企業內部上網權限分組方案

江明

摘 要

本文詳細講述了深信服行為管理設備在一家上市制藥公司，通過網絡行為訪問控制分組所起到的重要作用。實施內部網絡行為管理系統。有效的形成內部人員上網規范、降低木馬入侵對計算機系統的破壞概率，很大程度上提高了員工的工作效率。

【關鍵詞】深信服 行為管理 分組

1 背景

據 IDC 調查結果顯示：

如圖1所示，員工30% ～40% 的互聯網使用花費在新聞、娛樂、購物、無意義的閑聊（QQ、MSN）等于工作無關的活動上 濫用互聯網對企業產生的負面影響。

深信服最大亮點就是將管理控制手段做得更加細致化，人性化；針對不同客戶群體進行功能設計，使客戶可以選擇個性化的功能方案，進一步滿足客戶的差異化需求；針對這些亮點作者所在公司互聯網出口帶寬有限的情況下，為了更好的滿足公司廣大員工對互聯網訪問的需求，同時，也為了防止因管理不力造成網絡阻塞，影響公司工作正常運轉，決定對互聯網訪問權限進行規范管理。作者所在的信息部經過反復斟酌、并報上級領導批準對公司內部員工進行了全面的網絡權限調整。決定采用深信服行為控制解決方案并對現有的訪問控制組進行重新分組。

2 具體分組方案

目前公司采用的是電信50MB光釬、移動100MB光釬、聯通50MB光釬接入，通過深信服下一代防火墻接入公司內網，旁路鏈接深信服AC1800設備。

2.1 按權限進行分組

公司互聯網訪問權限除信息中心和高管外劃分為三類，即不限時間上網權限、有限制時間上網權限、無上網權限三種。不限制時間上網權限對互聯網的訪問不受時間限制，有限制時間上網權限每天對互聯網的訪問時長不超過2小時，無上網權限禁止對互聯網的訪問。其中QQ用戶組和外來人員屬于無限制上網權限類型。

（1）信息中心組：上網無限時，但對P2P軟件下載進行限制。

（2）高管組：上網無限時，但對P2P軟件下載進行限制。

（3）QQ無限時組：上網無限時，可以上QQ，但是聊天內容信息中心進行監制。同時不可以進行P2P軟件下載。

（4）無限時用戶組：上網無限時，但不可以上QQ，不可以進行P2P軟件下載。

（5）默認組：只可以上公司內網（如企業內部網站，rtx.oa.edp.drp系統），不能上其他外網。

2.2 按員工的工作性質進行分組

除高管層和信息中心之外，其余員工將通過與互聯網的密切程度進行分級：

（1）一級員工：與互聯網有密切關系的員工，將開通無限時QQ、P2P流媒體、B2B支付、下載、金融操作權限。如：招商部的招商代表，推廣部的推廣內勤，營銷管理部信息商務管理人員，及各部門領導。

（2）二級員工：與互聯網有部分關系的員工，將根據具體情況開通兩小時或四小時用戶。如：各行管，研究人員，一般將分于兩小時或四小時外網時間開通QQ、B2B支付、單線程下載權限。

（3）三級員工：與互聯網毫無關系的員工和掌握公司重要數據信息的員工，只可以上公司日常辦公內網，不能上其他外網。如：生產科室員工、財務部門，研發系統部分實驗室電腦。

如員工有特殊工作要求要開通流媒體觀看，飛信等聊天軟件，則需在OA上申請，待部門領導同意方可開通。

2.3 按出口路由進行分組

（1）公司業務系統、各大銀行、國家官方網上辦公系統全部分配為電信路由。

（2）日常網站、WEB80端口訪問、下載分配為聯通路由。

（3）影音、多媒體、下載則分配移動路由。

2.4 按照內部用戶線路流量進行分組

為了保證公司網絡系統正常運行對部分用戶組進行流量控制。

2.4.1 2小時用戶、外來人員用戶、QQ無限時間用戶：

（1）流量控制為限制帶寬。

（2）限制上行帶寬不超過總帶寬的： 10 % 即640 KB/s 。

（3）限制下行帶寬不超過總帶寬的： 10 %即640 KB/s 。

（4）限制單用戶最高帶寬： 上行256 KB/s下行 512KB/s。

（5）說明：該用戶組基本與工作無密切關系、QQ用戶也是傳遞與對方業務客戶的文檔文件，但同時QQ屬于主動式聊天工具，極容易感染病毒。因此權限設置相對嚴格、流量也相應的降低、保證其安全性同時又不影響正常使用。

2.4.2 無限時間、無線用戶

（1）流量控制為限制帶寬。

（2）限制上行帶寬不超過總帶寬的：10% 640 KB/s 。

（3）限制下行帶寬不超過總帶寬的：20% 1280 KB/s 。

（4）限制單用戶最高帶寬： 上行256KB/s下行 1024KB/s。

（5）說明：該組用戶基本上為公司中層領導以及與互聯網有密切關系的員工，此類用戶用于上網查詢資料范圍廣泛、對速度有一定的要求所以因此相應的權限有所放寬、并使其帶寬達到正常的高速寬帶水平。

2.4.3 視頻會議用戶

（1）流量控制為帶寬保證。

（2）帶寬分配策略類型：帶寬保證 。

（3）帶寬保證策略：動態保證 。

（4）優先級：優先級1 。

（5）保證上行帶寬不低于總帶寬的：70% 4480 KB/s 。

（6）保證下行帶寬不低于總帶寬的：50% 3200 KB/s 。

（7）在線用戶分配策略：平均分配。

（8）說明：視頻系統終端對網絡帶寬和開放的端口要求很高、因此采取無任何限制保證終端設備正常使用。同時分配策略采取平均分配，充分保證視頻會議的正常運行。

3 實施效果

實施上述方案后，基本上能為作者所在企業的辦公電腦提供了一個正常健康的辦公環境，主要表現在以下方面：

（1）網絡滿足全廠不同人員在企業局域網絡內辦公的需求，接入因特網的速度也比較滿意；

（2）基本杜絕了大規模的病毒爆發；

（3）PC專注業務性和管控性加強。

隨著Internet接入的普及和帶寬的增加，一方面員工上網的條件得到改善，另一方面也給企業的網絡帶來了更高的危險性、復雜性和混亂性，再加上內部員工的不當操作使信息維護人員疲于奔命。作者所在公司將借助深信服AC上網行為管理設備，通過合理的設置分組訪問權限，杜絕了員工對不良網站和危險資源的訪問，并控制用BT、電驢等亂下載對企業網絡帶來的安全隱患。

作者單位

江蘇康緣藥業股份有限公司 江蘇省連云港市 222000endprint