一、上网行为管理与企业竞争力

　　随着internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在idc对全世界企业网络使用情况的调查中发现，在上班工作时间里非法使用邮件、浏览非法web网站、进行音乐/电影等bt下载或者在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。据idc的数据统计，企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。这些员工随意使用网络将导致三个问题：(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。

　　企业网作为一个开放的网络系统，运行状况愈来愈复杂。企业的it管理者如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题(如病毒、木马造成的网络异常)，并进行快速的故障定位，这一切都是对企业网信息安全管理的挑战，这些问题包括：

　　·it管理员如何对企业网络效能行为进行统计、分析和评估?

　　·it管理员如何限制一些非工作上网行为和非正常上网行为(如色情网站)，如何监控、控制和引导员工正确使用网络?

　　·it管理员如何杜绝员工通过电子邮件、msn等途径泄漏企业内部机密资料?

　　·it管理员如何在万一发生问题时有一个证据或依据?

　　二、互联网管理的好帮手——sinfor ac上网行为管理系统

　　网络作为信息时代企业的生产工具，同样面临着适当监控、合理使用的问题。在美国和欧洲，有80%的企业对员工的互联网活动进行监视，而且这一举措得到了法律条文上的支持。随着中国加入wto，经济领域的国际竞争进一步加剧，国内的企业也需要认真考虑合理使用网络资源，充分提高企业竞争力的问题。

　　尤其值得注意的是，中国员工比其它地区的员工每周多花7.6小时的时间来使用im、玩游戏、p2p软件或流动媒体。互联网滥用，给中国企业带来了巨大的损失。

　　因此，如何有效地解决这些问题，以便提高员工的工作效率，降低企业的安全风险，减少企业的损失，已经成为中国企业迫在眉睫的紧要任务。当前内网安全管理也随之提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。越来越多的企事业单位需要对内网进行统一管理以调整网络资源的合理利用。

　　针对内网安全上的这些问题，sinfor m5*000-ac系列utm安全网关是一个非常好的解决方案。在内部安全的上网行为管理(网络安全审计)上，为保证企业合理使用internet资源，防止企业信息资产泄漏，sinfor ac安全网关提供了完善的访问控制功能。通过合理设置访问权限，能够杜绝对不良网站和危险资源的访问，防止p2p软件对企业网络带来的安全风险。通过带宽管理和访问跟踪技术，能有效防止对internet资源的滥用。sinfor ac安全网关独特的敏感内容拦截和安全审计功能更为防止保密信息泄漏提供了最有效的保证。

　　此外，作为一个utm整合式设备，sinfor ac安全网关还提供了丰富的外部安全保障措施。除了强大的vpn模块和防火墙模块之外，sinfor ac安全网关还集成了来自欧洲的领先病毒厂商f-prot的杀毒引擎，对内网用户接收的邮件和下载的文件进行病毒过滤，降低了内网用户感染病毒的风险。另外，强大的垃圾邮件过滤功能将大量垃圾邮件拒之门外，也大大提高了员工使用internet的办公效率。同时sinfor ac安全网关还提供了高效的ips(入侵防御系统)功能，能有效识别和抵御3000多种攻击，更大范围的保护了企业连接到internet的安全。

　　三、某某公司网络现状及sinfor ac解决方案

　　简单描述客户的网络现状及需要解决的问题，针对这些问题提出深信服的解决方案，并提供一个针对该方案的网络拓扑图。

　　某某公司简介。

　　随着业务的发展，信息化建设步伐的加快，某某公司的网络安全问题也日益严峻，虽然在网络出口处已部署了专门的防火墙设备，但无孔不入的病毒(尤其是木马病毒)、垃圾邮件仍然大肆泛滥，严重影响了企业应用系统的运行和公司业务的正常运作;另外，在针对内网的安全方面(尤其是pc客户端准入安全检查)，由于缺少专门的客户端安全检查设备，无法有效的保护整个局域网的安全性。

　　根据某某公司的网络环境和实际应用，需要部署如下安全设备：

　　(1)在公司网络出口处部署专门的杀毒网关对过往数据进行杀毒，以便配合原有的symantec网络版杀毒;

　　说明：主机防病毒(网络版杀毒软件)和网关防病毒的互补

　　主机防病毒(网络版杀毒软件，如symantec、mcafee等)主要是针对主机进行防范，需要每台电脑都部署专门的客户端，这样对于没有安装客户端的电脑主机还是有可能在上internet的时候感染上病毒，另外对于没有及时升级最新杀毒版本的电脑主机也同样有可能会感染上病毒，从而导致整个局域网中毒。

　　网关防病毒对所有流经网关的网络数据，都会经过杀毒处理，可以有效避免没有安装杀毒客户端或没有升级最新杀毒版本的电脑发生的中毒事故。但是网关防病毒主要是防范通过网关传播的病毒，对于网络内部通过u盘、软盘等移动存储介质、局域网文件共享等途径传播的病毒，是网关防病毒鞭长莫及的，必须要通过主机防病毒才可以补充防范。

　　可见，以上两种杀毒模式各有侧重点，很难说那种模式更好;针对当前日益严峻的网络安全现状，建议同时能够部署主机防病毒(网络版杀毒软件)和网关防病毒设备。

　　(2)部署防垃圾邮件设备对垃圾邮件进行过虑;

　　(3)部署互联网访问行为管理设备，对通过网关发送出去的相关数据、文件进行内容过虑，对内网用户的相关访问行为进行跟踪，以提高对internet资源的使用效率;

　　(4)部署客户端安全检查设备(并集成ips/防ddos攻击功能)，能够对pc客户端的安全性进行检查，对不符合安全的pc机可以自动切断其连接ineternet，以便整体提高局域网的安全性，另外要能集成ips及防ddos攻击功能，能比较有效的防御木马的攻击。

　　传统的it解决方案中，需要对网关杀毒、防垃圾邮件、ips、防ddos以及内容过虑、访问跟踪等分别购置多套设备，投入成本巨大。sinfor ac互联网控制设备作为一款utm多功能安全网关，是all in one的解决方案，一个设备解决所有的网络安全问题。

　　另外，sinfor ac还集成了深信服获得国家专利的两项专利技术：“客户端网络访问准入规则”、“邮件延迟审计”，可以提供良好的pc客户端安全检查扫描功能，以及对邮件的延迟审计功能，提高了局域网的整体安全性，并有效保护了企业商业机密的非法外泄。