李 欣

(西山煤電(集團(tuán))公司職工總醫(yī)院，山西 太原 030053)

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的成熟和發(fā)展，互聯(lián)網(wǎng)已成為社會(huì)生活、生產(chǎn)中必不可少的工具。但由于網(wǎng)絡(luò)應(yīng)用和服務(wù)越來越廣泛深入，網(wǎng)絡(luò)安全的控制難度也越來越大。其中部分員工肆意使用互聯(lián)網(wǎng)資源對(duì)企業(yè)所造成的損失，已經(jīng)遠(yuǎn)遠(yuǎn)超出了企業(yè)管理者的預(yù)估，因此，強(qiáng)化員工上網(wǎng)行為管理，確?；ヂ?lián)網(wǎng)資源的合理使用已經(jīng)成為網(wǎng)絡(luò)安全維護(hù)的必然趨勢。

1 網(wǎng)絡(luò)現(xiàn)狀

西山煤電(集團(tuán))公司職工總醫(yī)院現(xiàn)有可上網(wǎng)電腦160余臺(tái)，劃分在一個(gè)獨(dú)立的VLAN中，IP地址都是自動(dòng)獲取。通過H3C ER3100路由器接入移動(dòng)光纖，經(jīng)過路由器自帶的軟件接收網(wǎng)絡(luò)日志。通過對(duì)日志的研究分析，發(fā)現(xiàn)在安全方面存在很多問題：

1)由于這160多臺(tái)電腦連接的是互聯(lián)網(wǎng)，無法象內(nèi)網(wǎng)電腦那樣采取軟件管理、網(wǎng)絡(luò)配置等多種管理手段，限制其使用某些功能。一些合法用戶，由于某種原因造成無法正常上網(wǎng)，有時(shí)會(huì)自行修改其IP地址進(jìn)行上網(wǎng)，導(dǎo)致其它合法用戶IP沖突無法上網(wǎng)。而路由器日志是根據(jù)IP記錄上網(wǎng)網(wǎng)址，導(dǎo)致出現(xiàn)安全問題時(shí)，無法通過日志定位是哪臺(tái)電腦出現(xiàn)問題。

2)用戶沒有經(jīng)過正常途徑申請(qǐng)和批準(zhǔn)。攜帶筆記本電腦，私接路由器或交換機(jī)，造成整個(gè)網(wǎng)絡(luò)路由環(huán)路和客戶端的IP地址無法自動(dòng)獲取，此種行為無法控制。

3)在互聯(lián)網(wǎng)安全方面，HTTP、SMTP、FTP等協(xié)議，幾乎每天都面臨不同的安全風(fēng)險(xiǎn)，病毒、蠕蟲、垃圾郵件、木馬程序等惡意行為也在伺機(jī)攻擊企業(yè)的網(wǎng)絡(luò)系統(tǒng)，且管理人員很難定位是哪臺(tái)客戶機(jī)中了病毒。

4)管理人員無法知道員工在工作時(shí)間上網(wǎng)主要是在做什么事情，無法限制員工對(duì)非法網(wǎng)站的訪問，從而有效規(guī)避法律風(fēng)險(xiǎn)。

5)隨意使用在線音頻和視頻應(yīng)用、P2P類下載工具軟件帶來的網(wǎng)絡(luò)資源的擁塞，導(dǎo)致在高峰期網(wǎng)絡(luò)速度慢。

2 解決問題的對(duì)策

2．1 加強(qiáng)教育和宣傳

反復(fù)在該院宣傳上網(wǎng)安全管理的重要性，使員工理解進(jìn)行上網(wǎng)安全管理的必要性和重要性，同時(shí)使員工理解上網(wǎng)行為管理是一種約束和規(guī)范企業(yè)員工遵守工作紀(jì)律、提高工作效率、保護(hù)醫(yī)院隱私的工具，是行政管理的電子化輔助手段，而不是為了監(jiān)控員工上網(wǎng)，侵犯員工的隱私。

2．2 完善醫(yī)院互聯(lián)網(wǎng)管理有關(guān)規(guī)定

根據(jù)《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等國家有關(guān)法律法規(guī)規(guī)定，制訂了《關(guān)于加強(qiáng)醫(yī)院網(wǎng)絡(luò)管理的規(guī)定》，所有上網(wǎng)科室必須填寫申請(qǐng)表，經(jīng)相關(guān)領(lǐng)導(dǎo)批準(zhǔn)后給予開通。

2．3 應(yīng)用實(shí)現(xiàn)—部署網(wǎng)康上網(wǎng)行為管理產(chǎn)品

1)接入模式：該院采用網(wǎng)橋模式。在路由器和核心交換機(jī)之間安裝了網(wǎng)康上網(wǎng)行為管理產(chǎn)品(NI3310)，此種模式不需要更改網(wǎng)絡(luò)結(jié)構(gòu)和配置。

2)基于用戶策略的控制方式，根據(jù)NI3310掃描到的IP和MAC地址，根據(jù)科室設(shè)置，設(shè)置相應(yīng)的用戶組，并給每個(gè)用戶設(shè)置密碼。設(shè)置不同的用戶組，便于管理員根據(jù)不同科室的職能和需求，分別設(shè)置不同的安全策略。

3)設(shè)置認(rèn)證方式為WEB本地認(rèn)證。管理人員設(shè)定統(tǒng)一的初始口令，把用戶賬號(hào)分發(fā)給用戶，保障用戶身份的安全。用戶開機(jī)上網(wǎng)時(shí)，第一次必須輸入用戶名和密碼。

4)開啟IP和MAC地址綁定功能，防止用戶非法修改IP地址。NI3310支持將用戶的IP地址和網(wǎng)卡MAC地址綁定，被綁定的IP地址將不能被別的MAC地址使用，主要是為了防止IP地址被盜用，但并不禁止MAC使用別的IP。通過這樣可以有效解決用戶非法接入和私自修改IP的問題，可以防止有人非法使用可以上網(wǎng)的電腦。

5)NI3310提供了豐富的查詢和統(tǒng)計(jì)功能，安裝運(yùn)行一段時(shí)間后可以明顯看出，在該院目前網(wǎng)絡(luò)流量中，迅雷、BT等P2P下載工具及風(fēng)行、PPLV等流媒體下載占據(jù)了主要的流量。經(jīng)過分析，上傳流量明顯高于下載流量，這很不正常，只能說明P2P類工具占據(jù)了網(wǎng)絡(luò)的主要流量。針對(duì)以上現(xiàn)象，該院在策略管理—策略設(shè)置中作了相應(yīng)設(shè)置，新建應(yīng)用策略控制，阻止對(duì)游戲、股票、P2P工具、網(wǎng)絡(luò)電視、QQ等的訪問。NI3310內(nèi)置了全面的應(yīng)用協(xié)議控制數(shù)據(jù)庫，具有深度內(nèi)容檢測(DcI)技術(shù)，精確識(shí)別各種應(yīng)用的協(xié)議特征。針對(duì)未知的P2P協(xié)議的下載軟件、未知的股票等應(yīng)用軟件、甚至一些特殊應(yīng)用(比如走80端口的web迅雷)，都可以做到封堵。由于院辦、人事科等職能科室需要使用MSN或QQ與其他單位聯(lián)系，所以部分科室未封MSN和QQ應(yīng)用。

6)在策略管理設(shè)置中對(duì)網(wǎng)頁瀏覽進(jìn)行限制，封堵對(duì)各種違法、違規(guī)及木馬病毒等網(wǎng)頁的瀏覽。NI3310擁有全球最大的中文網(wǎng)頁過濾數(shù)據(jù)庫，可以精確過濾不良信息。根據(jù)日志中的訪問顯示，可以進(jìn)一步自定義需要封堵的網(wǎng)站。

7)在策略管理中進(jìn)行網(wǎng)頁策略搜索的設(shè)置，通過設(shè)置控制方式、搜索 類別、關(guān)鍵字等，實(shí)現(xiàn)對(duì)用戶對(duì)搜索引擎使用的控制，如禁止搜索敏感文字，禁止員工在上班時(shí)間搜索視頻等。

8)在策略管理中設(shè)置合理的網(wǎng)絡(luò)流量設(shè)置，對(duì)于圖書館等需要大量下載資料的部門，不設(shè)置流量限制，而其余部門僅需要瀏覽網(wǎng)頁查找資料，設(shè)置較小的流量。

9)在策略管理—時(shí)間對(duì)象中進(jìn)行上網(wǎng)時(shí)間的設(shè)置，對(duì)于機(jī)關(guān)職能科室，設(shè)置周一到周五早上7：30－19：30為工作時(shí)間(已對(duì)下班時(shí)間適當(dāng)?shù)难娱L)，在其余時(shí)間禁止上網(wǎng)。而臨床科室由于有值班人員，考慮到具體情況，未設(shè)置時(shí)間限制。

10)在策略管理—審計(jì)策略設(shè)置中設(shè)置合適的審計(jì)策略。NI3310可以對(duì)QQ、MSN通等常用的聊天工具，以及對(duì)郵件收發(fā)、論壇發(fā)帖、FTP、TELNET、HTTPS等容易泄密、影響網(wǎng)絡(luò)安全的行為進(jìn)行審計(jì)和管控。結(jié)合該院具體情況，上互聯(lián)網(wǎng)的電腦在一個(gè)單獨(dú)的VLAN中，與內(nèi)部網(wǎng)絡(luò)隔離，敏感資料外泄可能性很小，且考慮到保護(hù)員工隱私，因此，在審計(jì)策略設(shè)置中未作郵件發(fā)送及接收審計(jì)、QQ/MSN審計(jì)，而是設(shè)置FTP審計(jì)、HTTPS審計(jì)、TELNET審計(jì)、發(fā)帖審計(jì)，尤其是重點(diǎn)關(guān)注發(fā)帖審計(jì)，防止員工擅自發(fā)布不良言論，規(guī)避法律風(fēng)險(xiǎn)，在出現(xiàn)問題時(shí)有據(jù)可查。

11)在策略管理—防護(hù)設(shè)置－全局設(shè)置中，開啟ARP報(bào)警，當(dāng)局域網(wǎng)內(nèi)發(fā)生ARP攻擊時(shí)可以及時(shí)得到反饋，并能確定發(fā)出ARP攻擊的主機(jī)。

12)根據(jù)NI3310提供的查詢和統(tǒng)計(jì)功能，審查每天的網(wǎng)絡(luò)訪問情況，帶寬資源的利用情況、策略的審計(jì)結(jié)果。為網(wǎng)絡(luò)管理員的決策和管理提供重要的數(shù)據(jù)依據(jù)，并以此為依據(jù)進(jìn)行其他控制策略的微調(diào)。

3 運(yùn)行效果

部署NI3310一段時(shí)間后，取得了較好的效果。網(wǎng)絡(luò)運(yùn)行越來越穩(wěn)定，上網(wǎng)速率較以前有明顯的改善。在統(tǒng)計(jì)表中可以看到，P2P應(yīng)用和流媒體下載基本消失，醫(yī)學(xué)類網(wǎng)站瀏覽、搜索等成為最常見的應(yīng)用，工作效率有了很大的提高。

總之，上網(wǎng)行為管理有利于網(wǎng)絡(luò)管理者及時(shí)了解網(wǎng)絡(luò)運(yùn)行情況，并對(duì)網(wǎng)絡(luò)整體狀況做出基本分析，發(fā)現(xiàn)造成網(wǎng)絡(luò)異常的原因，并進(jìn)行快速故障定位。并能監(jiān)督、控制、引導(dǎo)用戶正確使用網(wǎng)絡(luò)。較好地解決了在安全和暢通的前提下，充分利用網(wǎng)絡(luò)資源的問題。