過濾上網行為政策 落實企業有效管理

由于企業營運越來越倚賴網絡運作，使網絡傳遞資訊、資源分享以及提升工作效率，帶來便利快速的價值。內網桌面管理系統目標是為企業級用戶提供全面高效的計算機設備管理手段，監控企業內IT環境的變化，保障計算機設備正常運行，大幅度降低維護成本。在此基礎上提供詳盡的統計報表輸出，綜合反映軟硬件信息變動、當前配置等，幫助企業用戶管理好計算機設備。桌面安全管理系統采用了全新的解決方案，以安全管理中心策略控制為核心，以終端安全為基礎，通過對現有Windows系列操作系統進行安全增強，使得安全管理員能夠對終端進行集中管理和控制，保證信息系統始終在可控狀態下運行，從而從根源上有效抑制對信息系統安全的威脅，最終達到防止內部用戶以及外部用戶攻擊的目的。桌面終端管理系統為企業級用戶提供全面高效的計算機設備管理手段，監控企業內IT環境的變化，保障計算機設備正常運行。但是企業員工使用網絡的自由環境，卻有可能影響企業倚賴網絡的重要傳輸，除了員工進行跟工作無關的網絡行為會占用頻寬之外，沒有管制的網絡瀏覽與使用，甚至可能會發生資訊安全的問題，如何有效的解決自由使用網絡所帶來的困擾，成為企業采購上網行為管理設備的推動力。

今日各種Web2.0網頁瀏覽、電子郵件、即時通訊、點對點傳輸、語音通話、串流視訊應用五花八門，為企業溝通及資訊流通帶來莫大便利，但若有不當使用、機密外泄或其他資安事件發生時，清楚可讀的記錄報表資訊，也可供為事后稽核之用。因此，為了讓企業網絡有效的利用，提升員工的生產力之外，還能兼顧資訊安全的考量，導入上網行為管理設備不失為快又有效的解決方案。

但是企業需要何種上網行為管理的設備？上網行為管理要管到什么程度？政策制定要如何讓使用者和公司達成共識？本期電腦監控軟件走訪多家不同類型的解決方案供應商，提供讀者采購和導入的建議。

采取綜合技術管理上網行為

在早期，企業組織關注員工使用網絡的行為，目的是在上班時間提高員工的工作效率，防止員工瀏覽與工作內容無關的網頁，主要的技術所涵蓋面向，大致分為兩大主流研發方向，第一是網頁內容過濾（URLfiltering），第二是傳輸內容過濾（ContentFiltering），針對使用者的網絡連線存取行為，將封包導入設備進行過濾管控。

但是現在企業網絡面臨更多的需求，因此上網行為管理所需要包含的功能就更加廣泛。坊間許多原本專注在上網行為管理、網頁資料庫比對以及頻寬流量控管（QoS）的供應商，紛紛提出互補的解決方案。

例如某家擅長Proxy內容過濾與管理的知名外商，就收購了另一家精于網絡第七層應用頻寬管理的設備制造商，將兩種技術結合成較完整的解決方案，成為一大趨勢，因應現階段越來越多企業提出的新一代上網行為管理需求。

內容管理為基礎結合QoS

從IM（即時通訊）控管起步的L7Network（利基網絡），專注在第七層的內容管理，去年將內容管理和QoS整合，增加頻寬流量管理的機制。L7Network總經理魏煥云指出，上網行為管理應該要能夠做到政策管理、使用者群組管理，還要能辨別出針對哪些網絡應用，進行不同程度的管理，受到管理的使用者網絡行為、內容將會被紀錄下來。而結合QoS機制，設備將會整理出企業網絡頻寬流量大小的使用情形，管理企業網絡頻寬的使用。

導入上網行為管理設備后，要對企業營運效率有所幫助，不能多一樣設備反而增加MIS的工作負擔，因此他指出，介面清楚且易于管理的設計就相當重要。MIS在管理時能輕易的檢視使用者對應的網絡應用，或從應用找回使用者，并且顯示出「是誰在用什么應用」、「哪些連線在存取」、「這些連線是套用哪個QoS政策」等，所有資訊一目了然，輕易從各種面向來掌握所有應用和流量，「機器不會犯錯但是人會犯錯，當坊間各家供應商都在比功能多寡時，應該要考慮能夠確實讓管理者掌握企業網絡流量才是設備效益的重點?！刮簾ㄔ普f。

魏煥云指出，企業在部署上網行為管理設備時，只要采取In-line模式的部署方式便可以無須變更網絡架構，就算較為復雜的網絡環境，或部署了ProxyServer、ISAServer等伺服器，都不用變更設定，甚至連機房內既有網通設備的Routing都不用改。L7Network也支援Proxy的部署方式，較為大型的設備部署在大的流量口，通常采取此模式。

此外，他指出，Skype和QQ語音對話由于內容加密，以現在的技術不可能解讀，因此只能做到「限制使用者不能傳檔」，除非以Client端的程式安裝在每一臺使用者電腦上，但是如此一來又有專屬程式控制語音軟體的相容性問題。因此他認為，「管理加密軟體」只能當成一個噱頭，實用性偏低。

設備首重效能與管理

企業采購時，效能也會是上網行為管理設備的關鍵，確保網絡持續連線已是最基本的要求。不能一個設備部署后，網絡傳輸速度反而受到影響?！鸽m然企業連接WAN端出口都不大，最多10幾Mbps，但是內網LAN端傳輸幾乎都是Gbps的速度起跳?！刮簾ㄔ浦赋?，上網行為管理的設備由于是架設在LAN端，很多內網的流量都會經過設備，要考慮到的流量不只是對外網的出口，還要能夠應付到內網的流量。

另一個會影響效能的還有報表系統和側錄功能，L7Network將上網行為管理設備側錄的資訊和報表資訊分成兩層式架構和三層式架構，兩層式架構直接將報表儲存在設備當中的硬碟，部署較為簡單，較小型的設備通常采用兩層式內建硬碟的架構，管理者直接開啟瀏覽器就能夠設定。

較大型的機種就會采取三層式架構，將紀錄的資料另外存放到串接的儲存設備，好處在于一臺儲存的伺服器可以同時支援多臺設備，且分散硬體工作量。魏煥云指出，如果用設備的CPU處理，會拖累網絡的速度，設備效能本來應該用于處理經過的流量，但是如果只為了報表反而消耗了CPU資源，得不償失，因此將報表處理放置在外接的伺服器上，就不會讓網絡資源受到影響。而較大型的企業可以使用既有的儲存伺服器，不需要再額外購買。

此外，魏煥云表示，「產品介面很復雜的話，反而會對管理人員造成困擾，因此，操作上網行為管理的設備要設計的親切人性化?！构芾斫槊嬉芗磿r看到層層整理過的流量，讓管理人員看到上網行為比對到什么樣的政策，也是一個采購要點。企業希望當使用者一觸發政策，馬上就有訊息告知－「你的行為正在監控中」，例如員工上班使用MSN聊天，可在管理介面中對使用者帳號右鍵編輯，自行設定在使用者電腦會跳出的警告視窗標語，視公司政策給予適度的提醒，讓管理者與員工之間有互動性。能夠透過介面即時看到整理過的訊息，即時管控使用者或是下達指令，對電腦監控軟件員來說，可以幫助掌控管理全局。

他表示，企業導入上網行為管理設備，有的是為了符合法令規范與資安保護，也有企業老板是為了要防止員工上班進行跟工作無關的網絡行為，每個企業在管理應用上都不盡相同，但是唯有不斷教育使用者，才能平衡使用者上網行為和公司政策。對于導入上網行為管理設備，會有企業主或MIS考慮到使用者反彈的問題，但是實際上企業在面對員工上網行為管理時，就應該有此心理準備，越大的企業越需要事前事后跟使用者溝通，在盡量不改變使用者習慣的情況下做到管理。

魏煥云說，「企業部署上網行為管理設備應該要做到分權管理，政策制定人員只能負責政策制定，側錄人員只能看到側錄內容，」但是現在實際上企業應用，反而只有極少數會落實分權管理，他也建議企業應該在導入時一并考量制度面的規劃。