上网行为和IP地址实名审计.pdfVIP

上网行为与IP 地址实名审计 随着网络与信息技术的飞速发展和广泛应用，企业信息化的进程日新月异。企 业局域网从早期的文件共享、文件传输、静态网页浏览及Telnet 命令等内容单一、 静态简单、小规模较为封闭的应用模式，逐步发展到包括E-Mail 、ERP、OA、 CRM、视频会议、VoIP 、电子商务等内容丰富、动态复杂、大规模日益开放的应 用模式，成为提升企业核心竞争力的基础设施和必要保障。 研究小组从一个典型企业局域网的现状出发，提出当前网络行为管理难点并加 以分析，同时借鉴成熟的信息化建设管理经验，从而进一步研究并探索网络行为管 理在其拓扑结构中的规划设计和实施应用，对应用网络行为管理后的企业局域网进 行评估，并给出思考和展望。 企业内网中网络行为管理难点的提出与解决 目前，典型的企业局域网在网络运维和带宽控制等网络行为管理方面面临以下 问题和挑战。 1. 内网历史遗留问题带来的负面影响 典型的企业局域网往往都是在早期简单的局域网基础上逐步扩建起来的，其扩 建过程中随意性很大，给网络行为管理的应用带来了极大困难。 网络行为管理的应用要求企业局域网具有透明性，管理节点要求落实到网络终 端设备，最好与使用管理人员相对应，要有网络与信息安全策略等。具体来说，有 以下几方面的整合改造： 1  终端设备要尽量使用固定IP 地址，网络中各级IP 地址分配策略尽量使用静 态分配策略，最好是网络终端设备的IP地址和MAC 地址相绑定等技术手段 来实现管理节点与使用管理人员相对应;  企业局域网中尽量不要使用路由器等网络转发设备，以防降低网络行为管 理的可追溯性，同时也要做好NAT 管理工作;  针对具体企业部门尽量划分在一个逻辑IP 地址段内，地理位置不同的企业 区域采用不同数字开头的私有IP 地址群显著标明，以有效阻断网络风暴及 ARP 病毒等在全网传播;  建立健全IP 地址与使用管理人员关系表并加以动态完善，这也是实施网络 行为管理的基础性工作。 综上所述，如何实现动态的实名制IP地址分配审计是实施上网行为管理的前提 条件。 2. 如何打造实名制IP 地址自动化审计平台 目前企业内网应用系统也越来越多，几乎所有内网业务全部转向IP 网络，在 终端IP 地址管理方面，采用手工管理的方式，或通过Excel 表格进行管理。部分 办公网段采用了传统的DHCP 进行地址分配，lP 地址管理审计较为繁琐。 如何为企业打造安全、可控、强化的IP 地址自动化管理平台，实现实名制的 IP 地址管理审计是本章节讨论的重点。 通过对现有地址管理方式和手段的简要分析，目前的管理风险主要体现以下几 个方面。  手工管理IP地址和维护复杂度高  预防IP地址冲突、私设非法DHCP和ARP 病毒 2  缺乏统一全面的IP地址跟踪审计分析  访客IP地址动态接入授权控制  IP地址回收与重复利用问题  交换机配置巡检、备份与恢复  IPv6地址分配技术迁移问题 由于IP 地址是信息化网络能够保持高效运行的关键。如果IP 地管理不当，网 络很容易出现IP 地址冲突，影响网络正常业务的开展。即使网络管理员知道有人 设置了错误的IP 地址，也无法定位使用非法IP 的终端设备；同时网络管理员通过 对IP 地址合法性的确认，保证接入网络系统的设备都是合法，防止因为非法设备 的接入而造成运营的损耗。 同时IP 地址管理审计平台还能满足国家相关安全部门对IP 网络要有完善的系 统运行及用户使用网络IP/MAC 地址日志和网络用户的定位等措施的要求。 新一代CNS 网络核心服务自动化开通平台 （简称CNS-APP）能自动、有效地 管理访问网络的IP/MAC 资源，实时提供更新数据，控制未授权IP/MAC 地址访 问网络，从而提高内部网络的安全性，实现实名制地址分配与审计。 IP 地址管理功能可以进行IP/MAC 地址的分配和自动化开通，实现集中式、有 效的IP 地址管理，同时支持IPv4/IPv6 地址协议。通过IP 开通自动化来控制操