近幾年，從防火墻的誕生開始，我們所有的基礎架構都在如火如荼地做著客體安全防護，防火墻、IDS、反垃圾以及縱深防御體系等。同時我們也看到，在內部管理層面很多情況下是“因陋就簡”的，整體架構里一直有“防御重于管理”的理念。但事實上，互聯網的內部管理絕對是不容忽視的。

那么，互聯網管理到底有哪些風險點呢?

互聯網管理的四個風險點

首先，對于主體“人”的管理。“互聯網行為”的定義是互聯網主體主動或被動發生的上網行為，這里人的因素就比較關鍵，因為“技術可以學習，流程可以復制，只有人是個性的”。如果要關注人的行為安全，發現潛在的主體行為隱患，互聯網上的管理是一個很有效的方法。

這是因為互聯網行為已經成為人的第二行為，就像在著名的游戲《第二人生》中那樣，任何人的真實行為在互聯網中都會有這樣或者那樣的體現。當一個人想離職的時候，他會在互聯網上出現一些苗頭和征兆。例如頻繁訪問招聘網站，在友商的網站上瀏覽過多等。如果我們通過友善的監控獲悉這種苗頭，管理者就可以去采取相應的措施。

目前的互聯網管理存在著很大的困境。就現在的互聯網現狀來說，對互聯網行為主體的識別并不清晰，這主要表現在三個方面：第一，通常采用的是IP地址聯系方式，IDS和防火墻最常用的;第二，均采用地址轉換技術IPv4，因為IPv6現在還沒有成熟;第三，沒有專門的互聯網認證體系，雖然有OA認證、準入認證、數據庫認證，但是互聯網外發沒有專門的認證，這給我們帶來的風險點是很明顯的。

內外定位均失效。在內部，當我們想看一個人行為發展趨勢的時候，只能看到IP地址，根本無法對應到個人。對于外部，我們根本無法把內部和外部的地址連接起來。因為經過地址轉換以后，這個數據是瞬時的，是留不下來的。其次，任何一個外部人到公司來都可以上網，可能會帶來一定隱患(如病毒蔓延、信息泄密等)。因此說，互聯網管理其實只有50%的管理是對主體的管理，是對人的體現。

其次，對互聯網行為(下拉與上傳)的管理?；ヂ摼W行為是訪問主體主動與被動的行為。互聯網行為主要包括兩個方面：信息的“下拉”與“上傳”?！跋吕卑ㄎ淖中缘南吕⑽募缘南吕？梢哉f，下拉信息中大量是我們不希望看到的信息。在FTP瀏覽當中，會有色情、病毒;對于電子郵件來說，垃圾郵件也很多。

“行為”的第二個層面就是“上傳”。DLP(數據丟失保護)是現在一個很熱的概念，它有文件級的，也有行為級的。對于互聯網來說，行為級是很重要的。假如外發的文字沒有記錄，文件沒有記錄，人們根本無法談“阻斷”，這就有可能給我們帶來風險(例如法律風險)。很多人通過外發郵件、BBS發帖、博客記錄，就有可能無意識地把公司的核心機密以及最新動向泄露出去。由于對于文字和文件的外發沒有任何記錄，我們也很難控制核心信息的外泄。

第三，投資保護。在IT基礎設施中，軟件硬件的投入都具有很高成本?！暗屯度?、高產出”是用戶信息化建設努力追求的目標。倘若我們高價租用的帶寬、高價采購的服務器被一些無關業務的流量(例如，電影下載、網絡電視、網上購物)占據著，這種資源浪費是每位管理人員都不愿意看到的，更是企業所不允許的。

最后，工作效率。互聯網的誘惑導致工作效率的下降，可以用一個百分比的圖表呈現出來。一項數據統計顯示，我們企業員工平均的有效工作時間是45%。這就是網絡行為對于工作效率的影響，我相信沒有任何一個企業會希望這種風險的發生。

有了以上的風險點，其實已經足夠引起我們來重視互聯網行為。但我們能不能通過現有的防御體系把它解決，這是有難點的，主要表現在三點上。

第一，客體安全情況下通常是信任內部的。像防火墻在很多情況下是斷掉了外部主動發起的連接，但會放行內部到外部的連接，因為我們對內部是信任的。這種情況下，這種互聯網的行為往往是從內部發向外部，是很難控制的。

第二，新技術的產生會使得合法的端口被多種功能借用。其實互聯網行為有時候是“披著羊皮的狼”，它往往是披著合法的外衣，比如上班時間的P2P、網絡購物，這已經是屢見不鮮。

第三，在內容控制層面，細節無法作為判斷依據。比如說，在FTP里面，人們無法判斷它是一個.C文件，還是.H文件，還是.doc文件、.PDF文件，對于source coding來說，.H和.C的文件對于一個公司來說是致命的。而在這種情況下，傳統的安全防護體系很難去做。因此，在這個層面上，很值得把互聯網行為單獨拿出來管理。

互聯網行為管理要點

當我們知道了互聯網的風險以及現有的安全管理難點之后，我們又該如何管理它?作者在長期的研究和分析當中，我們把互聯網行為分為“傳統應用”和“新興業務”。

“傳統應用”指的是互聯網誕生時就產生了http 、電子郵件、FTP等?！靶屡d業務”指最近流行的P2P、即時通信等，這些新興功能帶來了我們以前無法用傳統互聯網來實現的內容?！靶屡d業務”中有一點是“增值應用”，它并不是信息的下拉與上傳，它關注的是動態。比如說炒股，我們不關注文件的下載，而關注的是趨勢。比如說游戲，我們關注的是一個過程。這些都沒有信息的下拉和上傳，僅僅是一個流的過程。作者把互聯網的行為定為以上6種應用。在6種應用上它會有哪些風險點值得我們關注呢?

圖1中的每一個點，我們都需要關注到。有效的主體識別，文字信息、文件信息的下拉與上傳，IT投資保護，以及企業工作效率。我們可以看到，左邊的“行為”加上右邊的“關注點”全交叉在一起，就構成了互聯網管理行為，這就是互聯網管理理念所必須要關注的要點。

行為管理的五個步驟

作者根據相關報道分析了一套互聯網行為架構體系，總體來講會分成五步實施。

第一，靈活接入。很多企業都有了現行的網絡構架，在這種情況下，我們進行系統改造不能傷害整網的架構。所以， 靈活接入是構建互聯網體系很重要的一部分。無論是出口的路由，還是單鏈路、雙鏈路串行接入，是否使用了代理服務器，我們都要實現這種“無痛接入”。

第二，必須建立有效的行為主體識別機制。既然互聯網行為管理有50%是關注在主體安全上，那么建立有效的行為主體識別是至關重要的。“離開了人，互聯網行為管理就成了一門技術;加入了人，互聯網行為管理就成為了一門藝術。”

第三，“洞悉”我們的互聯網行為。當搭建好了基礎平臺，搭建好了基礎架構，就涉及到所有IT系統遵循的理念，這就是科技倡導的“洞悉 管控 駕馭”。提供的解決方案能夠對企業網絡進行全面實時監控，幫助管理員“洞悉”網絡中正在發生的行為;通過制定完整的策略，針對人員、時間、應用進行全面的“管控”和審計;再通過對用戶行為進行回溯查詢與綜合分析，不斷地優化管理策略，實現對企業員工訪問互聯網的全方位的“駕馭”管理。

那么，我們是如何實現“洞悉”呢?第一步，會幫助客戶建立有效的綜合互聯網監控系統，無論是網頁、流量還是分布、帶寬，都會及時得到。第二步，我們會把客戶的信息有效地沉淀下來，供隨時瀏覽、隨時分析，這是友善的監控。第三點，當我們達到“洞悉”以后，才能知道客戶當前的問題在哪里，就可以做下一步的處理，及時地管控。

第四，“管控”我們的互聯網行為。提供海量的URL數據庫作為預分類，同時我們可以對網上下載的文件類型以及電子郵件的下拉進行行為控制，這個是“管控”的第一點。管控的第二點就是上傳。我們對文件類型的上傳、對郵件類型的上傳、對于其他類型的上傳，會進行相應的控制。

我們幫助企業節省帶寬投資，提高用戶的效率，把與工作無關的一些應用根據企業的相應風險屏蔽掉。比如說，上班時間不允許炒股，不允許玩游戲，但下班時間可以開放這些應用。我們可以通過豐富的行為列表、樹狀化的行為列表表達我們的控制效果。

第五，開展有效的統計分析?；ヂ摼W行為管理理念最核心的就是要堅持不懈地統一管理。只有不斷地統計挖掘，才能知道我們的前端問題到底在哪里。

【編輯推薦】

1. IBM集團Bete:從失敗案例看IT治理和風險管理
2. 我國信息安全風險評估的現狀與發展
3. 專家談：當前網絡風險分析與應對策略
4. 怎樣為數字煙草行業建設信息安全運營中心