正在阅读：百卓:兰州窑街煤电集团上网行为管理案例百卓:兰州窑街煤电集团上网行为管理案例

　　兰州窑街煤电集团有限公司是由始建于1958年的窑街矿务局整体改制并由甘肃省人民政府、中国信达资产管理公司、中国华融资产管理公司、中国建设银行共同出资，重组成立的股份制大型能源企业。截止2009年6月末，集团公司建成27个工业生产及多种经营、后勤服务单位，现有员工15498人，资产总额51.22亿元，集团公司名列全国煤炭工业100强企业。

网络现状及需求分析

　　窑街煤电集团网络由集团办公网及家属小区宽带网两部分组成，这两部分网络分别通过两个独立的出口连接到互联网，且每条出口链路分别配置一台防火墙作为该出口的网关设备，内部网络通过交换机进行互连和接入，家属小区宽带实行上网认证收费。

兰州窑街煤电网络拓扑图（方案实施前）

　　建网初期，由于接入用户数较少，且网络应用较为简单，网络运行状况良好。近年来随着网络规模的不断扩大、网络范围的不断延伸以及企业信息化建设的持续深入，网络接入人数及网络应用都在大量增长。此时前期网络建设时简单的建网思路和粗放的网络管理手段导致各种网络问题逐渐突显，其主要问题体现为：

　　办公网中部分员工利用工作时间上网玩游戏、聊天、炒股、看娱乐新闻等工作无关的网络行为严重影响了其它员工的工作积极性、降低了企业的生产效率。

　　办公网中毫无管制的网络应用及上网行为成为企业内部重要信息泄密的潜在途径。

　　部分思想不端正的员工经常通过网络论坛发表言论，搬弄企业内部是非或发表其它不良言论，严重损坏企业形象，破坏企业内部团结并导致企业承担潜在法律风险。

　　大量无节制的P2P应用流量侵占了办公网及小区宽带网的出口带宽资源，经常造成网络拥塞，导致办公网中的关键业务系统无法正常运行，并影响小区宽带网的游戏和网页浏览等大量正常应用。另外，过大的流量也导致网络出口防火墙负载过重，CPU利用率居高不下，严重影响网络质量。

　　家属小区宽带网中存在多人共享上网及利用以个人名义申请的宽带网络私自开设黑网吧牟取私利的现象。这直接影响了集团的网络运营收入，同时黑网吧的开设也违反了国家关于公共网络安全接入的相关法律、法规要求，使得企业集团背负潜在的法律风险。

方案介绍

兰州窑街煤电网络拓扑图（方案实施后）

　　接到项目任务后，百卓网络公司通过对项目需求的充分理解和认真分析并借鉴公司多年来在同类项目中的实施经验，提出通过部署PatrolFlow1000多业务应用安全网关并制定相应的流量管理、应用控制、内容审计、防共享上网等策略综合解决客户需求问题。

　　在此项目的具体实施过程中我们首先需求考虑的是设备采用那种工作模式接入原有网络中。通过与用户网络管理员的充分沟通，得知他们希望在满足应用需求的前提下新设备的部署对其原有网络影响最小化。因此，本项目中百卓网络公司建议设备采用桥接模式进行部署，从而确保网络中原有设备的功能和配置不变，并同时能够实现用户的应用需求。设备部署位置选择在两台出口防火墙与核心交换机之间，并通过在设备中创建两个桥组，实现在同一设备中将两个不同的互联网出口进行分离，从而避免它们之间的流量发生干扰。

　　针对影响企业生产力的问题，百卓网络公司提出采用疏堵结合的管理思想，并通过PatrolFlow1000灵活的应用控制和URL阻断控制策略实现。具体实施措施为：在上班时间针对办公区网络接口（此需求不涉及小区宽带网）实施URL分类和网络应用控制，从而禁止员工访问工作无关的页面和应用，以确保员工在上班时间将主要精力专注于本职业务工作，排除工作无关上网行为对企业生产力的影响。但在下班时间则放开相关限制，使得员工可以进行网上娱乐，放松身心。

　　对于企业内部重要信息泄密问题，则采用内容过滤和审计相结合的手段实现。PatrolFlow1000可以全面记录文件传输及邮件收发等与信息泄露相关应用的详细信息。其中可记录的邮件收发应用信息包括：收发邮箱地址、邮件标题、邮件正文、附件内容、附件名称、附件大小、附件文件格式等内容。同时设备还可对各种应用提供基于内容的关键字过滤。在本项目中我们一方面通过关键字过滤功能禁止包含已知敏感关键字的数据发送，同时通过内容审计功能实现当出现信息泄露时提供事后追查取证的依据。

　　针对论坛发帖问题，建议采取与上述控制信息泄密相似的手段实现。一方面通过过滤已知敏感关键字的论坛发帖实现主动防御，另一方面通过对论坛发帖内容的记录和审计达到事后追查目的。从而静化企业网络环境，避规由不良言论导致的潜在法律风险。

　　由于企业内部员工工作过程中存在需要通过P2P应用下载资料的需求。同时，作为为家庭用户提供上网冲浪需求的小区宽带网，P2P应用也是必不可少。因此，百卓公司建议采用针对P2P应用进行带宽限制的手段进行解决，同时针对企业关键业务还可以结合QOS服务质量保障进一步确保企业关键业务的正常运行。

　　为了解决小区宽带网中多用户共享上网和黑网吧问题，PatrolFlow1000提供独具百卓特色的防共享上网功能。百卓防共享上网技术可以检测并控制客户端单网卡、双网卡代理共享上网以及通过宽带路由器进行NAT转换等多种常见共享上网方式。并且部署简单，识别准确度高、不依赖于任何软件环境，对用户完全透明。同时对违规用户提供警告、警告且不允许上网、警告但允许上网等三种管控机制。

实施效果

　　通过在用户网络中部署PatrolFlow1000并实施上述管控策略，彻底解决了用户网络存在的问题，并达到以下使用效果。

　　彻底解决企业员工上班时间工作效率低下问题，营造了良好的工作氛围，提升了企业综合竞争力。

　　有效修补企业内网信息安全短板，封堵了企业内网泄密途径，从而增强企业网络信息安全。

　　规范了企业内部的论坛发帖行为，静化了企业网络环境，并有效避规由不良言论导致的潜在法律风险。

　　网络流量得到了科学合理的管控，企业关键业务运行得到了保障，小区宽带网络的运营质量得到有效提升。另外，出口防火墙负载恢复正常。

　　多用户共享上网及黑网吧问题彻底解决，网络开户率及营业收入有较明显提升，并根除了黑网吧滋生的土壤。