不久前聽(tīng)說(shuō)了一個(gè)很奇怪的采購(gòu)案例：一個(gè)網(wǎng)絡(luò)規(guī)模不大的企業(yè)用戶想買臺(tái)流控產(chǎn)品放在互聯(lián)網(wǎng)出口，聞風(fēng)而動(dòng)的代理商給推薦的則大多是下一代防火墻，且一度得到用戶認(rèn)可。但在一系列的評(píng)估測(cè)試之后，用戶最終卻選擇了一臺(tái)上網(wǎng)行為管理產(chǎn)品，做為網(wǎng)絡(luò)邊緣唯一的設(shè)備。

是什么原因?qū)е抡袠?biāo)采購(gòu)對(duì)象前后出現(xiàn)兩次變化呢?

經(jīng)過(guò)了解，用戶的原始需求其實(shí)很簡(jiǎn)單，就是屏蔽一些與工作無(wú)關(guān)的應(yīng)用，同時(shí)基于應(yīng)用做流量整形，緩解出口帶寬擁塞的情況。用戶業(yè)務(wù)對(duì)互聯(lián)網(wǎng)沒(méi)有很強(qiáng)的依賴性，自身也沒(méi)有足夠的IT能力，希望出口設(shè)備越少越好，操作越簡(jiǎn)單越好。

流控是最先被排除的一類產(chǎn)品，用戶發(fā)現(xiàn)不少流控產(chǎn)品并不支持路由和NAT，也就是說(shuō)不具備接入能力，還得另行采購(gòu)一臺(tái)路由器或者防火墻。這不但增加了拓?fù)浜瓦\(yùn)維的復(fù)雜度，也讓總體價(jià)格有所增加。而下一代防火墻一度被認(rèn)可，是因?yàn)樗茉跐M足包括接入在內(nèi)的所有需求的同時(shí)，提供了基于身份的配置與報(bào)表輸出能力。不過(guò)，在將郵件服務(wù)遷移到云端的企業(yè)郵箱后，企業(yè)內(nèi)部已經(jīng)沒(méi)有任何對(duì)外發(fā)布的服務(wù)器，用戶不愿為IPS等用不上的安全功能付費(fèi)。

至于上網(wǎng)行為管理的勝出，其實(shí)與IT人員關(guān)系不大。在他看來(lái)，接入、對(duì)應(yīng)用流量進(jìn)行控制、基于用戶的配置與管理，這些下一代防火墻和上網(wǎng)行為管理都能做。真正對(duì)上網(wǎng)行為管理表現(xiàn)出濃厚興趣的是企業(yè)的管理層，他們對(duì)這種產(chǎn)品提供的提升管理效率和員工工作效率的技術(shù)手段更感興趣。換句話說(shuō)，上網(wǎng)行為管理在滿足IT需求外，也滿足了企業(yè)的管理需求，是兩個(gè)層面的價(jià)值令其脫穎而出，成為用戶的最終選擇。

上網(wǎng)行為管理的前世今生

這個(gè)案例的采購(gòu)過(guò)程雖然比較曲折，結(jié)果卻絲毫不令人驚訝。雖然在幾年前的下一代防火墻專題調(diào)研中，有不少安全廠商認(rèn)為這種新產(chǎn)品會(huì)蠶食掉一部分上網(wǎng)行為管理的份額，但如今的市場(chǎng)格局卻與預(yù)測(cè)相反。在下一代防火墻、IPS等主流產(chǎn)品的夾擊下，上網(wǎng)行為管理非但沒(méi)顯示出低迷的跡象，反而有二次發(fā)力的征兆，受到用戶越來(lái)越多的關(guān)注與認(rèn)可。

在多數(shù)人眼里，上網(wǎng)行為管理就是流控產(chǎn)品的加強(qiáng)版。它除了能對(duì)流量中的應(yīng)用進(jìn)行識(shí)別與控制，還能做一些文件或者關(guān)鍵字級(jí)別的過(guò)濾，同時(shí)對(duì)應(yīng)用流量的傳輸內(nèi)容進(jìn)行留存審計(jì)。站在橫向?qū)Ρ鹊慕嵌龋@種看法是正確的，但從產(chǎn)品發(fā)展的縱向角度看，上網(wǎng)行為管理和網(wǎng)絡(luò)安全審計(jì)產(chǎn)品之間才是真正的傳承關(guān)系。而它們技術(shù)上共同的DNA，是數(shù)據(jù)收集。

做為數(shù)據(jù)收集領(lǐng)域的開(kāi)拓者，網(wǎng)絡(luò)安全審計(jì)產(chǎn)品曾在行業(yè)用戶中有著廣泛部署，但在網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用的發(fā)展面前，它逐漸失去了原有的效果。受當(dāng)時(shí)軟硬件水平的限制，網(wǎng)絡(luò)安全審計(jì)產(chǎn)品無(wú)法感知上層應(yīng)用，只能通過(guò)端口識(shí)別的方式對(duì)特定流量進(jìn)行記錄。此外，它僅能工作在旁路模式，無(wú)法對(duì)網(wǎng)絡(luò)訪問(wèn)行為做到阻斷等實(shí)時(shí)處理，只有在取證溯源時(shí)發(fā)揮作用。對(duì)于這樣一款產(chǎn)品，用戶的重視程度自然越來(lái)越小。

大約十年前，網(wǎng)絡(luò)安全審計(jì)產(chǎn)品開(kāi)始了第一次形態(tài)革命。在逐步加入應(yīng)用識(shí)別、身份識(shí)別、URL分類庫(kù)等功能和網(wǎng)絡(luò)接入能力后，它以上網(wǎng)行為管理的全新形象出現(xiàn)在世人面前(這絕對(duì)是個(gè)雅俗共賞且令人望文生義的好名字，堪稱網(wǎng)絡(luò)安全產(chǎn)品發(fā)展史上最成功的一次產(chǎn)品包裝)。而數(shù)據(jù)收集這一繼承自網(wǎng)絡(luò)安全審計(jì)的核心功能，也有了相當(dāng)程度的強(qiáng)化。從最初的五元組信息到網(wǎng)頁(yè)、郵件標(biāo)題，再到網(wǎng)頁(yè)、郵件、聊天的內(nèi)容及應(yīng)用協(xié)議傳輸文件的重組還原，上網(wǎng)行為管理的數(shù)據(jù)收集能力愈發(fā)豐富，并以此為基礎(chǔ)賦予用戶強(qiáng)大的審計(jì)能力。同時(shí)，部分行業(yè)領(lǐng)導(dǎo)廠商開(kāi)始將目光投向收集到的海量數(shù)據(jù)，基于數(shù)據(jù)分析為用戶提供了諸如員工離職、工作效率、泄密等趨勢(shì)預(yù)測(cè)功能。自此，上網(wǎng)行為管理產(chǎn)品不再只服務(wù)于IT部門，也開(kāi)始為管理層提供有價(jià)值的決策參考。

在這個(gè)進(jìn)化的過(guò)程中，上網(wǎng)行為管理比網(wǎng)絡(luò)安全審計(jì)主要有了三個(gè)方面的蛻變。首先是對(duì)流量的識(shí)別方式，從基于端口過(guò)度到基于應(yīng)用協(xié)議，跟上了網(wǎng)絡(luò)應(yīng)用的發(fā)展潮流。其次是作用對(duì)象從IP到自然人的變化，可以與用戶的組織結(jié)構(gòu)對(duì)應(yīng)融合，使策略與報(bào)表的描述變得更加貼近于管理流程。最后也是最關(guān)鍵的變化，上網(wǎng)行為管理的作用層面從事后向前拓展至事中，變成了對(duì)IT和管理起到輔助作用的產(chǎn)品，而不再僅僅是一款保證合規(guī)性的產(chǎn)品。毫無(wú)疑問(wèn)，事后溯源取證只是無(wú)奈之舉，如果能夠?qū)崟r(shí)管控好人的行為，勢(shì)必可以避免很多需要溯源取證的事件的發(fā)生，這也是如今上網(wǎng)行為管理產(chǎn)品的核心價(jià)值所在。

隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái)，上網(wǎng)行為管理正在需求驅(qū)動(dòng)下發(fā)生著又一次革命。面對(duì)網(wǎng)絡(luò)中出現(xiàn)的海量移動(dòng)設(shè)備，對(duì)移動(dòng)終端類型的識(shí)別、對(duì)移動(dòng)終端上網(wǎng)位置的感知、對(duì)移動(dòng)應(yīng)用的識(shí)別、管理、審計(jì)，逐步成為用戶眼中上網(wǎng)行為管理產(chǎn)品必須具備的功能。此外，越來(lái)越多的用戶對(duì)上網(wǎng)行為管理收集到的數(shù)據(jù)產(chǎn)生興趣，他們已不滿足于設(shè)備提供的普適卻不深入的分析能力，而是希望借助這些數(shù)據(jù)，挖掘出對(duì)自身運(yùn)營(yíng)及業(yè)務(wù)發(fā)展有益的信息。用戶的嘗試目前雖然仍停留在初級(jí)階段，卻為上網(wǎng)行為管理產(chǎn)品未來(lái)的發(fā)展指出了明確的方向。#p#

定義“上網(wǎng)行為管理”

對(duì)于很多用戶來(lái)說(shuō)，根據(jù)自身需求按圖索驥，是產(chǎn)品選型時(shí)比較常見(jiàn)的做法。不過(guò)如果像之前案例中的用戶那樣，只以“接入、對(duì)應(yīng)用流量的控制、基于用戶的配置與管理”為條件進(jìn)行篩選，確實(shí)會(huì)得到下一代防火墻與上網(wǎng)行為管理兩個(gè)結(jié)果。在多選題面前，用戶必須針對(duì)更完整的產(chǎn)品定義做減法，才能找到最適合自己的產(chǎn)品。下一代防火墻的原始定義好找，上網(wǎng)行為管理的具體定義又是什么呢?

筆者在網(wǎng)絡(luò)上搜索了很久，希望能找到關(guān)于上網(wǎng)行為管理產(chǎn)品的權(quán)威定義。遺憾的是，無(wú)論國(guó)家、行業(yè)還是第三方咨詢機(jī)構(gòu)，都沒(méi)有針對(duì)此類產(chǎn)品做出過(guò)單獨(dú)的定義。搜集到的資料中，網(wǎng)康科技的產(chǎn)品文檔里有一段該公司對(duì)上網(wǎng)行為管理產(chǎn)品的定義，筆者認(rèn)為還算準(zhǔn)確、客觀(盡管是一家之言)。但這仍然是高度概括的文字，需要細(xì)化到具體功能層面的定義作為補(bǔ)充。

網(wǎng)康科技對(duì)上網(wǎng)行為管理產(chǎn)品的定義：

這是一種對(duì)人的上網(wǎng)行為進(jìn)行管理的網(wǎng)絡(luò)設(shè)備，它基于應(yīng)用層流量識(shí)別與數(shù)據(jù)采集技術(shù)，可對(duì)上網(wǎng)行為進(jìn)行控制、審計(jì)與管理，提供了包括網(wǎng)頁(yè)訪問(wèn)管理、網(wǎng)絡(luò)應(yīng)用管理、帶寬流量管理、信息收發(fā)審計(jì)等功能。此外，該產(chǎn)品能基于審計(jì)數(shù)據(jù)對(duì)人的行為進(jìn)行查詢、統(tǒng)計(jì)、分析和挖掘，幫助用戶有效管理和使用網(wǎng)絡(luò)。上網(wǎng)行為管理需要具備三大要素：

作用對(duì)象是人的行為，而不是設(shè)備、IP或端口;

作用在應(yīng)用層，甚至是以應(yīng)用層為管道的“第8層”(如Webmail、微博等);

可以對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、分析和挖掘，而不僅僅是審計(jì)與控制;

在搜索未果的情況下，筆者只能通過(guò)對(duì)業(yè)界主流產(chǎn)品的分析，抽象整理出一個(gè)上網(wǎng)行為管理產(chǎn)品的功能定義。定義分為基本功能和擴(kuò)展功能兩部分，滿足基本功能的產(chǎn)品即可稱之為上網(wǎng)行為管理;支持?jǐn)U展功能越多，產(chǎn)品對(duì)新需求的滿足度就越高。

從搜集到的產(chǎn)品資料來(lái)看，目前業(yè)界主流的上網(wǎng)行為管理產(chǎn)品能夠以網(wǎng)關(guān)、橋接、旁路等方式進(jìn)行部署，且具有靜態(tài)路由、NAT等網(wǎng)絡(luò)接入所必須的特性。功能方面，上網(wǎng)行為管理必須支持以下基本功能：

用戶身份感知/認(rèn)證：支持本地、第三方、透明等用戶身份感知機(jī)制，并能通過(guò)本地及第三方聯(lián)動(dòng)的方式對(duì)用戶身份進(jìn)行認(rèn)證。

應(yīng)用流量識(shí)別與控制：具有完整的應(yīng)用層流控功能，可對(duì)應(yīng)用流量進(jìn)行限速或阻斷處理，同時(shí)支持連接數(shù)限制、用戶流量配額、基于應(yīng)用的引流等特性。

對(duì)主流應(yīng)用行為進(jìn)行內(nèi)容審計(jì)、過(guò)濾、阻斷：夠且不限于對(duì)HTTP、POP3、SMTP、FTP、Telnet協(xié)議、主流IM應(yīng)用、主流WebIM應(yīng)用、主流WebMail應(yīng)用的交互信息、內(nèi)容、文件傳輸進(jìn)行審計(jì)、過(guò)濾、阻斷。對(duì)于網(wǎng)頁(yè)瀏覽來(lái)說(shuō)，應(yīng)能基于URL分類庫(kù)進(jìn)行訪問(wèn)控制，并可基于關(guān)鍵字、內(nèi)嵌文件類型進(jìn)行過(guò)濾/阻斷;對(duì)于SMTP來(lái)說(shuō)，應(yīng)支持外發(fā)郵件延遲審計(jì);對(duì)于主流IM應(yīng)用來(lái)說(shuō)，應(yīng)能對(duì)用戶賬號(hào)進(jìn)行審計(jì)。

分析報(bào)表系統(tǒng)：提供豐富、完善的報(bào)表生成系統(tǒng)，為管理員及決策團(tuán)隊(duì)提供有價(jià)值的參考依據(jù)。

剛才提到過(guò)，上網(wǎng)行為管理正在發(fā)生又一次革命，一些新的擴(kuò)展功能得到了用戶的極度重視，雖然它們目前還沒(méi)有成為業(yè)界公認(rèn)的事實(shí)標(biāo)準(zhǔn)(只有一些產(chǎn)品能夠支持)，但未來(lái)有望成為產(chǎn)品定義中的基本功能。考慮到產(chǎn)品部署的周期性，用戶應(yīng)該在選型中將其列為評(píng)估項(xiàng)目。

對(duì)主流Web 2.0應(yīng)用進(jìn)行內(nèi)容審計(jì)、過(guò)濾、阻斷：能對(duì)主流論壇、微博、博客應(yīng)用中的的發(fā)帖內(nèi)容、文件傳輸進(jìn)行審計(jì)，并可基于關(guān)鍵字進(jìn)行過(guò)濾、阻斷。

移動(dòng)終端感知及管理：能識(shí)別移動(dòng)終端類型及其訪問(wèn)網(wǎng)絡(luò)時(shí)的位置，并關(guān)聯(lián)到用戶。

對(duì)主流移動(dòng)應(yīng)用進(jìn)行內(nèi)容審計(jì)、過(guò)濾、阻斷：能識(shí)別主流移動(dòng)應(yīng)用，并對(duì)應(yīng)用行為及網(wǎng)頁(yè)瀏覽進(jìn)行審計(jì)、過(guò)濾、阻斷。

對(duì)主流加密應(yīng)用(SSL)的審計(jì)、過(guò)濾、阻斷：能夠卸載HTTPs、SMTPs、POP3s等使用SSL套接層的加密流量，并對(duì)其執(zhí)行行為管理策略。

準(zhǔn)入控制：能獨(dú)立/與客戶端聯(lián)動(dòng)，對(duì)終端執(zhí)行網(wǎng)絡(luò)準(zhǔn)入控制策略。

行為分析：能對(duì)審計(jì)數(shù)據(jù)進(jìn)行挖掘分析，對(duì)離職、工作效率、泄密等對(duì)用戶管理層面存在參考價(jià)值的行為做出趨勢(shì)預(yù)測(cè)。

從歸納出的目前主流上網(wǎng)行為管理產(chǎn)品的功能定義來(lái)看，四大基本功能已趨于穩(wěn)定，細(xì)節(jié)仍在不斷完善;大量擴(kuò)展功能正在需求的驅(qū)使下不斷涌現(xiàn)，隨著時(shí)間的推移，它們必將被更多用戶所認(rèn)可，成為上網(wǎng)行為管理必須具有的功能。

不可否認(rèn)，從上網(wǎng)行為管理的基本定義來(lái)看，它確實(shí)與下一代防火墻有著相似之處，早先幾年業(yè)界甚至還有“上網(wǎng)行為管理就是中國(guó)特色下一代防火墻”的論調(diào)。但筆者認(rèn)為，無(wú)論在技術(shù)還是業(yè)務(wù)層面，兩者都不可被彼此取代。從技術(shù)角度看，上網(wǎng)行為管理的核心在于數(shù)據(jù)收集，這個(gè)工作要消耗大量的存儲(chǔ)和計(jì)算資源。以目前網(wǎng)絡(luò)安全硬件平臺(tái)的水平，還難以在合理的價(jià)格范圍內(nèi)將安全業(yè)務(wù)與數(shù)據(jù)收集整合在同一設(shè)備中實(shí)現(xiàn)。所以除了上網(wǎng)行為管理，目前任何主流安全產(chǎn)品都不具有數(shù)據(jù)收集能力，而沒(méi)有數(shù)據(jù)也就談不上審計(jì)和挖掘，無(wú)法在管理上體現(xiàn)出價(jià)值。

在業(yè)務(wù)和對(duì)用戶的價(jià)值層面，下一代防火墻和上網(wǎng)行為管理也有著天壤之別。下一代防火墻注重安全，可以實(shí)現(xiàn)“對(duì)銷售部門員工用MSN接收文件進(jìn)行病毒掃描”這樣的功能;上網(wǎng)行為管理關(guān)注的則是對(duì)人的管理，具有“對(duì)銷售部門員工用Webmail發(fā)送郵件攜帶的附件進(jìn)行審計(jì)并延遲發(fā)送”的能力。從使用者的角色看，一款好的下一代防火墻可以成為CIO和CSO手中保障IT安全的利器;上網(wǎng)行為管理則在某種程度上算是CEO的助手，它的職責(zé)不是捍衛(wèi)IT安全，而是保障合規(guī)及提高效率。這就好比一個(gè)國(guó)家，既需要軍隊(duì)、警察來(lái)攘外安內(nèi)，又需要審計(jì)和監(jiān)察部門來(lái)維持有序高效地運(yùn)轉(zhuǎn)。哪個(gè)都重要，哪個(gè)都不能少。#p#

大眾市場(chǎng)的寵兒

對(duì)用戶存在價(jià)值，就會(huì)有自己的市場(chǎng)地位。但近些年來(lái)，業(yè)界主流聲音還是來(lái)自于防火墻、IPS等老面孔，甚至端點(diǎn)安全解決方案都借BYOD的東風(fēng)一度成為市場(chǎng)焦點(diǎn)。默默無(wú)聞的上網(wǎng)行為管理，是否只是活躍于特定領(lǐng)域中的小眾產(chǎn)品呢?

這顯然是種錯(cuò)覺(jué)。實(shí)際上對(duì)于任何用戶來(lái)說(shuō)，他有可能不存在安全需求，但不管其規(guī)模大小，總會(huì)存在管理需求。但現(xiàn)實(shí)情況是，如今有越來(lái)越多的產(chǎn)品從各個(gè)角度捍衛(wèi)著IT安全，相對(duì)落后的管理手段反倒成為許多用戶在信息化時(shí)代的短板，這也是上網(wǎng)行為管理市場(chǎng)需求逐年增加的原因。

IDC安全領(lǐng)域資深研究經(jīng)理王培在交流中分享了這樣一些數(shù)據(jù)：2012年，國(guó)內(nèi)安全內(nèi)容管理硬件市場(chǎng)的整體規(guī)模達(dá)到9541萬(wàn)美元，其中上網(wǎng)行為管理占據(jù)了主導(dǎo)地位，市場(chǎng)規(guī)模約為8600萬(wàn)美元。這個(gè)數(shù)字，足以讓上網(wǎng)行為管理緊隨防火墻、UTM和IPS之后，位列整個(gè)中國(guó)IT安全硬件市場(chǎng)的第四把交椅。

王培還認(rèn)為，安全內(nèi)容管理硬件產(chǎn)品的市場(chǎng)需求依然強(qiáng)烈，近兩年得到了政府、金融、制造等行業(yè)用戶的高度認(rèn)可，政府以及行業(yè)法規(guī)的推動(dòng)將加速此市場(chǎng)的發(fā)展。特別是以上網(wǎng)行為管理產(chǎn)品，通過(guò)優(yōu)化上網(wǎng)管理，有效提高了企業(yè)內(nèi)部 IT 資源的使用。未來(lái)安全內(nèi)容管理硬件市場(chǎng)將繼續(xù)保持快速增長(zhǎng)，預(yù)計(jì) 2013 年該市場(chǎng)的增長(zhǎng)率高達(dá)25%。需要注意的是中小企業(yè)對(duì)此類產(chǎn)品日益增加的需求，但其普及速度可能不會(huì)太快，并且在產(chǎn)品部署模式上也更加多樣化。輕網(wǎng)關(guān)、重云端的實(shí)現(xiàn)方式，也許是產(chǎn)品形態(tài)變化的重要方向。

眾所周知，在國(guó)內(nèi)信息安全市場(chǎng)中，得行業(yè)者得天下。筆者十分認(rèn)同IDC提到的“政府以及行業(yè)法規(guī)”對(duì)上網(wǎng)行為管理市場(chǎng)的催化效應(yīng)，等級(jí)保護(hù)的推廣實(shí)施將是此類產(chǎn)品拓展市場(chǎng)的一大助力。從等保二級(jí)開(kāi)始，就對(duì)企事業(yè)單位信息系統(tǒng)的全方位審計(jì)有了明確要求，而在涉及網(wǎng)絡(luò)行為審計(jì)的場(chǎng)景中，上網(wǎng)行為管理可憑其強(qiáng)大的數(shù)據(jù)收集與審計(jì)能力滿足用戶需求。大連市政府網(wǎng)站管理中心的耿昭主任就曾在交流中有過(guò)精確地總結(jié)：對(duì)于等保在網(wǎng)絡(luò)審計(jì)方面的合規(guī)要求，上網(wǎng)行為管理是不二之選。

一切數(shù)據(jù)都表明，上網(wǎng)行為管理產(chǎn)品前景光明，遠(yuǎn)未達(dá)到市場(chǎng)天花板。它如此低調(diào)，只能說(shuō)是在受本土需求驅(qū)動(dòng)的同時(shí)，也繼承了國(guó)人低調(diào)做事、低調(diào)掙錢的光榮傳統(tǒng)。筆者甚至認(rèn)為，相對(duì)于競(jìng)爭(zhēng)充分的“安全”市場(chǎng)，“管理”市場(chǎng)的開(kāi)墾顯得并不成熟。在安全需求得到滿足后，用戶必然會(huì)著眼于緩解日益激化的管理矛盾。這也意味著，以管理為價(jià)值體現(xiàn)層面的上網(wǎng)行為管理產(chǎn)品，無(wú)論對(duì)中小企業(yè)還是行業(yè)用戶，都會(huì)有越來(lái)越多的吸引力。

對(duì)于愈發(fā)增長(zhǎng)的市場(chǎng)需求，主流上網(wǎng)行為管理提供商也有著清醒的認(rèn)識(shí)。網(wǎng)康科技ICG產(chǎn)品總監(jiān)楊東曉就表示，一方面，面對(duì)互聯(lián)網(wǎng)在業(yè)務(wù)開(kāi)展中作用的日益提升，以及不斷完善的效率與合規(guī)性要求，會(huì)有越來(lái)越多的用戶對(duì)上網(wǎng)行為管理產(chǎn)品產(chǎn)生剛性需求。另一方面，上網(wǎng)行為管理產(chǎn)品必須在功能上與時(shí)俱進(jìn)，才能滿足用戶需求，甚至為用戶創(chuàng)造額外的價(jià)值。該公司的ICG系列上網(wǎng)行為管理產(chǎn)品就有著明確的短期與長(zhǎng)期規(guī)劃，力圖在滿足時(shí)下用戶亟需的移動(dòng)終端/移動(dòng)應(yīng)用管理審計(jì)和準(zhǔn)入控制需求的同時(shí)，重點(diǎn)針對(duì)未來(lái)可預(yù)見(jiàn)的數(shù)據(jù)分析需求做出有益嘗試。

楊東曉的判斷與萊克斯科技董事長(zhǎng)尹志超不謀而合，除了肯定上網(wǎng)行為管理廣闊的市場(chǎng)前景和技術(shù)發(fā)展路線外，尹志超還認(rèn)為上網(wǎng)行為管理相比其它安全產(chǎn)品，與用戶業(yè)務(wù)的結(jié)合度更高，目前的通用型產(chǎn)品會(huì)逐漸出現(xiàn)行業(yè)細(xì)分，甚至可能會(huì)出現(xiàn)針對(duì)特定行業(yè)需求的定制化版本。深信服則將近期的著眼點(diǎn)放在加強(qiáng)上網(wǎng)行為管理產(chǎn)品的用戶體驗(yàn)方面，通過(guò)關(guān)聯(lián)合并針對(duì)云化應(yīng)用的不同特征庫(kù)，以及根據(jù)應(yīng)用性質(zhì)界定的多維標(biāo)簽，希望為用戶帶來(lái)更好的使用體驗(yàn)。

由于在產(chǎn)業(yè)結(jié)構(gòu)中所處位置的關(guān)系，代理商對(duì)一款產(chǎn)品的市場(chǎng)機(jī)會(huì)往往比廠商更加敏感。對(duì)于上網(wǎng)行為管理的前景，很多代理商在交流中都表現(xiàn)出非常樂(lè)觀的態(tài)度，其中有這樣一段話給筆者的印象十分深刻：“剛開(kāi)始賣上網(wǎng)行為管理的時(shí)候，產(chǎn)品的功能就已經(jīng)不少了，我們還擔(dān)心用戶用不上、不好推;結(jié)果這么多年來(lái)，產(chǎn)品功能不斷增加，還是沒(méi)能追上用戶的需求。這種情況少說(shuō)還得持續(xù)幾年，移動(dòng)終端、移動(dòng)應(yīng)用等新需求的出現(xiàn)會(huì)給行為管理帶來(lái)更多的市場(chǎng)機(jī)會(huì)。”#p#

未來(lái)之路

在需求導(dǎo)向的安全市場(chǎng)，廠商和渠道都只是受益者，無(wú)法決定上網(wǎng)行為管理的未來(lái)。需求都是用戶創(chuàng)造出來(lái)的，所以上網(wǎng)行為管理未來(lái)路在何方，完全要由用戶說(shuō)了算。

有鑒于此，筆者在專題制作過(guò)程中對(duì)一些已部署過(guò)上網(wǎng)行為管理的企事業(yè)單位進(jìn)行了調(diào)研，實(shí)地了解了此類產(chǎn)品正在發(fā)揮的作用及用戶對(duì)它的看法。總體看來(lái)，用戶對(duì)上網(wǎng)行為管理產(chǎn)品的感受與期待要遠(yuǎn)遠(yuǎn)多于其它安全產(chǎn)品，其原因可以用某用戶交流時(shí)說(shuō)過(guò)的一句話來(lái)概括：“幾乎所有安全產(chǎn)品都是給IT打補(bǔ)丁的，唯獨(dú)上網(wǎng)行為管理堪稱有手藝的裁縫，只要IT和管理層提想法，它就能夠量體裁衣。”

(圖片引用自互聯(lián)網(wǎng))

非常精辟的總結(jié)，一語(yǔ)道破安全和管理的根本差異。筆者在調(diào)研中就有一個(gè)特別明顯的感受：就像本文開(kāi)頭的案例中描述得一樣，IT人員主要對(duì)網(wǎng)絡(luò)管理、優(yōu)化相關(guān)的功能表現(xiàn)出強(qiáng)烈關(guān)注，管理團(tuán)隊(duì)則格外看重審計(jì)報(bào)告、數(shù)據(jù)分析等決策輔助功能。來(lái)自后者的反饋更具活力(很多都是具有創(chuàng)新精神的功能建議)，昭示著未來(lái)上網(wǎng)行為管理的發(fā)展將從對(duì)網(wǎng)絡(luò)的管理轉(zhuǎn)向?qū)θ说墓芾怼Ｉ暇W(wǎng)行為管理這個(gè)稱謂看來(lái)也用不長(zhǎng)久，未來(lái)也許得換成諸如“企業(yè)信息化管理”這樣的名字。

那么從管理角度出發(fā)，用戶又存在哪些需求?目前的上網(wǎng)行為管理產(chǎn)品又能滿足幾分呢?筆者歸納出一些具有代表性的觀點(diǎn)，希望能將上網(wǎng)行為管理的未來(lái)之路描繪得更加清晰。需要理解的是，因交流中涉及到一些與業(yè)務(wù)緊密相關(guān)的信息，不少用戶僅愿匿名接受采訪，筆者稍后都做了相應(yīng)處理。

人(User)

上網(wǎng)控制也好，合規(guī)審計(jì)也好，它們最終都必然被關(guān)聯(lián)用戶的具體身份，所以人才是上網(wǎng)行為管理最終的作用對(duì)象。而人是依靠設(shè)備接入網(wǎng)絡(luò)的，隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái)，對(duì)BYOD(尤其是移動(dòng)終端)的管理幾乎成了所有受訪者的共同需求。

(圖片引用自互聯(lián)網(wǎng))

出于保密等方面的考慮，一些企業(yè)針對(duì)BYOD制訂了嚴(yán)格的訪問(wèn)控制策略。陽(yáng)光保險(xiǎn)就是一個(gè)典型用戶，據(jù)信息技術(shù)中心李少武介紹，為防止業(yè)務(wù)數(shù)據(jù)泄露，行政部門要求禁止未備案的設(shè)備私自接入網(wǎng)絡(luò)。他們希望并且最終也成功利用上網(wǎng)行為管理實(shí)現(xiàn)了這一要求，相比其它類型的解決方案配置管理更加靈活，性價(jià)比也更高。李少武還認(rèn)為，雖然部分下一代防火墻也具有對(duì)移動(dòng)終端的識(shí)別控制能力，但由于部署位置的關(guān)系，來(lái)自企業(yè)內(nèi)網(wǎng)的互聯(lián)網(wǎng)訪問(wèn)請(qǐng)求會(huì)先到達(dá)上網(wǎng)行為管理，它理應(yīng)成為身份認(rèn)證與準(zhǔn)入控制的核心。某廣告設(shè)計(jì)公司的CEO則認(rèn)為，移動(dòng)終端接入企業(yè)網(wǎng)絡(luò)后的行為大多與業(yè)務(wù)無(wú)關(guān)，索性直接要求IT部門用上網(wǎng)行為管理屏蔽了手機(jī)、平板電腦等移動(dòng)終端訪問(wèn)互聯(lián)網(wǎng)。

也有部分企業(yè)對(duì)BYOD表現(xiàn)得比較友好，但這無(wú)疑為管理制造了難度。京東商城楊剛就提出了不少需要上網(wǎng)行為管理提供支持的特性，例如需將屬于同一個(gè)人的多臺(tái)設(shè)備進(jìn)行關(guān)聯(lián)，執(zhí)行同樣的管理與審計(jì)策略;對(duì)不同系統(tǒng)、不同類型的終端提供更友好的認(rèn)證支持等。他還特別強(qiáng)調(diào)上網(wǎng)行為管理需要加強(qiáng)與外部系統(tǒng)協(xié)同認(rèn)證的能力，以保證筆記本電腦在采用不同認(rèn)證系統(tǒng)的有線/無(wú)線網(wǎng)絡(luò)中切換時(shí)，單點(diǎn)登錄的有效性及身份的統(tǒng)一。在接受采訪的用戶中，楊剛這一觀點(diǎn)很具有代表性。

除了認(rèn)證方面的需求，移動(dòng)終端的普及也使得位置成為上網(wǎng)行為管理必須能夠感知到的重要元素。北京實(shí)用美術(shù)職業(yè)學(xué)校信息中心的程士斌老師就提出，希望能夠根據(jù)無(wú)線終端在校園內(nèi)不同的接入位置，執(zhí)行不同的流量控制與審計(jì)策略。而北京某大型購(gòu)物中心則更進(jìn)一步，已經(jīng)利用上網(wǎng)行為管理實(shí)現(xiàn)了對(duì)不同樓層接入用戶彈出帶有針對(duì)性廣告的認(rèn)證頁(yè)的功能。

其實(shí)，對(duì)移動(dòng)終端的控制可以看做傳統(tǒng)訪問(wèn)控制策略的延伸。安全設(shè)備實(shí)際上提供的是訪問(wèn)控制和安全防護(hù)兩類功能，對(duì)于前者來(lái)說(shuō)，上網(wǎng)行為管理目前并不弱于下一代防火墻，相反在很多細(xì)節(jié)上做得更好。實(shí)際上，調(diào)研中接觸到的很多用戶，都已經(jīng)把針對(duì)辦公網(wǎng)制訂的訪問(wèn)控制策略遷移到上網(wǎng)行為管理設(shè)備中。

應(yīng)用(App)

從技術(shù)角度看，上網(wǎng)行為管理、流控與下一代防火墻都以應(yīng)用識(shí)別為根本，但要論對(duì)應(yīng)用流量的管理優(yōu)化，上網(wǎng)行為管理體現(xiàn)出的能力則遠(yuǎn)遠(yuǎn)不是主打安全的下一代防火墻和主打流量控制的流控產(chǎn)品所能比擬的。

(圖片引用自互聯(lián)網(wǎng))

國(guó)內(nèi)某著名互聯(lián)網(wǎng)企業(yè)的IT運(yùn)維主管在交流中就分享了這樣一個(gè)案例：P2P下載造成出口擁塞是長(zhǎng)期以來(lái)令他最頭疼的問(wèn)題，他曾經(jīng)嘗試為P2P流量設(shè)定了非常小的帶寬上限，卻很快引發(fā)大量投訴，原因是很多員工抱怨下載業(yè)務(wù)數(shù)據(jù)時(shí)的速度也嚴(yán)重變慢。最后，他使用了上網(wǎng)行為管理提供的下載配額功能，為每個(gè)員工每天限定了合理的下載配額，既保證了P2P下載業(yè)務(wù)數(shù)據(jù)時(shí)的速度，又有效遏制了網(wǎng)絡(luò)濫用行為的發(fā)生。

無(wú)獨(dú)有偶，程士斌老師在交流中也提到了類似的需求。學(xué)校提供網(wǎng)絡(luò)接入環(huán)境，主要目的還是為了提升學(xué)生的學(xué)習(xí)效率，并不鼓勵(lì)用來(lái)做太多與學(xué)習(xí)無(wú)關(guān)的事情。他對(duì)于P2P的管控思路，是利用上網(wǎng)行為管理對(duì)每個(gè)學(xué)生每月的P2P流量設(shè)定配額，如果超出，再對(duì)該該學(xué)生執(zhí)行相對(duì)嚴(yán)格的P2P限速策略。

除了應(yīng)用流量層面，一些用戶還利用上網(wǎng)行為管理對(duì)網(wǎng)絡(luò)訪問(wèn)行為實(shí)現(xiàn)更細(xì)粒度的控制，以滿足特定的業(yè)務(wù)需要。某圖書(shū)館就曾出現(xiàn)過(guò)個(gè)別讀者惡意超量下載國(guó)外收費(fèi)數(shù)據(jù)庫(kù)中的資料，導(dǎo)致服務(wù)被數(shù)據(jù)提供方中斷的事故。由于電子閱覽室提供了無(wú)線接入，大部分讀者都通過(guò)自帶設(shè)備訪問(wèn)網(wǎng)絡(luò)，無(wú)法進(jìn)行終端層面的限制。最終，IT人員利用部署在網(wǎng)絡(luò)出口的上網(wǎng)行為管理產(chǎn)品，通過(guò)身份認(rèn)證(基于借閱證)、多線程下載控制和HTTP下載頻率控制功能實(shí)現(xiàn)了文獻(xiàn)下載的精細(xì)化管理，有效遏制了惡意下載行為。

上網(wǎng)行為管理賦予IT部門更強(qiáng)大的訪問(wèn)控制能力，但即便是再詳細(xì)的訪問(wèn)控制策略，效果也趕不上基于應(yīng)用的白名單訪問(wèn)控制。楊剛就是這個(gè)思路堅(jiān)定的支持者，據(jù)他介紹，京東商城利用上網(wǎng)行為管理對(duì)員工訪問(wèn)互聯(lián)網(wǎng)實(shí)現(xiàn)了針對(duì)應(yīng)用的白名單控制，只為每個(gè)員工開(kāi)啟他們業(yè)務(wù)需要的應(yīng)用類型，再輔以全方位的審計(jì)，從根本上保證了工作效率，也在一定程度上減少了安全隱患。實(shí)際上，調(diào)研中很多用戶都承認(rèn)對(duì)應(yīng)用白名單的思路充滿興趣，但實(shí)施過(guò)程中在技術(shù)與管理方面可能出現(xiàn)的不必要的麻煩，是做出決策時(shí)的最大阻力。#p#

安全(Security)

雖然前文中討論過(guò)上網(wǎng)行為管理產(chǎn)品與其它安全產(chǎn)品的獨(dú)立關(guān)系，但用戶在交流中也提出些不同看法，有必要在此全面闡述。

不少用戶認(rèn)為，低端上網(wǎng)行為管理與其它安全產(chǎn)品存在融合的必要。楊剛就是這種觀點(diǎn)的支持者，在他眼中，企業(yè)遠(yuǎn)程分支的網(wǎng)絡(luò)規(guī)模通常不大，出口帶寬也有限，需要的是功能高度整合、易于管理且價(jià)格相對(duì)低廉的產(chǎn)品。如果只用一臺(tái)設(shè)備就能同時(shí)滿足安全(例如，VPN)與管理方面的需求，還能提供無(wú)線接入，則是最優(yōu)之選。

與行業(yè)/企業(yè)用戶的遠(yuǎn)程分支相比，中小企業(yè)在安全方面的需求則更小。格物資訊之前的調(diào)研結(jié)果顯示，大部分中小企業(yè)都不存在安全方面的剛性需求。楊東曉在采訪中也提供了這樣一組數(shù)據(jù)：根據(jù)網(wǎng)康科技的調(diào)研結(jié)論，在50-200人規(guī)模的企業(yè)中，管理需求占到整個(gè)IT需求的80%以上;安全需求則相對(duì)簡(jiǎn)單，低端企業(yè)級(jí)路由器甚至都可滿足。上網(wǎng)行為管理是否能搶灘中小企業(yè)市場(chǎng)，很大程度上取決于管理層是否能意識(shí)到該產(chǎn)品在管理上體現(xiàn)出的價(jià)值。

某互聯(lián)網(wǎng)領(lǐng)域新貴的IT運(yùn)維人員就用親身經(jīng)歷印證了這一觀點(diǎn)：由于出口帶寬嚴(yán)重?fù)砣麕状蜗蝾I(lǐng)導(dǎo)打報(bào)告申請(qǐng)購(gòu)買流控產(chǎn)品，得到的批復(fù)都是“再等等，看看有沒(méi)有更便宜的”。但領(lǐng)導(dǎo)后來(lái)聽(tīng)取了關(guān)于上網(wǎng)行為管理的選購(gòu)建議后，對(duì)該產(chǎn)品“能看到并且約束員工行為”的能力表現(xiàn)出極大的興趣，非常痛快地批準(zhǔn)了采購(gòu)。單從價(jià)格方面考量，上網(wǎng)行為管理比流控還要貴上不少，正是在管理方面能體現(xiàn)出的價(jià)值，使其獲得了截然不同的待遇。

對(duì)于APT等更復(fù)雜、更隱蔽的安全威脅來(lái)說(shuō)，防火墻、IPS這種作用在橫向平面的產(chǎn)品基本是無(wú)效的，目前業(yè)界比較公認(rèn)的思路是基于數(shù)據(jù)分析實(shí)現(xiàn)主動(dòng)防御，將攻擊發(fā)現(xiàn)并終結(jié)在關(guān)鍵步驟之前。可以看到，一些行業(yè)領(lǐng)導(dǎo)廠商已經(jīng)開(kāi)始在下一代防火墻等產(chǎn)品上提供關(guān)聯(lián)分析特性，以期達(dá)到事前預(yù)防的效果。但說(shuō)到數(shù)據(jù)分析，哪種安全產(chǎn)品又能比以數(shù)據(jù)收集為基礎(chǔ)的上網(wǎng)行為管理更強(qiáng)大呢?

某高校信息中心主任坦言，上網(wǎng)行為管理的“管理”角色深入身心，在一定程度上掩蓋了它在安全方面的潛力。既然通過(guò)上網(wǎng)行為管理能看到一些不安全的跡象，就沒(méi)有理由視而不見(jiàn)。耿昭主任也認(rèn)為，APT對(duì)于安全設(shè)備來(lái)說(shuō)是威脅，對(duì)于上網(wǎng)行為管理來(lái)說(shuō)則是不正常行為，如果能綜合來(lái)自安全和管理兩個(gè)角度的數(shù)據(jù)分析結(jié)果，顯然可以讓對(duì)攻擊滲透的判斷變得更加準(zhǔn)確。

(圖片引用自互聯(lián)網(wǎng))

耿昭主任的觀點(diǎn)有著強(qiáng)有力的事實(shí)佐證。據(jù)介紹，大連市政府網(wǎng)站管理中心前些年部署了專業(yè)的基于行為分析機(jī)制的木馬檢測(cè)系統(tǒng)，但由于準(zhǔn)確性方面的考量，很難推動(dòng)對(duì)報(bào)警IP的逐一排查工作。此后不久，他們也得到了上網(wǎng)行為管理提供的疑似木馬分析結(jié)果，發(fā)現(xiàn)兩份報(bào)表中的重合部分高達(dá)80%。在對(duì)一些重合樣本進(jìn)行了強(qiáng)制處理(病毒查殺或重裝系統(tǒng))后，這些IP再也沒(méi)有出現(xiàn)在兩大系統(tǒng)的報(bào)警名單中。目前，大連市政府網(wǎng)站管理中心已經(jīng)形成了明確的制度，對(duì)同時(shí)出現(xiàn)在兩份報(bào)表中的IP規(guī)定了自查、斷網(wǎng)、行政溝通等一系列處理步驟。這種規(guī)范化的流程，無(wú)疑對(duì)安全威脅起到很好的事前預(yù)防效果。

后記

上網(wǎng)行為管理誕生至今已有十個(gè)年頭，技術(shù)日臻完善，產(chǎn)品相對(duì)成熟，有著廣闊的市場(chǎng)空間。目前的主流產(chǎn)品可以滿足從基本的訪問(wèn)控制、網(wǎng)絡(luò)優(yōu)化、審計(jì)到與業(yè)務(wù)相關(guān)的管理、數(shù)據(jù)分析、趨勢(shì)預(yù)測(cè)等各方面需求，已逐漸成為企業(yè)與行業(yè)用戶網(wǎng)絡(luò)中的標(biāo)配產(chǎn)品。

在調(diào)研中，無(wú)論是用戶、廠商還是渠道，都對(duì)上網(wǎng)行為管理繼續(xù)表現(xiàn)出極高的熱情，這在一定程度上也是市場(chǎng)活躍、需求旺盛的表現(xiàn)。可以預(yù)見(jiàn)，上網(wǎng)行為管理將隨著企業(yè)信息化程度的不斷加深及數(shù)據(jù)分析機(jī)制的引入迎來(lái)又一個(gè)高速發(fā)展期，最終成為任何用戶IT架構(gòu)中不可或缺的組成部分。

從網(wǎng)康科技分享的內(nèi)部CRM匯總數(shù)據(jù)來(lái)看，新的高速發(fā)展期已經(jīng)揭開(kāi)序幕。該公司的上網(wǎng)行為管理產(chǎn)品在政府、金融、運(yùn)營(yíng)商、教育、交通、醫(yī)療、制造業(yè)、電子商務(wù)等主要行業(yè)中有著越來(lái)越廣泛的應(yīng)用，客戶中不乏中國(guó)五百?gòu)?qiáng)乃至世界五百?gòu)?qiáng)企業(yè)的身影;其應(yīng)用場(chǎng)景也拓展到包括信息安全、網(wǎng)絡(luò)優(yōu)化、企業(yè)管理在內(nèi)的各個(gè)領(lǐng)域，成為客戶IT架構(gòu)中不可或缺的標(biāo)配產(chǎn)品。對(duì)于上網(wǎng)行為管理的未來(lái)，楊東曉則代表網(wǎng)康科技給出了十分肯定的態(tài)度：“我們認(rèn)為，隨著兩化融合、大數(shù)據(jù)、移動(dòng)互聯(lián)、云計(jì)算、物聯(lián)網(wǎng)等技術(shù)的飛速發(fā)展，整個(gè)社會(huì)都呈現(xiàn)出了信息化和網(wǎng)絡(luò)化的特征。這也讓上網(wǎng)行為管理扮演著越來(lái)越重要的角色，我們對(duì)這一市場(chǎng)的長(zhǎng)期高速發(fā)展充滿信心。”

必須清楚地認(rèn)識(shí)到，用戶不斷變化的IT需求和管理需求才是上網(wǎng)行為管理產(chǎn)品進(jìn)一步發(fā)展的動(dòng)力。本文采訪一些用戶的目的，就是想通過(guò)該產(chǎn)品目前的應(yīng)用現(xiàn)狀，將上網(wǎng)行為管理的未來(lái)描繪得更加清晰。同時(shí)，筆者也希望能夠拋磚引玉，讓更多已部署該產(chǎn)品的用戶加入討論，讓未部署該產(chǎn)品的用戶關(guān)注到自身的管理需求，共同推動(dòng)上網(wǎng)行為管理產(chǎn)品的發(fā)展。