員工上網控制、企業網絡管理需在封堵和疏導之間尋求平衡
編者按:如今企事業單位信息化已經初步建成,企事業單位各項業務也逐步通過網絡來進行,網絡的穩定、安全和暢通與否將直接關系到企業各項信息化系統的正常運轉,甚至在很大程度上影響到企業的正常的生產和經營活動。因此,加強企業網絡監控、推動上網管理和上網控制已經成為企事業單位普遍的共識和舉措。
如今在大多數企業中,員工上網已經成為一種必要條件。在這種情況下,QQ、MSN、P2P下載等不規范的上網行為可能會帶來工作效率的低下,甚至由于像“艷照門”事件一樣帶來法律的風險。因此,越來越多的單位開始部署上網監控軟件,安裝網絡控制軟件,部署局域網限速軟件、局域網網絡管理軟件以及各種網管軟件或網管設備等來加強上網控制。同時,中國員工上網的隨意性、娛樂性和開放性也在客觀上需要加強網絡管控。
這里,有幾項調查數據,值得我們關注:
企業中員工每周上班花在網上處理私人事務的時間高達5.6小時,平均每天超過1小時 (炒股、聊天等);
中國白領比其它地區的白領每周多花7.6小時的時間來使用IM、玩游戲、P2P;
有83%的企業員工由于在辦公時間內瀏覽與工作無關的網站,使企業有更多機會遭受到仿冒詐騙、間諜軟件和其它網上攻擊的威脅 ;
網絡視頻下載鏈接導致大量有病毒或木馬的程序進入企業網絡,威脅到企業網絡安全
即時通訊的攻擊數量出現了大幅度增長。在過去的一年中,這類攻擊的增長幅度高達1500%
就目前來說,關于員工的上網行為,我們可以歸為幾大問題,帶寬擠占問題、影響工作效率問題、信息泄漏,以及法律追究問題。當前,而這在四大問題中,又以帶寬擠占、影響工作效率的矛盾最突出。
如何才能解決帶寬擠占、影響工作效率、甚至法律風險等問題呢?
普通解決辦法:武斷封殺,能行么?
最開始,大家想到的就是封堵QQ、MSN、P2P下載、股票軟件等,的確,這也是當前最“有效”的措施。在封堵QQ、MSN、P2P下載、股票軟件方面,其中包括封代理服務器或防火墻、封協議、封端口,利用路由器、網管軟件封堵等。
以上這些措施直接有效,但卻有些武斷。
例如,采用封IP的措施時,讓員工的電腦不能上網,從而杜絕員工在上班時間炒股但他卻沒法上網工作了。采用封端口的措施時,現在很多網絡應用都可以通過80端口來通訊,如果我們把80端口封鎖,那就連網頁訪問都不能進行了。
更重要的是,對于QQ、MSN、Skype、P2P等應用,它同時是工作的工具,也可能造成對工作的影響。例如,由于P2P的設計思想使其形成了對網絡資源的搶奪,使得局域網中的其他應用無法得到應有的帶寬,造成了網絡擁塞、重要服務無法得到保證的狀況。在實際工作中,我們有時通過P2P下載最熱門的影片,但同時,很多工作相關的文檔資料都需要P2P軟件來下載。
可以說,我們每個人都是P2P的最大受益者和始作俑者,在嘗到了P2P的甜頭后都不忘記罵上一句,“是哪個混蛋把網速拖得這么慢!” 但是,如果我們把P2P應用封掉時,就又會有大量的人抱怨:有些技術文檔無法下載,工作無法開展了。當帶寬問題的嚴重性凸顯出來后,IT部門自然成為了各個辦公室競相指責的目標。
從目前的企業情況看,媒體行業、廣告公司、網絡銷售公司、傳統企業的銷售部、市場宣傳部門等,對及時通訊工具的依賴性的確比較強。例如,現在有很多跟網絡相關的產品銷售公司,就依靠QQ、MSN、Skype進行網絡產品銷售,這是一種高效、低成本的銷售方式,值得我們密切關注。另一方面,很多企業都使用Skype等工具進行網絡視頻會議,例如總部與分部之間,廠商與經銷商之間,供應商與企業用戶之間等。
關于很多企業采用封堵的辦法限制QQ、禁止MSN、控制P2P和屏蔽股票軟件等應用的辦法,我們應當客觀地看待此事。
首先,我們不能采用一刀切的武斷做法。對于網絡電視、網絡游戲、在線炒股、黃色網站、網絡購物、網店、團購、旅游網站等應用,一般來說,對企業只會有害處。對于這樣的應用,我們應當全力控制。不過,對于QQ、MSN、P2P等應用,我們則應該區別對待。
在網絡管理工作中,企業想做的是對網絡的有效管理,例如上網帶寬充分,保證下載、上網速度,員工的工作效率高,企業網絡不會因為訪問外網感染病毒而影響工作效率。
但是,如何才能做到以上幾點呢?在想不到其他更好的辦法時,大家都想到了封堵,這可能是不得已的下策了。我們需要做的是,對員工QQ、MSN、P2P等上網行為的有效管理,而不是簡單封堵。
在QQ、MSN、P2P、股票等應用中,最需要管理的是P2P應用。因為,P2P下載導致網絡帶寬的擠占,這是侵害了其他員工的上網利益,這造成了對大家的影響。相反,對于QQ、MSN、股票軟件,只要不進行大文件傳輸,一般只會影響到自己的工作效率問題。
此外,對于QQ、MSN、股票軟件等應用,還要區別哪些對工作的幫助大,哪些對工作的幫助小。分清這些區別非常有用,這在很大程度上影響了企業對不同應用采用封堵的態度。例如,很多單位就把QQ給封掉了,但卻沒有封殺MSN和Skepe,就因為QQ閑聊的人太多,而MSN和Skepe用于工作的人多。
對員工上網行為的管理,其實還跟該企業的管理風格密切相關。對于工作效率這個問題,如果一個企業是扁平化的管理組織,其采用的考核指標也是目標式的,員工對待工作效率自己是有分寸的。所以,為了完成工作目標,這些員工可能會用QQ進行閑聊,但更多的時候,他會把它用于工作。
所以,我們真正要做的是,對員工QQ、MSN、P2P、網站訪問、股票等上網行為的合理控制,不是一刀切式的封堵,而是分人、分時間、分不同的應用進行管理。
專業的網絡行為管理方案
從目前看來,對員工QQ、MSN、P2P、網站訪問、股票等上網行為的合理控制,可能通過上網行為管理系統來實現。就目前來看,專門針對上網行為管理的主要包括國外廠商Bluecoat、Websense等,以及國內廠商大勢至公司、深信服等廠商。
3月20日,大勢至公司又推出了聚生網管新一代上網行為管理方案(官方網站:http://www.grabsun.com/):該版本的產品在URL過濾、應用協議控制、網絡活動審計、日志查詢統計等方面實現了全面的提升,同時還在界面設計和系統性能上得到了大幅度的改進,為產品質量的持續提升和快速客戶服務提供了可擴展的平臺,整個產品也充分體現了大勢至公司‘貼近用戶、服務用戶’的產品理念。
大勢至公司新推出的產品在對應用協議的識別與控制上實現了對各種應用協議的管控,其獨有的特征行為分析方法對加密P2P的部分應用也做到了有效控管,另外,通過對140種的網絡應用協議庫的自動更新省去了用戶不必要的擔憂。從產品URL數據庫的容量來看,其規模也達到了1000萬條,基本涵蓋了中國大陸所有的網站。聚生網管產品還通過對特定的用戶/用戶組和未確定人數的群體設置策略來保障公司帶寬資源的有效使用。另外,該版本還增加了對POP3郵件和BBS發帖附件審計,實現了對正文和附件同時顯示的功能,讓客戶可以更有效的管理和查閱發帖內容。
在網絡活動的監控與管理方面,新產品對于用戶關注的各種應用都可以做到有效的監控,采用管理思維邏輯習慣的方式,讓主管可以對不同部門在同一時刻的網絡活動進行有效的監控,實時掌握網絡和設備運行情況,并通過遞進與關聯式的分析讓管理者對公司網絡的流量、web訪問、郵件收發、IM等動態信息的及時了解,協助其制定公司整體的網絡使用策略,讓企業充分用好互聯網。最后,產品獨有的硬件與軟件BYPASS功能在在新產品中得到了充分地體現,操作界面提供直觀切換按鈕和一鍵式硬件BYPASS功能的結合了卻了用戶擔心影響網絡速度的后顧之憂。
封堵與保證溝通權利的平衡
我們以聚生網管2011版本為例:通過聚生網管上網行為管理產品可以達到:對員工的上網行為進行全程控制,誰?在什么時間?使用QQ、MSN,是否可以使用炒股軟件?是否可以訪問股票網站?可以擁有多少帶寬?真正幫助企業解決員工炒股規定的有力執行。聚生網管的核心功能在于:禁止BT下載、控制視頻網站、限制上班炒股、禁止局域網玩游戲、限制網絡速率、限制局域網網速、控制局域網流量、防御ARP攻擊、禁止訪問網站、限制外部電腦接入內網、檢測網卡混雜模式、遠程開關機等。
虛擬的網絡世界與現實世界是對等的,現實世界里有美與丑、善與惡,網絡世界里同樣也有美與丑、善與惡。因此,無論是從社會角度、從法律角度、從企業的利益角度,甚至從員工的切身利益角度,對互聯網的控制和管理都是必然的。
對于員工的上網行為,我們不能禁止,但合理的管理也是必要的。
我們會發現,上網行為管理系統,不是封堵了QQ、MSN、P2P下載,反而保證了員工可以使用他們,只不過,需要進行合理控制,這讓員工與企業都成為雙贏的局面。一方面,由于員工的上網行為會受到系統的全程監控,員工肯定會減少網絡聊天的時間,不去訪問不應該訪問的網站,另一方面,員工能夠確保良好的溝通方式,從而極大地提高工作效率和降低工作成本。
仔細分析,我們會發現,行為管理系統并非是IE通訊工作、P2P應用的敵人,相反,是它們的合法保護者。行為管理系統就像公司的法規,它從法律的角度確定了IE通訊工作、P2P應用的合法性,同時,它限制了員工的非法行為。
事實上,并非所有的企業都需要行為管理系統。但是,對于很多單位,例如學校、保密單位、企業的核心研發部門,都會有行為管理系統的潛在需求。
選擇合理的專業解決方案
上網行為管理產品和企業的內網安全密切相關,由于是一種相對較新的網絡安全產品,因此,企業在選購時需要花費更多的心思。在所有的選擇要素中,URL數據庫和應用協議數據庫是最重要的兩條。
一方面,要看URL數據庫的質量和本土化如何。網頁過濾功能是上網行為管理產品的核心之一,也是選購中首先應考慮的要點,因此任何一款上網行為管理產品的URL數據庫的好壞是非常重要的,而國內用戶在考察時更要注意數據庫本土化的程度。雖然說網絡無國界,但每個國家和地區的語言、使用習慣大不相同。
目前,由于國外產品大多都符合歐美標準,比較適應國外人的上網習慣。但是,上網行為管理是基于對互聯網內容的控制和對上網行為的管理來實現更完善的安全目標的,用戶喜歡訪問哪些網站?使用什么即時通信軟件?玩什么游戲?有哪些使用習慣?對上網行為管理產品的標準定義有著很重要的影響。
另一方面,要看應用協議數據庫如何。好的上網行為管理產品可以提供對各種流行網絡應用的協議分析特征庫的更新維護,通過對網絡應用進行多層次、全方位的分析,確保對各種網絡應用的準確控制管理。用戶無須關注應用的變化,只需要明確對應用的控制要求,即可實現對應用的控制管理。應用協議數據庫應該包含:IM即時通信、P2P應用、網絡電視、流媒體協議、在線游戲、在線炒股、郵件通信協議、遠程登錄協議等。這樣才能確保對用戶的上網行為進行全面的控制和管理。
在這方面,聚生網管不僅可以做到絕大多數應用的管理,針對特別的應用加密的應用,聚生網管也取得了突破性的進展。例如,聚生網管就能夠解決QQ加密文件的監控管理,并且在客戶端不安裝任何軟件的情況下進行。
同時,聚生網管系統針對最新出現、最新流行的網絡應用也做了有效的管控。如限制員工團購、禁止網絡購物、控制網購、限制開網店、禁止在線游戲、限制上網干私活、禁止員工網上做生意等等。
聚生網管系統還可以針對企事業單位網絡管理的特定需要進行個性化定制網絡控制功能,從而可以滿足用戶個性化、長遠的網絡管理需要。
共有條評論
