企业机构员工电脑的上网管理方案

企业机构员工电脑的上网管理方案

企业/机构内部员工电脑的上网管理，常常是管理人员面临的两难问题：既要满足网络信息查询和通讯等正常业务需要，又要保证安全和网络通畅，避免病毒侵入、内部数据资料流出，限制工作时间的娱乐、炒股行为等等。从理论上讲，通过路由器的设置可以解决大部分问题，但是实际上可操作性很差，很难同时满足便捷性与安全性的要求。为了解决这个矛盾，人们想了种种办法，包括最彻底的设立专用上网电脑，直至内外网的物理隔离，这些都可以说是"没有办法的办法"。

益和VA虚拟应用管理平台的出现为我们提供了新的思路：用虚拟化应用的方式，集中部署与外网连接的应用，同时关闭所有虚拟应用与客户端电脑的数据通道，实现内外网隔离，以及外网应用的管理。示意如下图：

 

  

通俗的讲：企业通过路由、网关先禁用所有电脑上网→开通企业某固定电脑上网功能→以此电脑作为上网服务器，部署VA，发布应用（App、IE…），设置安全策略防火墙等→集团内电脑全通过此服务器上公网。

 

益和VA虚拟应用的基本原理是：将应用软件安装部署在服务器上，通过VA发布应用、建立终端访问账户。终端用户登录VA服务器并选择应用程序，应用程序在服务器上运行，接受终端用户的鼠标、键盘等操作指令，回传应用程序界面信息，实现虚拟操作应用程序的效果。

益和VA可以分别针对内外网、某台服务器的性能和资源进行设置：

在上图中，对VA2K3这台服务器串/并口、打印机、驱动器、USB、剪贴板等映射功能设置为禁用，对访问这台服务器的所有客户端电脑本地资源实行了完全隔离。在这台服务器上安装部署诸如IE（WWW浏览器）、QQ（即时通讯）、股市交易等程序，发布给有需要的员工。不仅提供了需要的应用，还能够进行细致的管理，例如允许某些员工在非工作时段运行炒股软件等，并能进行事后审计。

在这种环境下，由于内网所有终端用户仅能通过VA专用通讯协议接口访问VA服务器，虚拟运行上网程序，虽然感觉同自己电脑上网差不多，但是除非经过管理人员的审核允许，自己电脑中任何文档数据都不能上传到互联网。同时，来自外网的对这台"上网服务器"的任何侵害行为也都不能影响到终端用户的电脑，从而保障了终端用户的安全。