隨著網絡與信息技術的飛速發展和廣泛應用,企業信息化的進程日新月異。企業局域網從早期的文件共享、文件傳輸、靜態網頁瀏覽及Telnet命令等內容單一、靜態簡單、小規模較為封閉的應用模式,逐步發展到包括E-Mail、ERP、OA、CRM、視頻會議、VoIP、電子商務等內容豐富、動態復雜、大規模日益開放的應用模式,成為提升企業核心競爭力的基礎設施和必要保障。
企業信息化高速發展的另一方面,即帶來的管理難題也越來越突出,其中重中之重就是如何保證企業局域網應用性能和安全已經成為困擾企業高效管理且亟待解決的主要問題之一。網絡行為管理在這種背景下應運而生,并逐步成為目前國內外網絡與信息研究領域的熱點方向之一。
研究小組從一個典型企業局域網的現狀出發,提出當前網絡行為管理難點并加以分析,同時借鑒成熟的信息化建設管理經驗,從而進一步研究并探索網絡行為管理在其拓撲結構中的規劃設計和實施應用,對應用網絡行為管理后的企業局域網進行評估,并給出思考和展望。
1 企業局域網中網絡行為管理難點的提出與分析
目前,典型的企業局域網在網絡運維和帶寬控制等網絡行為管理方面面臨以下問題和挑戰。
1.1 企業局域網歷史遺留問題帶來的負面影響
典型的企業局域網往往都是在早期簡單的局域網基礎上逐步擴建起來的,其擴建過程中隨意性很大,給網絡行為管理的應用帶來了極大困難。網絡行為管理的應用要求企業局域網具有透明性,管理節點要求落實到網絡終端設備,最好與使用管理人員相對應,要有網絡與信息安全策略等。具體來說,有以下幾方面的整合改造:①網絡終端設備要盡量使用固定IP地址,網絡中各級IP地址分配策略盡量使用靜態分配策略,最好是網絡終端設備的IP地址和MAC地址相邦定,也可以在核心交換設備上使用802.1X協議等認證授權技術手段來實現管理節點與使用管理人員相對應;②企業局域網中盡量不要使用路由器等網絡轉發設備,以防降低網絡行為管理的可追溯性,同時也要做好NAT管理工作;③針對具體企業部門盡量劃分在一個邏輯IP地址段內,地理位置不同的企業區域采用不同數字開頭的私有IP地址群顯著標明,以有效阻斷網絡風暴及ARP病毒等在全網傳播;④做好殺毒防黑等網絡與信息安全工作,建立健全IP地址與使用管理人員關系表并加以動態完善,這也是實施網絡行為管理的基礎性工作。
1.2 企業局域網流量負擔大,帶寬惡性占用現象嚴重
當企業信息化浪潮向縱深方向發展的同時,網絡應用模式的巨大轉變給企業局域網的承載能力帶來了不可估量的壓力。①當前的P2P和視頻點播軟件具有端口模擬、數據包偽裝、超線程下載等高占用帶寬網絡技術的應用,造成各部門高配置PC在使用這類軟件時占據幾兆甚至幾十兆的帶寬是常見現象,并且這些下載、點播里面90%以上都是與工作學習無關的內容,而對行政干預手段來說也是“真空地帶”,不能達到預期效果,這就將會人為地產生針對帶寬等網絡資源的競爭現象。而企業局域網中各個應用在擁塞的廣域網鏈路上展開帶寬之爭時,非關鍵型應用往往總是占據上風,從而導致網絡帶寬的有效使用率非常低,企業信息化系統的ROI(投資回報率)隨之也降低,同時也將嚴重阻塞企業局域網關鍵業務的開展和應用。②當前企業局域網對于網絡行為的管理手段僅限于各類交換機和防火墻等,而這些設備都是通過端口、協議號來進行應用區分的,無法進行高效的網絡應用層面的管理。現在大量的病毒和惡意軟件可以選取隨機端口或者進行包偽裝,這些特點使管理調整手段失去了效力,成為企業局域網內經常出現網速忽快忽慢現象的原因之一。隨著這類軟件的發展,可能會發生正常應用軟件在使用時會有很大延遲甚至因為找不到服務器而中斷的現象,這是嚴重的非人為帶寬惡性占用表現。
針對網絡速度慢、帶寬資源緊張的問題,最容易的解決方法是不斷增加企業局域網及廣域網的鏈路帶寬,加大網絡帶寬投資。但是,這是一種很大的浪費,治標不治本,不能從根本解決上帶寬不足的問題,因為擴充的“道路”依舊會被更多的流媒體、網絡游戲和P2P下載等固有不利因素所吞噬。
1.3 網絡與信息安全方面存在諸多隱憂
網絡與信息安全是企業信息化工作的重中之重,是信息化建設體系的前提和基礎,更是伴隨著信息化建設過程整個生命周期中始終必須嚴抓的關鍵環節,從這個角度來說,殺毒防黑是企業局域網中必須認真考慮的一個重要事情。
目前,在網絡與信息安全方面存在諸多隱患有:①存在病毒、蠕蟲、蜜罐、僵尸網絡、擺渡軟件等惡意流氓軟件在企業局域網中快速廣泛傳播的可能,其特點是在企業局域網內部開始發作,并占用大量的網絡帶寬資源及系統資源,嚴重影響用戶的正常訪問甚至導致全網癱瘓;②網絡黑客入侵無處不在,可以通過微軟操作系統漏洞或員工電子郵件等渠道悄悄進入,然后發起攻擊。攻擊發生的時候,可能的情況是企業局域網內的幾臺中毒PC機同時往上游某些服務器發送大量攻擊包,使得這些服務器不勝負荷而倒下,同時也阻塞了廣域網通道。面對這種困境,企業局域網中通常采用的防火墻+IDS的解決方案顯得無能為力。
1.4 跨地域的企業區域間的連接經常擁塞甚至中斷,關鍵應用得不到保障
企業往往有總部和若干個分支機構等地理區域,它們之間主要通過VPN鏈路或專線進行互聯互通。如果區域間的連接經常擁塞甚至中斷,關鍵應用得不到保障,這將嚴重影響到企業的正常運營,不可避免地造成經濟利益上的重大損失。
因此,企業迫切需要在局域網中添加配備“關鍵應用保障引擎”,平時監控整個網絡中是否有異常、隱患、甚至是網絡災難爆發的預兆,而在網絡災難爆發的時候能夠確保關鍵應用的“維生通道”,確保關鍵應用在任何時候都不受影響。
1.5 企業局域網中網絡行為的可追溯性得不到保障
目前企業局域網中網絡行為的可追溯性得不到保障,主要是沒有完善的日志記錄存儲系統。網絡行為管理應該詳盡記錄用戶的上網軌跡,做到網絡行為有據可查,滿足公安部及工信部等主管部門對網絡行為記錄的相關要求,規避可能的法規風險。
1.6 企業文化和人本問題等人文因素亟待和諧發展
優秀企業文化對提升企業核心競爭力是異常重要的,對鞏固和優化企業局域網的網絡行為管理來說也同樣重要。網絡行為管理從管理學的理論角度來說,是可以完美解決的。如果員工擁有正確的上網動機及良好的信息化專業素質,強化自律意識,營造良好的企業文化氛圍;企業擁有完備的企業局域網規章制度管理體系,特別是例如IP地址等信息網絡資源的管理制度和高度自覺的“企業執行力”,優秀的企業法律意識,網絡行為管理從技術層面上來說就變得簡單易行。一個企業家的哲理震撼了研究小組,他說:“當企業遇到難題的時候,我首先想到的是用管理的方法解決這個問題。只有用管理的方法不能很好地解決這個問題時,我才考慮用工程的方法,因為采用管理的方法成本最低”。科學的管理能真正提高企業的運營效率,但科學的管理需要管理科學。
人本問題也是企業文化發展的重點問題之一,“以人為本”和諧發展企業文化是當前發展方向。為了給員工一個寬松的網絡環境,給員工的工作創新提供一個嶄新平臺,企業局域網規章制度管理體系不能過于呆板,以防抹煞員工工作創新的積極性,延緩企業文化的發展進程;另一方面企業員工的隱私權也要得到一定的保護,員工不希望自己的隱私在任何情況下被他人獲知,企業也不想自己的商業機密被泄露,所以一個相對安全的企業局域網環境是必要的。辯證地處理好企業文化和人本問題等人文因素之間的關系,更要加強網絡行為管理技術層面的研究和應用探索,使其和諧發展。
總之,目前企業局域網管理混亂的現狀,既有歷史遺留原因:例如隨意擴建和動態IP地址分配策略等,也有管理上的因素:例如員工的不自覺行為甚至是惡意行為,還有網絡上的病毒和黑客入侵等,甚至是企業文化的不良因素導致的。因此要確保企業正常工作和關鍵業務安全高效運行,在顯著提高企業生產效率的同時保障企業信息化系統的ROI,就要從根本上解決上述問題。
2 網絡行為管理在典型企業局域網拓撲結構中的規劃設計和實施應用
典型企業局域網包含上述問題產生和存在的客觀特征因素,網絡拓撲架構采用雙核心交換的熱備模式接入,正常情況下由主核心交換機承擔全部任務,只有在主交換異常的情況下,熱備交換機才起到數據傳輸的作用。網絡拓撲架構中有兩個地理區域,其間用相對可靠的10M專線連接,網絡中還存在VPN等關鍵應用等,具體網絡拓撲架構如圖1。
圖1 典型企業局域網的網絡拓撲架構圖
經過分析討論后考慮網絡行為管理設備的接入方式為:①在各地理區域中主核心交換機和UTM之間橋接一路,對用戶的上網行為起到監控作用;②VPN單獨一路橋接,這是對上網行為監控作用的補充;③地理區域間專線的橋接,這是對內部關鍵應用的監控和保障,可以橋接在專線的任意一端,考慮到兩臺網絡行為管理設備的負載均衡,讓每臺網絡行為管理設備有兩路物理橋接。網絡行為管理設備為透明設備,只需橋接在企業局域網中就可以了,改造后的網絡拓撲架構如圖2。
圖2 典型企業局域網改造后的網絡拓撲架構圖
改造后的網絡拓撲架構需要完善和改進的地方還是存在的,主要有以下幾點。
2.1 改造后的網絡拓撲架構中網絡行為管理設備單點故障的規避
在典型企業局域網中網絡行為管理設備接入的同時也帶來了單點故障的可能。對于上述的第一種接入,網絡雙機熱備的機制規避了單點故障;對于上述的第二種接入和第三種接入,就要求網絡行為管理設備具有旁通(Bypass)的功能,才能規避單點故障,但網絡行為管理設備旁通功能的觸發條件等具體設置還需進一步探索和論證。
2.2 網絡行為管理設備日志記錄的連續性問題
網絡行為管理設備的日志記錄一般要求具有連續性,對于上述典型企業局域網來說,備用核心交換機和網絡行為管理設備旁通功能的啟用都不能產生網絡行為管理設備的日志記錄,這個問題也需要進一步探索研究來尋找一個妥善的解決方案。
2.3 網絡行為管理設備對采用動態IP地址分配策略的網絡終端設備在監控管理上的問題
在典型企業局域網中對必須采用動態IP地址分配策略的網絡終端設備來說,網絡行為管理設備不能通過IP地址與使用管理人員關系表來定位,其可追溯性存在一定問題。目前擬采用綁定網絡終端設備的MAC地址或在網絡終端設備上安裝客戶端軟件使用802.1X協議等方式來彌補,這個工作還在論證當中。
2.4 網絡行為管理設備的選型問題
對典型企業局域網來說,怎樣選用最適合的網絡行為管理設備是不可忽視的重要前提工作,選型恰當合適,不但能有最好的性價比,而且還有事半功倍的效果。目前國內的網絡行為管理設備主要有網派、深信服、網康、網帥、啟明星辰等等一些品牌,具體的型號和功能也各具特色,選型工作比較復雜。目前采用試用設備的方式,使用效果良好。選型工作也還在論證當中。
總的來說,雖然對典型企業局域網改造后的狀況需要思考和改進的地方是客觀存在的,但網絡行為管理整體功能和性能達到了預期目的。
3 對具有網絡行為管理功能的典型企業局域網進行應用評估
對具有網絡行為管理功能的典型企業局域網進行應用評估主要從功能和性能兩方面入手。在功能上,要能達到基本解決現有的監控“真空”問題,改善上述網絡行為管理難點問題;在性能上,要求能對局域網具有“自適應”應變能力,在網絡稍有異常的情況下還有較好的性能。另外,對具有網絡行為管理功能的典型企業局域網進行風險評估也具有必要性。總地來說,目前評估的結果為良好。
兩種網絡行為管理設備在典型企業局域網中的軟件應用界面見圖3。
圖3 兩種網絡行為管理設備在典型企業局域同中的軟件應用界面
4 思考和展望
雖然在上述典型企業局域網中網絡行為管理的監控功能已較為完善,但審計功能有待進一步發展。網絡行為審計和具體的企業文化有關,又分為事先審計和事后審計,導致不同的網絡行為審計控制策略,所以不同的企業局域網網絡行為審計的方式和內容都不一樣。目前從技術上來說定制企業自己的網絡行為審計控制策略沒有技術難題,但怎樣梳理企業有關規章制度及轉換成網絡行為審計控制策略的過程比較復雜困難。
網絡與信息技術始終飛速發展,網絡行為管理技術也要定期更新。應用協議特征庫的定期升級就能保障網絡行為管理技術的時效性。目前大多數網絡行為管理設備都提供收費的應用協議特征庫定期升級服務,但應用協議特征庫的匹配準確率還有待于進一步驗證。
網絡行為管理系統每天產生大量的日志,而如何將有用的數據在極短時間內從海量數據中過濾出來,讓管理員能在有效的時間段內發現網絡中出現的問題,就需要報表分析功能,通過豐富的報表工具,管理員可以根據企業局域網的現實情況和關注點定制、定期導出所需的網絡資源使用情況、員工工作情況等報告,形成網絡行為管理策略調整的依據。目前網絡行為管理設備報表分析功能還有待于進一步完善。
5 結束語
保證企業局域網的網絡與信息安全最重要的不是運用一種或幾種成熟的安全防御和網絡行為管理技術,而是思想上的高度重視。企業局域網的安全必須依靠企業樹立“三分技術,七分管理”的思想,并制定相關的網絡管理策略和規章制度,形成良好的企業文化以促進企業局域網和諧發展,形成一個真正意義上的全方位多層次寬領域的網絡行為管理體系。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:網絡行為管理在企業局域網中的研究與應用
本文網址:http://m.hanmeixuan.com/html/consultation/1083948063.html
相關文章
