过滤上网行为政策 落实企业有效管理

由于企业营运越来越倚赖网络运作，使网络传递资讯、资源分享以及提升工作效率，带来便利快速的价值。但是企业员工使用网络的自由环境，却有可能影响企业倚赖网络的重要传输，除了员工进行跟工作无关的网络行为会占用频宽之外，没有管制的网络浏览与使用，甚至可能会发生资讯安全的问题，如何有效的解决自由使用网络所带来的困扰，成为企业采购上网行为管理设备的推动力。

今日各种Web2.0网页浏览、电子邮件、即时通讯、点对点传输、语音通话、串流视讯应用五花八门，为企业沟通及资讯流通带来莫大便利，但若有不当使用、机密外泄或其他资安事件发生时，清楚可读的记录报表资讯，也可供为事后稽核之用。因此，为了让企业网络有效的利用，提升员工的生产力之外，还能兼顾资讯安全的考量，导入上网行为管理设备不失为快又有效的解决方案。

但是企业需要何种上网行为管理的设备？上网行为管理要管到什么程度？政策制定要如何让使用者和公司达成共识？本期安企神电脑监控软件走访多家不同类型的解决方案供应商，提供读者采购和导入的建议。

采取综合技术管理上网行为

在早期，企业组织关注员工使用网络的行为，目的是在上班时间提高员工的工作效率，防止员工浏览与工作内容无关的网页，主要的技术所涵盖面向，大致分为两大主流研发方向，第一是网页内容过滤（URLfiltering），第二是传输内容过滤（ContentFiltering），针对使用者的网络连线存取行为，将封包导入设备进行过滤管控。

但是现在企业网络面临更多的需求，因此上网行为管理所需要包含的功能就更加广泛。坊间许多原本专注在上网行为管理、网页资料库比对以及频宽流量控管（QoS）的供应商，纷纷提出互补的解决方案。

例如某家擅长Proxy内容过滤与管理的知名外商，就收购了另一家精于网络第七层应用频宽管理的设备制造商，将两种技术结合成较完整的解决方案，成为一大趋势，因应现阶段越来越多企业提出的新一代上网行为管理需求。

内容管理为基础结合QoS

从IM（即时通讯）控管起步的L7Network（利基网络），专注在第七层的内容管理，去年将内容管理和QoS整合，增加频宽流量管理的机制。L7Network总经理魏焕云指出，上网行为管理应该要能够做到政策管理、使用者群组管理，还要能辨别出针对哪些网络应用，进行不同程度的管理，受到管理的使用者网络行为、内容将会被纪录下来。而结合QoS机制，设备将会整理出企业网络频宽流量大小的使用情形，管理企业网络频宽的使用。

导入上网行为管理设备后，要对企业营运效率有所帮助，不能多一样设备反而增加MIS的工作负担，因此他指出，介面清楚且易于管理的设计就相当重要。MIS在管理时能轻易的检视使用者对应的网络应用，或从应用找回使用者，并且显示出「是谁在用什么应用」、「哪些连线在存取」、「这些连线是套用哪个QoS政策」等，所有资讯一目了然，轻易从各种面向来掌握所有应用和流量，「机器不会犯错但是人会犯错，当坊间各家供应商都在比功能多寡时，应该要考虑能够确实让管理者掌握企业网络流量才是设备效益的重点。」魏焕云说。

魏焕云指出，企业在部署上网行为管理设备时，只要采取In-line模式的部署方式便可以无须变更网络架构，就算较为复杂的网络环境，或部署了ProxyServer、ISAServer等伺服器，都不用变更设定，甚至连机房内既有网通设备的Routing都不用改。L7Network也支援Proxy的部署方式，较为大型的设备部署在大的流量口，通常采取此模式。

此外，他指出，Skype和QQ语音对话由于内容加密，以现在的技术不可能解读，因此只能做到「限制使用者不能传档」，除非以Client端的程式安装在每一台使用者电脑上，但是如此一来又有专属程式控制语音软体的相容性问题。因此他认为，「管理加密软体」只能当成一个噱头，实用性偏低。

设备首重效能与管理

企业采购时，效能也会是上网行为管理设备的关键，确保网络持续连线已是最基本的要求。不能一个设备部署后，网络传输速度反而受到影响。「虽然企业连接WAN端出口都不大，最多10几Mbps，但是内网LAN端传输几乎都是Gbps的速度起跳。」魏焕云指出，上网行为管理的设备由于是架设在LAN端，很多内网的流量都会经过设备，要考虑到的流量不只是对外网的出口，还要能够应付到内网的流量。

另一个会影响效能的还有报表系统和侧录功能，L7Network将上网行为管理设备侧录的资讯和报表资讯分成两层式架构和三层式架构，两层式架构直接将报表储存在设备当中的硬碟，部署较为简单，较小型的设备通常采用两层式内建硬碟的架构，管理者直接开启浏览器就能够设定。

较大型的机种就会采取三层式架构，将纪录的资料另外存放到串接的储存设备，好处在于一台储存的伺服器可以同时支援多台设备，且分散硬体工作量。魏焕云指出，如果用设备的CPU处理，会拖累网络的速度，设备效能本来应该用于处理经过的流量，但是如果只为了报表反而消耗了CPU资源，得不偿失，因此将报表处理放置在外接的伺服器上，就不会让网络资源受到影响。而较大型的企业可以使用既有的储存伺服器，不需要再额外购买。

此外，魏焕云表示，「产品介面很复杂的话，反而会对管理人员造成困扰，因此，操作上网行为管理的设备要设计的亲切人性化。」管理介面要能即时看到层层整理过的流量，让管理人员看到上网行为比对到什么样的政策，也是一个采购要点。企业希望当使用者一触发政策，马上就有讯息告知－「你的行为正在监控中」，例如员工上班使用MSN聊天，可在管理介面中对使用者帐号右键编辑，自行设定在使用者电脑会跳出的警告视窗标语，视公司政策给予适度的提醒，让管理者与员工之间有互动性。能够透过介面即时看到整理过的讯息，即时管控使用者或是下达指令，对安企神电脑监控软件员来说，可以帮助掌控管理全局。

他表示，企业导入上网行为管理设备，有的是为了符合法令规范与资安保护，也有企业老板是为了要防止员工上班进行跟工作无关的网络行为，每个企业在管理应用上都不尽相同，但是唯有不断教育使用者，才能平衡使用者上网行为和公司政策。对于导入上网行为管理设备，会有企业主或MIS考虑到使用者反弹的问题，但是实际上企业在面对员工上网行为管理时，就应该有此心理准备，越大的企业越需要事前事后跟使用者沟通，在尽量不改变使用者习惯的情况下做到管理。

魏焕云说，「企业部署上网行为管理设备应该要做到分权管理，政策制定人员只能负责政策制定，侧录人员只能看到侧录内容，」但是现在实际上企业应用，反而只有极少数会落实分权管理，他也建议企业应该在导入时一并考量制度面的规划。