行(xíng)為(wèi)管理(lǐ)是(shì)隐私侵權 還(h✘ái)是(shì)權利保護?
【IT168 報(bàπo)道(dào)】上(shàng)網行(★xíng)為(wèi)管理(lǐ)真的(de)是(shì)$隐私侵權麽?當企業(yè)采用(yòng)極端的(de)方法封殺QQ、P2P等 應用(yòng)時(shí),你(nǐ)會(huì)發現(xiàn),行(xíng)為"(wèi)管理(lǐ)系統卻在保護你(nǐ)用(yòn$g)QQ進行(xíng)工(gōng)作(zuò)交流的(de)權利。上(shàng)網行(x✔íng)為(wèi)管理(lǐ)的(de)出現(xiàn),使信息安全步入了(le)後設備✘安全、數(shù)據安全時(shí)代,它極有(yǒu)可(kě)能(néng)λ成為(wèi)第二個(gè)防火(huǒ)牆......
如(rú)今,随著(zhe)各種攻擊手段的(de)不(bù)斷變化(huà),信息安全技(jì€)術(shù)也(yě)經曆了(le)多(duō)次演進,從(cóng)反病毒、防火( huǒ)牆、入侵檢測,到(dào)反垃圾郵件(jiàn±)、反Phishing、反間(jiān)諜軟件(jiàn),再到(dào)Web網頁的₽(de)內(nèi)容過濾、反DDoS攻擊然而,近✘(jìn)來(lái)由于企業(yè)內(nèi)部非常規上(shàng)網行(∞xíng)為(wèi)導緻企業(yè)陷入官司僵局,內(nèi)部員(™yuán)工(gōng)洩露企業(yè)核心機(jī)密的(de)事(shì)件(ji¥àn)表明(míng):在面對(duì)外(™wài)部攻擊的(de)同時(shí),企業(yè)正面臨來(lái)自(zì)企業(yè™)內(nèi)部的(de)種種威脅。
來(lái)自(zì)內(nèi)網的(de)行(xí☆ng)為(wèi)威脅
威脅一(yī):網絡流量成為(wèi)負擔
可(kě)能(néng),作(zuò)為(w€èi)一(yī)個(gè)負責的(de)網管,你(nǐ)一(yī)直都(dōuα)在關注著(zhe)組織的(de)廣域網出口,尤其是(shì)最近≥(jìn)一(yī)年(nián),你(nǐ)發現♥(xiàn)情況越來(lái)越糟糕。雖然局域網的(de)用(yòn♣g)戶隻有(yǒu)區(qū)區(qū)一(yī)百多(εduō)人(rén),10M的(de)電(diàn)信光(guāng)纖卻λ顯得(de)十分(fēn)乏力。這(zhè)就(jiù)是(shì)≥P2P等應用(yòng)軟件(jiàn)惹的(de)禍。由于P2P的(de)設計(jì)思想≠使其形成了(le)對(duì)網絡資源的(de)搶奪,使得('de)局域網中的(de)其他(tā)應用(yòng)無法得(de)到(βdào)應有(yǒu)的(de)帶寬,造成了(le™)網絡擁塞、重要(yào)服務無法得(de)到(dào)保證的(de)狀ε況。其實解決的(de)辦法也(yě)很(hěn)簡單,就(jiù)是(shì)不(bσù)用(yòng)P2P,但(dàn)這(zhè)簡直是(shì)天方夜譚,因γ為(wèi)P2P軟件(jiàn)的(de)觸角已經伸入到(dào)了(le)我₽們的(de)工(gōng)作(zuò)與生(shēn≥g)活,我們可(kě)能(néng)通(tōng©)過P2P下(xià)載最熱(rè)門(ménβ)的(de)影(yǐng)片,但(dàn)同時(shí),很(hěn)多(duō)£工(gōng)作(zuò)相(xiàng)關的(de)文(wén)檔∏資料都(dōu)需要(yào)P2P軟件•(jiàn)來(lái)下(xià)載。
可(kě)以說(shuō),我們每個(gè)人(rén)都(dōu)是(≈shì)P2P的(de)最大(dà)受益者和(hé)始作(z£uò)俑者,在嘗到(dào)了(le)P2P的(de)甜頭後都(dōu)不¥(bù)忘記罵上(shàng)一(yī)句,是(shì)哪個(gè)混蛋把網速拖得(∑de)這(zhè)麽慢(màn)!當帶寬問(wèn)題的(de)嚴重 性凸顯出來(lái)後,IT部門(mén)自(zì)然成為(§wèi)了(le)各個(gè)辦公室競相(xiàng)指責的(de)目¶标。
威脅二:工(gōng)作(zuò)效率難以提升
如(rú)今,MSN、QQ、Skype等IM(即時(shí)通$(tōng)訊軟件(jiàn))已經成為(wèi)很(hěn)多(duō)企業(yè)不(bù)可(kě)或缺的(de)溝通(tōng)工(gōng)具。然而,它們在豐富了(l∑e)企業(yè)同外(wài)界溝通(tō↑ng)途徑的(de)同時(shí),也(yě)給員(yuán)₽工(gōng)帶來(lái)了(le)更多(duεō)的(de)偷懶機(jī)會(huì)。和(hé)打電(diàn)話(huà)不(bù)同的(d∏e)是(shì),沒有(yǒu)人(rén)知(zhī)道(dào)你(nǐ)在網上(shànαg)和(hé)别人(rén)聊了(le)↑些(xiē)什(shén)麽。即使部門(mén)的(de)主管懷疑員(yuán)工(gōng)在上(shàng)班時(shí)間(jiān)聊私人(rén)話(h÷uà)題,但(dàn)由于缺乏足夠的(de)₩證據,員(yuán)工(gōng)往往以工(gōng)作(zuò)為(wèi)由來(lái)抵制Ω(zhì)上(shàng)級的(de)要(yào)求。
雖然還(hái)遠(yuǎn)遠(yuǎn)不(bù)止這(λzhè)些(xiē),但(dàn)以上(shàng)兩種行(xíng)為(wèi)就(jiù)能←(néng)使辦公室的(de)工(gōng)作(zuò)氛圍大(dà)大>(dà)地(dì)破壞。當員(yuán)工(gōng)都(dōu)沉迷在浏覽™網絡視(shì)頻(pín)、在線聽(tīng)歌(gē)、同好(hǎo)友(yǒu)聊天的(de)情景中,被忽略的(de)往往是(shì)手頭最重要→(yào)的(de)工(gōng)作(zuò)。由于難以界定員(yuán)工(gōng)何時(sh÷í)浏覽娛樂(yuè)網站(zhàn),何時(shí)通(tōng)過IM聊私人(♥rén)話(huà)題,組織采取的(de)最極端的•(de)方法就(jiù)是(shì)斷網。這(zhè)種方法很(hěn)可(kě)笑(xiào)但∏(dàn)也(yě)很(hěn)有(yǒu)效,也(yě)隻能(néng)發生(shēng)在我們這(zhè)個(gè)國(guó)家(jiā)。
威脅三:洩密事(shì)故頻(pín)繁發生(✘shēng)
衆多(duō)的(de)企業(yè)用(yòng)戶在完成了(l¥e)局域網基礎設施部署後已經開(kāi)始了(le)如(rú)火(huǒ)如(rú)荼的(de )應用(yòng)建設,大(dà)型和(hé)超大(dà)型$的(de)數(shù)據中心不(bù)斷Ω出現(xiàn),內(nèi)網中的(de)應用(yòng)系統和(hé)數(shΩù)據資源也(yě)得(de)到(dào)了(le)前所未有(yσǒu)的(de)豐富。雖然這(zhè)些(xiē)企業(yè)用(yòng)β戶對(duì)來(lái)自(zì)外(wài)網的(de)威×脅高(gāo)度重視(shì),卻很(hěn)容易忽略了(le)內(nèi)部±員(yuán)工(gōng)可(kě)能(né&ng)發生(shēng)的(de)洩密門(mén)事(shì)件(jiàn)。
由于局域網內(nèi)的(de)用(yòng)戶是(shì)所謂的(de)可(kě)信β用(yòng)戶,他(tā)們可(kě)以輕而易舉的(de)獲取內(✘nèi)網數(shù)據,然後通(tōng)過各種途♣徑,例如(rú)FTP、E-mail、聊天工(gōng)π具等,将這(zhè)些(xiē)內(nèi™)部數(shù)據發送給有(yǒu)所企圖的(de)人(rén)。源代碼在互聯網上(shàαng)洩漏、商業(yè)機(jī)密被當作(zuò)新聞一(↑yī)樣在網上(shàng)流傳,類似的(de)事(s hì)件(jiàn)已經不(bù)勝枚舉,★而且還(hái)在繼續發生(shēng)。
威脅四:容易成為(wèi)被告
在深圳的(de)人(rén)們都(dōu)還(εhái)記得(de)2005年(nián)年(nián)底發生(shēng)的(de)K1∞13公交車(chē)事(shì)件(jiàn):一(yī)位∑妻子(zǐ)為(wèi)了(le)督促自(zì)己的( de)老(lǎo)公早日(rì)給自(zì)己買車(chē),謊稱↑自(zì)己上(shàng)班途中在K113上(sh&àng)被搶劫,丈夫針對(duì)此事(shì)寫了(le)個(gè)帖子(zǐ)發到(dà o)論壇上(shàng);正是(shì)年(nián)關治安敏感時(shí)→期該帖子(zǐ)被到(dào)處轉發,公安局網監分(fēn)局介¥入調查後發現(xiàn)整個(gè)事(shì)£情就(jiù)是(shì)妻子(zǐ)為(wèi)督促丈夫買車(chē)而編造,最後"以丈夫被治安拘留15天告終。假如(rú)這(zhè)個(gè)丈夫上(shànβg)傳的(de)帖子(zǐ)不(bù)是(shì)這(zhè)個(gè)內®(nèi)容,而是(shì)涉及到(dào)藏獨或者其©他(tā)危害國(guó)家(jiā)安全的( de)事(shì)件(jiàn),員(yuán)工(gōng)所在的(de≤)組織必然會(huì)在其中被動的(de)卷入法律風(fēng)險。
行(xíng)為(wèi)管理(lǐ)是(shì)安全的(de)Ω第三個(gè)層次?
以上(shàng)來(lái)自(zì)企業(yè)內(nèi)部的(de)種種威脅表明(♠míng),外(wài)部攻擊需要(yào)高(gāo)度重視(shì)↓,來(lái)自(zì)企業(yè)內(nèi)部的(de)威脅同樣重要(yào)'。分(fēn)析上(shàng)面的(de)現(xiàn)象₽,我們會(huì)發現(xiàn),來(lái)自(zì)企業(yè)的(de)威脅,往往是(σshì)由人(rén)的(de)主觀行(xíng)為(wèi)引發的(de)。這(zhè)§就(jiù)引出了(le)信息安全領域的↑(de)一(yī)種新的(de)發展階段,行(xíng)為(wèi)管理(lǐ)階段。α
回顧信息系統安全的(de)發展,我們會(huì)發現(xiàn),最開(kāi)始,大 (dà)家(jiā)關注的(de)是(shì)設備的(de)安全。例如(rú),設備自(z"ì)身(shēn)的(de)穩定性是(shì)§否有(yǒu)保障?供電(diàn)是(shì)否穩定?交換機(jī)的(de)端口是(shì) 否能(néng)夠承受住外(wài)部的(de)攻擊?種種¶安全措施,都(dōu)是(shì)圍繞路(l ù)由器(qì)、交換機(jī)、服務器(↕qì)、普通(tōng)電(diàn)腦(nǎo)等設備展開(kāi≠)的(de)。緊接著(zhe),數(shù)據的(de)安全∏被提上(shàng)的(de)日(rì)程。企業(yè)關鍵的(de)數(shù)據≈成為(wèi)攻擊盜取的(de)對(duì)象,于是(shì),各種反Phishing、≠反間(jiān)諜軟件(jiàn)又(yòu)相(xiàng)繼出現(xiàn↔)。
現(xiàn)在,企業(yè)網絡系統安全正在形成第λ三個(gè)階段:網絡行(xíng)為(wèi)管理(lǐ)安全。其根本立足點,不(bù)是(shì)對(duì)設備的(de)保護',也(yě)不(bù)是(shì)對(duì)數(shù)據的(de×)看(kàn)守,而是(shì)規範企業(yè)員(yuán)工(gōng)網絡行(xíng)γ為(wèi),這(zhè)已經上(shàng)升到(dà≥o)了(le)對(duì)人(rén)的(de)管理(lǐ)的(de)階段。區(qū)★别于傳統的(de)反垃圾郵件(jiàn)和(hé)URL過濾器(qì),網絡行(x♥íng)為(wèi)管理(lǐ)設備主要(yào)針對(¥duì)流量和(hé)應用(yòng)進行(xíng)控制(zhì)和(&hé)管理(lǐ),對(duì)內(nèi)網發£生(shēng)的(de)一(yī)些(xiē)In¥ternet行(xíng)為(wèi)做(zuò)針對(duπì)性的(de)監控,從(cóng)而去(qù)規範員(yuán)✔工(gōng)的(de)上(shàng)網行(xíng)✘為(wèi)。而且,這(zhè)種方案多(duō)采用(∏yòng)硬件(jiàn)解決措施,以期承載更高(£gāo)的(de)局域網負荷。
當前,上(shàng)網行(xíng)為(wèi)管理(lǐ•),正在形成一(yī)個(gè)特定的(de)市(shì)場(chǎng),并且,這(zhè)個(•gè)市(shì)場(chǎng)正在快(k∏uài)速成長(cháng)。一(yī)個(gè)網絡安全領域的(de)專家(jiā§)曾這(zhè)樣預言:2010年(nián),上(shàng)網行(xíng)為(wèi)管理 (lǐ)市(shì)場(chǎng)将超越防火(huǒ)牆市(shì)場(chǎng)。
這(zhè)并非空(kōng)穴來(lái)風(fēng),前不(bù)↔久,國(guó)際頒布的(de)《薩班斯奧≤克斯利法案》和(hé)中國(guó)公安部發布的(de)第82号令――™《互聯網安全保護技(jì)術(shù)措施規↔定》,都(dōu)不(bù)約而同地(dì)對(duì)企業(yè)的(Ωde)網絡行(xíng)為(wèi)管理(lǐ)提出了(le)要(yào)±求。此外(wài),據賽迪顧問(wèn)的(de)預測,中國(guó)網絡安全市(shì)場($chǎng)将在2010年(nián)突破100億元的(de)規模,而增長(c→háng)最快(kuài)的(de)将是(shì&)網絡內(nèi)容安全設備。
這(zhè)裡(lǐ),有(yǒu)一(yī)個(gè)銷售實例能(néng)夠證€明(míng)以上(shàng)的(de)數(shù)據。國(gu<ó)內(nèi)某集成商的(de)銷售人(rén)員(yuánπ)跟單中國(guó)石化(huà)的(de)某個(gè)分¶(fēn)部,三年(nián)下(xià)來(lái),沒有(yǒu₽)簽定關于網絡設備方面的(de)合同。然而,當這(zhè)個( gè)銷售經理(lǐ)向這(zhè)個(gè)客戶推薦上§(shàng)網行(xíng)為(wèi)管理(lǐ)系統時(s hí),在短(duǎn)短(duǎn)三個(gè)月(yuè)裡(lǐ)就(jiù)σ成單了(le)。
行(xíng)為(wèi)管理(lǐ)并非隐私侵權,而是(sh•ì)權利保護?
目前,推出上(shàng)網行(xíng)為(wèi)管理(lǐ)系統的π(de)廠(chǎng)商不(bù)在少ε(shǎo)數(shù)。國(guó)際上(shàng)有(yǒu)Websense"、Bluecoat等國(guó)際廠(chǎng)商,國(guó)內(nèi)有(yǒu)深×信服、網康、飛(fēi)魚星、銳風(fēng)等企業(yè)。它們推出的(de)上(shàng)→網行(xíng)為(wèi)管理(lǐ)系統,≈基本上(shàng)都(dōu)主要(yào)實現(xiàn)對(d←uì)網絡帶寬分(fēn)配、上(shàng)↓網行(xíng)為(wèi)監控等功能(néng),例如(rú)對(duì)員(βyuán)工(gōng)的(de)Web訪問(wè♣n)、發貼等上(shàng)網過程有(yǒu)詳細的(de)監控記錄,甚至能 (néng)夠對(duì)QQ的(de)聊天記錄做↑(zuò)監控。
對(duì)企業(yè)員(yuán)工(gōng)的(≈de)上(shàng)網行(xíng)為(w✔èi)做(zuò)如(rú)此嚴密的(de)監控,是(shì)否有(yǒu)違人(ré£n)權?這(zhè)成為(wèi)當前争議(yì)很(hěn)大(dà)的(de)話(huà)題。
在員(yuán)工(gōng)內(nèi)網的(de)行(xíng)為(wèi)是(sh↑ì)否應該被監控這(zhè)一(yī)點上(shàng),來(lái)自(zì)各方的(de)激烈←争辯從(cóng)來(lái)就(jiù)沒有(yǒu)停止。一(yī)方面,組織的(de)管理(l<ǐ)者認為(wèi)員(yuán)工(gōng)在辦公室發生(shεēng)的(de)行(xíng)為(wèi)屬ε于工(gōng)作(zuò)時(shí)間(jiān)之內(nèi)發生(shēσng)的(de),應該受到(dào)組織的(de®)管理(lǐ),并希望通(tōng)過上(shà'ng)網行(xíng)為(wèi)設備來(lái) 監測和(hé)約束員(yuán)工(gōng)的(de)網絡行(xíng)為(wèi),以期提高(gāo)生(shēng)産率,減低(dī)洩密的(de)紀律,保護企業₩(yè)資源;另一(yī)方面,員(yuán)工(gōng)不(bù≠)希望自(zì)己的(de)隐私在任何情況下(xià)被人(rén)獲知π(zhī),他(tā)們希望一(yī)個(gè)自(zì)由開(kāi)放•(fàng)的(de)工(gōng)作(zuò)環境。≠
對(duì)于這(zhè)個(gè)問(wèn)題,業(yè)內(nèi)人(rén)士這(zhè)樣解釋:我們并不(bù)認為(wèi)÷員(yuán)工(gōng)的(de)隐私就(jiù)應該被監控,我們隻是(s'hì)提供相(xiàng)應的(de)幫助。當組織的(de)管理(lǐ)者和(h★é)員(yuán)工(gōng)達成一(yī)緻,希望實現(xiàn)網絡行(∏xíng)為(wèi)的(de)管理(lǐ)時(shí),起碼不(bù)至于找不(bù₽)到(dào)一(yī)個(gè)合适的(de)解決方案。
其實,我們會(huì)發現(xiàn)這(zhè)樣的(de)現(xi←àn)象:目前,已經有(yǒu)很(hěn)多(duō)企業(yè)為(wèi)☆了(le)制(zhì)止員(yuán)工(gōng)聊天,把QQ給禁掉了(le),對↑(duì)于這(zhè)樣的(de)企業(yè),很(h±ěn)有(yǒu)可(kě)能(néng)$會(huì)把MSN也(yě)禁掉。此外(wài),很(hěn)多(d<uō)企業(yè)直接把所有(yǒu)的(de)P2P應用(yòng)都(™dōu)禁掉了(le)。
這(zhè)樣産生(shēng)的(de)結果是(shì),我們的(de)隐私權得≈(de)到(dào)了(le)保證,與此同時(shí),我們卻失去(qù)了(le)方便的(de)對(duì)外(wài)溝通(tōng→)工(gōng)具。不(bù)管是(shì)對(duì)員(yuán)工₹(gōng),還(hái)是(shì)對↕(duì)企業(yè),都(dōu)是(shì)一(yī)種雙輸的'(de)局面。而上(shàng)網行(xíng)為(wèi)管理(lǐ),卻能(néng)夠很(hěn)好(hǎo)地(dì)解決這(z$hè)個(gè)問(wèn)題,讓員(yuán)工(gōng)與企業( yè)都(dōu)成為(wèi)雙赢的(de)局面。一(yī)方面,由于員(yuán)工(g♣ōng)的(de)上(shàng)網行(xíng)為(wèi)會(huì)受到(dào)系統✘的(de)全程監控,員(yuán)工(gōng)肯定會(huì)減少(shǎo)網絡聊天的(σde)時(shí)間(jiān),不(bù)去(qù)訪問(wèn)不(♣bù)應該訪問(wèn)的(de)網站(z¶hàn),另一(yī)方面,員(yuán)工(gōng)能(néng)夠确保良好(hǎo)的(de)溝通(tōng)方式,從(cóng)而極大(dà)地(dì)提高'(gāo)工(gōng)作(zuò)效率和(hé)降低(dī)工(gōng)作(zuò)成本。
其實,企業(yè)在部署上(shàng)網行( xíng)為(wèi)管理(lǐ)系統時(shí™),可(kě)以采用(yòng)部分(fēn)監控的(de)辦法。正如★(rú)業(yè)內(nèi)人(rén)士所言,通(tōng)過各種監控策略,對(duì)♥企業(yè)中不(bù)同的(de)人(rén),不↓(bù)同的(de)時(shí)段,進行(xíng)監$控,這(zhè)樣,就(jiù)可(kě)以盡量保證各種員(yuán)工✘(gōng)的(de)權利。
仔細分(fēn)析,我們會(huì)發現(xiàn),行(xíng)為♦(wèi)管理(lǐ)系統并非是(shìφ)IE通(tōng)訊工(gōng)作(zuò)、P2P應用(yòng)的(de)•敵人(rén),相(xiàng)反,是(shì)它們的(de)合法保護者。行(xσíng)為(wèi)管理(lǐ)系統就(jiù)像公司的(de)法規,它從(↑cóng)法律的(de)角度确定了(le)IE通(tōng)訊工(gōng)作(z∞uò)、P2P應用(yòng)的(de)合法性,同時(shí),它限制(z₹hì)了(le)員(yuán)工(gōng)的(de)非法行(xγíng)為(wèi)。
事(shì)實上(shàng),對(duì)于很(hěn)多(™duō)單位,例如(rú)學校(xiào)、保密單位、企業'(yè)的(de)核心研發部門(mén),都(dōu)會(huì )有(yǒu)行(xíng)為(wèi)管理(lǐ)系統的(de)潛在需求。
上(shàng)網行(xíng)為(wèi)管理(lǐ)♦市(shì)場(chǎng),值得(de)我們關注。
返回目錄
