企业内部上网权限分组方案

摘 要

本文详细讲述了深信服行为管理设备在一家上市制药公司，通过网络行为访问控制分组所起到的重要作用。实施内部网络行为管理系统。有效的形成内部人员上网规范、降低木马入侵对计算机系统的破坏概率，很大程度上提高了员工的工作效率。

【关键词】深信服 行为管理 分组

1 背景

据 IDC 调查结果显示：

如图1所示，员工30% ～40% 的互联网使用花费在新闻、娱乐、购物、无意义的闲聊（QQ、MSN）等于工作无关的活动上 滥用互联网对企业产生的负面影响。

深信服最大亮点就是将管理控制手段做得更加细致化，人性化；针对不同客户群体进行功能设计，使客户可以选择个性化的功能方案，进一步满足客户的差异化需求；针对这些亮点作者所在公司互联网出口带宽有限的情况下，为了更好的满足公司广大员工对互联网访问的需求，同时，也为了防止因管理不力造成网络阻塞，影响公司工作正常运转，决定对互联网访问权限进行规范管理。作者所在的信息部经过反复斟酌、并报上级领导批准对公司内部员工进行了全面的网络权限调整。决定采用深信服行为控制解决方案并对现有的访问控制组进行重新分组。

2 具体分组方案

目前公司采用的是电信50MB光钎、移动100MB光钎、联通50MB光钎接入，通过深信服下一代防火墙接入公司内网，旁路链接深信服AC1800设备。

2.1 按权限进行分组

公司互联网访问权限除信息中心和高管外划分为三类，即不限时间上网权限、有限制时间上网权限、无上网权限三种。不限制时间上网权限对互联网的访问不受时间限制，有限制时间上网权限每天对互联网的访问时长不超过2小时，无上网权限禁止对互联网的访问。其中QQ用户组和外来人员属于无限制上网权限类型。

（1）信息中心组：上网无限时，但对P2P软件下载进行限制。

（2）高管组：上网无限时，但对P2P软件下载进行限制。

（3）QQ无限时组：上网无限时，可以上QQ，但是聊天内容信息中心进行监制。同时不可以进行P2P软件下载。

（4）无限时用户组：上网无限时，但不可以上QQ，不可以进行P2P软件下载。

（5）默认组：只可以上公司内网（如企业内部网站，rtx.oa.edp.drp系统），不能上其他外网。

2.2 按员工的工作性质进行分组

除高管层和信息中心之外，其余员工将通过与互联网的密切程度进行分级：

（1）一级员工：与互联网有密切关系的员工，将开通无限时QQ、P2P流媒体、B2B支付、下载、金融操作权限。如：招商部的招商代表，推广部的推广内勤，营销管理部信息商务管理人员，及各部门领导。

（2）二级员工：与互联网有部分关系的员工，将根据具体情况开通两小时或四小时用户。如：各行管，研究人员，一般将分于两小时或四小时外网时间开通QQ、B2B支付、单线程下载权限。

（3）三级员工：与互联网毫无关系的员工和掌握公司重要数据信息的员工，只可以上公司日常办公内网，不能上其他外网。如：生产科室员工、财务部门，研发系统部分实验室电脑。

如员工有特殊工作要求要开通流媒体观看，飞信等聊天软件，则需在OA上申请，待部门领导同意方可开通。

2.3 按出口路由进行分组

（1）公司业务系统、各大银行、国家官方网上办公系统全部分配为电信路由。

（2）日常网站、WEB80端口访问、下载分配为联通路由。

（3）影音、多媒体、下载则分配移动路由。

2.4 按照内部用户线路流量进行分组

为了保证公司网络系统正常运行对部分用户组进行流量控制。

2.4.1 2小时用户、外来人员用户、QQ无限时间用户：

（1）流量控制为限制带宽。

（2）限制上行带宽不超过总带宽的： 10 % 即640 KB/s 。

（3）限制下行带宽不超过总带宽的： 10 %即640 KB/s 。

（4）限制单用户最高带宽： 上行256 KB/s下行 512KB/s。

（5）说明：该用户组基本与工作无密切关系、QQ用户也是传递与对方业务客户的文档文件，但同时QQ属于主动式聊天工具，极容易感染病毒。因此权限设置相对严格、流量也相应的降低、保证其安全性同时又不影响正常使用。

2.4.2 无限时间、无线用户

（1）流量控制为限制带宽。

（2）限制上行带宽不超过总带宽的：10% 640 KB/s 。

（3）限制下行带宽不超过总带宽的：20% 1280 KB/s 。

（4）限制单用户最高带宽： 上行256KB/s下行 1024KB/s。

（5）说明：该组用户基本上为公司中层领导以及与互联网有密切关系的员工，此类用户用于上网查询资料范围广泛、对速度有一定的要求所以因此相应的权限有所放宽、并使其带宽达到正常的高速宽带水平。

2.4.3 视频会议用户

（1）流量控制为带宽保证。

（2）带宽分配策略类型：带宽保证 。

（3）带宽保证策略：动态保证 。

（4）优先级：优先级1 。

（5）保证上行带宽不低于总带宽的：70% 4480 KB/s 。

（6）保证下行带宽不低于总带宽的：50% 3200 KB/s 。

（7）在线用户分配策略：平均分配。

（8）说明：视频系统终端对网络带宽和开放的端口要求很高、因此采取无任何限制保证终端设备正常使用。同时分配策略采取平均分配，充分保证视频会议的正常运行。

3 实施效果

实施上述方案后，基本上能为作者所在企业的办公电脑提供了一个正常健康的办公环境，主要表现在以下方面：

（1）网络满足全厂不同人员在企业局域网络内办公的需求，接入因特网的速度也比较满意；

（2）基本杜绝了大规模的病毒爆发；

（3）PC专注业务性和管控性加强。

随着Internet接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业的网络带来了更高的危险性、复杂性和混乱性，再加上内部员工的不当操作使信息维护人员疲于奔命。作者所在公司将借助深信服AC上网行为管理设备，通过合理的设置分组访问权限，杜绝了员工对不良网站和危险资源的访问，并控制用BT、电驴等乱下载对企业网络带来的安全隐患。

作者单位

江苏康缘药业股份有限公司 江苏省连云港市 222000