网络管理如何做到对事不对人
“不能制约自己的人,不能称之为自由的人”,古希腊哲学家毕达哥拉斯的这句哲理名言,用来描述当今的企事业单位上网行为管理现状非常合适。无数鲜活的例子告诉我们,政企机构所面临的诸如信息安全、机密泄露、效率下降等问题,实在是因为我们的员工太“自由”了。
另一方面,在IDC连续多年的信息安全年度报告中,总是在强调这样的一个结论,那就是企业所面对的信息安全问题,超过80%来自于其内部。而这80%的问题中,几乎大半与员工个体行为有关,尤其是员工滥用网络的行为。
这也就是说,“人患”才是最大的问题所在。网络技术发展到今天,仅仅是对事件的处理已经远远不够,更重要的是针对人进行有效的管理。
为什么要“对人”
在以往,我们常常强调“对事不对人”,这在一定程度上是正确的。“对事”的这种问责体系,更多的是要求我们客观的分析事情,在处理问题过程中要针对问题本身,而不是针对某个人。这样的态度,是有其客观存在的科学意义。然而,放到当今的上网管理中,就不适合了,因为事实告诉我们需要“对事更对人”。
为什么要对人呢?同是一件事情为何不同的人做出来的结果不相同?就是因为人的不同,所做出来的结果就不相同。正常的人就有正常的思维,所做出来的一切事都是对的。非正常的人就有非正常的思维,所做的一切事都是错的。
事实上,人的行为往往是错综复杂且难以预料,是企业安全管理的重点,也是难点。一般企业的内网中,有着越来越多的需要管人的地方。员工的上网行为如果不加控制,就会带来诸多风险。
许多上网人员通过下载工具不停地下载大容量的文件,比如大文件的MP3和电影;或者欣赏在线音乐、看视频电影、新闻等;以及大量的P2P应用,严重占用网络带宽,造成网络堵塞。不加管理的网络活动,严重消耗了带宽,企业的核心应用得不到应有的资源保障。
员工有意或无意的访问了不恰当资源,病毒、蠕虫、木马、恶意代码及间谍软件等就会籍由网页、Email、聊天工具、下载软件等方式,侵入到网络的各个角落,严重影响了网络的正常使用。
正常情况下,员工应该把所有的精力投入到工作中。然而,互联网丰富的内容总是在分散员工注意力,他们常常把自己的本职工作放在一边。炒股、聊天、购物、游戏等行为,与工作无关的视频、语音、图片、文档的上传和下载,必然带来严重的生产力流失,导致企业整体工作效率下降。
通过MSN传文件、外发邮件、BBS论坛等导致内部机密信息泄漏的事件越来越普遍,企业的机密信息很可能会被在职甚至离职员工有意或无意地泄露出去,威胁到企业的生存。
很多与法律相违背的行为都有可能发生在企业内部,如何在犯罪发生后进行举证,是企业非常烦恼的事情。另外,国家最新推出的法律法规,如“互联网安全保护技术措施规定(公安部第82号令)”,对企业尤其是互联网经营企业,提出了新的网络管理要求。
可以说,这些问题的根源依然是缺少对“人”的有效管理,仅仅针对“事件”建立的安全管理体系已经远远不够,我们需要的是“对事更对人”的一种新的体系架构。
如何“对人”
所谓“对人”的管理,实际意义上是指对人的行为的管理,因为人是行为的主体。管理人的行为,就是要对行为的产生、过程、结果以及其它与行为关联性的内容进行综合监控、管理和分析,并发现问题。
那么,一个行之有效的上网行为管理方案,就必须要包含一系列完整的功能,如过程跟踪、过程记录、行为控制、报告报表等等,而并不是单纯的将一些已有的防火墙、防毒墙或综合安全网关之类产品功能的结合。
一般而言,真正有效的系统会有以下几个方面功能:
1.流量控制,网络管理员可以实时检查公司员工的下载流量,及时发现恶意下载的员工并能迅速进行限制处理,以保障公司领导和其他员工正常的上网需求。
2.应用程序控制,对BT、视频、游戏等容易导致网络问题的软件要能强行限制和禁止,有些公司还可以对求职,网络交易等软件和网站做屏蔽,以规范员工的上网行为。
3.内容审计,对员工的聊天内容、访问网址、来往Email等要能实时查看,要能保存记录,对敏感的内容要通过多种方式实时告警,及时发现员工的危险行为,避免泄密或带来法律风险。
4.对发现有问题的员工,要能即时限制网络行为,对重要的部门或特殊人物,可以做专门的保护,防止信息泄密。
5.危险的网络行为发生后,要能第一时间告警,告警的方式要多样,确保管理员及时收到。
6.能对员工的上网行为做全景式的扫描,定期生成员工上网报告,对员工上网行为做全面细致的分析总结,可以评估员工是否上网过度,有没有影响工作效率。
7.可以对员工经常访问的网站,下载的流量、访问的IP进行统计分析、及时发现异常的网站和异常的IP,排除网络隐患。比如访问量特别的URL,可能是员工访问特别频繁的网站,或者是员工中了木马或病毒,网管可以根据实际情况及时排查网络隐患。
8.对有分部的集团公司,要能进行分布式上网行为管理,在中心能实时查看各分部的上网情况,方便集团总部做集中式管理,同时也大大降低各分部的网络管理成本。
9.对这样一款上网行为系统,本身必须具备很强的权限体系,敏感数据必须只有特别授权的用户才能使用,以防止软件本身造成信息的泄密,效果适得其反。