對多數企業來說，垃圾郵件，惡意網站，網上欺詐，網絡病毒無時無刻不在困擾著企業互聯網用戶，那么，如何繞開這些互聯網弊端，充分享受互聯網給組織帶來的方便與高效，從而全方位打造安全高效的上網環境呢？下面8種手段或許能給你答案

這是一個充滿變革的時代，94年一條64k的數據線第一次將我國接入世界，到今天，從政府，企業，醫療，教育，各行各業都廣泛的使用互聯網來獲取無數的信息和機會。對多數企業來說，互聯網不僅帶來了豐富的網上資源，也把信息化帶進了企業，使得企業傳統運作方式面臨深刻的變革。互聯網極大地陳低了組織的運營和溝通成本，利用互聯網，大多數員工可以更高效率的完成工作。

但是，互聯網也給組織和企業帶來前所未有的威脅。全天候24個小時在網絡上流動的內容當中，存在著太多的風險，垃圾郵件，惡意網站，網上欺詐，網絡病毒無時無刻不在困擾著互聯網用戶，而另外一方面，網絡濫用行為，包括惡意的p2p下載，網絡游戲，IM等娛樂應用擠占了組織有限的業務帶寬，同樣導致網絡應用效率低下。那么，如何繞開這些互聯網弊端，充分享受互聯網給組織帶來的方便與高效，從而全方位打造安全高效的上網環境呢？下面8種手段或許能給你答案。

一、提升邊界防御
防火墻，IDS、IPS，是解決網絡安全問題的基礎設備，他們所具備的過濾、安全功能能夠抵抗大多數來自外網的攻擊。配備這些傳統的網絡防護設備，實現面向網絡層的訪問控制，是企業安全上網的前提。然而，在應用形式及其格式以爆炸速度增長的今天，許多互聯網危害隱患存在于應用層中，僅僅依照第三層信息決定其是否準入，實在無法滿足安全的要求，我們還需要細粒度的應用層策略控制。

IDC的調查報告顯示，至2006年，有超過90％的病毒將互聯網作為其傳播入口，通過電子郵件和網絡進行病毒傳播的比例正逐步攀升，在網絡入口處把住病毒入侵的關口成了當務之急，你需要部署一個有效的網關級殺毒引擎。

二、上網終端管理
網絡邊緣的外圍設備再先進也無法保護內部網段，來自局域網內部的濫用、破壞也是威脅上網安全的重要因素，客戶端的安全級別往往難以保證，這對于內網用戶數量眾多的組織更為如此。缺乏安全措施的單機，比如使用陳舊的操作系統、長時間不更新個人防火墻和殺毒軟件、應用具有潛在安全漏洞的軟件，都將成為局域網安全中一顆顆隱藏的炸彈。

為上網終端配置網絡準入規則，通過對單點的安全評估和訪問策略列表可以實現全方位的安全防護。對終端的安全策略列表應該包括操作系統、運行程序、系統進程、注冊表等。

三、有害內容過濾
互聯網是一個不可控的黑洞，無數不懷好意的網站使你上網沖浪時如履薄冰。URL庫過濾技術近年來得到廣泛采納，采用該技術將包含潛在威脅的網站攔截在外是保障上網安全的有效方式之一，當然，還應該考慮到一些釣魚網站采用的是SSL加密頁面，所以還需要結合證書驗證，鏈接黑白名單等措施。

對文件下載傳輸行為進行規范也是必要的，將關鍵字、文件類型、網絡服務與IP地址組進行關聯，規范下載策略，可以控制大部分由主動下載造成的損害。

四、垃圾郵件過濾
還有一些不那么“有害”的信息——垃圾郵件，雖然未必會造成安全隱患，但卻能導致帶寬利用率，更重要的是工作效率的低下。必須找到一種區分垃圾郵件、正常郵件、可疑郵件的有效手段，比如垃圾郵件指紋識別技術，減少誤判的隨機特征碼智能應答技術等。

五、優化帶寬資源
不管采取什么方式上網，帶寬終究是有限的，在無法改變帶寬的前提下，如何優化帶寬資源，使其效率最高，是必須解決的問題。但現實的問題是，網管員對自己單位內部的帶寬利用情況無從獲知，就更談不上改善了。要做到優化帶寬資源，首先要考察內網網絡使用情況，并形成可供決策的報表。

針對網內一些重要的網絡服務，采用QOS技術可以保證重要的服務先行，避免垃圾流量擠占重要服務的帶寬。

六、全面應用管理
全球每天有120億條消息通過即時通訊工具（Instant Messaging, IM）被發送，其它網絡應用的大量存在，包括網絡游戲，在線炒股，p2p下載等，靠封端口，封服務器地址等方法在一定程度上有效，但多是治標不治本。更有效的封堵方法主要有兩種，一種是基于應用協議和數據包的智能分析，另一種是針對流量進行檢測。前者是通過分析IP數據包首部的服務類型、協議、源地址、目的地址以及數據包的數據部分，能夠更好的發現特定服務。后者對特定用戶的網絡連接情況進行分析，當網絡流量和網絡連接超出規定的閥值時，用戶的行為將被限制流量。

七、外發信息審計
互聯網對企業一個重要的危害是信息的過度流動。由于它是一個開發系統，只要使用者輕點鼠標，企業與組織的機密信息就能瞬間以光的速度到達競爭對手那里。而一些攻擊性，侮辱性的網絡漫罵，謠言，可能會導致不必要的內部糾紛。內部員工通過組織網絡隨意發表的言論，可能給組織帶來法律上的風險。

要防范這些風險，應該從IM，HTTP,FTP,EMAIL等各個可能的出口，對外發信息進行審計和監控。所采取的措施應該包括記錄與保存，對關鍵字的審計，甚至對一些關鍵的信息進行延遲審計。

八、應用權限設置
以上多種手段基本上可以滿足一個安全高效的上網環境的建設，然而，一個組織內部，不同部門，不同人員，倘若對網絡應用都擁有同樣權限，注定會使網絡出于低效，危險的境地。

對網絡用戶進行權限設置就是一種分級管理措施。就流量優化而言，傳統的帶寬管理只能對特定服務分配相應的百分比帶寬，屬于“一刀切”行為。更具效力的網絡流量優化方式是基于用戶的流量控制技術，再結合各種不同應用的角色分配，可以有更好效果。具體說來，在廣域網的訪問中，有些部門的特殊應用是應該而且必須獲得獨占性資源的，例如總部的管理層同各分公司主管召開的視頻會議，而有些部門的非工作相關服務本不應獲得更高的帶寬，例如采購部門的P2P下載。通過分組流量控制,你可以對不同用戶組使用的服務進行精細的帶寬分配，保障重要部門的重要服務得到足夠帶寬。

除了服務管理，時間計劃是網絡管理的重要手段，這包括微觀時間管理和宏觀時間管理，前者包括將一周中每一天的時間進行劃分，在特定時間允許特定部門進行特定活動，后者包括為各個部門的員工設置一周內每天的總上網時間，這是保證網絡利用效率最大化的好手段。

長期以來，組織管理者為了營造一個安全高效的網絡應用環境采取的是傳統管理方式，如規章制度，使用守則，獎懲措施。實際上，接鈴還需系鈴人，信息技術帶來的負面影響最終還是要靠信息技術來解決。好的上網環境的建設是一個周密的系統工程。