互联网对企业还有一个重要的危害是信息的过度流动。由于它是一个开放系统，只要使用者轻点鼠标，企业与组织的机密信息就能瞬间以光的速度到达竞争对手那里。

　　而一些攻击性、侮辱性的网络漫骂/谣言，则可能会导致组织不必要的内部纠纷。另外，内部员工通过组织网络随意发表的言论，也可能给组织带来法律上的风险。

　　要防范这些风险，应该从IM、HTTP、FTP、EMAIL等各个可能的出口，对外发信息进行审计和监控。所采取的措施应该包括记录与保存，对关键字的审计，甚至对一些关键的信息进行延迟审计。

　　八、应用权限设置

　　以上多种手段基本上可以满足一个安全高效的上网环境的建设，然而，一个组织内部，不同部门，不同人员，倘若对网络应用都拥有同样权限，注定会使网络出于低效、危险的境地。所以在这里我们有必要再介绍一下应用权限方面的管理。

　　对网络用户进行权限设置是一种很好的分级管理的措施。就流量优化而言，传统的带宽管理只能对特定服务分配相应的百分比带宽，属于“一刀切”行为。更具效力的网络流量优化方式是基于用户的流量控制技术，再结合各种不同应用的角色分配，可以有更好效果。具体说来，在广域网的访问中，有些部门的特殊应用是应该而且必须获得独占性资源的，例如总部的管理层同各分公司主管召开的视频会议，而有些部门的非工作相关服务则不应获得那么高的带宽，例如采购部门的P2P下载。通过分组流量控制,你可以对不同用户组使用的服务进行精细的带宽分配，保障重要部门的重要服务得到足够带宽。

　　除了服务管理，时间计划也是网络管理中的重要手段，这包括微观时间管理和宏观时间管理，前者包括将一周中每一天的时间进行划分，在特定时间允许特定部门进行特定活动，后者包括为各个部门的员工设置一周内每天的总上网时间，这是保证网络利用效率最大化的好手段。

　　长期以来，组织管理者为了营造一个安全高效的网络应用环境采取的是传统管理方式，如规章制度、使用守则、奖惩措施等。实际上，解铃还需系铃人，信息技术带来的负面影响最终还是要靠信息技术来解决。好的上网环境的建设是一个周密的系统工程，以上8种手段给我们打造安全高效的上网环境提供了一个开阔的思路。

　　当然，以上8种技术手段的应用，往往需要组织购买不同的IT设备：比如“一、提升边界防御”和“四、垃圾邮件过滤”需要购买相应的网关杀毒设备和防垃圾邮件设备，而“二、上网终端管理”则需要部署相应的客户端安全软件，“五、优化带宽资源”目前有一些专门做流量控制的厂商能够提供，如F5、Packeteer，但往往费用很贵，“七、外发信息审计”则涉及到一些监控审计设备；而“三、有害内容过滤”、“六、全面应用管理”、“八、应用权限设置”由于是新兴领域，目前还基本没有专门的厂商涉足。

　　购买这些不同的IT设备，一方面动辄几十万甚至上百万的费用投入对于大部分的用户来说都是难以接受的，另一方面由于这些设备分别来自不同厂商，管理界面各异，对IT维护和管理也是个巨大的挑战和难题。

　　那么，有没有这样的一种解决方案，把以上8种技术手段都融入到一个设备里面，从而便捷灵活的实现对整个局域网上网行为的有效管理呢？我们很高兴的看到国内近几年快速成长的网络安全及边界网络方案供应商深信服科技提供了这样一种解决方案——SINFOR AC上网行为管理设备。该设备包含“访问控制、带宽流量管理、内监控、安全审计、外发信息管理及数据中心管理软件”多个模块功能，并拥有“邮件延迟审计”、“网络客户端准入”、“P2P流量控制”等多项专利技术，此外，它还灵活的集成了“防火墙”、“网关杀毒”、“防垃圾邮件”等UTM安全模块，客户可以根据自己的网络环境和实际需求灵活选择是否开启，有效弥补了防火墙等传统安全设备重外不重内、对上网行为缺乏有效管理的不足。

　　在提升边界防御和有害内容过滤方面，深信服AC设备内置了网关杀毒的模块，同时针对病毒的来源和传播途径，AC上网行为管理设备还可以很好的配合客户原有的杀毒软件实现“治标治本”的效果。AC网关里面的URL过滤功能，可以对常见的非法网址/非法BBS论坛直接实现过滤，AC网关提供的对HTTP/FTP下载及P2P软件的封堵和管理功能也可以有效减少因为文件下载而引发的病毒传播。尤其值得一提的是AC里面的SSL控制功能，可控制用户通过SSL协议访问的URL，并可对SSL协议的证书做有效性检查，允许或拒绝用户访问持有指定X.509证书的网站，大大降低了用户被伪造的网上银行、购物网站欺骗的几率，避免用户陷入“网络钓鱼”陷阱。

　　在上网终端安全管理方面，深信服AC上网行为管理设备提供了一个“客户端准入规则”（Network Admission Rules，NAR）认证的功能，可以通过对客户端安全性的评估来实现网络访问控制，更好的维护网络安全防线。当启用了AC的NAR功能后，内网用户第一次发起互联网连接请求时，NAR将动态分发准入代理（Sinfor Ingress Agent，SIA）至客户端主机。SIA是轻量级软机代理，用于确定终端是否遵从管理员设定的安全策略，SIA可检查预定义的和可定制的标准，比如该PC终端有没有打最新的操作系统补丁、有没有安装杀毒软件、杀毒软件有没有升级到最新版本。当SIA将搜集到的客户端信息传回AC网关后，如果该PC终端的安全状态不符合SIA的规则设置，AC网关将对该用户执行预定义的策略，比如直接禁止上网或弹出警告，从而有效避免某些员工因为忙碌或者偷懒而不安装杀毒软件和打补丁，或者虽然安装了杀毒软件但没有做及时升级而引发的病毒事件。

　　在用户身份认证、应用权限设置和外发信息审计方面，深信服AC网关采用了严格的身份认证和不同的访问权限策略，并可根据不同的时间段做灵活的时间管理，具有URL过滤、关键字过滤、上传下载限制、深度内容检测、邮件过滤功能和独特的邮件延迟审计功能等众多功能，从而方便组织和企业把与工作无关的上网行为降到最低，让员工更专注于工作，提高工作效率，并在技术措施上配合制度管理杜绝了内部机密可能通过Internet泄漏的隐患。

　　在优化带宽资源方面，AC设备网关除了提供智能QOS，还为用户展现了强大的流量控制功能，可以对内网用户组或终端进行流量控制，使得组织的网络带宽得到最充分有效地利用。

　　此外，深信服AC网关丰富的数据报表中心还能支持以图表的方式对局域网内人员的上网行为进行分析和归纳，如：每天上网情况的分析、访问最频繁的网站分析、应用和流量排名等，并提供时间、服务、网站访问、使用网络流量等多种分类排行榜，为网络管理员和决策者提供了最直观的数据统计。