八种手段打造安全高效的企业上网环境

　　对多数企业来说，垃圾邮件，恶意网站，网上欺诈，网络病毒无时无刻不在困扰着企业互联网用户，那么，如何绕开这些互联网弊端，充分享受互联网给组织带来的方便与高效，从而全方位打造安全高效的上网环境呢？下面8种手段或许能给你答案

　　这是一个充满变革的时代，94年一条64k的数据线第一次将我国接入世界，到今天，从政府，企业，医疗，教育，各行各业都广泛的使用互联网来获取无数的信息和机会。对多数企业来说，互联网不仅带来了丰富的网上资源，也把信息化带进了企业，使得企业传统运作方式面临深刻的变革。互联网极大地陈低了组织的运营和沟通成本，利用互联网，大多数员工可以更高效率的完成工作。

　　但是，互联网也给组织和企业带来前所未有的威胁。全天候24个小时在网络上流动的内容当中，存在着太多的风险，垃圾邮件，恶意网站，网上欺诈，网络病毒无时无刻不在困扰着互联网用户，而另外一方面，网络滥用行为，包括恶意的p2p下载，网络游戏，IM等娱乐应用挤占了组织有限的业务带宽，同样导致网络应用效率低下。那么，如何绕开这些互联网弊端，充分享受互联网给组织带来的方便与高效，从而全方位打造安全高效的上网环境呢？下面8种手段或许能给你答案。

　　一、提升边界防御

　　防火墙，IDS、IPS，是解决网络安全问题的基础设备，他们所具备的过滤、安全功能能够抵抗大多数来自外网的攻击。配备这些传统的网络防护设备，实现面向网络层的访问控制，是企业安全上网的前提。然而，在应用形式及其格式以爆炸速度增长的今天，许多互联网危害隐患存在于应用层中，仅仅依照第三层信息决定其是否准入，实在无法满足安全的要求，我们还需要细粒度的应用层策略控制。

　　IDC的调查报告显示，至2006年，有超过90％的病毒将互联网作为其传播入口，通过电子邮件和网络进行病毒传播的比例正逐步攀升，在网络入口处把住病毒入侵的关口成了当务之急，你需要部署一个有效的网关级杀毒引擎。

　　二、上网终端管理

　　网络边缘的外围设备再先进也无法保护内部网段，来自局域网内部的滥用、破坏也是威胁上网安全的重要因素，客户端的安全级别往往难以保证，这对于内网用户数量众多的组织更为如此。缺乏安全措施的单机，比如使用陈旧的操作系统、长时间不更新个人防火墙和杀毒软件、应用具有潜在安全漏洞的软件，都将成为局域网安全中一颗颗隐藏的炸弹。

　　为上网终端配置网络准入规则，通过对单点的安全评估和访问策略列表可以实现全方位的安全防护。对终端的安全策略列表应该包括操作系统、运行程序、系统进程、注册表等。

　　三、有害内容过滤

　　互联网是一个不可控的黑洞，无数不怀好意的网站使你上网冲浪时如履薄冰。URL库过滤技术近年来得到广泛采纳，采用该技术将包含潜在威胁的网站拦截在外是保障上网安全的有效方式之一，当然，还应该考虑到一些钓鱼网站采用的是SSL加密页面，所以还需要结合证书验证，链接黑白名单等措施。

　　对文件下载传输行为进行规范也是必要的，将关键字、文件类型、网络服务与IP地址组进行关联，规范下载策略，可以控制大部分由主动下载造成的损害。

　　四、垃圾邮件过滤

　　还有一些不那么“有害”的信息——垃圾邮件，虽然未必会造成安全隐患，但却能导致带宽利用率，更重要的是工作效率的低下。必须找到一种区分垃圾邮件、正常邮件、可疑邮件的有效手段，比如垃圾邮件指纹识别技术，减少误判的随机特征码智能应答技术等。

　　五、优化带宽资源

　　不管采取什么方式上网，带宽终究是有限的，在无法改变带宽的前提下，如何优化带宽资源，使其效率最高，是必须解决的问题。但现实的问题是，网管员对自己单位内部的带宽利用情况无从获知，就更谈不上改善了。要做到优化带宽资源，首先要考察内网网络使用情况，并形成可供决策的报表。

　　针对网内一些重要的网络服务，采用QOS技术可以保证重要的服务先行，避免垃圾流量挤占重要服务的带宽。

　　六、全面应用管理

　　全球每天有120亿条消息通过即时通讯工具（Instant Messaging, IM）被发送，其它网络应用的大量存在，包括网络游戏，在线炒股，p2p下载等，靠封端口，封服务器地址等方法在一定程度上有效，但多是治标不治本。更有效的封堵方法主要有两种，一种是基于应用协议和数据包的智能分析，另一种是针对流量进行检测。前者是通过分析IP数据包首部的服务类型、协议、源地址、目的地址以及数据包的数据部分，能够更好的发现特定服务。后者对特定用户的网络连接情况进行分析，当网络流量和网络连接超出规定的阀值时，用户的行为将被限制流量。

　　七、外发信息审计

　　互联网对企业一个重要的危害是信息的过度流动。由于它是一个开发系统，只要使用者轻点鼠标，企业与组织的机密信息就能瞬间以光的速度到达竞争对手那里。而一些攻击性，侮辱性的网络漫骂，谣言，可能会导致不必要的内部纠纷。内部员工通过组织网络随意发表的言论，可能给组织带来法律上的风险。

　　要防范这些风险，应该从IM，HTTP,FTP,EMAIL等各个可能的出口，对外发信息进行审计和监控。所采取的措施应该包括记录与保存，对关键字的审计，甚至对一些关键的信息进行延迟审计。

　　八、应用权限设置

　　以上多种手段基本上可以满足一个安全高效的上网环境的建设，然而，一个组织内部，不同部门，不同人员，倘若对网络应用都拥有同样权限，注定会使网络出于低效，危险的境地。

　　对网络用户进行权限设置就是一种分级管理措施。就流量优化而言，传统的带宽管理只能对特定服务分配相应的百分比带宽，属于“一刀切”行为。更具效力的网络流量优化方式是基于用户的流量控制技术，再结合各种不同应用的角色分配，可以有更好效果。具体说来，在广域网的访问中，有些部门的特殊应用是应该而且必须获得独占性资源的，例如总部的管理层同各分公司主管召开的视频会议，而有些部门的非工作相关服务本不应获得更高的带宽，例如采购部门的P2P下载。通过分组流量控制,你可以对不同用户组使用的服务进行精细的带宽分配，保障重要部门的重要服务得到足够带宽。

　　除了服务管理，时间计划是网络管理的重要手段，这包括微观时间管理和宏观时间管理，前者包括将一周中每一天的时间进行划分，在特定时间允许特定部门进行特定活动，后者包括为各个部门的员工设置一周内每天的总上网时间，这是保证网络利用效率最大化的好手段。

　　长期以来，组织管理者为了营造一个安全高效的网络应用环境采取的是传统管理方式，如规章制度，使用守则，奖惩措施。实际上，接铃还需系铃人，信息技术带来的负面影响最终还是要靠信息技术来解决。好的上网环境的建设是一个周密的系统工程。