于新容

摘要：互联网+时代，网络应用日益丰富。企业员工上班滥用网络资源的问题屡见不鲜。为了规范使用行为、合理分配资源，进一步完善管理制度，越来越多的企业引入了上网行为管理这种方法。下文将讨论：小微企业如何通过有限的投入最大限度地优化网络资源和上网行为。

关键词：网络资源;带宽管理;上网行为;安全审计;规范制度

中图分类号：TP311        文献标识码：A

文章编号：1009-3044（2019）22-0063-03

开放科学（资源服务）标识码（OSID）：

计算机网络技术的飞速发展，让网络跟我们的生活息息相关。看新闻、刷微博、打游戏、即时通信、网络购物已经成为很多人的网络生活写照。然而，这些行为并非都在业余时间进行。现代科技让我们对网络产生的依赖，让相当多的网络行为发生在上班时间。根据调查，企业员工在工作时间的上网行为主要有以下几个方面：获取与工作无关的资讯;与工作无关的数据下载;与个人收益相关的活动;各种社交及沟通活动。

对于企业主或企业的管理者来说，如何规范管理员工上班时间的上网行为成为必须要解决的问题。

1 什么是行为管理

上网行为管理是一种约束和规范企业员工遵守工作纪律，提高工作效率的工具，是行政管理的电子化辅助手段。可实时监控、管理网络资源使用情况，提高整体工作效率。上网行为管理产品适用于需实施内容审计与行为监控、行为管理的网络环境，可以说，在如今的大环境下，上网行为管理的应用范围非常广泛。

上网行为管理是企业网络管理的重要辅助手段，能满足企业网络行为控制的需求。在完善的管理制度之外，企业必须要利用具备网络行为管理功能的设备加以约束，做到软硬结合。

2 为什么要行为管理

在如今网络飞速发展的时代，我们都知道网络安全的重要。在这里谈论的行为路由的使用，并没有覆盖整个企业的网络安全，只能说是企业网络管理的一种辅助行为。小微企业主也许会注重网络安全，但是未必会花费可观的金钱去部署一套完整的网络安防系统。因此，在小微企业中，使用行为路由器来进行管理，不失为一种便捷、合理、低价的方式，既能够实现一定程度上的安全管理，又可以管理员工上网行为，杜绝某些不合理应用。从以下几方面分析上网行为管理的必要性。

2.1 规范上网行为，提高工作效率

网络资源毫无约束的随意使用，会让员工自觉不自觉的无视公司管理制度。大量占用工作时间从事与企业业务无关的网络活动，必然降低工作效率。

2.2 保护信息安全，防止机密泄露

由于对用户访问网站没有限制，内网用户无意中访问各种高危网站会引起内网病毒传播，影响网络正常运行;更有可能因此造成内部数据的泄露，对企业信息安全造成更严重的影响。

2.3 流量精细控制，优化带宽资源

虽然有各种网络管理制度，但更多流于形式。员工在上班时间玩游戏、炒股等行为，大量占用带宽，影响正常办公所需要的带宽。

2.4 多线接入均衡，稳定安全共享

由于缺乏有效管理，资源分配不均衡，会造成各网络设备负载过高，影响正常使用。而用户无意中的操作很可能对单位形成极大的安全隐患。

2.5 内网用户的各种上网行為不能有效记录分析

没有合理的审计，不能对内网用户的各种网络行为做到分析总结。用户对外网的各种网络行为没有记录，缺少网络管理方面的措施。

3 如何行为管理

下面，我们以某服饰公司为例，探讨如何实现小微企业的上网行为管理。

3.1 企业网络现状

该企业规模较小，成立于2003年。共有信息点30余个。员工接近30人。最初的网络结构为最简单的宽带路由加百兆交换机。因网络应用发展飞速。于2017年升级改造网络，核心升级为千兆交换机，升级宽带路由为带有上网行为管理的设备，拓扑如图1。

3.2 员工上网行为统计

升级前，员工上网行为如下图：

3.3 员工上网行为分析

由图2我们可以很清晰地看到，该公司员工在工作时间的上网行为与一般企业无异。公司的正常业务对互联网的需求主要有以下两方面：首先是跟客户的沟通，主要通过邮件往来与即时通讯软件如微信、QQ、阿里旺旺等。其次是公司的淘宝网店，有专人负责维护更新。从员工的上网行为来看。大量网络带宽用于与业务无关的操作。虽然公司管理者三令五申，但是上班看视频、炒股、P2P应用等行为屡禁不止。给公司的正常运作带来了很多负面影响。甚至有员工利用管理漏洞滥用公司资源，私自开设淘宝店。公司管理者希望用尽可能少的资金投入，实现上网行为的管理。

3.4 企业需求分析

应该说，无论企业规模大小。只要对互联网有需求，都应该部署上网行为管理设备。可是我们知道，此类设备高档的动辄数万数十万人民币，不是小微企业能够承受的。尤其是现阶段，尽管互联网在我国已经进入快速发展阶段。但是绝大多数非专业人士对网络管理并不了解，也不愿意过多投入资金。虽然有需求但是不知道该如何实施。在笔者的建议下，该公司管理者同意购置上网行为管理设备。并且很明确表达了将升级费用控制在三千元人民币以内。前面也说过，该公司网络规模很小，网络软硬件系统总投入不超过十万人民币。对网络管理的认识还非常初步。因此，结合了该公司实际情况以及管理者的要求。笔者为该公司推荐了入门级上网行为管理设备。相对低廉的价格符合小微企业的需求。同时，一并将交换机升级至了千兆，因为交换机不涉及上网行为管理，在此不再赘述。

3.5 解决方案

1） 如图1所示，我们可以清晰地看到路由器在整个企业网络拓扑中的位置。按照惯例，行为路由器被安排在内外网之间，起到桥梁的作用，数据的进出都必须经过这台路由器。正是因为它所在的位置，我们可以对路由器进行相关的配置，对经过的数据流进行分析筛查。限制数据流入流出的允许、拒绝权限，从而达到管理的目的。

2） 具体设置过程：下面我们以市售常见的行为管理路由器来进一步讲解。

3） 对路由器进行基本设置后，打开浏览器进入WEB管理主界面，如图3。在这里我们主要说明其中“上网行为管理”选项的操作。进入该选项，选择“IP地址组”，先对各部门的IP地址进行分组。按照图1中的公司结构分布来规划局域网的组织结构，对来访人员、新入职员工等另外建组。这样的规划使整个网络架构井然有序。这些分组将与上网行为管理的各个子功能配合使用，用来定义源地址或者目标地址。根据公司实际情况，最终划分为以下8个IP地址组：财务部、行政部、销售部、跟单部、仓储部、总经理、来访人员、新进职工。注：组名不能使用中文，只能使用汉语拼音或英文。

4） 进入“行为管理策略”选项，此选项可根据用户需要定制相应的上网行为管理策略。主要通过“分组策略”“软件过滤”“网址黑白名单”“网页安全”等四部分来实现。

① 分组策略：每个策略规则都需要启动才能生效。可以从地址组列表中选取需要进行上网行为管理的对象，被选取的IP地址组将显示在相应的列表中。再从上网时间列表中选取对该对象进行上网行为管理的时间，被选取的时间组将显示在相应的列表中。例如：在工作时间，对仓储部和跟单部实行上网行为管理。

② 软件过滤：此选项可以有效地限制内网用户使用无关应用，如P2P软件、炒股软件、视频软件等。同时记录相关软件的登录日志。因为公司部分员工需要使用即时通信软件跟客户沟通。根据需要利用路由器的登录日志记录功能设置了例外，包括总经理、跟单部、销售部、财务部等相关员工允许使用特定软件。其余账号均设置了拦截。

③ 网址黑白名单：网址分类管理功能将大多数热门网站进行分类，用于对外网网站的访问进行管控。该公司设置将几家供货商的网站加入白名单。并根据IP分组，允许行政部下属一名设计师访问一些工作相关的设计类网站。另外，行政部下属另一名员工负责维护公司的淘宝网店。此名员工允许访问淘宝网。启用阻断功能，禁止用户访问“被阻断网站”。根据实际需求，还可以启用记录功能、设置警告信息、禁止IP访问网站等功能，进行进一步完善。

④ 网页安全：禁止内网用户在论坛发帖、禁止用户下载指定扩展名（比如exe、torrent等）的文件、禁止用户访问URL中包含指定关键字的网站。该公司有个别员工占用大量工作时间泡各种论坛，利用企业资源为个人谋利。因此企业管理者专门提出禁止访问与工作无关的论坛。此项设置同时也杜绝了个别员工下载P2P文件、占用大量带宽的行为。

5） 以上就是有关上网行为管理部分的设置。除了这些基本设置之外，上网行为管理路由器还具备很多其他功能，也可以用于辅助上网行为的限制和管理。例如：IP/MAC地址绑定;MAC地址过滤;WEB认证;流量控制;攻击防御;连接限制等等多项功能，由于篇幅有限，不在此赘述。

4 对上网行为管理的总结

上网行为管理的技术实现大概分为几个部分：用户分组、应用识别、行为审计、行为记录等。

4.1 明确用户身份

即分组，是实现上网行为管理的基础。针对不同部门不同职责进行分组，对于每个特定的分组分配不同的上网权限，这样才能适应企业的应用状况。那种不依赖分组的“一刀切”是不能全面满足用户需求的。所以，分组管理和权限策略在路由器中设计为多重搭配组合的模式。本案例中该公司就根据实际需要进行了不同的分组，以达到灵活处理的要求。

4.2 精准应用识别

1） 通过封锁特定应用的网络服务器IP地址和端口地址，达到应用无法连接到服务器的目的，实现行为的封锁。上网行为管理就是厂家把应用项目提出来，预制进产品中，赋予一个简单容易理解的名字表达这个功能。这样做法就是方便了用户，不必让用户自己去查找要封锁项目的相关信息，大大提高了产品的易用性。在这里，笔者觉得“易用性”是所有研发厂家在产品性能之后最应该关注的重点。以本案例为例，相当多的企业不重视网络管理，不会配备专业人士。尤其在小微企业，通常都由略通计算机的员工兼任。如果产品开发只注重功能不注重易用性，那么花再多的钱也达不到实际效果。

2） 此外，某些即时通信软件、游戏、P2P等应用，它们虽然有相对固定的服务器IP群，但它们的连接方式是靠协议握手，动态地变换IP和端口，甚至有些P2P应用连IP都是不确定的。这就需要通过对协议封锁的方式进行处理。通过对要封锁的协议进行分析，实现行为封锁。但是，道高一尺魔高一丈的道理我们都知道。因此，企业网络管理者必须时刻牢记“打补丁”的重要性。除了定期进行固件升级，还必须牢记及时更新、修补漏洞的原则。

3） 从技术实现的角度来看，通过IP地址和端口地址管理上网行为是较容易的手段，而通过协议对上网行为实现灵活管理则要求高得多。协议型封锁既要吃透应用协议的内部过程，又要在实现的同时照顾路由器的转发效率，照顾多WAN情况下的负载均衡，算法上是比较复杂的。实际应用中，为了避免加大设备的负荷，应该结合静态的IP地址过滤、端口过滤和动态的协议封锁两种手段进行上网行为的管理。动静结合的方式，既能有效利用设备、合理安排资源，又能减少规则设置不合理带来的负面影响。

4.3 保障网络安全

在使用计算机网络的时候，我们都知道“进不来、看不懂、改不了、拿不走、跑不掉”的原则。上网行为审计和上网行为记录就是这里说的“跑不掉”。 上网行为审计功能，是基于对象（受控对象，时间对象）的审计，控制非常灵活。上网行为审计状态，能够查询每个用户的审计状态，输出详细的审计记录。而上网日志记录功能，可以产生基于对象（受控对象、時间对象）的日志记录，记录方式非常灵活。如有必要，管理员同样可以通过查看记录日志来分析受控对象的网络行为。一旦出现对企业不利的意图或行为，上网行为管理设备记录下来的日志使我们有据可查。

5 写在最后

5.1 使用反馈

在执行了一段时间的上网行为管理后，该公司上班时间与工作无关的上网行为大幅下降。炒股、看视频、P2P下载等行为绝迹。上网秩序良好，工作效率提高。但是，也有不少员工反应，规则太过严格死板。经过对大家的意见和建议进行分析，公司管理者重新制定了上网规则，允许员工在非工作时间访问绝大部分互联网及使用相关网络应用。这样的灵活规定，使得员工最终愉快地接受了上网行为的管控。

5.2 结论

经过以上讨论，我们可以得到如下结论：现如今的网络现状，使用行为路由器是必要的。有利于帮助企业打造一个相对纯净的上网环境。同时，我们也应该注意到，规矩是死的，人是活的。上网行为的规范是由人来最终执行的，规则也是依赖人来制定的。设备只是我们的辅助手段。想要最终实现上网行为的管理，只靠设备不可行，还需要加上合理的使用与大家的遵守。

参考文献：

[1] 百度百科.上网行为管理的市场潜力巨大[EB/OL].http：//baike.baidu.com/，2015-09-23.

[2] 深信服科技.上网行为管理AC[EB/OL].http：//www.sangfor.com.cn/product/safety-content-security-ac.html，2018-03-15.

[3] 百度文库.路由器上网行为管理功能浅谈[EB/OL].https：//wenku.baidu.com/view/51efcefe04a1b0717fd5dd01.html，2010-09-13.

[4] 百度文库.上网行为管理路由器产生的背景[EB/OL].https：//wenku.baidu.com/view/322e8ddfb14e852459fb570d.html，2013-04-26.

[5] 飞鱼星.VE系列产品介绍[EB/OL]. http：//m.adslr.com/product/qyznw/ve/2016-03-29/200.html，2016-03-29.

[6] 百度文库.飞鱼星上网行为管理路由器VE900系列[EB/OL].https：//wenku.baidu.com/view/92185e44a8956bec0975e3ed.html，2018-06-30.

[7] 百度百科.深信服AC系列[EB/OL]. https：//baike.baidu.com/item/深信服AC系列/15561841？fr=aladdin，2018-06-30.

[8] 深信服.上网行为管理产品[EB/OL].http：//www.sangfor.com.cn/edm/2011zhengcai/nc.html，2018-06-30.

【通聯编辑：唐一东】