探讨应用上网行为管理系统,管理院内职工的网络行为,提高网络安全。部署上网行为管理设备并制定相关策略,根据性质不同对所有用户进行分组,按照工作需求对不同用户组实施不同的上网策略及带宽的划分。上网行为管理系统的应用切实保障了带宽的有效利用,规范了医院职工的不当上网行为。实现了院内职工上网行为的全面监管和分析,为网络的安全稳定运行提供有利的支撑,并很好地满足了医院安全信息化的建设要求。
1 前言
随着信息技术的快速发展,网络应用更新频繁,无线网络也日趋成熟,许多网络问题也不断涌现。医院职工的上网行为主要集中于文献查询、网页浏览、邮件的收发等,但也存在观看视频、购物、玩游戏等行为,这会严重影响职工的工作效率,造成宽带的滥用。此外,部分职工网络安全意识薄弱,其随意点击互联网链接的行为也给医院带来很大的安全隐患。因此,有效避免网络攻击,解决网络安全管理问题,有效提高带宽的利用率,这在医院信息化建设中显得尤为重要。
2 建设需求
上网行为管理系统的构建不能影响院内业务的正常运行,同时应该满足信息化发展的需要。在建设过程中,需要遵循以下原则:实用性和先进性;安全可靠性,系统必须具有高可靠性并尽量避免单点故障。利用相关软件技术提供强有力的管理机制、控制方法和事故监控,提高整个网络系统的安全性和可靠性;灵活性和可扩展性,能够支持多种网络协议和多种物理接口,使设备更具灵活性;开放性和互连性;可管理性。
3 总体设计
通过对医院信息网络需求的分析,并结合系统的建设原则,总结如下设计思路。
在院内网络出口与核心交换机之间部署上网行为管理设备,对院内的双向数据流进行管理和控制,并采用双链路以确保系统的稳定性;院内办公场所部署无线接入点(Access Point,简称AP),通过AP进行网络连接,职工的上网行为全部由上网行为管理系统进行管控;根据医院的组织架构和人事制度,在系统内建立多个用户组,相互并行,为后续的上网行为管理奠定基础;通过上网行为管理系统,对员工在院内的网络应用进行控制,例如职工在工作时间进行视频下载、在线视频观看、购物的行为会受到相应的带宽限制,不同用户组的保证带宽和上限带宽也会有不同的配置,以此来解决带宽的滥用问题,使院内带宽得到有效利用并提高职工的工作效率;通过定义不同的应用识别库,实现对上网行为的过滤,对不法网络链接的访问进行有效禁止,从而规避相应的安全隐患;为降低管理成本,提高管理效率,在院内部署一台上网行为管理设备,对全院职工的上网行为进行管理,同时为保证系统安全性,设备搭建了双链路,并要求设备故障时可开启直通功能。
4 系统实施
医院目前采用的上网行为管理设备的各项功能和性能均符合医院实际的情况及未来扩展需要,具体网络拓扑如图1所示。
图1网络拓扑图
4.1部署方式上网行为管理系统在医院的部署方式为网桥模式,部署位置在核心交换机与防火墙之间,实现了对院内职工上网行为的全局管理,并且不用更改现有网络结构、路由配置以及IP配置,部署相对简单快捷。
此外,在网桥模式部署下,设备在出现故障时,能自动通过直通功能实现两端接口二层连通,避免出现链路断开的状态,保证了院内业务的持续性。
4.2认证方式上网行为管理系统的认证策略采用密码认证,认证后辨别所属用户组,并与相应的上网策略进行匹配。在网络访问过程中,采用身份认证的机制可有效避免身份冒充、权限滥用等问题。
4.3上网行为控制目前网络应用种类丰富,用户将个人网络行为带入办公场所的同时必然会引发各种管理和网络安全问题。因此,对各类网络应用进行全面的控制可帮助了解网络应用的现状并规范职工的上网行为,保障上网行为管理的效果。
4.3.1应用控制要对各类网络应用进行合理的管控,首先需要对各类应用进行识别。上网行为管理设备内置了应用特征识别库,其中包含多种应用类别和规则,能够对目前网络中的各种主流应用进行快速识别。对于系统未能识别的应用,设备也具有自定义功能。目前具备多种网络访问控制功能,基于不同的用户组、时间段、应用种类进行了特定的通道配置和权限控制,使管理更加人性化。
基于不同用户组。根据医院组织架构和人事制度,对所有用户进行了分组,其中包括手术直播组、特权用户组、普通用户组、外来用户组等。对特权用户组、手术直播组启用相应的保障带宽策略,以保证特定业务的顺利进行,对外来用户组等进行带宽上限的配置,以确保院内职工的正常业务需求。
基于时间段。根据不同的业务需求,对不同的时间段进行了定义,包括上班时间、下班时间、手术直播时间等。
基于不同目标行为或应用。职工在院期间,可进行网页浏览、P2P下载、观看在线视频等行为,根据不同的应用类型或目标行为,对职工的带宽进行限制,定义不同网络访问的优先级。
4.3.2网页过滤互联网的开放性带来了资源的传播和共享,也为不良资源的传播提供了平台。反政府、色情、赌博等网页层出不穷,院内的上网行为管理设备内置多个URL库,将internet页面划分为多个类别,并可进行实时更新和维护。
4.4流量控制医院的出口带宽毕竟有限,如果不对网络流量进行控制,院内的有效带宽资源将被占用,而核心服务将无法得到保证。因此,院内整体网络速度会变慢,正常的网络访问将受到影响,因此,通过上网行为管理系统识别应用流量,合理分配现有带宽。
把带宽划分为多个通道,并为各部门配置了合理的流量控制策略,以更好地实现不同部门差异化的上网需求。
4.5行为审计医院配置了外置的数据中心,可对每天产生的大量日志进行海量存储,而且提供了图形化的日志查询、行为统计、行为审计等界面。可对用户流量进行统计排名,同时对URL地址、网页标题、时间等内容进行全面监控(图2)。
图2用户应用流量排名
5 应用效果
通过部署上网行为管理设备,医院职工的网络流量和上网行为得到了全面管控,职工的工作效率有效提高,设备基于用户(组)、应用类型、网站类型、目标IP等进行通道划分,合理分配带宽资源,提高了带宽的利用率。此外,如果发生网络违规行为,可以有效跟踪相关责任人,避免相应的法律风险。