互聯網的普及讓用戶可以實現隨時隨地訪問Internet，網絡已經成為信息傳播的重要途徑之一。但當員工在組織機構內部使用單位的互聯網出口資源訪問Internet時，隨之而來的各種有意或者無意的上網行為給組織帶來的風險也不容忽視。

在此，本文將就組織單位內網員工的非善意上網行為的管控與大家做簡單的探討。

一、員工的非善意上網行為有哪些？

員工利用組織的互聯網出口都會發生哪些上網行為呢？無非是Email收發、業務系統訪問、瀏覽網頁、論壇發貼、IM聊天、P2P下載等等，紛繁復雜的上網行為如果不經管理，可能使組織面對莫大的安全風險，信息風險與法律風險，下面讓我們來看看一些具體問題：

1、利用組織網絡通過Email與非法組織聯系。

用戶在日常工作時間可能經常會收到海外邪教組織等詆毀政府的非法郵件，絕大部分員工會置之不理，但出于好奇心或偏激的思想可能會誘使少數員工與這些組織保持聯系，而這種行為無疑會將組織置于違法境地。

向組織外部發送的Email除了服務于日常業務外，即將離職的員工甚至可能將組織的研發機密、行銷方案等發送到競爭對手處。即便只是將組織內部敏感信息泄露到公網也會對組織造成不利影響，如“史上最牛女秘書”事件即是將組織內部郵件外發至Internet所導致。

2、訪問非法網頁、搜索非法資源。

Google統計數據顯示“互聯網獨立網頁已經超過一萬億個”。訪問非業務網頁影響工作效率；訪問色情網站違反道德；訪問反政府網頁違反法律；但如何有效識別和過濾公網上一萬億條網址呢？

員工往往借助百度、Google等搜索感興趣的內容（如搜索“艷照門”），搜索結果呈現出最新的相關網頁，如何防范？另外越來越多的網頁正在以SSL加密形式提供訪問，包括網上銀行、證券基金網站、以及非法網站等，有心的員工通過www.google.com搜索“https 同志”等可以檢索到眾多SSL加密的非法網址，對加密SSL加密網頁的管理也是管控非善意上網行為的重要部分。

此外互聯網上眾多WEB聊天室已經成為性騷擾等藏污納垢的主要場所，但此類聊天室訪問端口通常是隨機動態變化的，這為組織的網頁訪問管控手段提出了挑戰。

3、通過網絡外發敏感信息。

泡論壇、頂帖子、人肉搜索等已經成為諸多員工互聯網休閑方式之一。但如果將總裁辦公室里的八卦、對工資的不滿、對組織的抱怨等發布到百度貼吧、天涯上，必將給組織帶來不良影響。
而通過組織的互聯網資源上傳色情圖片、下載存在版權爭議的軟件等也會將組織送入法律漩渦之中。

4、P2P行為濫用帶寬資源。

BT、迅雷等P2P工具對帶寬的濫用能力眾所周知，少數員工使用P2P工具暢快的下載最新的影視劇的同時，其他員工則要忍受蝸牛般的網速。即使通過部分手段實現BT、迅雷等常見P2P軟件的管控后，員工依然可以通過互聯網搜索安裝其他不常見的P2P軟件、加密的P2P軟件等，這讓組織的帶寬壓力難以緩解，帶寬使用效率始終難以提升。

5、非業務上網行為降低工作效率。

金融海嘯席卷全球，如何提升組織的盈利能力成為困擾老板們的問題之一。而將員工8小時工作時間更多的聚焦在業務與工作之上，將提升工作效率，增強組織的盈利能力。
面對內網員工紛繁復雜的各種上網行為，如何有效管理？傳統防火墻等設備只能基于端口、IP、協議類型進行一刀切方式的管控顯然無法滿足用戶的要求。

二、如何管控員工的上網行為？

由于組織內部員工的上網行為復雜多變，沒有哪一付靈藥包治百病，針對不同的上網行為業界都已有成熟的解決方案。現以上網行為管理領域領導廠商深信服科技的技術為基礎，來簡單介紹一下基本的應對策略。

1、外發Email的過濾和延遲審計。

防范Email泄密需要從事前和事后兩方面考慮。首先外發前基于多種條件對Email進行攔截和過濾，但被攔截的郵件未必含有對組織有害的內容，如何避免機器識別的局限性？深信服提供的郵件延遲審計技術可以攔截匹配上指定條件的外發Email，人工審核后在外發，確保萬無一失。
事后審計也不容忽視。將所有外發Email全部記錄，包括正文及附件。另外由于Webmail使用的普遍，對Webmail外發Email也應該能做到過濾、記錄與審計。

2、URL庫+關鍵字過濾+SSL加密網頁識別。

通過靜態預分類URL庫實現明文網頁的部分管控是基礎，但同時必須能夠對搜索引擎輸入的關鍵字進行過濾，從而實現對靜態URL庫更新慢、容量小的補充。而對于SSL加密網頁的識別與過濾，業界存在通過代理SSL加密流量、解密SSL加密流量的方式實現，但對于組織財務部、普通員工操作網上銀行賬戶的數據也被解密顯然是存在極大安全隱患的。深信服上網行為管理設備通過對SSL加密網站的數字證書的進行識別、檢測與過濾，既能滿足用戶過濾SSL加密網址的要求，同時也不會引入新的安全隱患。

3、網絡上傳信息過濾。

論壇灌水、網絡發貼、文件上傳下載都需要基于多種關鍵字進行過濾，并應該能對所有成功上傳的內容進行詳細記錄以便事后查驗。但這是不夠的，如藏污納垢的主要場所之一的互聯網WEB聊天室絕大多數都是采用隨機動態端口訪問，識別、封堵此類動態端口網址成為當下上網行為管理難題之一，只有部分廠商能妥善解決該問題，這是用戶在選擇上網行為管理網關時需要著重考慮的問題。

4、P2P的精準識別與靈活管理。

互聯網上的P2P軟件層出不窮，如果只能封堵“昨天的BT”顯然是不足的。在P2P的識別方面深信服科技的P2P智能識別專利技術——基于行為統計學的分析的確有其獨到之處。基于行為特征而非基于P2P軟件本身精準識別了各種P2P，包括加密的、不常見的、版本泛濫的等。有了精準識別，這樣的設備的對P2P的流控效果格外出眾。

5、管控各種非工作無關網絡行為。

業界領先廠商都已摒棄基于IP、端口的應用識別方式，而采用基于應用協議特征碼的深度內容檢測技術，區別僅在于哪個廠商的應用識別庫最大、更新最快。基于精準的應用識別，加上針對不同用戶、時間段分配不同的網絡訪問策略，必將提升員工的工作效率。

“非善意上網行為的管控”，除以上提及內容外還有一點值得用戶注意：海量記錄的上網行為日志如何存儲、查詢、審計？業界主流的做法是將上網行為日志自動轉存到獨立于網關設備的日志中心中，并以數據庫形式存儲，配以圖形化的查詢、統計工具等將日志活用起來。更高級的日志操作方式則通過類似百度的搜索引擎實現對關鍵日志的精準檢索與定位。

伴隨著組織內網員工非善意上網行為的泛濫與蔓延，符合中國客戶需求的上網行為管理技術與解決方案也將快速發展，以持續滿足廣大用戶的需求。