段俊洁　盛志华　刘会德

摘 要：为了满足关键业务、重要员工的带宽保障、保证节目的安全播出。河南电台网络升级的同时建成了网络智能管理系统。

关键词：带宽；服务器；流量

DOI：10.16640/j.cnki.37-1222/t.2016.09.116

1 必要性

进入新时期以来，计算机技术的飞速发展以及网络带宽的提升，是计算机的数据处理速度有了很大的改观，也使网络办公成为可能，社交、生活、学习任何一个环节都离不开网络的支持，但不容忽视的人，网络带来了生活的便捷和便利，改变了传统的工作方式，很大程度上提高了工作效率，但在单位内，员工工作时间非工作需要利用网络的现象也越来越普遍。基本上每家单位都会面临职工上班时间浏览网页、淘宝购物、应用下载的情况，这些和工作无关的行为，不仅降低了工作效率，更占用了宝贵的网络带宽资源，对正常利用网络造成了一定的影响，特别是广播电视台站这样的重要部门，信息安全更是显得尤为重要。我台技术人员也在很早就意识到建立网络智能管理系统的必要性和迫切性，并着手有关问题的调研。根据本台实际情况，借鉴其它企事业单位的方案，于网络升级的同时建成了河南人民广播电台网络智能管理系统。

2 技术背景

当今，互联网进入了应用级网络时代，大量未知的内容和信息纷纷涌进网络，病毒、黑客攻击、内部员工泄密等防不胜防，然而这些问题的本质是“管理”，如何管理员工上网行为，规范上网行为成为了每个企事业单位首要面临的问题。目前，河南人民广播电台面临的网络管理方面的主要问题如下：

2.1 无法为员工的上网行为进行有效管理

随着业务不断的扩展，工作人员大大的扩充，现有的设备已经无法满足电台对员工上网行为的管理。

2.2 关键业务流量无法保证，带宽受到严重堵塞

虽然有很高的带宽，可是网络还是常常造成拥堵，究其原因是因为大量应用的P2P软件没有被及时的封堵和停用，占据了很大的带宽资源，使得办公软件的运行速度被降低，制约了正常工作的工作效率。

2.3 发现异常流量无法有效定位

员工不合理访问网络，带来多种隐患，导致网络中充斥着大量病毒（如ARP病毒）。病毒在局域网内传输，制造网络攻击，常常造成网络的中断，但却找不到病毒源。

2.4 台里机密数据的保密无法得到真正的保障

防火墙只能防御外部的侵袭，对于内部数据的泄露显得苍白无力，电子邮件、MSN/QQ 以及BBS 论坛等网络应用固然给台里带来了网络化使用的方便同时也是造成公司机密文档泄密的途径，必须进行必要的管理。

2.5 非法网站的访问可能带来法律风险

员工上网不节制的行为如利用台里内部网络访问反动，色情，违法等网站，发表不当的言论等，这些都会给台里带来负面影响，严重的可能要肩负法律责任，需要对这种行为进行限制。

3 关键技术

3.1 强大的上网行为管理及内容审计

提供灵活的基于时间和个人（或用户组）的Web浏览、eMail、游戏、炒股、IM（QQ、MSN、Skype等）、P2P等的监管。系统可以精细到个人的行为审计，通过记录的完整性和精确性来保证信息传播的可溯性；采用DPI（深度包检测）和DFI（深度/动态流检测）以及人工智能识别、模式识别技术，可以对业务流进行检测和识别。

禁止员工在上班时间用网络聊天、炒股、玩游戏等，提升员工的工作效率。提供员工上网行为分析报告，方便管理部门了解员工的工作效率和上网行为规律。提供数十种统计报表，可以对单位、部门、个人的上网流量、上网时间、网站访问、邮件收发、聊天信息、财经炒股、网络游戏等网络行为进行分析。按使用时长统计员工行为，为管理部门绩效考核提供依据。

实时监控网络外发的信息，发现机密信息外泄，及时阻断并予以警告。详细记录邮件，网页浏览与搜索，微博、博客、论坛发帖，各种聊天消息及FTP、Telnet控制命令信息，并可对其审查。实现事先防范、事中警告、事后追查。实现全方位保障内部信息安全，减少机密外泄风险，同时阻止员工访问反动、色情、非法网站以避免法律风险。

3.2 基于应用的带宽管理

提供應用级的QOS优先级。针对重要应用提供带宽优先级保证，控制其他应用。河南人民广播电台网络智能管理系统能够对百余种网络应用进行分类，包括对P2P应用（Bit Torrent、迅雷、Emule、Edonkey等）和即时消息流量进行分类，可以设定每个用户应用流量并对该用户的应用流量区分优先级；系统采用特有的弹性QOS技术，能够实时探测网络的出入带宽的利用率，进而动态调整特定用户的带宽，既能为用户充分利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性能。

系统对外网访问服务器或者内网服务器的流量情况可以做到实时、多面的监测，对应用的重要程序服务器带宽优先予以保障，普通服务器带宽可以进行限制直至断开。对服务器区中任何一台服务器运行状态都能随时监测，对待出现的异常现象可以及时应对，迅速判断服务器的攻击源，并制定出有效的应对措施阻断对方的攻击。优化访问服务器质量，确保服务器状态保持最佳。实时分析网络数据中对带宽的需求状况，达到资源的合理配置。

提供可供选择的带宽保障模式，对广播电视台站关键业务诸如VPN、ERP、OA、视频会议、邮件等业务和重要岗位的带宽提供优先保障，并且这种保障模式为动态的，在这些重要软件或者重要岗位其需要使用网络时得到带宽的保障，优先使用网络；在其空闲的时候，带宽可以被其他业务或者员工使用。动态带宽管理模式在不增加网络带宽的前提下，实现资源的合理应用，提升了被保障业务与岗位访问互联网的质量与速度。

分析系统网络中的数据，对和工作无关的软件及时的进行管控，采取诸如关停或者限制流量的措施，使其对网络带宽的影响降至最小，提升整个网络系统的运行质量。

通过网络整体的分析和软件应用分析，甚至可以定位到相应主机，通过调阅数据库分析可以对员工相应电脑的带宽利用数值，软件利用量，主要流量流向、主要使用端口、员工流量排名、部门流量排名、网络的质量、连接成功率、数据重传率等反映网络真实状况等数据与指标的分析，可以使主管领导或者人事考核部门及时了解人员的工作状态并为网络带宽合理利用策略提供了技术支持，方便管理者了解和掌控网络。

3.3 丰富的病毒过滤、防火墙、VPN、异常流量定位功能

拥有诸如网页防毒、电子邮件防毒 、文件传输防毒、病毒过滤日志等相关防毒模式的功能很完备的病毒过滤技术；可以对URL访问进行管控，同时系统应拥有抗攻击设置和防火墙日志能；基于路由的SSL VPN，对经由IP层面的连接提供保障应用兼容的同时，还提供了细粒度的访问控制，通过这些方式保证用户的全网访问；通过对网络质量管控，分析数据连接、数据重传率等数据，这些数据分析功能以5S的周期进行测试，以利于及时发现网络的不足，从而快速的提供干预，甚至可以精准的捕捉异常的主机和程序。

3.4 邮件提醒

可以针对邮件通知和邮件告警事件配置邮件提醒功能，以便管理员及时获取licence失效，硬盘使用率超限、外置服务器硬盘使用率超限、审计数据传输异常告警、用户数超限告警、web认证登陆失败、流量告警等相关事件。 与手机结合，可以使管理员随时随地就可以知道网络设备的运行情况、机房温湿度情况，并且能够远程实现开关机，使得管理人员不用24小时盯在机房，减少员工的疲劳度，提高工作效率。

3.5 角色配置

角色配置使用分级分类分组配置原则，也可以根据人员分派，不同的人分配不同的权限，使各级领导都能够看到相对应的员工的工作情况，可以作为员工绩效考核的标准之一，使考核更公平公正。

4 结束语

目前，河南人民廣播电台网络智能管理系统已经投入运行，各方面反映良好，系统运行稳定。自系统投入试运行以来，办公自动化科工作人员利用网络智能管理系统带来的新技术、新设备，已经完成了全台员工的上网行为规则规划，已成功阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为达800余人次，带宽利用率提升了40%，重要安全播出期网络故障率为0，拦截反动、邪教等不良网站攻击200余次。

目前河南人民广播电台网络智能管理系统已经为河南人民广播电台带来了极大的社会效益和经济效益，近期将加大开发网络智能管理系统的通用性业务，使其不仅服务于本台，也能服务于更多的企事业单位，同时为电台创造更多经济效益。