不同于传统网络安全技术，NBA基于心理学、 行为偏差分析等原理， 以其独有的方式开启企业内网安全的另一扇大门。

    ”网络又被堵住了，是谁又在单位下载电影？这已经是本月第七次出现此状况了！“味千集团CIO王芳兴愤怒地抱怨道。

    原来近几个月味千集团的网速异常的慢，有时甚至连邮件都发不出去，不仅公司正常业务受到阻碍，甚至连味千的老板都无法正常上网。王芳兴带领员工多次进行检查，但都无济于事。虽然王芳兴很快就发现公司内部有人用电驴、BT、P2P等工具下载电影，或者在线观看视频，占用大量带宽资源，但是由于应用动态IP地址，根本无法查出”幕后凶手“。

    没办法，王芳兴只能带领工作人员在公司内部挨个排查所有电脑，恰巧发现一些员工正在应用下载工具以及浏览一些存在安全隐患的网站。王芳兴本应对这些员工进行批评教育，可结果却相反。员工却振振有词称下载的资料是与工作有关，再加上王芳兴并没有什么确凿的证据说明这些行为与工作无关。无奈之下，王芳兴只能用传统手段加强网络安全，并制定规则要求员工上班时间严禁使用各种下载工具。

    同样，北京东方中科集成科技有限公司IT经理金春姬也遇到和王芳兴一样的问题。金春姬告诉我们：”过去我们经常把目光关注到企业的外网，但现在发现更多安全隐患来自企业的内网。经常由于员工操作不当，引起整个网络大面积中毒，但我们却无法迅速、准确地找到病毒源，找到确实中毒的机器，使得病毒很快扩散到整个网络。“

    近日，金春姬通过对内网的检测，发现很多员工都在上开心网，且该网站颇为流行。虽然经常看到员工在上班时间进行一些与工作无关的网上活动，虽多次强调此问题，但并没有什么有效的方法解决此问题。

    究竟如何才能在不侵犯员工隐私的情况下有效监控其上网行为，杜绝上述问题，金春姬和王芳兴都颇为头痛。

    过去企业一直认为网络的安全威胁通常来自于外网，企业也把安全威胁投向外网安全，就像”修城墙“一样，不断加高、加厚。但是很多的安全事实显示，越来越多的安全威胁来自内网。而传统的防火墙、反病毒软件、内容过滤器和验证系统等常规的安全工具，越来越无法迅速识别及挫败越来越狡猾的威胁。2007年，第12届计算机安全学院有关计算机犯罪和安全的调查结果显示，（注：这项调查由美国494位安全专家投票参与）每一年与计算机安全相关的平均损失由2006年的168万美元增加到2007年的350万美元。

    美国安全培训与研究机构SANS在2008年年中发布的一份报告中，列出了2008年的十大网络安全威胁，其中内部袭击者所带来的威胁位列第五。如何有效管理内网成为网络安全的重点。

    企业的内网错综复杂，数据的价值也也越来越高。不同数据信息在网络上游走，好像身体的血液一样，一旦这些信息遭到破坏，后果不堪设想。企业要想确保自己网络系统的安全，关键的一点是知道企业内部的数据，究竟是些什么样的行为。网络行为分析（NetworkBehaviorAnalysis，简称NBA）就是能够帮助CIO分析员工的网上行为，帮助CIO做出判断，使企业分辨这些安全威胁并采取措施。它结合了基于网络流的异常检测和网络性能监控，可用来管理网络及安全。它不同于传统流量识别系统，NBA能够检查流量的行为，而不是检查流量是什么模样。NBA通过对类似IP流量系统进行分析，或者分包分析这样的网络设备所搜集到的数据，从而对整个网络的流量进行分析。通过利用行为偏差分析和异常检测，如果网络内有任何可疑的行为，它们会向IT人员发出警报。它还帮助CIO具备了对整个网络行为的观察能力，以便CIO在出现其他状况前能够对潜在的威胁及时做出反应。

    为了确保内网安全以及有效管理员工的上网行为，金春姬计划购买NBA软件。对于这一举措，东方中科集成科技有限公司的总经理也认同金春姬的做法，希望借助NBA能够监控员工行为，避免带宽资源的浪费，提高工作效率。而对于该技术的应用，金春姬有着自己的想法：首先一些员工经常会在无意识的情况下浏览不安全的网站，给企业内网安全带来隐患。其次，员工经常用各种下载工具占用带宽资源，如电驴、BT、P2P等。再次，可以控制员工上班时间做一些与工作无关的内容，如炒股、上开心网、在线视频等。第四，便于内网管理，通过NBA的流量分析，可以很好地了解流量分布周期，积累一些历史数据，为日后扩容做铺垫。

    对于味千集团，王芳兴很早就开始做这方面的工作。最初，王芳兴应用ISA对网络做一些分析，但是发现ISA有很大的局限性。它需要专员设置开发，并且由专人进行分析，如果不是和企业数据库结合在一起，ISA只能告诉你某员工经常浏览的前10个网站，至于后面的信息就没有。而且网站信息只有IP地址，需要专员做一次翻译才能看到究竟是什么网站。对于上网的用户，也只能找到IP地址，而现今很多企业IP地址动态分配，就很难找到具体人员。此外，ISA无法做流量分析，就是应用程序占了多少流量、电邮占用多少流量、上传下载占用多少流量等，都没有直观的数据分门别类地显示出来。虽然王芳兴有对内网监控的想法，却没有有效的工具来实现。”现在有了NBA，对于员工上网行为的监测，变得轻松多了。“王芳兴谈道。虽然NBA可以有效监控员工行为，但是员工会有抵触情绪，为了很好解决此问题，王芳兴有着自己的一套策略。据王芳兴介绍，”很多公司都会禁止使用MSN、QQ等聊天工具，认为会影响工作效率，但同时我们也应看到它对工作也是有帮助的。方便员工沟通交流，可以省去电话沟通、发邮件的成本。“

    于是，王芳兴借助VPN在公司内部建立一个统一通讯平台，员工内部沟通可以使用MSN、QQ等聊天工具，而对于外网沟通会单独开设机器。王芳兴始终强调：”关键在管理中如何对员工正常的行为和不正常的行为进行有效疏导。“过去网络资源经常会被员工观看在线视频、使用BT、电驴、P2P等工具占用，但有时实际业务中一些员工也需要传输大型文件、下载大量资料。为了确保业务的正常运行，王芳兴专门建立一个平台，供员工传输大型文件。这样一来，通过NBA既有效杜绝了带宽资源的浪费，又确保了业务不受影响。

    对于内网安全，王芳兴认为：”外部攻击随着VPN的普及，如果不是‘高手’一般进不来。更多的是因为用户的操作不当造成安全隐患，从网络安全角度来看应当全民皆兵。“虽然我们应用NBA对员工行为进行检测，但是从内部很难判断员工行为究竟是否与工作相关。王芳兴会对员工经常浏览的网站进行分析，发现最近开心网点击率很高，该网站和实际工作并不相关，就会禁止员工浏览该网站。利用NBA王芳兴也会对员工下载行为进行分析。IT人员通过日常维修发现经常中毒的电脑；并通过赛门铁克杀毒软件的日志功能，了解员工导致电脑中毒的行为；并对其网络行为进行分析，找出真正原因。

    ”在这个过程中，我们要清楚地告诉员工，我们不是为了监控他的隐私，而是由于他的操作行为可能造成了整个公司内网存在安全隐患。“王芳兴认为，这是实施NBA的关键一点。同时，通过NBA对于员工上网行为会有直观的分析数据，清楚了解员工的上网行为。例如：内部网络突然大面积中毒，但是由于IP地址动态分布无法查出病毒源，而借助NBA可以提供直观的数据，分析出具体中毒机器，并且迅速查找出中毒原因。虽然应用传统手段也能了解员工上网行为，但员工经常会以工作为由表明这些行为是合理的，而IT人员又无法提出客观的数据表明事实并非如此。通过NBA可以为CIO提供客观的数据，清楚分析出员工上网行为，更具说服力。

    与此同时，王芳兴在内部制定相关的安全策略，要求所有计算机不允许员工自己去装任何软件，尤其是木马、蠕虫这样的病毒，从而使中毒概率小很多。同时IT部门及时对员工的杀毒软件及时更新，直到目前味千都没有出现大规模的病毒事件。

    谈到内网的安全，网康科技CEO袁沈钢解释道：”相对于外网安全来说，内网安全似乎更为复杂，外网由于渠道单一，确保外网安全最简单的做法就是拔掉网线。而内网安全渠道多样性，规则实施、管理规范都较难，成功经验也较少。“

    对于内网安全，袁沈钢建议应当从主要两方面着手。第一从网络主体入手，对网络、机器、软件、数据、人员采取各种安全措施。第二，从业务流、业务量来管理，虽然公司内部有很多主体，但这些主体都被业务流串联起来，都与业务流程发生关系。因此，企业内网的安全主要是通过业务流将网络主体结合在一起，形成横向的网络主体、纵向业务流的交叉的立体网络。

    Gartner公司认为，某些具有危害的行为可能经常会被传统的安全策略以及安全技术所漏过，比如IDS、IPS、防火墙、安全信息以及事件管理系统。这些传统的安全技术只能检测到所对应的特定行为，而NBA则能检测到被这些技术所疏漏的行为。

    对此，金春姬认为：”NBA更多的是一种集中控制的软件，传统安全技术好比病人吃药打针，虽然不能从根本上解决问题，但治不好也吃不死。而NBA可以从根本上杜绝病毒源，从早期预防，通过各种限制来提高网络的‘健康指数’。“NBA产品实际上属于帮助决策的系统，因为它能够帮助经验丰富的IT人员了解大量可疑的网络行为，并对其做出反应。一些有经验的技术人员可以使用这一技术来定位诸如蠕虫、未授权协议以及可疑连接等安全威胁。由于NBA给予了技术人员附加的保护层，因此，Gatner建议企业应该应用该技术，并将其作为复杂安全策略中的一部分，以保护企业网络的安全。

    ”从企业成本来看，带宽资源被员工不当的网络行为所浪费，同时也浪费了工作时间，带来工作效率的下降。企业更需要有这样一种软件能够有效监管员工上网行为，管理上的需求带动了NBA技术的出现。“国家信息中心信息安全研究与服务中心主任吴亚非谈道。同时吴主任还指出：网络安全从一开始就应当从外网、内网同时入手，但企业受到一些安全厂商的误导，只关注外网安全，造成花了很多钱却没解决问题。

    NBA是一个管理角色大于技术角色的软件，它在应用时应当体现公司的管理思路，它的功能设置应当以企业管理目标为依据。它是体现公司管理理念、延续公司内部控制和管理文化的工具。只有公司认为有必要对员工的行为进行管理，且这种方式已经成为公司文化的一部分时，NBA的实现才具备可能。

    金春姬谈到：”最初应用NBA时，我希望能够借助它来控制公司内部员工随意下载、检测流量、限制娱乐内容，这是我最初的目标。后来发现它还有其他功能，也可以作为安全手段的补充。但前提是你要有明确的管理目标。“NBA表面上看起来是一个安全工具，实际上它涉及到公司治理，涉及到公司的治理文化、内控文化。网络行为检测是IT治理的一部分内容，如果公司从前没有任何有关员工行为的限制制度，突然应用NBA，员工会有很大抵触情绪。相反，如果公司一开始就建立这种文化，即便使用新的技术，员工也易于接受。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。