400-099-0376

在线试用
微信扫码联系专属客服
安企神软件官网
首页
下载中心
客户列表
关于安企神

企业机构员工电脑的上网管理方案我的搜狐

2022-07-15
企业 / 机构内部员工电脑的上网管理,常常是管理人员 面临的 两难问题:既要满足网络信息查询和通讯 等正常业务 需要, 又 要保证安全和网络通畅 , 避免 病毒侵入、内部数据资料流出 ,限制 工作时间的娱乐、炒股行为等等。 从理论上讲,通过路由器的设置可以解决大部分问题,但是实际上可操作性很差 ,很难同时满足便捷性与安全性的要求 。为了解决这个矛盾,人们想了种种办法,包括 较彻底的 设立专用上网电脑, 直至内外网的物理隔离,这些都可以说是“ 没有 办法的办法”。


  益和 VA 虚拟应用 管理平台的出现为我们提供了新的思路: 用虚拟化应用的方式,集中部署与外网连接的应用,同时关闭所有虚拟应用与客户端电脑的数据通道,实现内外网隔离,以及外网应用的管理。 示 意 如下 图 :


  益和 VA 虚拟应用的基本原理是:将应用软件安装部署在服务器上,通过 VA 发布应用、建立终端访问账户。终端用户登录 VA 服务器并选择应用程序, 应用程序在服务器 上 运行 ,接受终端用户的鼠标、键盘等操作指令,回传应用程序界面信息,实现虚拟操作应用程序的效果。

  益和 VA 可以 分别针对内外网 、某台服务器的性能和资源进行设置 :


  在上图中,对 VA2K3 这台服务器 串 / 并口、打印机、驱动器 、 USB 、剪贴板 等 映射功能 设置为禁用 , 对访问这台服务器的所有客户端电脑 本地资源 实行了 完全隔离 。 在这台服务器上安装部署诸如 IE ( WWW 浏览器)、 QQ (即时通讯)、 股市交易 等程序, 发布给有需要的员工 。 不仅提供了需要的应用,还能够进行细致的管理,例如 允许某 些 员工在 非工作 时段运行 炒股 软件 等 ,并能进行事后 审计 。

  在这种环境下,由于 内网 所有终端用户仅能通过 VA 专用通讯 协议接口访问 VA 服务器, 虚拟运行 上网 程序,虽然感觉同自己电脑上网差不多,但 是除非经过管理人员的审核允许, 自己电脑中任何文档数据都不能上传到互联网。 同时, 来自外网的 对这台“上网服务器”的任何侵害行为也都不能影响到终端用户的电脑,从而 保障了 终端用户的 安全 。

  实施方案

  通过 VA 虚拟应用管理平台对现有网络进行虚拟化改造(不改变现有网络的物理结构),不失为一种理想解决方案。


  如上图所示:我们可以将企业机构的内网按照功能的不同分为三个部分: DMZ 区、服务器区和办公区。

  在网络的出口处( DMZ 区)部署 VA 服务器集群作为内网用户(办公区)访问外网的代理网关,并且将用户常用的一些外网程序部署在上面(如: QQ 、 MSN 、大智慧(601519,股吧)炒股软件等)。所有的内网用户不能直接访问互联网(办公区网段只与服务器区和 DMZ 区联通,其他网络均不能访问),只能通过安装在用户计算机上的 VA 客户端( AR 应用执行器)访问代理网关,并通过代理网关上网。当用户需要访问外网时,只需要打开 AR 客户端选择“外网入口”并登陆,就可以方便的使用代理网关上的浏览器、 QQ 等程序浏览网页、上网聊天。

  而在服务器区部署第二台 VA 服务器,该服务器 负责内网应用的集中发布和管理。当用户需要访问内网应用( MIS 、 ERP 、 OA 、 Database 等)时通过 AR 应用执行器选择“内网入口”就可以方便安全的进入内网工作了。


  这样一来就可以实现在不改变现有网络物理结构(甚至是 IP 地址都不用调整)的前提下,通过虚拟化的方式将内、外网应用逻辑的隔离开,大大降低了由于外网接入给内网服务器带来的风险,提升了内网的安全性;同时以管理网关的方式管理内网用户的上网行为,简化了外网访问管理的过程,管理的颗粒更细,力度更强。
  • TAG: