主持人：各位網(wǎng)友大家好，非常歡迎大家如期來到51CTO在線訪談。51CTO“在線訪談”系列活動已經(jīng)舉辦了很多期，并取得的良好的效果。它逐漸成為廣大網(wǎng)友了解IT行業(yè)與技術(shù)的一個窗口。
今天我們有幸邀請到了，北京網(wǎng)康科技有限公司副總裁左英男先生，和用友軟件股份有限公司網(wǎng)絡(luò)主管王曉科先生做客51CTO，他們將為大家解答在企業(yè)互聯(lián)網(wǎng)接入管理和控制中碰到的實際問題。
左先生、王先生跟大家打個招呼吧。    
左英男：各位網(wǎng)友大家好！
王曉科：各位網(wǎng)友大家好！
主持人：許多朋友反映，管理和控制企業(yè)互聯(lián)網(wǎng)接入的安全問題，讓他們感到非常棘手。因此，我們今天就這個問題和朋友們進行深入探討。我們今天主要討論三個方面的問題：
一是企業(yè)互聯(lián)網(wǎng)接入管理和控制在企業(yè)安全管理中的地位和重要性。
二是企業(yè)互聯(lián)網(wǎng)接入管理和控制的常見問題與解決方案。
三是企業(yè)互聯(lián)網(wǎng)接入管理和控制的經(jīng)驗總結(jié)。

如何解決員工上網(wǎng)控制問題？

網(wǎng)友有個提問，我覺得很有意思。就是說現(xiàn)在的老板都是擔(dān)心員工瞎上網(wǎng)，又擔(dān)心這種上網(wǎng)的行為里面有一些泄密的行為，可能觸犯一些隱私，有沒有兩全其美的解決方法？就是既讓員工可以上網(wǎng)不影響工作，又不會觸犯到員工的個人隱私。有沒有相關(guān)的管理方法或者所謂的解決方案？

左英男：這個問題我就發(fā)表一點看法。關(guān)于員工上網(wǎng)行為管理和控制和個人的隱私的問題一直是網(wǎng)上有很多的評論，也有很多事件出來。這個問題分兩方面來看：第一員工在企業(yè)工作，你在工作時間要去做你應(yīng)該做的事情。在這種層面下有句俗話“不做虧心事，不怕鬼叫門”。你在為公司工作，在這個情況下，你不用擔(dān)心有很多其他的一些方面的東西被別人看到。
第二個層面來講，確實企業(yè)來講，很多企業(yè)給員工提供了一個比較寬松的工作。包括網(wǎng)康來講也是這樣的工作環(huán)境，我們也并不限制每個員工一點時間都不能干別的。在這個前提之下我們需要有一個技術(shù)手段和管理手段相配合，怎么樣既能夠主觀的控制，同時又能夠保持個人隱私。比如在我們的網(wǎng)康的技術(shù)里首先提供技術(shù)手段，幫助企業(yè)很好的管理員工上網(wǎng)行為，什么時間上的什么網(wǎng)站，發(fā)的什么郵件都可以記錄下來。同時我們有一個管理權(quán)限，這個權(quán)限非常細致。什么樣的管理員看到什么樣的信息，出什么樣的報表。這種前提下企業(yè)需要用我們的一些技術(shù)手段來保證和控制，同時制定相應(yīng)的管理手段。
比如我可以規(guī)定什么樣級別的報表，只有總裁一個人看。比如說管理員可能只能看到什么樣的信息，什么樣的信息無論是公司任何人，在沒有法律條款的前提下都不會看，但是我可能會保持下來。同時從國外一些企業(yè)借鑒來看，比如員工在入職的時候公司和員工簽訂一份協(xié)議，告知員工為了企業(yè)的一些機密信息不能被泄露，企業(yè)可能也會采用這樣的手段，告知的義務(wù)應(yīng)該由企業(yè)來承擔(dān)。通過種種管理的手段和相應(yīng)的配合，來解決這個問題。目前大概我了解的是這些層面上的東西。

主持人：從左總的話中，我總結(jié)出兩點問題。第一個是隨著互聯(lián)網(wǎng)事業(yè)的發(fā)展，人們的工作、學(xué)習(xí)跟生活的方式在發(fā)生很大的變化。而且提高了工作效率，包括信息資源，得到最大程度的共享。第二個就是，同時我們也注意到互聯(lián)網(wǎng)迅速的發(fā)展，給企業(yè)帶來的許多網(wǎng)絡(luò)安全、信息安全問題。如果這個問題得不到很好的解決，那么肯定會阻礙企業(yè)的發(fā)展，以及信息化進程的發(fā)展。

在信息安全建設(shè)中，企業(yè)最容易忽視那些問題？

那么在企業(yè)網(wǎng)絡(luò)建設(shè)中，信息安全肯定是很重要的環(huán)節(jié)。針對于這個環(huán)節(jié)當(dāng)中，企業(yè)最容易忽視哪些問題？左總能不能針給大家解答一下？

左英男：我覺得是這樣的。其實在企業(yè)關(guān)于信息的安全問題，或者網(wǎng)絡(luò)安全的問題談了很多年了。從前幾年來看，可以說三到五年的時間里，基本上企業(yè)對信息安全管理控制這方面的主要投入集中在防范的一個層面。防范來自外部各種各樣的攻擊，或者各種各樣的入侵。比如使用防火墻設(shè)備，防止外部的員工進入，防止黑客的入侵。比如用殺毒軟件、防火墻之類的東西防止外部的病毒攻擊。這是企業(yè)可能目前在安全方面做的最多的事情。
在一兩年前，安全問題不僅僅是來自外部，假如一個小公司來講，真正有多少人關(guān)注我，一定要入侵你的公司怎么樣，這種比例非常小。所以人們逐漸意識到安全問題很多源自內(nèi)部，是企業(yè)內(nèi)部員工或者有意、無意的出現(xiàn)一些安全的問題。這個也是討論了很久。
那么怎么解決這個問題？從技術(shù)手段上整個信息安全的圈子里面比較少，另外網(wǎng)康也是看準這樣一個機會，著重點是從企業(yè)的內(nèi)部入手，主要通過加強企業(yè)內(nèi)部的管理和控制，最終達到安全的目標。這樣一種概念提出來。同時也是希望幫助企業(yè)，使企業(yè)意識到這方面的內(nèi)容，我們也通過技術(shù)手段幫助企業(yè)解決這方面的問題。這方面可能是企業(yè)比較容易忽視的。
比如就拿現(xiàn)在肆虐的病毒、蠕蟲、木馬等等，基本上它的傳播手段我可以說至少90%以上是來自互聯(lián)網(wǎng)。因為你個人的計算機漏洞，可能就把蠕蟲引進了自己的電腦。首先個人主機被感染病毒，然后又在局域網(wǎng)散布，這是個很嚴重的問題。

企業(yè)忽視信息安全問題，將會引發(fā)什么安全隱患？

主持人：像正常我們來談安全問題的時候，就像左總所說比較注意一些病毒防范、黑客攻擊。其實企業(yè)的網(wǎng)絡(luò)安全里面不僅僅包含這些方面，像你所說的一些信息安全、數(shù)據(jù)保護尤其重要，而恰恰大部分企業(yè)往往忽視這樣的問題。那么就引出來一個話題，上網(wǎng)失去控制，企業(yè)將會怎樣？請兩位分別來談一談。

王曉科：互聯(lián)網(wǎng)如果不加控制的話，因為我們工作也經(jīng)歷過這種事情。剛才左總也說了，原來企業(yè)注重于互聯(lián)網(wǎng)和內(nèi)網(wǎng)之間的邊界防范，像防火墻、用戶監(jiān)測系統(tǒng)?，F(xiàn)在好多病毒和木馬是侵入到網(wǎng)頁，通過外網(wǎng)的方式有一些惡意程序，或者流氓軟件，都是通過網(wǎng)頁形式來下載。如果不加以控制的話，第一塊員工正常的大量帶寬，企業(yè)花很多費用做帶寬，那么可能就保證不了安全，有些資源就會被員工所占用了，正常的工作就沒有辦法開展。這樣用戶就會感覺很慢，郵件也發(fā)不出去。
還有一點，如果不加以控制的話，好多惡意網(wǎng)站的病毒會入侵到企業(yè)里面。雖然很多企業(yè)已經(jīng)裝了防病毒軟件，但是是以防范為主的，并不是以主動殺病毒為主的。好多是病毒出來以后，防病毒才會給予一些解決。所以在沒解決之前，企業(yè)可能就受到大規(guī)模的影響。另外一個，如果不加以控制，企業(yè)員工的工作效率和各方面，老板也會覺得工作效率受影響，覺得員工在上班時間上網(wǎng)炒股、看電影、聽MP3。因為我們畢竟是一個軟件開發(fā)企業(yè)，倡導(dǎo)的也是開放的環(huán)境，但是有些行為還是應(yīng)該規(guī)范的，因為畢竟是在工作里面。當(dāng)時來的時候也簽了一些知識產(chǎn)權(quán)保護協(xié)議，公司也規(guī)定上網(wǎng)行為管理，一些管理制度和規(guī)范。但是我們規(guī)范制度還是有相應(yīng)的手段來控制，保證企業(yè)的正常運作。

主持人：其實從兩位剛才的談話中，可以看出對現(xiàn)實當(dāng)中企業(yè)的安全問題是很嚴峻的。上網(wǎng)失去控制，將會引發(fā)企業(yè)很多的問題。其實這種問題可能很多的廠家、提供商已經(jīng)開始關(guān)注了，并且提出了各種各樣的解決方法。有的從最初的安裝員工的一些監(jiān)控軟件來硬性、強制的措施去控制員工上網(wǎng)行為。還有后來發(fā)展到允許用計時工具軟件結(jié)合到工作系統(tǒng)當(dāng)中，實行一種懷柔的政策，目的還是想規(guī)范員工的上網(wǎng)行為。顯然這兩種方法都差強人意。
強制的做法可能有侵犯員工的隱私。懷柔的政策不能判定員工到底是工作了，還是在做私人的聊天或者其他的事情，沒有辦法判斷。那么怎么才能兩者兼?zhèn)洌考饶苤螛艘材苤伪?。剛才左先生也談了，有一個整體的解決方案。

在信息安全建設(shè)中，企業(yè)最容易忽視那些問題？
企業(yè)忽視信息安全問題，將會引發(fā)什么安全隱患？
如何防止企業(yè)機密信息泄露？
用友公司是如何解決員工上網(wǎng)行為存在的安全隱患？
企業(yè)互聯(lián)網(wǎng)接入的具體應(yīng)用有哪些？
怎樣實現(xiàn)對外發(fā)E-mail、BBS等行為的監(jiān)控？
國外內(nèi)容安全產(chǎn)品與國內(nèi)產(chǎn)品相比，是否有優(yōu)勢？區(qū)別在哪里？
內(nèi)容安全控制產(chǎn)品的應(yīng)用
互聯(lián)網(wǎng)內(nèi)容安全管理產(chǎn)品如何面對日益增多的互聯(lián)網(wǎng)應(yīng)用？
網(wǎng)康互聯(lián)網(wǎng)內(nèi)容網(wǎng)關(guān)設(shè)備是怎樣定義管理規(guī)則的？
如何從信息安全角度評估企業(yè)互聯(lián)網(wǎng)接入是否安全？
企業(yè)員工對互聯(lián)網(wǎng)內(nèi)容管理設(shè)備有何感受？
怎樣管理無線辦公用戶的上網(wǎng)行為？
忽視員工上網(wǎng)行為存在的安全隱患，千人企業(yè)年損失500萬