目前,在企事業單位內部部署網管軟件,加強單位內部局域網的上網管理、上網監控,已經成為國內網管人員的共識,同時部署網管軟件也是實現網絡規范、安全管理的必由之路。毋庸置疑,一套行之有效的網管軟件可以很好地幫助網管人員屏蔽不合理的網絡應用,保護單位重要信息,保證網絡資源的充分、高效、合理使用。
但是,一個被網管人員普遍忽視的一個問題是:你的網管軟件安全嗎?如何從國內眾多的網管軟件品牌中選擇真正安全的網管軟件呢?
筆者絕非危言聳聽。其實,在中國互聯網這樣一個法律和道德都明顯缺失的環境中,用戶的信息安全始終至今無法得到有效的保護。前一段時間牽動數億網民神經的“3Q大戰”爆出的網絡個人信息安全問題,一直困擾著中國的每個網民。“我的隱私誰做主?”、“我的信息安全誰來負責?”,已經成為中國網民的熱切的期盼。
而相對于個人網民而言,企業級的信息安全的重要性自不待言。企業關鍵商業機密的丟失、被盜將直接影響到企業的穩健經營,甚至可能導致企業的衰落、破產。因此,當前很多企事業單位都部署一些具有上網內容監控功能的網管軟件來監控員工的聊天內容、郵件內容、FTP上傳、留言、發帖等信息,以此來保護企業關鍵信息的安全。但問題是:誰能保證這種內容監控軟件、內容監控設備的網管系統的安全呢?誰能保證這些監控軟件所監控、記錄到的客戶端的上網內容不會被泄露、丟失呢?不知道大家是否記得,像中國萬網這樣大的公司,還“不小心”泄露了用戶的郵件內容,更不用說一般的網管軟件公司了。
筆者在此也不僅僅是討論信息安全、網管軟件的內容監控的安全問題,而是借此想深入討論網管軟件的整體安全問題。筆者認為,一套真正安全的網管軟件必須包括以下幾個方面:
一、 首先是用戶的信息安全、上網隱私的保護功能。鑒于目前國內目前沒有相關的保護網民、員工的上網信息隱私權、信息安全的相關法律規定。所以任何監控員工上網內容,例如郵件內容和聊天內容的行為都是不道德的,并且從長遠來看,隨著國家相關隱私、信息安全保護法律、法規的出臺,肯定也是違法的。企事業單位購買這種內容監控的網管軟件,極容易使得企事業單位遭受有關法律風險,從而使得企事業單位本意是為了保護內容、信息安全,結果這種行為卻置企事業單位于不安全之中。聚生網管作為國內知名的上網行為管理軟件,不記錄員工的任何涉及隱私的內容,比如聊天內容、FTP上傳內容、郵件內容、留言發帖等內容,而只是單純地提供限制或允許功能。同時,針對企事業單位對員工上網內容,尤其是郵件內容、聊天內容、FTP上傳等可能盜取公司商業機密的行為。聚生網管不是直接記錄郵件內容,而是提供特定郵箱使用的管控功能,例如:聚生網管可以限定員工允許使用的企業自有的郵箱,而禁止使用門戶網站公共郵箱,從而使得員工的郵件通訊均通過企業內部的郵件服務器來承擔(包括備份存檔),從而最大程度上保護了企事業單位的信息安全;對聊天軟件也一樣,聚生網管提供限定員工使用的聊天內容賬戶的功能,例如聚生網管可以限定員工使用公司統一申請的QQ賬戶進行業務往來,而禁止員工使用私人的QQ號碼,同時聚生網管也不記錄員工QQ登錄密碼等敏感信息;對于FTP上傳,聚生網管可以完全禁止一般員工使用FTP上傳較大的文件,使用FTP進行上傳僅限于公司具有特定權限的人員使用。通過上述種種措施,聚生網管同樣可以限制局域網電腦可能的泄露商業機密的行為和企圖,有力地保護了企事業單位的信息安全。
二、 其次,網管軟件的注冊、使用方式。國內很多的網管軟件品牌,采用機器碼的方式進行注冊,一般是通過識別電腦的硬件信息,如CPU、硬盤、主板等,然后根據讀取的這些硬件信息的特征碼,生成相應的序列號、注冊碼。這種注冊方式很容易被一些技術高手進行反編譯、逆向工程等方法進行破解,從而使得企事業單位內部的員工也可能用這些破解后的網管軟件干擾企事業單位內部的網絡安全、獲取上網權限、截獲商業機密信息等;一些網管軟件通過網絡驗證的方式來進行注冊,這就要求事先在網管軟件里面內置“后門”便于進行遠程正版驗證等,這很容易被黑客利用而登錄到監控軟件及其所在的監控主機,截獲監控信息并可以發起其他攻擊、破壞行為,從而使得企事業單位的局域網安全、信息安全面臨巨大的風險;此外,一些網管軟件在啟動監控之前需要先登錄遠程服務器進行正版驗證等,這使得監控主機的相關信息極容易被遠程服務器所獲取或被黑客中途嗅探,從而為黑客發動攻擊提供了方便。而聚生網管作為國內知名的上網行為管理軟件,很早就采用基于國際領先的硬件加密狗的驗證,從而使得一般的黑客無法破解,保護了用戶的正版權益;其次,聚生網管是純綠色的網管軟件,安裝和卸載后不會在電腦留下任何信息,而一般的網管軟件總是要遺留一些網卡抓包引擎或者安裝文件夾等信息,這些信息有可能在后臺偷偷做一些不為人知的工作,有些缺乏道德和法律底線的網管軟件產品,甚至會暗中破壞同行的產品,從而給用戶造成了較大的困擾。
三、 再次,一般的網管軟件在運行的時候都需要接入局域網中并且保持聯網,這就使得監控軟件捕獲到的信息都有可能被第三方嗅探軟件或者黑客軟件劫持,并發送到互聯網上去,從而使得企業的信息面臨著巨大的風險;同時,由于現在很多軟件都用到了P2P技術,這使得監控主機的一些P2P軟件會偷偷地上傳資料,從而會增加局域網公網帶寬消耗,也加大了監控主機本身的負荷。而聚生網管在監控局域網主機的時候不需要上網,也就是聚生網管的監控主機不需要上網就可以實現對局域網電腦的上網行為的全面監控,從而極大地保護了監控主機的信息安全,防止監控軟件捕獲到的數據包可能被第三方劫持的情況或者監控內容可能被木馬、病毒等黑客程序偷偷發送到公網上去,保護了監控內容的安全。
四、 再其次。當前流行的一些網管軟件,尤其是基于C/S架構的客戶端和服務端形式的網管軟件,通常需要在被控制的電腦上安裝客戶端,然后通過網管主機的服務端操控客戶端的方式來限定被控制的電腦的上網行為。但是,這種情況下監控軟件的安全性面臨著諸多隱患。其一、由于監控軟件客戶端是通過判斷客戶端電腦任務管理器里面進程名字的方式來限定客戶端電腦的執行程序,那么這種情況下,客戶端電腦使用者如果更改應用程序的進程名字,將會使得客戶端無法判斷應用程序,從而無法對客戶端的電腦上網行為和上網內容進行識別和管理。例如,客戶端電腦如果將QQ.exe,改為liaotian.exe,監控軟件的客戶端將無法識別應用程序,從而也無法禁止;其二、由于客戶端程序是依附于客戶端電腦的操作系統,那么這種情況下,如果客戶端電腦重新安裝操作系統將會使得客戶端軟件被卸載,從而服務端也無法監控被控制電腦;其三、由于客戶端程序的監控實現原理類似于木馬,從而也極容易被客戶端電腦的殺毒軟件、木馬清理軟件當做病毒木馬被殺掉并被禁止運行,從而使得服務端無法連接客戶端而無法實施監控;其四、由于在被控制的電腦安裝了客戶端軟件,從而使得客戶端電腦的所有上網內容有可能都被記錄,而如果網管人員不能很好地保護這些監控內容,將會使得這些監控內容被泄露、丟失、曝光等,從而使得企事業單位將會面臨著侵犯員工隱私權的法律風險,也對企事業單位的自身的形象造成巨大的損害,對企事業單位的員工心態、對企事業單位自身的認同感產生巨大的負面影響。而聚生網管軟件,由于采用B/S架構,從而使得被控制的電腦一般無法覺察到監控軟件的存在;同時,聚生網管由于采用底層互聯網基礎協議構建,從而可以完全突破一切防火墻(包括ARP防火墻)、殺毒軟件、安全軟件進行監控,保證了監控的有效性和嚴肅性,同時,由于聚生網管不直接監控郵件內容、聊天內容或者FTP傳輸內容,同時聚生網管控制機可以不用上網,從而也避免了監控內容被泄露的風險,保護了企事業單位的安全。
五、 此外,當前很多的網管軟件在運行的時候沒有相關的進程守護、意外中斷的保護機制,這常常會遭遇到監控軟件出現問題或者運行監控軟件的電腦出現問題的時候導致局域網被監控的其他電腦無法正常上網、出現大面積掉線的現象,給企事業單位正常的工作、運轉帶來巨大的危害。為此,聚生網管系統集成了“監控意外中斷自動重新啟動”和“監控一段時間后自動釋放內存”的功能,也就是當聚生網管程序因為病毒感染、或者殺毒軟件誤殺而出現問題退出時,聚生網管的守護進程會自動讓聚生網管重新啟動,這樣不至于出現網絡大面積掉線的現象;同時,聚生網管還可以自動釋放內存,這樣保證了長期監控系統性能的穩定性,降低系統資源的開支和消耗。同時,由于聚生網管采用加密狗驗證,所以網管人員可以在一臺用作備份的電腦上安裝另一套聚生網管系統并創建好監控網段,這樣當原先的控制機電腦出現問題的時候,網管人員可以迅速將加密狗拔下插到另一臺電腦迅速啟動聚生網管進行監控,這樣局域網內被控制的電腦一般無法感覺到網絡的掉線、中斷現象,從而保證了網絡的穩定、安全和暢通,也保證了監控的實時、永續、持久有效。
六、 最后,一款網管軟件的安全還包括長期使用的相關權益。當前國內有些網管軟件品牌,在軟件里面集成了使用期限的限制,也就是當使用網管軟件到達一定期限的時候就出現無法啟動、無法繼續使用的情況,而如果繼續使用則必須要重新付費,以購買新的使用年限,這樣就加大了用戶的購買成本和使用成本;同時,有些網管軟件升級期限很短,一般只提供1~2年的免費升級,到期如果客戶還想繼續升級則需要給付升級費用,并且升級費用往往很高,從而更進一步加大了企事業單位的負擔。而作為國內最早的上網行為管理軟件聚生網管,從2005年推出以來一直承諾客戶終身使用、終身免費升級的策略,從而極大地降低了用戶的使用成本。不僅如此,聚生網管還根據用戶的需要隨時開發各種網絡管理功能,從而更充分地滿足了企事業單位的需要,為用戶創造了更大的網絡管理收益。
總之。國內企事業單位通過部署網管軟件、加強網絡管理是大勢所趨,也是實現規范、有效網絡管理的必由之路。但是選購、部署、使用網管軟件的安全性不容小覷,并且安全性是一個涉及很多方面的關鍵問題,如果應對不當不僅無法達到網絡管理的目的,還會造成投資的浪費;同時,部署網管軟件、加強網絡管理是企業管理的重要組成部分,將直接關系到企事業單位的穩健運作、正常經營。因此,一套真正的網絡管理必須是以充分保證網絡安全、信息安全、風險防范層面的、綜合的系統安全,網管人員在選購、部署網管軟件的時候應該特別注意這一點。
共有條評論
