由於企業營運越來越倚賴網路運作,使網路傳遞資訊、資源分享以及提升工作效率,帶來便利快速的價值。但是企業員工使用網路的自由環境,卻有可能影響企業倚賴網路的重要傳輸,除了員工進行跟工作無關的網路行為會佔用頻寬之外,沒有管制的網路瀏覽與使用,甚至可能會發生資訊安全的問題,如何有效的解決自由使用網路所帶來的困擾,成為企業採購上網行為管理設備的推動力。
今日各種Web 2.0網頁瀏覽、電子郵件、即時通訊、點對點傳輸、語音通話、串流視訊應用五花八門,為企業溝通及資訊流通帶來莫大便利,但若有不當使用、機密外洩或其他資安事件發生時,清楚可讀的記錄報表資訊,也可供為事後稽核之用。因此,為了讓企業網路有效的利用,提升員工的生產力之外,還能兼顧資訊安全的考量,導入上網行為管理設備不失為快又有效的解決方案。
但是企業需要何種上網行為管理的設備?上網行為管理要管到什麼程度?政策制定要如何讓使用者和公司達成共識?本期網管人走訪多家不同類型的解決方案供應商,提供讀者採購和導入的建議。
採取綜合技術 管理上網行為
設備效能、管理介面 採購首要考量
 |
| ▲L7 Network(利基網路)總經理魏煥雲表示,現階段企業組織的需求不再只是單純的員工上網行為管理,還需要加入QoS頻寬控制的功能,確保員工上網行為不會違反公司政策之外,還要能夠將企業頻寬套用有效的管理政策,確保企業關鍵應用的頻寬使用。 |
在早期,企業組織關注員工使用網路的行為,目的是在上班時間提高員工的工作效率,防止員工瀏覽與工作內容無關的網頁,主要的技術所涵蓋面向,大致分為兩大主流研發方向,第一是網頁內容過濾(URL filtering),第二是傳輸內容過濾(Content Filtering),針對使用者的網路連線存取行為,將封包導入設備進行過濾管控。
但是現在企業網路面臨更多的需求,因此上網行為管理所需要包含的功能就更加廣泛。坊間許多原本專注在上網行為管理、網頁資料庫比對以及頻寬流量控管(QoS)的供應商,紛紛提出互補的解決方案。
例如某家擅長Proxy內容過濾與管理的知名外商,就收購了另一家精於網路第七層應用頻寬管理的設備製造商,將兩種技術結合成較完整的解決方案,成為一大趨勢,因應現階段越來越多企業提出的新一代上網行為管理需求。
內容管理為基礎 結合QoS
從IM(即時通訊)控管起步的L7 Network(利基網路),專注在第七層的內容管理,去年將內容管理和QoS整合,增加頻寬流量管理的機制。L7 Network總經理魏煥雲指出,上網行為管理應該要能夠做到政策管理、使用者群組管理,還要能辨別出針對哪些網路應用,進行不同程度的管理,受到管理的使用者網路行為、內容將會被紀錄下來。而結合QoS機制,設備將會整理出企業網路頻寬流量大小的使用情形,管理企業網路頻寬的使用。
導入上網行為管理設備後,要對企業營運效率有所幫助,不能多一樣設備反而增加MIS的工作負擔,因此他指出,介面清楚且易於管理的設計就相當重要。MIS在管理時能輕易的檢視使用者對應的網路應用,或從應用找回使用者,並且顯示出「是誰在用什麼應用」、「哪些連線在存取」、「這些連線是套用哪個QoS政策」等,所有資訊一目瞭然,輕易從各種面向來掌握所有應用和流量,「機器不會犯錯但是人會犯錯,當坊間各家供應商都在比功能多寡時,應該要考慮能夠確實讓管理者掌握企業網路流量才是設備效益的重點。」魏煥雲說。
魏煥雲指出,企業在部署上網行為管理設備時,只要採取In-line模式的部署方式便可以無須變更網路架構,就算較為複雜的網路環境,或部署了Proxy Server、ISA Server等伺服器,都不用變更設定,甚至連機房內既有網通設備的Routing都不用改。L7 Network也支援Proxy的部署方式,較為大型的設備部署在大的流量口,通常採取此模式。
此外,他指出,Skype和QQ語音對話由於內容加密,以現在的技術不可能解讀,因此只能做到「限制使用者不能傳檔」,除非以Client端的程式安裝在每一台使用者電腦上,但是如此一來又有專屬程式控制語音軟體的相容性問題。因此他認為,「管理加密軟體」只能當成一個噱頭,實用性偏低。
設備首重 效能與管理
企業採購時,效能也會是上網行為管理設備的關鍵,確保網路持續連線已是最基本的要求。不能一個設備部署後,網路傳輸速度反而受到影響。「雖然企業連接WAN端出口都不大,最多10幾Mbps,但是內網LAN端傳輸幾乎都是Gbps的速度起跳。」魏煥雲指出,上網行為管理的設備由於是架設在LAN端,很多內網的流量都會經過設備,要考慮到的流量不只是對外網的出口,還要能夠應付到內網的流量。
另一個會影響效能的還有報表系統和側錄功能,L7 Network將上網行為管理設備側錄的資訊和報表資訊分成兩層式架構和三層式架構,兩層式架構直接將報表儲存在設備當中的硬碟,部署較為簡單,較小型的設備通常採用兩層式內建硬碟的架構,管理者直接開啟瀏覽器就能夠設定。
較大型的機種就會採取三層式架構,將紀錄的資料另外存放到串接的儲存設備,好處在於一台儲存的伺服器可以同時支援多台設備,且分散硬體工作量。魏煥雲指出,如果用設備的CPU處理,會拖累網路的速度,設備效能本來應該用於處理經過的流量,但是如果只為了報表反而消耗了CPU資源,得不償失,因此將報表處理放置在外接的伺服器上,就不會讓網路資源受到影響。而較大型的企業可以使用既有的儲存伺服器,不需要再額外購買。
此外,魏煥雲表示,「產品介面很複雜的話,反而會對管理人員造成困擾,因此,操作上網行為管理的設備要設計的親切人性化。」管理介面要能即時看到層層整理過的流量,讓管理人員看到上網行為比對到什麼樣的政策,也是一個採購要點。企業希望當使用者一觸發政策,馬上就有訊息告知-「你的行為正在監控中」,例如員工上班使用MSN聊天,可在管理介面中對使用者帳號右鍵編輯,自行設定在使用者電腦會跳出的警告視窗標語,視公司政策給予適度的提醒,讓管理者與員工之間有互動性。能夠透過介面即時看到整理過的訊息,即時管控使用者或是下達指令,對網管人員來說,可以幫助掌控管理全局。
他表示,企業導入上網行為管理設備,有的是為了符合法令規範與資安保護,也有企業老板是為了要防止員工上班進行跟工作無關的網路行為,每個企業在管理應用上都不盡相同,但是唯有不斷教育使用者,才能平衡使用者上網行為和公司政策。對於導入上網行為管理設備,會有企業主或MIS考慮到使用者反彈的問題,但是實際上企業在面對員工上網行為管理時,就應該有此心理準備,越大的企業越需要事前事後跟使用者溝通,在盡量不改變使用者習慣的情況下做到管理。
魏煥雲說,「企業部署上網行為管理設備應該要做到分權管理,政策制定人員只能負責政策制定,側錄人員只能看到側錄內容,」但是現在實際上企業應用,反而只有極少數會落實分權管理,他也建議企業應該在導入時一併考量制度面的規劃。