行為管理是隱私侵權 還是權利保護?
【IT168 報道】上網行為管理真的是隱私侵權么?當企業采用極端的方法封殺QQ、P2P等應用時,你會發現,行為管理系統卻在保護你用QQ進行工作交流的權利。上網行為管理的出現,使信息安全步入了后設備安全、數據安全時代,它極有可能成為第二個防火墻......
如今,隨著各種攻擊手段的不斷變化,信息安全技術也經歷了多次演進,從反病毒、防火墻、入侵檢測,到反垃圾郵件、反Phishing、反間諜軟件,再到Web網頁的內容過濾、反DDoS攻擊然而,近來由于企業內部非常規上網行為導致企業陷入官司僵局,內部員工泄露企業核心機密的事件表明:在面對外部攻擊的同時,企業正面臨來自企業內部的種種威脅。
來自內網的行為威脅
威脅一:網絡流量成為負擔
可能,作為一個負責的網管,你一直都在關注著組織的廣域網出口,尤其是最近一年,你發現情況越來越糟糕。雖然局域網的用戶只有區區一百多人,10M的電信光纖卻顯得十分乏力。這就是P2P等應用軟件惹的禍。由于P2P的設計思想使其形成了對網絡資源的搶奪,使得局域網中的其他應用無法得到應有的帶寬,造成了網絡擁塞、重要服務無法得到保證的狀況。其實解決的辦法也很簡單,就是不用P2P,但這簡直是天方夜譚,因為P2P軟件的觸角已經伸入到了我們的工作與生活,我們可能通過P2P下載最熱門的影片,但同時,很多工作相關的文檔資料都需要P2P軟件來下載。
可以說,我們每個人都是P2P的最大受益者和始作俑者,在嘗到了P2P的甜頭后都不忘記罵上一句,是哪個混蛋把網速拖得這么慢!當帶寬問題的嚴重性凸顯出來后,IT部門自然成為了各個辦公室競相指責的目標。
威脅二:工作效率難以提升
如今,MSN、QQ、Skype等IM(即時通訊軟件)已經成為很多企業不可或缺的溝通工具。然而,它們在豐富了企業同外界溝通途徑的同時,也給員工帶來了更多的偷懶機會。和打電話不同的是,沒有人知道你在網上和別人聊了些什么。即使部門的主管懷疑員工在上班時間聊私人話題,但由于缺乏足夠的證據,員工往往以工作為由來抵制上級的要求。
雖然還遠遠不止這些,但以上兩種行為就能使辦公室的工作氛圍大大地破壞。當員工都沉迷在瀏覽網絡視頻、在線聽歌、同好友聊天的情景中,被忽略的往往是手頭最重要的工作。由于難以界定員工何時瀏覽娛樂網站,何時通過IM聊私人話題,組織采取的最極端的方法就是斷網。這種方法很可笑但也很有效,也只能發生在我們這個國家。
威脅三:泄密事故頻繁發生
眾多的企業用戶在完成了局域網基礎設施部署后已經開始了如火如荼的應用建設,大型和超大型的數據中心不斷出現,內網中的應用系統和數據資源也得到了前所未有的豐富。雖然這些企業用戶對來自外網的威脅高度重視,卻很容易忽略了內部員工可能發生的泄密門事件。
由于局域網內的用戶是所謂的可信用戶,他們可以輕而易舉的獲取內網數據,然后通過各種途徑,例如FTP、E-mail、聊天工具等,將這些內部數據發送給有所企圖的人。源代碼在互聯網上泄漏、商業機密被當作新聞一樣在網上流傳,類似的事件已經不勝枚舉,而且還在繼續發生。
威脅四:容易成為被告
在深圳的人們都還記得2005年年底發生的K113公交車事件:一位妻子為了督促自己的老公早日給自己買車,謊稱自己上班途中在K113上被搶劫,丈夫針對此事寫了個帖子發到論壇上;正是年關治安敏感時期該帖子被到處轉發,公安局網監分局介入調查后發現整個事情就是妻子為督促丈夫買車而編造,最后以丈夫被治安拘留15天告終。假如這個丈夫上傳的帖子不是這個內容,而是涉及到藏獨或者其他危害國家安全的事件,員工所在的組織必然會在其中被動的卷入法律風險。
行為管理是安全的第三個層次?
以上來自企業內部的種種威脅表明,外部攻擊需要高度重視,來自企業內部的威脅同樣重要。分析上面的現象,我們會發現,來自企業的威脅,往往是由人的主觀行為引發的。這就引出了信息安全領域的一種新的發展階段,行為管理階段。
回顧信息系統安全的發展,我們會發現,最開始,大家關注的是設備的安全。例如,設備自身的穩定性是否有保障?供電是否穩定?交換機的端口是否能夠承受住外部的攻擊?種種安全措施,都是圍繞路由器、交換機、服務器、普通電腦等設備展開的。緊接著,數據的安全被提上的日程。企業關鍵的數據成為攻擊盜取的對象,于是,各種反Phishing、反間諜軟件又相繼出現。
現在,企業網絡系統安全正在形成第三個階段:網絡行為管理安全。其根本立足點,不是對設備的保護,也不是對數據的看守,而是規范企業員工網絡行為,這已經上升到了對人的管理的階段。區別于傳統的反垃圾郵件和URL過濾器,網絡行為管理設備主要針對流量和應用進行控制和管理,對內網發生的一些Internet行為做針對性的監控,從而去規范員工的上網行為。而且,這種方案多采用硬件解決措施,以期承載更高的局域網負荷。
當前,上網行為管理,正在形成一個特定的市場,并且,這個市場正在快速成長。一個網絡安全領域的專家曾這樣預言:2010年,上網行為管理市場將超越防火墻市場。
這并非空穴來風,前不久,國際頒布的《薩班斯奧克斯利法案》和中國公安部發布的第82號令――《互聯網安全保護技術措施規定》,都不約而同地對企業的網絡行為管理提出了要求。此外,據賽迪顧問的預測,中國網絡安全市場將在2010年突破100億元的規模,而增長最快的將是網絡內容安全設備。
這里,有一個銷售實例能夠證明以上的數據。國內某集成商的銷售人員跟單中國石化的某個分部,三年下來,沒有簽定關于網絡設備方面的合同。然而,當這個銷售經理向這個客戶推薦上網行為管理系統時,在短短三個月里就成單了。
行為管理并非隱私侵權,而是權利保護?
目前,推出上網行為管理系統的廠商不在少數。國際上有Websense、Bluecoat等國際廠商,國內有深信服、網康、飛魚星、銳風等企業。它們推出的上網行為管理系統,基本上都主要實現對網絡帶寬分配、上網行為監控等功能,例如對員工的Web訪問、發貼等上網過程有詳細的監控記錄,甚至能夠對QQ的聊天記錄做監控。
對企業員工的上網行為做如此嚴密的監控,是否有違人權?這成為當前爭議很大的話題。
在員工內網的行為是否應該被監控這一點上,來自各方的激烈爭辯從來就沒有停止。一方面,組織的管理者認為員工在辦公室發生的行為屬于工作時間之內發生的,應該受到組織的管理,并希望通過上網行為設備來監測和約束員工的網絡行為,以期提高生產率,減低泄密的紀律,保護企業資源;另一方面,員工不希望自己的隱私在任何情況下被人獲知,他們希望一個自由開放的工作環境。
對于這個問題,業內人士這樣解釋:我們并不認為員工的隱私就應該被監控,我們只是提供相應的幫助。當組織的管理者和員工達成一致,希望實現網絡行為的管理時,起碼不至于找不到一個合適的解決方案。
其實,我們會發現這樣的現象:目前,已經有很多企業為了制止員工聊天,把QQ給禁掉了,對于這樣的企業,很有可能會把MSN也禁掉。此外,很多企業直接把所有的P2P應用都禁掉了。
這樣產生的結果是,我們的隱私權得到了保證,與此同時,我們卻失去了方便的對外溝通工具。不管是對員工,還是對企業,都是一種雙輸的局面。而上網行為管理,卻能夠很好地解決這個問題,讓員工與企業都成為雙贏的局面。一方面,由于員工的上網行為會受到系統的全程監控,員工肯定會減少網絡聊天的時間,不去訪問不應該訪問的網站,另一方面,員工能夠確保良好的溝通方式,從而極大地提高工作效率和降低工作成本。
其實,企業在部署上網行為管理系統時,可以采用部分監控的辦法。正如業內人士所言,通過各種監控策略,對企業中不同的人,不同的時段,進行監控,這樣,就可以盡量保證各種員工的權利。
仔細分析,我們會發現,行為管理系統并非是IE通訊工作、P2P應用的敵人,相反,是它們的合法保護者。行為管理系統就像公司的法規,它從法律的角度確定了IE通訊工作、P2P應用的合法性,同時,它限制了員工的非法行為。
事實上,對于很多單位,例如學校、保密單位、企業的核心研發部門,都會有行為管理系統的潛在需求。
上網行為管理市場,值得我們關注。
返回目錄
