摘 要

本文詳細(xì)講述了深信服行為管理設(shè)備在一家上市制藥公司，通過網(wǎng)絡(luò)行為訪問控制分組所起到的重要作用。實施內(nèi)部網(wǎng)絡(luò)行為管理系統(tǒng)。有效的形成內(nèi)部人員上網(wǎng)規(guī)范、降低木馬入侵對計算機(jī)系統(tǒng)的破壞概率，很大程度上提高了員工的工作效率。

【關(guān)鍵詞】深信服 行為管理 分組

1 背景

據(jù) IDC 調(diào)查結(jié)果顯示：

如圖1所示，員工30% ～40% 的互聯(lián)網(wǎng)使用花費(fèi)在新聞、娛樂、購物、無意義的閑聊（QQ、MSN）等于工作無關(guān)的活動上 濫用互聯(lián)網(wǎng)對企業(yè)產(chǎn)生的負(fù)面影響。

深信服最大亮點(diǎn)就是將管理控制手段做得更加細(xì)致化，人性化；針對不同客戶群體進(jìn)行功能設(shè)計，使客戶可以選擇個性化的功能方案，進(jìn)一步滿足客戶的差異化需求；針對這些亮點(diǎn)作者所在公司互聯(lián)網(wǎng)出口帶寬有限的情況下，為了更好的滿足公司廣大員工對互聯(lián)網(wǎng)訪問的需求，同時，也為了防止因管理不力造成網(wǎng)絡(luò)阻塞，影響公司工作正常運(yùn)轉(zhuǎn)，決定對互聯(lián)網(wǎng)訪問權(quán)限進(jìn)行規(guī)范管理。作者所在的信息部經(jīng)過反復(fù)斟酌、并報上級領(lǐng)導(dǎo)批準(zhǔn)對公司內(nèi)部員工進(jìn)行了全面的網(wǎng)絡(luò)權(quán)限調(diào)整。決定采用深信服行為控制解決方案并對現(xiàn)有的訪問控制組進(jìn)行重新分組。

2 具體分組方案

目前公司采用的是電信50MB光釬、移動100MB光釬、聯(lián)通50MB光釬接入，通過深信服下一代防火墻接入公司內(nèi)網(wǎng)，旁路鏈接深信服AC1800設(shè)備。

2.1 按權(quán)限進(jìn)行分組

公司互聯(lián)網(wǎng)訪問權(quán)限除信息中心和高管外劃分為三類，即不限時間上網(wǎng)權(quán)限、有限制時間上網(wǎng)權(quán)限、無上網(wǎng)權(quán)限三種。不限制時間上網(wǎng)權(quán)限對互聯(lián)網(wǎng)的訪問不受時間限制，有限制時間上網(wǎng)權(quán)限每天對互聯(lián)網(wǎng)的訪問時長不超過2小時，無上網(wǎng)權(quán)限禁止對互聯(lián)網(wǎng)的訪問。其中QQ用戶組和外來人員屬于無限制上網(wǎng)權(quán)限類型。

（1）信息中心組：上網(wǎng)無限時，但對P2P軟件下載進(jìn)行限制。

（2）高管組：上網(wǎng)無限時，但對P2P軟件下載進(jìn)行限制。

（3）QQ無限時組：上網(wǎng)無限時，可以上QQ，但是聊天內(nèi)容信息中心進(jìn)行監(jiān)制。同時不可以進(jìn)行P2P軟件下載。

（4）無限時用戶組：上網(wǎng)無限時，但不可以上QQ，不可以進(jìn)行P2P軟件下載。

（5）默認(rèn)組：只可以上公司內(nèi)網(wǎng)（如企業(yè)內(nèi)部網(wǎng)站，rtx.oa.edp.drp系統(tǒng)），不能上其他外網(wǎng)。

2.2 按員工的工作性質(zhì)進(jìn)行分組

除高管層和信息中心之外，其余員工將通過與互聯(lián)網(wǎng)的密切程度進(jìn)行分級：

（1）一級員工：與互聯(lián)網(wǎng)有密切關(guān)系的員工，將開通無限時QQ、P2P流媒體、B2B支付、下載、金融操作權(quán)限。如：招商部的招商代表，推廣部的推廣內(nèi)勤，營銷管理部信息商務(wù)管理人員，及各部門領(lǐng)導(dǎo)。

（2）二級員工：與互聯(lián)網(wǎng)有部分關(guān)系的員工，將根據(jù)具體情況開通兩小時或四小時用戶。如：各行管，研究人員，一般將分于兩小時或四小時外網(wǎng)時間開通QQ、B2B支付、單線程下載權(quán)限。

（3）三級員工：與互聯(lián)網(wǎng)毫無關(guān)系的員工和掌握公司重要數(shù)據(jù)信息的員工，只可以上公司日常辦公內(nèi)網(wǎng)，不能上其他外網(wǎng)。如：生產(chǎn)科室員工、財務(wù)部門，研發(fā)系統(tǒng)部分實驗室電腦。

如員工有特殊工作要求要開通流媒體觀看，飛信等聊天軟件，則需在OA上申請，待部門領(lǐng)導(dǎo)同意方可開通。

2.3 按出口路由進(jìn)行分組

（1）公司業(yè)務(wù)系統(tǒng)、各大銀行、國家官方網(wǎng)上辦公系統(tǒng)全部分配為電信路由。

（2）日常網(wǎng)站、WEB80端口訪問、下載分配為聯(lián)通路由。

（3）影音、多媒體、下載則分配移動路由。

2.4 按照內(nèi)部用戶線路流量進(jìn)行分組

為了保證公司網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行對部分用戶組進(jìn)行流量控制。

2.4.1 2小時用戶、外來人員用戶、QQ無限時間用戶：

（1）流量控制為限制帶寬。

（2）限制上行帶寬不超過總帶寬的： 10 % 即640 KB/s 。

（3）限制下行帶寬不超過總帶寬的： 10 %即640 KB/s 。

（4）限制單用戶最高帶寬： 上行256 KB/s下行 512KB/s。

（5）說明：該用戶組基本與工作無密切關(guān)系、QQ用戶也是傳遞與對方業(yè)務(wù)客戶的文檔文件，但同時QQ屬于主動式聊天工具，極容易感染病毒。因此權(quán)限設(shè)置相對嚴(yán)格、流量也相應(yīng)的降低、保證其安全性同時又不影響正常使用。

2.4.2 無限時間、無線用戶

（1）流量控制為限制帶寬。

（2）限制上行帶寬不超過總帶寬的：10% 640 KB/s 。

（3）限制下行帶寬不超過總帶寬的：20% 1280 KB/s 。

（4）限制單用戶最高帶寬： 上行256KB/s下行 1024KB/s。

（5）說明：該組用戶基本上為公司中層領(lǐng)導(dǎo)以及與互聯(lián)網(wǎng)有密切關(guān)系的員工，此類用戶用于上網(wǎng)查詢資料范圍廣泛、對速度有一定的要求所以因此相應(yīng)的權(quán)限有所放寬、并使其帶寬達(dá)到正常的高速寬帶水平。

2.4.3 視頻會議用戶

（1）流量控制為帶寬保證。

（2）帶寬分配策略類型：帶寬保證 。

（3）帶寬保證策略：動態(tài)保證 。

（4）優(yōu)先級：優(yōu)先級1 。

（5）保證上行帶寬不低于總帶寬的：70% 4480 KB/s 。

（6）保證下行帶寬不低于總帶寬的：50% 3200 KB/s 。

（7）在線用戶分配策略：平均分配。

（8）說明：視頻系統(tǒng)終端對網(wǎng)絡(luò)帶寬和開放的端口要求很高、因此采取無任何限制保證終端設(shè)備正常使用。同時分配策略采取平均分配，充分保證視頻會議的正常運(yùn)行。

3 實施效果

實施上述方案后，基本上能為作者所在企業(yè)的辦公電腦提供了一個正常健康的辦公環(huán)境，主要表現(xiàn)在以下方面：

（1）網(wǎng)絡(luò)滿足全廠不同人員在企業(yè)局域網(wǎng)絡(luò)內(nèi)辦公的需求，接入因特網(wǎng)的速度也比較滿意；

（2）基本杜絕了大規(guī)模的病毒爆發(fā)；

（3）PC專注業(yè)務(wù)性和管控性加強(qiáng)。

隨著Internet接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給企業(yè)的網(wǎng)絡(luò)帶來了更高的危險性、復(fù)雜性和混亂性，再加上內(nèi)部員工的不當(dāng)操作使信息維護(hù)人員疲于奔命。作者所在公司將借助深信服AC上網(wǎng)行為管理設(shè)備，通過合理的設(shè)置分組訪問權(quán)限，杜絕了員工對不良網(wǎng)站和危險資源的訪問，并控制用BT、電驢等亂下載對企業(yè)網(wǎng)絡(luò)帶來的安全隱患。

作者單位

江蘇康緣藥業(yè)股份有限公司 江蘇省連云港市 222000

推薦訪問： 企業(yè)內(nèi)部 分組 權(quán)限 上網(wǎng) 方案