企业集中上网管控方案建议书.docx

企业集中上网管控

方案建议书

目录

TOC\o1-3\h\z\u一、需求分析 4

二、总体方案 7

三、技术原理 8

1）图像加速 10

2）单点登录 11

3）智能审计 11

4）智能访问 11

5）性能监控 12

6）负载均衡 12

四、附录Citrix公司简介 13

一、需求分析

随着互联网的高速发展，人们可以从互联网获取更多更有效的信息，这些信息对日常工作有很大帮助，例如开发人员可以从互联网获得功能模块、例子代码，可以参与各种讨论组开拓思路；研究人员可以从互联网了解行业的发展动向；市场人员可以从互联网获得竞争对手信息，及时把握市场动态等等。很多重要的信息都来自互联网，但是互联网是把双刃剑，在获取信息的同时也为各种病毒、蠕虫等有害内容的入侵打开了通道。如何安全、高效地管理员工的上网行为成为IT人员面临的一个课题。

不加管理的互联网上网往往会带来如下问题：

被蚕食的网络带宽，BT、电驴等下载软件可能导致关键业务应用系统带宽无法保证。BT、电驴等下载技术使人们可以高速获取海量的网络资源，为在全球范围实现资源共享提供了可能。但事物总是辨证的双刃剑，这些P2P软件的滥用非常消耗组织有限的带宽资源，甚至导致关键业务应用系统无法正常使用。目前市面上也有一些P2P控制工具，但每天互联网上都会有人发布必威体育精装版的P2P软件，这让大多数的P2P控制工具望尘莫及，它们只能封堵“昨天的BT软件”。

上网的客户端安全难以保障，一旦某台终端被感染会导致整个内部网络的不稳定。由于互联网上充斥着各种病毒、蠕虫、木马等恶意程序，用户在不经意之间就有可能感染，虽然部署了严格的防病毒软件但是往往还是会被黑客找到漏洞，因为不能保证每个最终用户都掌握足够的安全知识以确保自己的机器不会被感染。

被耽误的工作效率，上网聊天、购物、游戏等行为严重影响工作效率。在工作时间，太多的人在使用QQ、MSN等聊天工具，也许是在和同事讨论工作，更多的聊天对象却是家人、朋友甚至是陌生人。你无法确定员工何时使用IM软件谈业务，何时用来聊与工作无关的私人话题。很多组织针对此的解决办法是对这些聊天工具进行屏蔽，造成某些确实需要与外界保持联络的部门（比如市场部）怨声载道。网管员往往通过在防火墙里将聊天软件使用的服务器加入黑名单来杜绝IM的使用，或者禁止这些IM软件的端口。但聊天工具层出不穷，QQ、MSN、Skype、网易泡泡……，服务器地址和端口还会经常变换，这导致封服务器地址和端口成为一项持续的高成本工作，而且治标不治本。

被击破的商业机密安全堡垒，通过BBS论坛、外发邮件等导致的组织内部机密信息泄漏越来越普遍。每个组织都有关系自己生死存亡的商业机密资料，比如科研部门的必威体育精装版研究成果、市场部门的必威体育精装版市场战略等，为了保障这些机密信息的不外泄，很多组织都规定了非常严格的必威体育官网网址制度，包括不允许携带摄像机、数码相机甚至带有摄像功能的手机进入公司。但在Internet的面前，这些必威体育官网网址措施并不是“马其诺防线”，很容易就被某些缺乏必威体育官网网址意识的员工通过即时通讯软件、邮件、BBS论坛、员工个人博客等泄漏出去。同时，规模大的组织还面临着人员的流动性问题，组织的商业合作伙伴、第三方审计员、新员工随时可能接入内网，他们可以通过网上邻居下载组织的财务报表或人事档案，然后打包发给你的竞争对手。如何进行防泄密，组织需要在制度和技术措施上有一个相对完整的信息必威体育官网网址体系。

被动引发的法律风险，员工利用公司网络发表反动言论等将导致组织面临法律风险。如果员工在互联网上的言论涉及到违反法律或危害国家安全的事件，员工所在的组织必然会在其中被动的卷入法律风险。

综上所述，网络作为信息时代企业的生产工具，同样面临着适当监控、合理使用的问题。根据IDC的调查，目前在欧洲和美国有80%的公司在监控员工的在线行为，而在世界500强企业中，绝大多数企业对员工的邮件，MSN等上网行为进行监控，而且这一举措得到了法律条文上的支持。

已经有不少组织在着手解决上网管理的问题，例如尝试过物理上的集中上网方案，每个人桌面上的PC是不能直接访问互联网的，上网行为只能在某些固定的PC机上，这种方案并不能根本解决上述问题，反而给最终用户带来很多不便，因此受到较大的抵制，难以推广。

二、总体方案

Citrix集中上网解决方案从原理上解决了上述问题，用户桌面的PC不能直接访问互联网，所有的互联网访问都必须通过发布在CitrixXenApp上的相关应用（例如IE、MSN、QQ、FTP等），管理员可以根据用户的帐号来决定用户是否可以使用特殊的应用（例如只有开发人员可以使用FTP工具）。集中上网的XenApp服务器由管理员统一管理，最终用户只有普通用户权限。

通过这样的改变可以方便地实现