江明

摘 要

本文詳細(xì)講述了深信服行為管理設(shè)備在一家上市制藥公司，通過(guò)網(wǎng)絡(luò)行為訪問(wèn)控制分組所起到的重要作用。實(shí)施內(nèi)部網(wǎng)絡(luò)行為管理系統(tǒng)。有效的形成內(nèi)部人員上網(wǎng)規(guī)范、降低木馬入侵對(duì)計(jì)算機(jī)系統(tǒng)的破壞概率，很大程度上提高了員工的工作效率。

【關(guān)鍵詞】深信服 行為管理 分組

1 背景

據(jù) IDC 調(diào)查結(jié)果顯示：

如圖1所示，員工30% ～40% 的互聯(lián)網(wǎng)使用花費(fèi)在新聞、娛樂(lè)、購(gòu)物、無(wú)意義的閑聊（QQ、MSN）等于工作無(wú)關(guān)的活動(dòng)上 濫用互聯(lián)網(wǎng)對(duì)企業(yè)產(chǎn)生的負(fù)面影響。

深信服最大亮點(diǎn)就是將管理控制手段做得更加細(xì)致化，人性化；針對(duì)不同客戶群體進(jìn)行功能設(shè)計(jì)，使客戶可以選擇個(gè)性化的功能方案，進(jìn)一步滿足客戶的差異化需求；針對(duì)這些亮點(diǎn)作者所在公司互聯(lián)網(wǎng)出口帶寬有限的情況下，為了更好的滿足公司廣大員工對(duì)互聯(lián)網(wǎng)訪問(wèn)的需求，同時(shí)，也為了防止因管理不力造成網(wǎng)絡(luò)阻塞，影響公司工作正常運(yùn)轉(zhuǎn)，決定對(duì)互聯(lián)網(wǎng)訪問(wèn)權(quán)限進(jìn)行規(guī)范管理。作者所在的信息部經(jīng)過(guò)反復(fù)斟酌、并報(bào)上級(jí)領(lǐng)導(dǎo)批準(zhǔn)對(duì)公司內(nèi)部員工進(jìn)行了全面的網(wǎng)絡(luò)權(quán)限調(diào)整。決定采用深信服行為控制解決方案并對(duì)現(xiàn)有的訪問(wèn)控制組進(jìn)行重新分組。

2 具體分組方案

目前公司采用的是電信50MB光釬、移動(dòng)100MB光釬、聯(lián)通50MB光釬接入，通過(guò)深信服下一代防火墻接入公司內(nèi)網(wǎng)，旁路鏈接深信服AC1800設(shè)備。

2.1 按權(quán)限進(jìn)行分組

公司互聯(lián)網(wǎng)訪問(wèn)權(quán)限除信息中心和高管外劃分為三類，即不限時(shí)間上網(wǎng)權(quán)限、有限制時(shí)間上網(wǎng)權(quán)限、無(wú)上網(wǎng)權(quán)限三種。不限制時(shí)間上網(wǎng)權(quán)限對(duì)互聯(lián)網(wǎng)的訪問(wèn)不受時(shí)間限制，有限制時(shí)間上網(wǎng)權(quán)限每天對(duì)互聯(lián)網(wǎng)的訪問(wèn)時(shí)長(zhǎng)不超過(guò)2小時(shí)，無(wú)上網(wǎng)權(quán)限禁止對(duì)互聯(lián)網(wǎng)的訪問(wèn)。其中QQ用戶組和外來(lái)人員屬于無(wú)限制上網(wǎng)權(quán)限類型。

（1）信息中心組：上網(wǎng)無(wú)限時(shí)，但對(duì)P2P軟件下載進(jìn)行限制。

（2）高管組：上網(wǎng)無(wú)限時(shí)，但對(duì)P2P軟件下載進(jìn)行限制。

（3）QQ無(wú)限時(shí)組：上網(wǎng)無(wú)限時(shí)，可以上QQ，但是聊天內(nèi)容信息中心進(jìn)行監(jiān)制。同時(shí)不可以進(jìn)行P2P軟件下載。

（4）無(wú)限時(shí)用戶組：上網(wǎng)無(wú)限時(shí)，但不可以上QQ，不可以進(jìn)行P2P軟件下載。

（5）默認(rèn)組：只可以上公司內(nèi)網(wǎng)（如企業(yè)內(nèi)部網(wǎng)站，rtx.oa.edp.drp系統(tǒng)），不能上其他外網(wǎng)。

2.2 按員工的工作性質(zhì)進(jìn)行分組

除高管層和信息中心之外，其余員工將通過(guò)與互聯(lián)網(wǎng)的密切程度進(jìn)行分級(jí)：

（1）一級(jí)員工：與互聯(lián)網(wǎng)有密切關(guān)系的員工，將開(kāi)通無(wú)限時(shí)QQ、P2P流媒體、B2B支付、下載、金融操作權(quán)限。如：招商部的招商代表，推廣部的推廣內(nèi)勤，營(yíng)銷管理部信息商務(wù)管理人員，及各部門領(lǐng)導(dǎo)。

（2）二級(jí)員工：與互聯(lián)網(wǎng)有部分關(guān)系的員工，將根據(jù)具體情況開(kāi)通兩小時(shí)或四小時(shí)用戶。如：各行管，研究人員，一般將分于兩小時(shí)或四小時(shí)外網(wǎng)時(shí)間開(kāi)通QQ、B2B支付、單線程下載權(quán)限。

（3）三級(jí)員工：與互聯(lián)網(wǎng)毫無(wú)關(guān)系的員工和掌握公司重要數(shù)據(jù)信息的員工，只可以上公司日常辦公內(nèi)網(wǎng)，不能上其他外網(wǎng)。如：生產(chǎn)科室員工、財(cái)務(wù)部門，研發(fā)系統(tǒng)部分實(shí)驗(yàn)室電腦。

如員工有特殊工作要求要開(kāi)通流媒體觀看，飛信等聊天軟件，則需在OA上申請(qǐng)，待部門領(lǐng)導(dǎo)同意方可開(kāi)通。

2.3 按出口路由進(jìn)行分組

（1）公司業(yè)務(wù)系統(tǒng)、各大銀行、國(guó)家官方網(wǎng)上辦公系統(tǒng)全部分配為電信路由。

（2）日常網(wǎng)站、WEB80端口訪問(wèn)、下載分配為聯(lián)通路由。

（3）影音、多媒體、下載則分配移動(dòng)路由。

2.4 按照內(nèi)部用戶線路流量進(jìn)行分組

為了保證公司網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行對(duì)部分用戶組進(jìn)行流量控制。

2.4.1 2小時(shí)用戶、外來(lái)人員用戶、QQ無(wú)限時(shí)間用戶：

（1）流量控制為限制帶寬。

（2）限制上行帶寬不超過(guò)總帶寬的： 10 % 即640 KB/s 。

（3）限制下行帶寬不超過(guò)總帶寬的： 10 %即640 KB/s 。

（4）限制單用戶最高帶寬： 上行256 KB/s下行 512KB/s。

（5）說(shuō)明：該用戶組基本與工作無(wú)密切關(guān)系、QQ用戶也是傳遞與對(duì)方業(yè)務(wù)客戶的文檔文件，但同時(shí)QQ屬于主動(dòng)式聊天工具，極容易感染病毒。因此權(quán)限設(shè)置相對(duì)嚴(yán)格、流量也相應(yīng)的降低、保證其安全性同時(shí)又不影響正常使用。

2.4.2 無(wú)限時(shí)間、無(wú)線用戶

（1）流量控制為限制帶寬。

（2）限制上行帶寬不超過(guò)總帶寬的：10% 640 KB/s 。

（3）限制下行帶寬不超過(guò)總帶寬的：20% 1280 KB/s 。

（4）限制單用戶最高帶寬： 上行256KB/s下行 1024KB/s。

（5）說(shuō)明：該組用戶基本上為公司中層領(lǐng)導(dǎo)以及與互聯(lián)網(wǎng)有密切關(guān)系的員工，此類用戶用于上網(wǎng)查詢資料范圍廣泛、對(duì)速度有一定的要求所以因此相應(yīng)的權(quán)限有所放寬、并使其帶寬達(dá)到正常的高速寬帶水平。

2.4.3 視頻會(huì)議用戶

（1）流量控制為帶寬保證。

（2）帶寬分配策略類型：帶寬保證 。

（3）帶寬保證策略：動(dòng)態(tài)保證 。

（4）優(yōu)先級(jí)：優(yōu)先級(jí)1 。

（5）保證上行帶寬不低于總帶寬的：70% 4480 KB/s 。

（6）保證下行帶寬不低于總帶寬的：50% 3200 KB/s 。

（7）在線用戶分配策略：平均分配。

（8）說(shuō)明：視頻系統(tǒng)終端對(duì)網(wǎng)絡(luò)帶寬和開(kāi)放的端口要求很高、因此采取無(wú)任何限制保證終端設(shè)備正常使用。同時(shí)分配策略采取平均分配，充分保證視頻會(huì)議的正常運(yùn)行。

3 實(shí)施效果

實(shí)施上述方案后，基本上能為作者所在企業(yè)的辦公電腦提供了一個(gè)正常健康的辦公環(huán)境，主要表現(xiàn)在以下方面：

（1）網(wǎng)絡(luò)滿足全廠不同人員在企業(yè)局域網(wǎng)絡(luò)內(nèi)辦公的需求，接入因特網(wǎng)的速度也比較滿意；

（2）基本杜絕了大規(guī)模的病毒爆發(fā)；

（3）PC專注業(yè)務(wù)性和管控性加強(qiáng)。

隨著Internet接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給企業(yè)的網(wǎng)絡(luò)帶來(lái)了更高的危險(xiǎn)性、復(fù)雜性和混亂性，再加上內(nèi)部員工的不當(dāng)操作使信息維護(hù)人員疲于奔命。作者所在公司將借助深信服AC上網(wǎng)行為管理設(shè)備，通過(guò)合理的設(shè)置分組訪問(wèn)權(quán)限，杜絕了員工對(duì)不良網(wǎng)站和危險(xiǎn)資源的訪問(wèn)，并控制用BT、電驢等亂下載對(duì)企業(yè)網(wǎng)絡(luò)帶來(lái)的安全隱患。

作者單位

江蘇康緣藥業(yè)股份有限公司 江蘇省連云港市 222000endprint