用友上网行为管理系统是如何炼成的？

    编者按：用友是一个老牌的IT企业，它总在不断地指导别人进行信息化建设。然而，它自己企业的内部员工网络是如何建设、管理的呢？

    用户反映：你们的网站速度太慢了！
    武力封堵的可行性探讨
    面对多种系统：如何选择？
    严密：立体式的网络行为接入体系
    制定员工上网管理规定

    近几年来，用友ERP估计已经是家喻户晓了。作为一家高科技软件开发企业，用友总是在指导大量的企业进行信息化的建设。不过，对于用友本身来说，由于规模庞大，企业网络复杂，其自身同样需要进行有效的网络管理。现在，让我们通过用友信息中心老张的亲历，去走进用友。

    用友目前拥有由总部研发中心、南京研发中心、博士后流动站等多个研发中心，在全国已经形成41家分公司、数十家办事处、5000多人的软件产品研发、营销和咨询顾问实施专家队伍。可谓是机构庞大，人员众多。

    用户反映：你们的网站速度太慢了！

    用友自己是管理软件出身，因此，采用用友ERP武装自己就理所当然了。为了营建一个安全、易于管理的企业网络，用友通过VPN，将全国的50多个分点共计5000多人全部连接在一起。所有ERP操作管理都通过VPN，从而实现安全的使用。

    用友总部采用了100MB带宽上网，而分部则根据情况而定。这100MB带宽除了供用友总部的研发人员和营销人员上网外，还承担了企业对外的Web网站的接口带宽。

    一般来说，企业的Web网站服务器都是托管在第三方专业的机房中，其网络出口带宽也由该机房提供，与企业的网络分开。然而，用友是一家国内顶级的IT企业，难道还不能自建网站服务器机房么？

    据用友信息中心老张回忆，用友自己有技术能力和资金能力建Web服务器机房，所在就没有托管而是自己建自己管。于是，外界访问用友的网站，下载试用ERP软件，其产生的流量都会通过刚才提及的100MB接口带宽。此外，用友50多个分点通过VPN与总部连接时，也需要占用相当的接入带宽。

    问题来了，来自用友Web网站的用户报怨越来越多：你们的网站速度太慢了！

    于是，老红开始追查什么原因造成的。经过排查，发现那100MB带宽似乎不够用了。在上班时间，经常有大量的带宽被占用，导致用友Web网站的对外带宽受挤压。其直接后果是，Web网站的访问速度变慢。

    其实，不仅如此，来自用友内部员工和分部员工的报怨也越来越多。经过调查，老张他们发现，用友企业网内存在大量的p2p文件下载，网络电视，网络游戏等应用，严重消耗着有限的出口带宽资源。从而出现了网站访问速度慢问题。

    不仅如此，大量的即时通讯软件应用，post发帖，极易造成企业信息泄露。该单位网络中心希望能够通过限制恶性部分应用，审计外发信息、屏蔽恶意网站等技术手段来梳理本企业网内的管理秩序。

    更让老张头大的是：经常有员工因为误访问了某些“不干净”的网站，在这些网站下载了可疑的exe、com、bat等有风险的程序，从而导致自己电脑受到了病毒、木马的攻击，进而这台电脑影响了整个公司的内部网络。如何才能让员工不受这些“不干净”网站的干扰？

    看来，企业网部员工的上网行为需要进行规范了。

    武力封堵的可行性探讨

    为了减少P2P下载软件、QQ、网络电视等占用带宽，为了封堵某些“不干净”的网站，老张他们想到了封端口、封协议、封特定网站地址的做法。

    然而，对于用友来说，这样的做法却难以实现。

    对于QQ、MSN、Skype、P2P等应用，它同时是工作的工具，也可能造成对工作的影响。例如，由于P2P的设计思想使其形成了对网络资源的抢夺，使得局域网中的其他应用无法得到应有的带宽，造成了网络拥塞、重要服务无法得到保证的状况。在实际工作中，我们有时通过P2P下载最热门的影片，但同时，很多工作相关的文档资料都需要P2P软件来下载。

    可以说，我们每个人都是P2P的最大受益者和始作俑者，在尝到了P2P的甜头后都不忘记骂上一句，“是哪个混蛋把网速拖得这么慢！” 但是，如果我们把P2P应用封掉时，就又会有大量的人抱怨：有些技术文档无法下载，工作无法开展了。当带宽问题的严重性凸显出来后，IT部门自然成为了各个办公室竞相指责的目标。

    对于用友来说，用友是一个高素质人材的企业，采用武断措施，多半弊大于利。例如，用友营销部通过QQ、MSN、Skype进行销售联络，这是一种高效、低成本的销售方式。而研发人员有大量的工作技术文档需要下载。

    于是，老张面临一个难题：对QQ、MSN、P2P、网站访问、股票等上网行为不能一刀切式的封堵，而需要分人、分时间、分不同的应用进行管理。

    面对多种系统：如何选择？

    要解决问题，就当时的情况看，需要部署专业的上网行为管理系统了。于是，老张开始考察当前的上网行为管理系统的市场情况。在当时的市场上，做上网行为管理的厂商主要有Websense、美讯智（已被并购）、Bluecoat、8e6、网康、深信服等厂商。

    在实际考查过程中，某供应商提供的解决方案是通过ISA接入方案＋上网管理方案。从实现效果看，基本能够达到用友对上网行为管理的要求，然而，部署该方案后，需要每年交纳成本不低的服务费。从总体成本投入来讲，这个方案不值得采纳。

    同期，老张跟另一家国外厂商进行了部署方案的探讨。在方案试用部署过程中，老张提出了要求上网行为管理系统要跟某些特定应用绑定，从而实现报表统计功能的需求，然而，该供应商却没有相应的技术力量来进行二次开发，不能满足特定应用需求。

    此外，老张也进行了其他的考察，但最终选择了网康上网行为管理系统。