淺析上網(wǎng)行為管理技術(shù)在計算機局域網(wǎng)安全中的應用

　　一、上網(wǎng)行為管理技術(shù)

　　上網(wǎng)行為管理技術(shù)作為一種積極主動地安全防護技術(shù)，它提供了一種對于局域網(wǎng)內(nèi)部攻擊、駭客外部侵入的實時保護技術(shù)。上網(wǎng)行為管理技術(shù)是隨著網(wǎng)絡的發(fā)展而產(chǎn)生的新的防毒、防駭客的安全技術(shù)。由于對網(wǎng)絡安全的要求，已不能局限于被動的防護（如：端口控制、防火墻、防病毒之類），而更關(guān)注人們的網(wǎng)絡行為。因為更多的攻擊和破壞是來自我們內(nèi)部的漏洞和管理。為了保證局域網(wǎng)內(nèi)部網(wǎng)絡信息在傳輸與存儲過程中的安全性、機密性和完整性，上網(wǎng)行為管理技術(shù)是按照一定的安全策略，對外部網(wǎng)絡以及內(nèi)部局域網(wǎng)的運行狀況、上網(wǎng)行為進行監(jiān)控，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果，從而進行攔截或發(fā)出警告，是非常有效和實用的的網(wǎng)絡安全技術(shù)。

　　二、上網(wǎng)行為管理技術(shù)的性能指標

　　隨著網(wǎng)絡技術(shù)的不斷提高和網(wǎng)絡安全系數(shù)的降低，傳統(tǒng)意義上的防火墻、殺毒軟件已經(jīng)無法應對多變的安全威脅。而我們現(xiàn)在更多的威脅不是來自駭客的攻擊、病毒的的入侵。而更多的是來自我們內(nèi)部網(wǎng)絡，內(nèi)部管理松懈幫了駭客的大忙。再厲害的駭客要實施攻擊，也必須在現(xiàn)有的系統(tǒng)或網(wǎng)絡上找到突破口。而上網(wǎng)行為管理技術(shù)從根本上解決了這一問題。其技術(shù)主要包括以下四個指標：

　　1。 上網(wǎng)內(nèi)容過濾的準確性，特別是URL地址庫的及時更新完善；

　　2。 針對不斷涌現(xiàn)應用協(xié)議識別的完備性，如P2P、IM、音視頻、網(wǎng)游等；

　　3。 信息保密性：防止各種重要敏感信息通過郵件、IM、FTP、BBS等方式泄露出去；

　　4。 網(wǎng)絡硬件平臺的增強性，通過不斷增強上網(wǎng)行為管理的網(wǎng)絡硬件平臺來保證其性能提升。

　　主要協(xié)議識別→管理控制（→分析報表FTP、HTTP、SMTP、P2P、IM

　　三、上網(wǎng)行為管理技術(shù)具體應用

　　1、建立身份認證體系

　　沒有嚴格的認證就無法有效的區(qū)分用戶，也就無法部署差異化授權(quán)和審計策略，自然無法有效防御身份冒充、權(quán)限擴散與濫用等。上網(wǎng)行為管理技術(shù)支持多種上網(wǎng)身份認證方式。通過認證和硬件綁定能有效的區(qū)分用戶身份，審計和防御身份冒充、權(quán)限擴散與濫用。上網(wǎng)行為管理無須客戶端軟件的WEB的認證方式，支持對所有或特定用戶免認證，也可采用基于IP/MAC綁定的認證技術(shù)。

　　2、細致的訪問權(quán)限分配

　　上網(wǎng)行為管理技術(shù)不僅設置了差異化的互聯(lián)網(wǎng)訪問權(quán)限，還有差異化的行為審計策略，按照行政架構(gòu)、IP分段、VLAN信息建立用戶組結(jié)構(gòu)。為了給不同用戶、不同部門授予差異化的防問權(quán)限，包括差異化的行為審計策略，支持用戶名、密碼身份驗證方式的同時，還可提供綁定IP/MAC功能，并提供多種身份認證方式，可以限定賬號的生效期限。其豐富的用戶身份識別方式使得管理員可以自由的根據(jù)實際用戶在組織內(nèi)的身份和權(quán)限合理安排其對應的認證手段。

　　3、全面的監(jiān)控審計功能

　　上網(wǎng)行為管理體制完善的訪問審計和監(jiān)控功能能夠有效防止信息通過網(wǎng)絡泄密。建立訪問審計、監(jiān)控審計、模塊構(gòu)筑完備的內(nèi)部安全屏障。其實真正的網(wǎng)絡安全不在于外部駭客的攻擊，而是內(nèi)部網(wǎng)絡使用者的泄漏，所以建立強大的內(nèi)部安全管理策略，減少內(nèi)部泄密行為。上網(wǎng)行為管理技術(shù)主要監(jiān)控和審計郵件、BBS、論壇發(fā)貼，QQ、MSN等內(nèi)容，審計網(wǎng)絡內(nèi)外用戶對內(nèi)部服務器的訪問操作。

　　4、海量日志檢索與報表

　　通過設置外置中心數(shù)據(jù)中心，可供管理員對網(wǎng)絡流量、垃圾郵件、網(wǎng)絡監(jiān)控、安全日志等詳細信息查詢，并可詳細的分析出Internet網(wǎng)中的詳細使用情況，

　　5、特有的單點登陸技術(shù)

　　將單點登錄技術(shù)同認證機制結(jié)合在一起，讓通過域認證的用戶可以更加方便的實現(xiàn)Web認證。通過數(shù)據(jù)包監(jiān)聽方式支持LDAP單點登陸功能，若有第三方介入內(nèi)網(wǎng)立刻禁止訪問，進一步降低了信息外泄的風險。

　　6、提供“客戶端準入規(guī)則”（Network Admission Rules，NAR）認證功能。

　　在局域網(wǎng)內(nèi)客戶端的安全級別往往難以保證，使用版本陳舊的操作系統(tǒng)、不及時更新補丁、長時間不更新防火墻和殺毒軟件等，都給病毒和駭客的攻擊大開方便之門。而這種狀況可以通過對客戶端的評估來實現(xiàn)。當啟用了局域網(wǎng)客戶端準入規(guī)則功能后，局域網(wǎng)內(nèi)用戶第一次發(fā)起互聯(lián)網(wǎng)連接請求時，“客戶端準入規(guī)則”將“動態(tài)分發(fā)準入代理”（Sinfor Ingress Agent，SIA）至客戶端主機。SIA主要確定端口是否遵從管理員設定的安全策略，SIA中配置了用于檢查預定義的和可定制的標準，它可以檢測到局域網(wǎng)內(nèi)的用戶是否及時給操作系統(tǒng)打補丁、是否安裝殺毒軟件、殺毒軟件是否升級到最新版本等等。當SIA將搜集到的客戶端信息傳回后臺后，如果局域網(wǎng)內(nèi)某用戶的安全狀態(tài)不符合SIA的規(guī)則設置，上網(wǎng)行為管理的網(wǎng)關(guān)將對該用戶執(zhí)行預定的策略，可直接禁止上網(wǎng)或彈出警告，從而有效避免了不安全事件的發(fā)生。

　　四、上網(wǎng)行為管理技術(shù)存在的問題

　　1、由于上網(wǎng)行為管理系統(tǒng)每天產(chǎn)生大量的日志，其中包括流量統(tǒng)計日志、郵件日志、網(wǎng)絡監(jiān)控日志、準入規(guī)則日志和安全日志，對于每天這樣大量的日志數(shù)據(jù)，網(wǎng)絡管理人員不能保證每天都檢測報告信息，也不可能每天實時監(jiān)控分析數(shù)據(jù)，如何將有用的數(shù)據(jù)在極短的時間內(nèi)過濾出來，讓網(wǎng)絡管理員能在有效的時間段內(nèi)發(fā)現(xiàn)網(wǎng)絡中出現(xiàn)的問題，這將對上網(wǎng)行為管理技術(shù)來說更為理想。

　　2、對于網(wǎng)絡中出現(xiàn)的IP地址沖突不能及時有效的提醒管理員注意，需手動解決或發(fā)現(xiàn)。

　　3、上網(wǎng)行為管理中技術(shù)中的URL對網(wǎng)頁的過濾并不全面。因為有一些聊天網(wǎng)站通過變化端口照樣可以訪問。

　　五、結(jié)語

　　保證網(wǎng)絡信息安全最重要的不是運用一種或幾種成熟的安全防御技術(shù)，重要的是思想上的高度重視。要確保網(wǎng)絡安全尤其是局域網(wǎng)的安全，我們的科研人員就必須樹立“三分技術(shù)，七分管理”的思想。安全對于我們是至關(guān)重要的。所以必需要建立一個行之有效、完善的網(wǎng)絡安全體系，并制定相關(guān)的網(wǎng)絡管理策略和規(guī)章制度，然后才是安全產(chǎn)品和網(wǎng)絡技術(shù)的幫助。否則就不可能有一個真正意義上的網(wǎng)絡安全防護體系。目前我們對網(wǎng)絡信息安全的管理基本還處在一個靜態(tài)的、局部的、少數(shù)人負責的、突擊式的、事后糾正的管理方式下，不能從根本上避免和降低各類網(wǎng)絡風險，也不能降低信息安全故障導致的綜合損失。事實上很多病毒事件和攻擊都是因為我們打開一些非法網(wǎng)頁、訪問非法BBS論壇、或通過FTP下載文件以及即時通訊軟件傳播文件而引發(fā)的。據(jù)統(tǒng)計數(shù)據(jù)顯示，在我國針對網(wǎng)絡游戲、聊天軟件、接發(fā)郵件的木馬病毒數(shù)量比去年增加了五倍，達到90421個，占到總病毒數(shù)量的75。7%，可見，如果我們做好自身的防范工作，就可以避免決大多數(shù)的網(wǎng)絡安全事故。建立和實施嚴密的計算機網(wǎng)絡安全制度與安全策略是真正實現(xiàn)網(wǎng)絡安全的基礎(chǔ)。而上網(wǎng)行為管理技術(shù)、網(wǎng)絡管理策略以及規(guī)章制度三者的有機結(jié)合才是網(wǎng)絡信息安全最有力的保障。

　　參考文獻：

　　1、李渙洲。網(wǎng)絡安全與入侵檢測技術(shù)【J】。四川師范大學學報，2001，3。

　　2、王曼維。新形勢下計算機網(wǎng)絡安全及策略【J】。長春大學學報，2004，2。

　　3、馮登國。計算機通信網(wǎng)絡安全【M】。清華大學出版社，2001。

　　4、崔國棟。計算機網(wǎng)絡安全問題和對策探析【J】。 現(xiàn)代經(jīng)濟信息，2009，17。

　　5、趙慶祥等。信息時代計算機網(wǎng)絡安全探析【J】。信息安全與通信保密，2009，8。

　　6、蘇孝青等。計算機網(wǎng)絡安全技術(shù)發(fā)展與防火墻技術(shù)探討【J】。科技創(chuàng)新導報，2009，25。

【淺析上網(wǎng)行為管理技術(shù)在計算機局域網(wǎng)安全中的應用】相關(guān)文章：

淺析IMS技術(shù)在電力系統(tǒng)的應用前景06-28

淺析智能光網(wǎng)絡在電力通信系統(tǒng)中的應用10-05

淺析高中化學課堂中的情感教學應用08-09

探究計算機在生活中的應用08-27

BIM技術(shù)應用03-13

淺析企業(yè)如何加強冷庫施工過程中的消防安全12-18

旅行中不能容忍的行為08-03

BIM技術(shù)應用[薦]03-13

淺析新時期的社區(qū)管理推薦05-24