上网行为管理系统选型探讨

2022-07-15

上网行为管理系统选型探讨

作者：大洋日期：2022-8-28

随着用户对内网安全意识的加强，上网行为管理市场也日益火爆。作为一个新兴市场，上网行为管理产品品牌繁杂，不乏厂商挂着“上网行为管理”的“羊头”,却卖着URL过滤产品或带简单访问控制功能的防火墙的“狗肉”的情况出现。

面对部分厂商的不良市场行为，如何练就火眼金睛，买到合适好用的上网行为管理产品？本文就此与各位读者作简单的探讨。

到底什么是“上网行为管理产品”呢？几年前，上网行为管理产品功能很单一，以URL过滤和审计功能为主：URL过滤主要通过海量分类的URL库来实现，较初由美国的软件开发商推出；而审计产品涉及网络安全方面，审计的内容也需考虑国情，所以以国内厂商居多，比如北京聚生科技有限公司（官方网址：http://www.wgj7.com）的安企神系统等等。

随着网络技术的进步，上网行为管理产品的功能也日渐丰富。对于上网行为管理产品究竟 “管什么”，业界渐渐也有了比较一致的看法。一般而言，上网行为管理产品必须具备三个功能：

1、应用和网站的封堵过滤

上网行为管理产品须包含海量的应用协议特征库和URL库，以便对各种常用的网络应用软件和网址进行封堵和管控，例如聊天工具、P2P软件、网络游戏、炒股软件、不良网站等，这对提高员工的工作效率、塑造良好的工作氛围是非常必要的。

2.、流量控制
因为国内带宽资源有限，上网行为管理产品须帮助用户对内网的下载、在线视频等行为进行控制，例如BT、电驴、迅雷、土豆视频等，避免内网用户下载应用占用大量带宽，影响正常业务的运行；经笔者测试，目前国内封堵P2P软件较强的网管软件是安企神了，可以封堵高达30余种的P2P下载软件和P2P视频软件，其中还包括其他网管软件一般无法封堵的迅雷等等。

3、信息审计
为避免内部人员将单位的机密信息泄露以及敏感言论的出现，上网行为管理产品须对外发的信息进行审计，例如邮件、FTP、QQ、MSN应用等，并将互联网的所有访问行为保存下来，便于用户的分析和记录。

那么是否具备了上述功能就是好产品呢？具备并不意味着可以较好地实现，我们需要在目前众多的产品中选择合适自己的产品，以下几点可供参考：

1、对加密应用的识别能力
加密化是目前互联网的发展趋势。早期的电子银行都是普通的http网站，通过明文传输，数据容易被人监听和窃取。近些年来，电子银行全部改成https网站，即通过SSL协议进行加密，目的即保障用户的交易安全，避免敏感信息泄露。但是近年来，很多“不良”应用也在加密，例如让网管“谈之色变”的P2P软件，木马网站， Skype、QQ等聊天工具……在这些加密应用面前普通的上网行为管理产品无能为力。

只有专业的上网行为管理产品才能够对加密应用进行管控，通过全流量分析等技术实现对加密应用的识别和封堵，如对加密BT、Skype、MSNShell的精确识别和封堵。而低端的上网行为管理产品只能够封堵普通的HTTP网站或MSN等非加密应用，管控上存在漏洞。

2、完备的应用协议库

上网行为管理产品都内置有应用协议库，该协议库集成了各种各样常见的网络应用。用户能否封堵炒股软件、聊天工具和网络视频等，取决于应用协议库是否强大。

上网行为管理产品的应用协议库一定要齐全、要新，因为现在的网络应用软件多种多样，新版本层出不穷，应用协议库只有保证将常规应用覆盖完全且及时更新，才能保证准确识别相关网络应用。

此外，上网行为管理产品也须具备较完备的URL库，因为网页浏览作为网络应用中很重要的一环，运用海量分类的URL库来进行网页过滤也是十分必要的。但我们也不能盲目依赖URL库。目前整个互联网上URL地址数十亿条，并且每天以数十万条的速度增长，单纯依靠千万数量级的URL库进行完全的网页过滤与审查，无疑杯水车薪。而且传统静态的URL库对于google等搜索引擎搜索出的网页、应用web2.0技术的页面、加密页面，其过滤封堵能力都很差。

3、性能是否够用
和防火墙基于端口与IP地址的处理方式不同，上网行为管理产品针对应用层数据进行检索，是基于应用行为本身的。比如，内网用户通过Outlook发一封邮件，防火墙对这种行为只有两种处理方式：拒绝或者放行。而上网行为管理产品的处理方式则较复杂，它首先要判断内网用户有无权限发送邮件，有权限则检查邮件正文和附件是否有管理员禁止的关键字，如果有上述关键字则将其滤掉。很多用户需要对邮件进行人工审计，所以上网行为管理产品需要存储邮件并设定延时时间。

显然，如果没有良好的性能，上网行为管理产品根本无法智能处理内网的各种应用。而且随着用户内网规模的扩大，一旦上网行为管理产品性能不足，不仅会影响网速，甚至会出现宕机、业务中断的危险。

硬件上网行为管理设备由于采用了专门的硬件架构与算法优化，性能普遍要强于软件产品。如目前市面上高端的上网行为管理产品，甚至可以支持千兆全流量数据的高速检索，而这是软件产品无法达到的。

4、日志库（数据中心）功能是否强大

“信息审计”是上网行为管理产品的重要功能，审计后的内容往往放在日志库中，因为以前上网行为管理产品审记后的信息相对简单，主要是某某用户某某时间进行了什么应用的日志记录，现在上网行为管理产品审记内容后，往往会对信息进行统计汇总、分类查询等，并支持生成图形化的报表，数据中心功能的强大，对“信息审计”有着重要的意义。
首先，数据中心应该可以独立安装。因为上网行为管理产品需对所有的上网行为进行记录，日志量庞大。一个千人的网络每周可产生十多GB甚至数十GB的数据。这些数据如果都存储在上网行为管理设备里，不仅会很快占满设备的存储空间，还会影响产品性能。所以，上网行为管理产品的数据中心需要支持独立安装，这样数据中心中的日志可以存储在内网的服务器甚至PC上，这样就实现了上网行为管理设备日志的海量存储，较大限度地发挥上网行为管理产品的性能。

其次，数据中心需要支持搜索功能。现在很多低端的上网行为管理产品都有日志存储，但查询方式简陋。如用户查“源代码”这个关键字，只能按照人物和时间段查询。而专业的上网行为管理产品可以提供类似Google的搜索界面，通过在数据中心首页搜索关键字，内网用户访问过的网页内容、收发过的邮件及其附件， QQ中的聊天信息、上传下载的各种文件等，只要其中有“源代码”这个关键字，都可以直接查询到，方便易行。有些厂商甚至还提供日志的主题订阅功能，将用户感兴趣的关键字搜索记录自动发送到用户指定的邮箱，实现人性服务。

5、设备本身的适应性

因为目前越来越多的用户采用域认证，考虑安装的适应性，专业的上网行为管理产品可以支持对AD域和LDAP的无缝结合，为域中的用户进行权限划分，以避免管理员重复导入域用户。而一般的上网行为管理产品则需将AC中的账户导入到设备中才能进行认证，或者在服务器上安装插件才能进行认证。

另外，上网行为管理产品对网络的适应性也很重要。一方面，上网行为管理产品应支持路由、网桥和旁路等部署模式；另一方面，高端上网行为管理产品应该适应双机、双线路、VRRP、HSRP等冗余网络结构，以在复杂的网络环境中游刃有余。

6、市场表现和客户案例
如今，“上网行为管理”的概念已被大多数用户认可，进入上网行为管理市场的厂商也越来越多。产品品质、厂商的综合实力、所提供的服务支持等因素在选型时都是非常重要的参考条件。因为网络、应用本身千差万别，我们选产品时需要量体裁衣，拥有较多的客户案例，并在高端、复杂网络环境下成功应用的产品，相对更值得信赖。

总之，上网行为管理软件,员工上网管理软件,局域网电脑控制软件,网络主机控制软件,局域网监控软件,管理员工上网软件,员工网络访问控制软件,监控员工上网软件,控制员工上网软件,员工带宽限制软件首选安企神软件。