行为管理是隐私侵权 还是权利保护?
【IT168 报道】上网行为管理真的是隐私侵权么?当企业采用极端的方法封杀QQ、P2P等应用时,你会发现,行为管理系统却在保护你用QQ进行工作交流的权利。上网行为管理的出现,使信息安全步入了后设备安全、数据安全时代,它极有可能成为第二个防火墙......
如今,随着各种攻击手段的不断变化,信息安全技术也经历了多次演进,从反病毒、防火墙、入侵检测,到反垃圾邮件、反Phishing、反间谍软件,再到Web网页的内容过滤、反DDoS攻击然而,近来由于企业内部非常规上网行为导致企业陷入官司僵局,内部员工泄露企业核心机密的事件表明:在面对外部攻击的同时,企业正面临来自企业内部的种种威胁。
来自内网的行为威胁
威胁一:网络流量成为负担
可能,作为一个负责的网管,你一直都在关注着组织的广域网出口,尤其是最近一年,你发现情况越来越糟糕。虽然局域网的用户只有区区一百多人,10M的电信光纤却显得十分乏力。这就是P2P等应用软件惹的祸。由于P2P的设计思想使其形成了对网络资源的抢夺,使得局域网中的其他应用无法得到应有的带宽,造成了网络拥塞、重要服务无法得到保证的状况。其实解决的办法也很简单,就是不用P2P,但这简直是天方夜谭,因为P2P软件的触角已经伸入到了我们的工作与生活,我们可能通过P2P下载最热门的影片,但同时,很多工作相关的文档资料都需要P2P软件来下载。
可以说,我们每个人都是P2P的最大受益者和始作俑者,在尝到了P2P的甜头后都不忘记骂上一句,是哪个混蛋把网速拖得这么慢!当带宽问题的严重性凸显出来后,IT部门自然成为了各个办公室竞相指责的目标。
威胁二:工作效率难以提升
如今,MSN、QQ、Skype等IM(即时通讯软件)已经成为很多企业不可或缺的沟通工具。然而,它们在丰富了企业同外界沟通途径的同时,也给员工带来了更多的偷懒机会。和打电话不同的是,没有人知道你在网上和别人聊了些什么。即使部门的主管怀疑员工在上班时间聊私人话题,但由于缺乏足够的证据,员工往往以工作为由来抵制上级的要求。
虽然还远远不止这些,但以上两种行为就能使办公室的工作氛围大大地破坏。当员工都沉迷在浏览网络视频、在线听歌、同好友聊天的情景中,被忽略的往往是手头最重要的工作。由于难以界定员工何时浏览娱乐网站,何时通过IM聊私人话题,组织采取的最极端的方法就是断网。这种方法很可笑但也很有效,也只能发生在我们这个国家。
威胁三:泄密事故频繁发生
众多的企业用户在完成了局域网基础设施部署后已经开始了如火如荼的应用建设,大型和超大型的数据中心不断出现,内网中的应用系统和数据资源也得到了前所未有的丰富。虽然这些企业用户对来自外网的威胁高度重视,却很容易忽略了内部员工可能发生的泄密门事件。
由于局域网内的用户是所谓的可信用户,他们可以轻而易举的获取内网数据,然后通过各种途径,例如FTP、E-mail、聊天工具等,将这些内部数据发送给有所企图的人。源代码在互联网上泄漏、商业机密被当作新闻一样在网上流传,类似的事件已经不胜枚举,而且还在继续发生。
威胁四:容易成为被告
在深圳的人们都还记得2005年年底发生的K113公交车事件:一位妻子为了督促自己的老公早日给自己买车,谎称自己上班途中在K113上被抢劫,丈夫针对此事写了个帖子发到论坛上;正是年关治安敏感时期该帖子被到处转发,公安局网监分局介入调查后发现整个事情就是妻子为督促丈夫买车而编造,最后以丈夫被治安拘留15天告终。假如这个丈夫上传的帖子不是这个内容,而是涉及到藏独或者其他危害国家安全的事件,员工所在的组织必然会在其中被动的卷入法律风险。
行为管理是安全的第三个层次?
以上来自企业内部的种种威胁表明,外部攻击需要高度重视,来自企业内部的威胁同样重要。分析上面的现象,我们会发现,来自企业的威胁,往往是由人的主观行为引发的。这就引出了信息安全领域的一种新的发展阶段,行为管理阶段。
回顾信息系统安全的发展,我们会发现,最开始,大家关注的是设备的安全。例如,设备自身的稳定性是否有保障?供电是否稳定?交换机的端口是否能够承受住外部的攻击?种种安全措施,都是围绕路由器、交换机、服务器、普通电脑等设备展开的。紧接着,数据的安全被提上的日程。企业关键的数据成为攻击盗取的对象,于是,各种反Phishing、反间谍软件又相继出现。
现在,企业网络系统安全正在形成第三个阶段:网络行为管理安全。其根本立足点,不是对设备的保护,也不是对数据的看守,而是规范企业员工网络行为,这已经上升到了对人的管理的阶段。区别于传统的反垃圾邮件和URL过滤器,网络行为管理设备主要针对流量和应用进行控制和管理,对内网发生的一些Internet行为做针对性的监控,从而去规范员工的上网行为。而且,这种方案多采用硬件解决措施,以期承载更高的局域网负荷。
当前,上网行为管理,正在形成一个特定的市场,并且,这个市场正在快速成长。一个网络安全领域的专家曾这样预言:2010年,上网行为管理市场将超越防火墙市场。
这并非空穴来风,前不久,国际颁布的《萨班斯奥克斯利法案》和中国公安部发布的第82号令――《互联网安全保护技术措施规定》,都不约而同地对企业的网络行为管理提出了要求。此外,据赛迪顾问的预测,中国网络安全市场将在2010年突破100亿元的规模,而增长最快的将是网络内容安全设备。
这里,有一个销售实例能够证明以上的数据。国内某集成商的销售人员跟单中国石化的某个分部,三年下来,没有签定关于网络设备方面的合同。然而,当这个销售经理向这个客户推荐上网行为管理系统时,在短短三个月里就成单了。
行为管理并非隐私侵权,而是权利保护?
目前,推出上网行为管理系统的厂商不在少数。国际上有Websense、Bluecoat等国际厂商,国内有深信服、网康、飞鱼星、锐风等企业。它们推出的上网行为管理系统,基本上都主要实现对网络带宽分配、上网行为监控等功能,例如对员工的Web访问、发贴等上网过程有详细的监控记录,甚至能够对QQ的聊天记录做监控。
对企业员工的上网行为做如此严密的监控,是否有违人权?这成为当前争议很大的话题。
在员工内网的行为是否应该被监控这一点上,来自各方的激烈争辩从来就没有停止。一方面,组织的管理者认为员工在办公室发生的行为属于工作时间之内发生的,应该受到组织的管理,并希望通过上网行为设备来监测和约束员工的网络行为,以期提高生产率,减低泄密的纪律,保护企业资源;另一方面,员工不希望自己的隐私在任何情况下被人获知,他们希望一个自由开放的工作环境。
对于这个问题,业内人士这样解释:我们并不认为员工的隐私就应该被监控,我们只是提供相应的帮助。当组织的管理者和员工达成一致,希望实现网络行为的管理时,起码不至于找不到一个合适的解决方案。
其实,我们会发现这样的现象:目前,已经有很多企业为了制止员工聊天,把QQ给禁掉了,对于这样的企业,很有可能会把MSN也禁掉。此外,很多企业直接把所有的P2P应用都禁掉了。
这样产生的结果是,我们的隐私权得到了保证,与此同时,我们却失去了方便的对外沟通工具。不管是对员工,还是对企业,都是一种双输的局面。而上网行为管理,却能够很好地解决这个问题,让员工与企业都成为双赢的局面。一方面,由于员工的上网行为会受到系统的全程监控,员工肯定会减少网络聊天的时间,不去访问不应该访问的网站,另一方面,员工能够确保良好的沟通方式,从而极大地提高工作效率和降低工作成本。
其实,企业在部署上网行为管理系统时,可以采用部分监控的办法。正如业内人士所言,通过各种监控策略,对企业中不同的人,不同的时段,进行监控,这样,就可以尽量保证各种员工的权利。
仔细分析,我们会发现,行为管理系统并非是IE通讯工作、P2P应用的敌人,相反,是它们的合法保护者。行为管理系统就像公司的法规,它从法律的角度确定了IE通讯工作、P2P应用的合法性,同时,它限制了员工的非法行为。
事实上,对于很多单位,例如学校、保密单位、企业的核心研发部门,都会有行为管理系统的潜在需求。
上网行为管理市场,值得我们关注。
返回目录