网络管理：熟悉你的网络

在文章的开始，我们首先回想一下有没有遇到或听说过一下这些情况：某个财务服务机构的员工努力突破企业的限制，利用办公电脑访问那些带有不良内容的网站。

或者某个员工用了几个星期，就将企业网络中的海量数据通过U盘一点点地搬回家了。

某些员工每个周末都会泡在网上听流媒体广播，如果有摄像头，还会整天开着即时消息软件跟网友视频聊天。

这些场景绝不是我虚构的，而是每个大企业中都出现过的真实场景。

而且这种程度的网络滥用绝不仅是个别现象。SecureTest的测试人员很了解企业员工对企业网络的破坏能力。SecureTest曾经为一家大型财务机构进行过评估，这家机构最近解雇了一个员工，但是却没有能够将这个员工的远程访问权限取消。

这就相当于给恶意攻击打开了一扇大门，使得企业网络面临巨大威胁。

另外有一个医疗机构的员工，在被解雇前在系统中安装了木马，并删除了终端电脑和网络系统上的大量文件。

实际上，很多企业的网络虽然没有如此糟糕，但是也相去不远了。就算企业员工没有明目张胆的违背企业规定，或者没有执行什么恶意操作，不良的策略规范或者不足的网络安全教育也会让企业网络的各方面性能（尤其是安全性能）大打折扣。比如你会发现有的员工给企业其他500个员工群发了一个20MB的邮件，而邮件内容是前几天的圣诞夜聚会照片。这种内容虽然没有任何恶意成分，但是对网络性能没有一点好处。

资产管理服务公司Centennial Software曾经对很多企业的网络进行过深入调查。比如有个英国政府部门的网络系统上，还连接着很多已经废弃的设备，包括一个IT管理者都没有见过的大型机。

而另外一个政府部门的网络上竟然发现了一个来自苏格兰某处的56Kbps调制解调器接入进程，而该部门在苏格兰并没有办公室或远程办公的工作人员。

为了避免出现这样的情况，我总结出了下列几个比较好的网络管理经验：

主动行动

Network Instruments 欧洲区市场经理Ian Cummins认为：“很多管理员只会在网络出现延迟或者阻塞时才会用分析工具进行调查。与其坐等问题出现，企业的网络管理员应该经常定期对网络性能进行分析和检测。这种主动的管理方式可以让管理员更准确的定位问题，并且将网络问题的影响范围尽量控制在一个较小的范围。”

保持简单

Juniper Networks 的安全策略专家Anton Grashion说：“保持集中化的网络管理非常重要。管理员应该有实时的网络状态信息，并应该实时了解到哪个用户在访问哪些资源。采用方便部署的策略相当重要，它可以使管理员每日的管理工作变得更加简单。”

留意“企业幽灵“

ConSentry Networks欧洲区的部门经理Alex Raistrick说：“灵活的工作团队，临时性的员工或者合作伙伴，可以让企业灵活控制业务进度和成本，但是这种方式的安全性也是最应该值得注意的。如果企业让临时人员进入网络，那么应该随时跟踪这些‘企业幽灵’的活动，知道他们在什么位置，在做什么。”

知道网络上的程序和数据类型

Blue Coat Systems的Nigel Hawthorn认为：“管理员应该时刻留意一些新技术。Skype, IM 以及 P2P这些都是管理员应该注意的，很多企业还没有针对这些技术制定出合适的策略。另外该如何对待YouTube呢？非业务性的数据流是不是会给企业网络带来过度负担？如果答案是肯定的，企业应该制定出合适的策略来屏蔽类似的数据流。”

AT&T的Kees Vos认为这种概念也适用于硬件，他说：“如果企业新员工带来了他的笔记本电脑，而这个电脑并不符合企业的策略规范，管理员应该确保他的电脑在符合企业安全策略前无法直接接入企业网络。”

采用有效的策略

每个企业都应该应用有效的策略，并且在新员工进入公司后就将安全策略详细讲解给员工听。定期提醒员工遵守网络策略并且定期更新策略，也是维护网络的有效方式。

Blue Coat的Hawthorne表示：“安全并不仅仅是IT部门的事情，在实施安全策略前，应该和人力资源以及企业中高级领导层进行讨论。”要确保员工知道各种安全规则，比如知道为什么不能将公司的数据通过U盘带回家处理，或者为什么不能在办公室长时间看网络上的视频流或者转发大体积的邮件附件。

安全管理公司MessageLabs最近的一项调查显示，76％的小型企业都有自己的安全策略。但是这些策略是否严谨和有效，是否具有强制性，就不一定了。

AT&T的 Vos认为：“如果企业制定了一个策略，那么不要让这个策略停留在PDF或者其他文档上，而是要让这个策略确实应用到每台终端”。

不要让策略影响了效率

但是如果策略的制定和部署不恰当，有可能适得其反。Blue Coat的 Hawthorne说：“考虑是否能让用户在特殊情况下越过策略规定而执行操作。这样可以有效的降低业务需求改变时IT所承担的压力。比如对于一般的企业来说，员工都是成年人，而Playboy.com可能并不是一个与业务有关的网站。但是如果突然有一个业务与此网站有关，员工应该也通过某些设置来实现。而这种动作应该都被记录在案。”

这种方式可以让员工知道，自己的行为正处在系统监视下，其访问动作都应该有合理的业务目的，比如为了调查互联网上的成人内容，或者为了调查网络赌博而访问赌博网站等。

加大带宽不一定解决问题

NetQoS的CEO Joel Trammel表示：“加大带宽并不是解决网络性能问题的万灵药。首先应该知道产生问题的原因是什么，才能对症下药。比如网络的延迟可能是由于服务器的问题引起的，也可能是由于应用程序甚至传输路径。正确的判断性能问题才是关键。”

不要总是将问题归咎于网络

在企业中最常见的一个问题就是员工抱怨网络响应缓慢，但实际上这很可能并不是网络的问题。错误的判断有可能会导致问题解决时的盲目。

Network Instruments的Cummins表示：“有时候用户在操作响应变得很慢的时候就会抱怨网络不好。而要快速确定网络问题，首先要分析和隔离可能出现问题的地方，即将网络性能和应用程序性能分开来检查。”