在今天這個(gè)信息化時(shí)代,隨著網(wǎng)絡(luò)的普及和帶寬的不斷增加,組織運(yùn)營(yíng)效率得到了大大提高,但另一方面,卻因?yàn)槿狈?duì)網(wǎng)絡(luò)資源的有效管理,造成組織內(nèi)部網(wǎng)絡(luò)資源的濫用,并逐漸暴露出越來(lái)越多的問(wèn)題。
互聯(lián)網(wǎng)資源的濫用對(duì)組織管理提出挑戰(zhàn)
隨著Internet接入的普及和帶寬的增加,一方面員工的上網(wǎng)條件得到改善,組織運(yùn)營(yíng)效率也得到了大大提升,但另一方面卻因?yàn)槿狈τ行У墓芾頇C(jī)制,導(dǎo)致網(wǎng)絡(luò)給企業(yè)帶來(lái)更多的安全威脅,互聯(lián)網(wǎng)資源被濫用的問(wèn)題日益嚴(yán)峻。
在著名市場(chǎng)研究公司IDC對(duì)全世界企業(yè)網(wǎng)絡(luò)使用情況的調(diào)查中發(fā)現(xiàn),員工在上班工作時(shí)間里瀏覽與工作無(wú)關(guān)的Web網(wǎng)站、通過(guò)IM類通訊工具聊天、進(jìn)行音樂(lè)/電影等BT下載或者在線收看流媒體的情況非常普遍,調(diào)查結(jié)果表明:企業(yè)員工在上班時(shí)間內(nèi)所發(fā)生的上網(wǎng)活動(dòng),30%至40%都與工作無(wú)關(guān)。尤其值得注意的是,中國(guó)員工比其它地區(qū)的員工每周多花7.6個(gè)小時(shí)的時(shí)間來(lái)使用IM、玩游戲、P2P軟件或流媒體。員工濫用網(wǎng)絡(luò)將導(dǎo)致以下幾個(gè)問(wèn)題:(1)帶寬擁擠及網(wǎng)絡(luò)性能惡化、(2)組織工作效率低下、(3)內(nèi)部機(jī)密信息泄漏、(4)網(wǎng)絡(luò)違法行為及引發(fā)法律風(fēng)險(xiǎn)。
被蠶食的網(wǎng)絡(luò)帶寬
BT、電驢等下載軟件可能導(dǎo)致關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)帶寬無(wú)法保證
BT、電驢等下載技術(shù)使人們可以高速獲取海量的網(wǎng)絡(luò)資源,為在全球范圍實(shí)現(xiàn)資源共享提供了可能。但事物總是辨證的雙刃劍,這些P2P軟件的濫用非常消耗組織有限的帶寬資源,甚至導(dǎo)致關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)無(wú)法正常使用。比如,一個(gè)2M以太網(wǎng)出口的公司局域網(wǎng),如果有5個(gè)人同時(shí)使用BT下載電影,正常的網(wǎng)絡(luò)瀏覽都將成為艱巨的任務(wù)。目前市面上也有一些P2P控制工具,但每天互聯(lián)網(wǎng)上都會(huì)有人發(fā)布最新的P2P軟件,這讓大多數(shù)的P2P控制工具望塵莫及,它們只能封堵“昨天的BT軟件”。
被耽誤的工作效率
上網(wǎng)聊天、購(gòu)物、游戲等行為嚴(yán)重影響工作效率
在工作時(shí)間,太多的人在使用QQ、MSN等聊天工具,也許是在和同事討論工作,更多的聊天對(duì)象卻是家人、朋友甚至是陌生人。你無(wú)法確定員工何時(shí)使用IM軟件談業(yè)務(wù),何時(shí)用來(lái)聊與工作無(wú)關(guān)的私人話題。很多組織針對(duì)此的解決辦法是對(duì)這些聊天工具進(jìn)行屏蔽,一方面造成某些確實(shí)需要與外界保持聯(lián)絡(luò)的部門(比如市場(chǎng)部)怨聲載道,另一方面網(wǎng)管員往往通過(guò)在防火墻里將聊天軟件使用的服務(wù)器加入黑名單來(lái)杜絕IM的使用,或者禁止這些>IM軟件的端口。但聊天工具層出不窮,QQ、MSN、Skype、網(wǎng)易泡泡……,服務(wù)器地址和端口還會(huì)經(jīng)常變換,這導(dǎo)致封服務(wù)器地址和端口成為一項(xiàng)持續(xù)的高成本工作,而且治標(biāo)不治本。
另外,組織的成員往往有著各種興趣和愛(ài)好,僅實(shí)現(xiàn)對(duì)IM的控制還遠(yuǎn)遠(yuǎn)不夠。視頻文件、語(yǔ)音、圖片、文檔在工作時(shí)間里也同樣被大量的上傳和下載。你的員工可能在上午八點(diǎn)半就迫不及待地下載一部電影,因?yàn)樗蛱煜挛缰恍蕾p了前兩部曲;或是利用上班的空閑時(shí)間更新自己博客中的照片,而這些都是正常的上班時(shí)間。
員工對(duì)互聯(lián)網(wǎng)的濫用給組織帶來(lái)了嚴(yán)重的生產(chǎn)力流失。如果你的一個(gè)員工的月薪是4500元,其薪水平均到每小時(shí)大約是20元,而他(她)每天若只拿出1小時(shí)的時(shí)間進(jìn)行IM聊天、網(wǎng)上購(gòu)物、娛樂(lè)八卦瀏覽、網(wǎng)絡(luò)炒股,這個(gè)員工每年就將給組織帶來(lái)近6000元的損失,你是否覺(jué)得他白白領(lǐng)了你一個(gè)半月的工資?而對(duì)于一個(gè)員工在500人左右的組織,在一年中因?yàn)榛ヂ?lián)網(wǎng)濫用帶來(lái)的生產(chǎn)力流失將高達(dá)300萬(wàn)人民幣。
被擊破的商業(yè)機(jī)密安全堡壘
通過(guò)BBS論壇、外發(fā)郵件等導(dǎo)致的組織內(nèi)部機(jī)密信息泄漏越來(lái)越普遍
現(xiàn)在越來(lái)越多的泄密事件在網(wǎng)上流傳,比如前段時(shí)間女秘書(shū)PK老板的EMC“郵件門”事件、惠普“電話門”事件、以及近日由于一封百度品牌總監(jiān)王東發(fā)給李彥宏和梁冬的內(nèi)部郵件不慎泄露,其中涉及百度作弊的有關(guān)內(nèi)容,在百度內(nèi)部以及業(yè)內(nèi)造成了重大影響,直接致使百度品牌及市場(chǎng)總監(jiān)王東離職……這些泄密事件表明:通過(guò)論壇、外發(fā)郵件等導(dǎo)致的組織內(nèi)部機(jī)密信息泄漏越來(lái)越普遍。
每個(gè)組織都有關(guān)系自己生死存亡的商業(yè)機(jī)密資料,比如科研部門的最新研究成果、市場(chǎng)部門的最新市場(chǎng)戰(zhàn)略等,為了保障這些機(jī)密信息的不外泄,很多組織都規(guī)定了非常嚴(yán)格的保密制度,包括不允許攜帶攝像機(jī)、數(shù)碼相機(jī)甚至帶有攝像功能的手機(jī)進(jìn)入公司。但在Internet的面前,這些保密措施并不是“馬其諾防線”,很容易就被某些缺乏保密意識(shí)的員工通過(guò)即時(shí)通訊軟件、郵件、BBS論壇、員工個(gè)人博客等泄漏出去。同時(shí),規(guī)模大的組織還面臨著人員的流動(dòng)性問(wèn)題,組織的商業(yè)合作伙伴、第三方審計(jì)員、新員工隨時(shí)可能接入內(nèi)網(wǎng),他們可以通過(guò)網(wǎng)上鄰居下載組織的財(cái)務(wù)報(bào)表或人事檔案,然后打包發(fā)給你的競(jìng)爭(zhēng)對(duì)手。如何進(jìn)行防泄密,組織需要在制度和技術(shù)措施上有一個(gè)相對(duì)完整的信息保密體系。
被動(dòng)引發(fā)的法律風(fēng)險(xiǎn)
員工利用公司網(wǎng)絡(luò)發(fā)表反動(dòng)言論等將導(dǎo)致組織面臨法律風(fēng)險(xiǎn)
在深圳的人們都還記得2005年年底發(fā)生的K113公交車事件:一位妻子為了督促自己的老公早日給自己買車,謊稱自己上班途中在K113上被搶劫,丈夫針對(duì)此事寫(xiě)了個(gè)帖子發(fā)到論壇上;正是年關(guān)治安敏感時(shí)期該帖子被到處轉(zhuǎn)發(fā),公安局網(wǎng)監(jiān)分局介入調(diào)查后發(fā)現(xiàn)整個(gè)事情就是妻子為督促丈夫買車而編造,最后以丈夫被治安拘留15天告終。
假如這個(gè)丈夫上傳的帖子不是這個(gè)內(nèi)容,而是涉及到法輪功或者其他危害國(guó)家安全的事件,員工所在的組織必然會(huì)在其中被動(dòng)的卷入法律風(fēng)險(xiǎn)。
綜上所述,網(wǎng)絡(luò)作為信息時(shí)代企業(yè)的生產(chǎn)工具,同樣面臨著適當(dāng)監(jiān)控、合理使用的問(wèn)題。根據(jù)IDC的調(diào)查,目前在歐洲和美國(guó)有80%的公司在監(jiān)控員工的在線行為,而在世界500強(qiáng)企業(yè)中,絕大多數(shù)企業(yè)對(duì)員工的郵件,MSN等上網(wǎng)行為進(jìn)行監(jiān)控,而且這一舉措得到了法律條文上的支持。美國(guó)的《薩班斯?奧克斯利法案》和中國(guó)公安部第82號(hào)令《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》,都明確規(guī)定了連接到互聯(lián)網(wǎng)上的單位要做到記錄并留存用戶上網(wǎng)信息,并要求聯(lián)網(wǎng)單位要依此規(guī)定落實(shí)記錄留存的技術(shù)措施。這種對(duì)網(wǎng)絡(luò)進(jìn)行適當(dāng)管理和監(jiān)控的需求在當(dāng)前中國(guó)企事業(yè)單位中顯得越來(lái)越突出。
上網(wǎng)行為管理時(shí)代的來(lái)臨
一直以來(lái),安全防御理念都被局限在常規(guī)的網(wǎng)關(guān)級(jí)別(防火墻等)、網(wǎng)絡(luò)邊界(防病毒、漏洞掃描、IDS)等方面的防御,重要的安全設(shè)施大致集中于機(jī)房、網(wǎng)絡(luò)入口處,在這些設(shè)備的嚴(yán)密監(jiān)控下,來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。但是在實(shí)際情況下,正像前面所描述的,來(lái)自網(wǎng)絡(luò)內(nèi)部的安全威脅才是多數(shù)網(wǎng)絡(luò)管理人員真正需要面對(duì)的問(wèn)題。
