攘外必先安内(一)——上网行为管理时代来临
行业采购
随着企业信息化的发展,现在很多企业都很注重信息安全,不过多数企业关注信息安全的着眼点往往是放在对付外部威胁上,而对企业内网的安全管理常常被忽略了。企业习惯于先“攘外”再“安内”的原因是:以往对于企业网络的攻击主要来自于企业外部,所以企业习惯先部署防御外在威胁的安全设备,如防火墙、入侵检测系统等。然而现在企业内网管理混乱已经威胁到企业网络安全了,因此要保护企业信息安全,只有做到先“安内”再“攘外”,才能从根本上解除企业面临的信息安全威胁。
对企业内部网络的管理已经上升到产业高度,因此不少安全厂商纷纷推出了上网行为管理解决方案。从本周开始,我们会连续3期推出上网行为管理的专题,从上网行为管理的必要性、软硬件解决方案剖析和上网行为管理系统采购等角度进行报道,希望大家关注。
随着Internet接入的普及和带宽的增加,一方面员工的上网条件得到了改善,工作效率也得到了提升,另一方面却因为缺乏有效的管理机制,导致网络给企业带来更多的安全威胁。
企业网络被滥用带来威胁
网络给企业的发展带来了便捷,同时也为员工提供了很多做与工作无关的事情的机会。对于任何一个企业管理者来说,都不希望自己的员工在上班期间做与工作无关的事,甚至是在公司里干一些透露公司机密或违法的事情。而目前企业的员工们利用网络究竟又都在做些什么呢?
据新加坡《联合早报》报道,喜欢忙里偷闲的上班族把很多时间花在处理邮件上,而他们发出的邮件有将近三分之一与工作无关,一些员工喜欢在上班时间上网,处理个人财务或上网购物。当然,在上班时间通过企业网络做一些私人事情,在国内是非常普遍的事。有专家指出,上班时处理这些个人事务,并不一定影响工作效率,甚至可能带来好处。但如果是透露企业机密或做一些违法的勾当,就一定会让企业管理者深恶痛绝了。
某公司因有员工利用互联网进行非法言论和黄色内容的传播,从而造成网络被停止。在进行详细的技术检查时,发现公司内部有不少员工常进行BT下载、在线观看视频,还有些员工在即时聊天软件上利用工作时间与远方的同学拉家常,有的则在网上与女友卿卿我我,有的员工竟然明目张胆地用MSN传送公司的一些重要文件如报价表等。通过这次检查虽抓出了肇事元凶,但更多的是让该公司总经理感到震惊,平时看到大家都在忙忙碌碌,结果竟然是假象。
在一些企业中,目前员工滥用网络带来的严峻问题可以概括为以下几点:一是使用BT下载或在线观看视频,引发带宽拥挤及网络性能恶化;二是工作时间在网上干私事,造成工作效率低下;三是借助网络随意传播公司内部信息,造成机密信息泄露;四是禁不住诱惑,登录非法网站,甚至是借助网络传播非法言论和黄色内容,给公司网络带来安全问题及法律风险等等。
上网行为管理出效益
有句成语说得好,“没有规矩,不成方圆”,对于任何一个企业来说,一定都有自己的规章制度。在非网络时代,很多事情都有可视性,因而在执行规章制度时更容易把握。而进入网络时代后,如要更好地执行规章制度,可能就要对员工上网所做的事情进行管理和约束,这就是我们现在所提的上网行为管理。简单地说,上网行为管理就是通过专门针对员工上网行为而设计开发的网络行为分析和管理工具,帮助企业管理者全面了解员工上网情况和网络使用情况,对与工作无关的网络操作进行限制或阻止。
上网行为管理是针对员工上网所做的事情进行监控及约束的,因此它自然能为企业带来很多好处。首先采用上网行为管理方案能让企业管理者一目了然地“看到”员工在做什么,这种监控方式也会让员工感觉时刻都处在企业管理者的眼皮之下,就算是纪律性较差的员工也不敢太放肆。这样一来,影响公司网络速度及网络安全的事情少了,也就会让公司业务更好地开展,公司的网络安全也能得到更好的保障。其次,在上网行为管控之下,企业更能产生一种良好的工作氛围,使工作效率得到提高。
上网行为管理惹争议
上网行为管理主要是针对企业员工进行的,在上班期间,企业员工的行为受到监控。在一种时刻被监控的环境下工作,很多人会觉得不自在,感觉自己的隐私被侵犯。而对于企业主来说,上网行为管理方案的使用可为企业网络的管理带来好处,也正是这种监控让管理者能知道员工究竟每天在忙碌些什么。因而在上网行为管理这个词刚出现时,对于企业该不该使用它的争论就没有停止过。
支持方:监控员工的上网行为不违法
在美国,有80%的单位对员工在上班期间的互联网活动进行监控,且得到了“萨班斯法案”的支持。而我国在2006年3月1日开始实施的《互联网安全保护技术措施规定(公安部令第82号)》,也为中国的互联网使用单位,包括企业、政府、高校等诸多机构,对内部用户的网络行为管控提供了法律依据。采用上网行为管理方案,能够提高网络使用效率和员工的工作效率,最大限度地避免员工的上网行为给企业带来风险和损失。另外,在采用上网行为管理方案时,对所有员工都是公开进行的,而员工在企业所雇用的工作期间,在每天上班时是不应该做非工作事情的,在追求工作效率的时代,采用上网行为管理不失为一种很好的管理方法。
反对方:不喜欢在被监控的状态下工作
没有人喜欢被监控,企业中由于网上交流隐私被监控而导致员工辞职的事不少。在对中关村多家企业的调查表明,有60%的员工认为被监控就是不被信任,意味着被侵犯隐私。有20%的人表示,工作时受到监控会导致精神状态紧张,产生无形的压力。还有些员工提到,人是有血有肉的动物而不是机器,在紧张的工作之中,应该让员工有一个调节的时间及方法,而在网上看看新闻,或是和亲朋好友进行一下交流,其实又有何妨。何况企业可以对上网行为进行封堵,又何必采用这种监视的方法来进行管理呢?
中立方:一分为二看待上网行为管理
对上网行为管理,我们应当公正地对待。对于企业来说,采用上网行为管理的目的是规范员工的上网行为,使互联网真正为企业的生产和经营服务,企业监控员工的上网行为也并不是为了窥探他们的隐私,在企业开启涉及员工隐私的监控功能之前,如果通告所有员工,那么也无可厚非。从另一方面来说,员工都努力地想把工作做好,但也不可能在工作时间内一直处于忙碌状态,这种上网行为管理难免会侵犯员工的隐私,上网行为管理是把双刃剑,用得不好不但会伤了别人,还会伤了企业自己。
企业访谈
目前上网行为管理的发展状态如何?中小企业和大型企业对上网行为管理方案的需求有什么差异?未来上网行为管理会怎么发展?本期我们对上网行为管理方案提供商网康科技CEO袁沈钢先生和冰峰网络产品总监臧伟胜先生进行了采访。
目前上网行为管理包含哪些内容,可对员工的哪些上网行为进行管理?
臧伟胜:上网行为管理应该是一个以个人或部门为单位,集URL/通信数据过滤监测、关键字预警、智能化管理、智能化限速、上网行为审计为一体的综合性系统,它可以是高性能的硬件设备,也可以是软硬件一体化的网关系统,还可以是依托服务器或终端运行的软件方案。
袁沈钢:员工的上网行为多种多样,目前主要有网页浏览、邮件收发、表单提交、即时通信、应用程序、带宽应用等行为,为了保证企业的机密信息与关键数据,必须对所有通信数据进行有效且合理的管控。
中小企业和大型企业对上网行为管理方案的需求有什么差异?
臧伟胜:中小企业因为条件有限,在对网络安全产品的选择上主要趋向于智能化和功能实用化,他们喜欢用简单的操作实现完善的管理功能,而且他们喜欢实用性的功能,不会为华而不实的功能买单,因为他们的资金比较有限。
袁沈钢:大中型企业用户则会选择更加专业化、细致化的解决方案,而不是在于产品本身。他们更趋向于参与到前期的方案定制研讨中去,以便获得更加自主的整合性方案。因此上网行为管理方案提供商会从定制开发、功能模块加载、综合性团队服务入手,带给大中型企业用户更高层面的应用体验。
未来上网行为管理会怎么发展?
臧伟胜:在没有意识到综合性管理之前,网络中的各项作业均采自独立的管理方案,如流量控制、代理服务模式下的URL过滤、日志报表审计及其他各类相关非连续性方案。这种方式的延伸无疑会加大企业对信息化建设的投入成本,也是让中小企业望而却步的。
正是这种独立管理方案的延伸,造就了上网行为管理的必然性,在整合了多种独立方案后,添加了新的元素,才造就了上网行为管理的市场空间。
袁沈钢:在未来,上网行为管理产品可能已不仅仅局限于已有的独立方案整合,它将发展成为结合内外网安全的综合型产品,它可能会在外网安全上吸收VPN隧道式传输的优越性,在内网安全上则会吸收SPN(Secret Private Network)的部门局域网加密和安全闸控性的优点。