主持人:各位网友大家好,非常欢迎大家如期来到51CTO在线访谈。51CTO“在线访谈”系列活动已经举办了很多期,并取得的良好的效果。它逐渐成为广大网友了解IT行业与技术的一个窗口。
今天我们有幸邀请到了,北京网康科技有限公司副总裁左英男先生,和用友软件股份有限公司网络主管王晓科先生做客51CTO,他们将为大家解答在企业互联网接入管理和控制中碰到的实际问题。
左先生、王先生跟大家打个招呼吧。
左英男:各位网友大家好!
王晓科:各位网友大家好!
主持人:许多朋友反映,管理和控制企业互联网接入的安全问题,让他们感到非常棘手。因此,我们今天就这个问题和朋友们进行深入探讨。我们今天主要讨论三个方面的问题:
一是企业互联网接入管理和控制在企业安全管理中的地位和重要性。
二是企业互联网接入管理和控制的常见问题与解决方案。
三是企业互联网接入管理和控制的经验总结。
如何解决员工上网控制问题?
网友有个提问,我觉得很有意思。就是说现在的老板都是担心员工瞎上网,又担心这种上网的行为里面有一些泄密的行为,可能触犯一些隐私,有没有两全其美的解决方法?就是既让员工可以上网不影响工作,又不会触犯到员工的个人隐私。有没有相关的管理方法或者所谓的解决方案?
左英男:这个问题我就发表一点看法。关于员工上网行为管理和控制和个人的隐私的问题一直是网上有很多的评论,也有很多事件出来。这个问题分两方面来看:第一员工在企业工作,你在工作时间要去做你应该做的事情。在这种层面下有句俗话“不做亏心事,不怕鬼叫门”。你在为公司工作,在这个情况下,你不用担心有很多其他的一些方面的东西被别人看到。
第二个层面来讲,确实企业来讲,很多企业给员工提供了一个比较宽松的工作。包括网康来讲也是这样的工作环境,我们也并不限制每个员工一点时间都不能干别的。在这个前提之下我们需要有一个技术手段和管理手段相配合,怎么样既能够主观的控制,同时又能够保持个人隐私。比如在我们的网康的技术里首先提供技术手段,帮助企业很好的管理员工上网行为,什么时间上的什么网站,发的什么邮件都可以记录下来。同时我们有一个管理权限,这个权限非常细致。什么样的管理员看到什么样的信息,出什么样的报表。这种前提下企业需要用我们的一些技术手段来保证和控制,同时制定相应的管理手段。
比如我可以规定什么样级别的报表,只有总裁一个人看。比如说管理员可能只能看到什么样的信息,什么样的信息无论是公司任何人,在没有法律条款的前提下都不会看,但是我可能会保持下来。同时从国外一些企业借鉴来看,比如员工在入职的时候公司和员工签订一份协议,告知员工为了企业的一些机密信息不能被泄露,企业可能也会采用这样的手段,告知的义务应该由企业来承担。通过种种管理的手段和相应的配合,来解决这个问题。目前大概我了解的是这些层面上的东西。
主持人:从左总的话中,我总结出两点问题。第一个是随着互联网事业的发展,人们的工作、学习跟生活的方式在发生很大的变化。而且提高了工作效率,包括信息资源,得到最大程度的共享。第二个就是,同时我们也注意到互联网迅速的发展,给企业带来的许多网络安全、信息安全问题。如果这个问题得不到很好的解决,那么肯定会阻碍企业的发展,以及信息化进程的发展。
在信息安全建设中,企业最容易忽视那些问题?
那么在企业网络建设中,信息安全肯定是很重要的环节。针对于这个环节当中,企业最容易忽视哪些问题?左总能不能针给大家解答一下?
左英男:我觉得是这样的。其实在企业关于信息的安全问题,或者网络安全的问题谈了很多年了。从前几年来看,可以说三到五年的时间里,基本上企业对信息安全管理控制这方面的主要投入集中在防范的一个层面。防范来自外部各种各样的攻击,或者各种各样的入侵。比如使用防火墙设备,防止外部的员工进入,防止黑客的入侵。比如用杀毒软件、防火墙之类的东西防止外部的病毒攻击。这是企业可能目前在安全方面做的最多的事情。
在一两年前,安全问题不仅仅是来自外部,假如一个小公司来讲,真正有多少人关注我,一定要入侵你的公司怎么样,这种比例非常小。所以人们逐渐意识到安全问题很多源自内部,是企业内部员工或者有意、无意的出现一些安全的问题。这个也是讨论了很久。
那么怎么解决这个问题?从技术手段上整个信息安全的圈子里面比较少,另外网康也是看准这样一个机会,着重点是从企业的内部入手,主要通过加强企业内部的管理和控制,最终达到安全的目标。这样一种概念提出来。同时也是希望帮助企业,使企业意识到这方面的内容,我们也通过技术手段帮助企业解决这方面的问题。这方面可能是企业比较容易忽视的。
比如就拿现在肆虐的病毒、蠕虫、木马等等,基本上它的传播手段我可以说至少90%以上是来自互联网。因为你个人的计算机漏洞,可能就把蠕虫引进了自己的电脑。首先个人主机被感染病毒,然后又在局域网散布,这是个很严重的问题。
企业忽视信息安全问题,将会引发什么安全隐患?
主持人:像正常我们来谈安全问题的时候,就像左总所说比较注意一些病毒防范、黑客攻击。其实企业的网络安全里面不仅仅包含这些方面,像你所说的一些信息安全、数据保护尤其重要,而恰恰大部分企业往往忽视这样的问题。那么就引出来一个话题,上网失去控制,企业将会怎样?请两位分别来谈一谈。
王晓科:互联网如果不加控制的话,因为我们工作也经历过这种事情。刚才左总也说了,原来企业注重于互联网和内网之间的边界防范,像防火墙、用户监测系统。现在好多病毒和木马是侵入到网页,通过外网的方式有一些恶意程序,或者流氓软件,都是通过网页形式来下载。如果不加以控制的话,第一块员工正常的大量带宽,企业花很多费用做带宽,那么可能就保证不了安全,有些资源就会被员工所占用了,正常的工作就没有办法开展。这样用户就会感觉很慢,邮件也发不出去。
还有一点,如果不加以控制的话,好多恶意网站的病毒会入侵到企业里面。虽然很多企业已经装了防病毒软件,但是是以防范为主的,并不是以主动杀病毒为主的。好多是病毒出来以后,防病毒才会给予一些解决。所以在没解决之前,企业可能就受到大规模的影响。另外一个,如果不加以控制,企业员工的工作效率和各方面,老板也会觉得工作效率受影响,觉得员工在上班时间上网炒股、看电影、听MP3。因为我们毕竟是一个软件开发企业,倡导的也是开放的环境,但是有些行为还是应该规范的,因为毕竟是在工作里面。当时来的时候也签了一些知识产权保护协议,公司也规定上网行为管理,一些管理制度和规范。但是我们规范制度还是有相应的手段来控制,保证企业的正常运作。
主持人:其实从两位刚才的谈话中,可以看出对现实当中企业的安全问题是很严峻的。上网失去控制,将会引发企业很多的问题。其实这种问题可能很多的厂家、提供商已经开始关注了,并且提出了各种各样的解决方法。有的从最初的安装员工的一些监控软件来硬性、强制的措施去控制员工上网行为。还有后来发展到允许用计时工具软件结合到工作系统当中,实行一种怀柔的政策,目的还是想规范员工的上网行为。显然这两种方法都差强人意。
强制的做法可能有侵犯员工的隐私。怀柔的政策不能判定员工到底是工作了,还是在做私人的聊天或者其他的事情,没有办法判断。那么怎么才能两者兼备?既能治标也能治本。刚才左先生也谈了,有一个整体的解决方案。
在信息安全建设中,企业最容易忽视那些问题?
企业忽视信息安全问题,将会引发什么安全隐患?
如何防止企业机密信息泄露?
用友公司是如何解决员工上网行为存在的安全隐患?
企业互联网接入的具体应用有哪些?
怎样实现对外发E-mail、BBS等行为的监控?
国外内容安全产品与国内产品相比,是否有优势?区别在哪里?
内容安全控制产品的应用
互联网内容安全管理产品如何面对日益增多的互联网应用?
网康互联网内容网关设备是怎样定义管理规则的?
如何从信息安全角度评估企业互联网接入是否安全?
企业员工对互联网内容管理设备有何感受?
怎样管理无线办公用户的上网行为?
忽视员工上网行为存在的安全隐患,千人企业年损失500万
| 共7页: 1 [2] [3] [4] [5] [6] [7] 下一页 | ||
|
