yè)局域網(wǎng)進行風險評估也具有必要性?偟貋碚f,目前評估的結(jié)果為良好。
兩種網(wǎng)絡(luò)行為管理設(shè)備在典型企業(yè)局域網(wǎng)中的軟件應(yīng)用界面見圖3。
圖3 兩種網(wǎng)絡(luò)行為管理設(shè)備在典型企業(yè)局域同中的軟件應(yīng)用界面
4 思考和展望
雖然在上述典型企業(yè)局域網(wǎng)中網(wǎng)絡(luò)行為管理的監(jiān)控功能已較為完善,但審計功能有待進一步發(fā)展。網(wǎng)絡(luò)行為審計和具體的企業(yè)文化有關(guān),又分為事先審計和事后審計,導致不同的網(wǎng)絡(luò)行為審計控制策略,所以不同的企業(yè)局域網(wǎng)網(wǎng)絡(luò)行為審計的方式和內(nèi)容都不一樣。目前從技術(shù)上來說定制企業(yè)自己的網(wǎng)絡(luò)行為審計控制策略沒有技術(shù)難題,但怎樣梳理企業(yè)有關(guān)規(guī)章制度及轉(zhuǎn)換成網(wǎng)絡(luò)行為審計控制策略的過程比較復(fù)雜困難。
網(wǎng)絡(luò)與信息技術(shù)始終飛速發(fā)展,網(wǎng)絡(luò)行為管理技術(shù)也要定期更新。應(yīng)用協(xié)議特征庫的定期升級就能保障網(wǎng)絡(luò)行為管理技術(shù)的時效性。目前大多數(shù)網(wǎng)絡(luò)行為管理設(shè)備都提供收費的應(yīng)用協(xié)議特征庫定期升級服務(wù),但應(yīng)用協(xié)議特征庫的匹配準確率還有待于進一步驗證。
網(wǎng)絡(luò)行為管理系統(tǒng)每天產(chǎn)生大量的日志,而如何將有用的數(shù)據(jù)在極短時間內(nèi)從海量數(shù)據(jù)中過濾出來,讓管理員能在有效的時間段內(nèi)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的問題,就需要報表分析功能,通過豐富的報表工具,管理員可以根據(jù)企業(yè)局域網(wǎng)的現(xiàn)實情況和關(guān)注點定制、定期導出所需的網(wǎng)絡(luò)資源使用情況、員工工作情況等報告,形成網(wǎng)絡(luò)行為管理策略調(diào)整的依據(jù)。目前網(wǎng)絡(luò)行為管理設(shè)備報表分析功能還有待于進一步完善。
5 結(jié)束語
保證企業(yè)局域網(wǎng)的網(wǎng)絡(luò)與信息安全最重要的不是運用一種或幾種成熟的安全防御和網(wǎng)絡(luò)行為管理技術(shù),而是思想上的高度重視。企業(yè)局域網(wǎng)的安全必須依靠企業(yè)樹立“三分技術(shù),七分管理”的思想,并制定相關(guān)的網(wǎng)絡(luò)管理策略和規(guī)章制度,形成良好的企業(yè)文化以促進企業(yè)局域網(wǎng)和諧發(fā)展,形成一個真正意義上的全方位多層次寬領(lǐng)域的網(wǎng)絡(luò)行為管理體系。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:網(wǎng)絡(luò)行為管理在企業(yè)局域網(wǎng)中的研究與應(yīng)用
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083948063.html