在今天這個信息化時代,隨著網絡的普及和帶寬的不斷增加,組織運營效率得到了大大提高,但另一方面,卻因為缺乏對網絡資源的有效管理,造成組織內部網絡資源的濫用,并逐漸暴露出越來越多的問題。
互聯網資源的濫用對組織管理提出挑戰
隨著Internet接入的普及和帶寬的增加,一方面員工的上網條件得到改善,組織運營效率也得到了大大提升,但另一方面卻因為缺乏有效的管理機制,導致網絡給企業帶來更多的安全威脅,互聯網資源被濫用的問題日益嚴峻。
在著名市場研究公司IDC對全世界企業網絡使用情況的調查中發現,員工在上班工作時間里瀏覽與工作無關的Web網站、通過IM類通訊工具聊天、進行音樂/電影等BT下載或者在線收看流媒體的情況非常普遍,調查結果表明:企業員工在上班時間內所發生的上網活動,30%至40%都與工作無關。尤其值得注意的是,中國員工比其它地區的員工每周多花7.6個小時的時間來使用IM、玩游戲、P2P軟件或流媒體。員工濫用網絡將導致以下幾個問題:(1)帶寬擁擠及網絡性能惡化、(2)組織工作效率低下、(3)內部機密信息泄漏、(4)網絡違法行為及引發法律風險。
被蠶食的網絡帶寬
BT、電驢等下載軟件可能導致關鍵業務應用系統帶寬無法保證
BT、電驢等下載技術使人們可以高速獲取海量的網絡資源,為在全球范圍實現資源共享提供了可能。但事物總是辨證的雙刃劍,這些P2P軟件的濫用非常消耗組織有限的帶寬資源,甚至導致關鍵業務應用系統無法正常使用。比如,一個2M以太網出口的公司局域網,如果有5個人同時使用BT下載電影,正常的網絡瀏覽都將成為艱巨的任務。目前市面上也有一些P2P控制工具,但每天互聯網上都會有人發布最新的P2P軟件,這讓大多數的P2P控制工具望塵莫及,它們只能封堵“昨天的BT軟件”。
被耽誤的工作效率
上網聊天、購物、游戲等行為嚴重影響工作效率
在工作時間,太多的人在使用QQ、MSN等聊天工具,也許是在和同事討論工作,更多的聊天對象卻是家人、朋友甚至是陌生人。你無法確定員工何時使用IM軟件談業務,何時用來聊與工作無關的私人話題。很多組織針對此的解決辦法是對這些聊天工具進行屏蔽,一方面造成某些確實需要與外界保持聯絡的部門(比如市場部)怨聲載道,另一方面網管員往往通過在防火墻里將聊天軟件使用的服務器加入黑名單來杜絕IM的使用,或者禁止這些>IM軟件的端口。但聊天工具層出不窮,QQ、MSN、Skype、網易泡泡……,服務器地址和端口還會經常變換,這導致封服務器地址和端口成為一項持續的高成本工作,而且治標不治本。
另外,組織的成員往往有著各種興趣和愛好,僅實現對IM的控制還遠遠不夠。視頻文件、語音、圖片、文檔在工作時間里也同樣被大量的上傳和下載。你的員工可能在上午八點半就迫不及待地下載一部電影,因為他昨天下午只欣賞了前兩部曲;或是利用上班的空閑時間更新自己博客中的照片,而這些都是正常的上班時間。
員工對互聯網的濫用給組織帶來了嚴重的生產力流失。如果你的一個員工的月薪是4500元,其薪水平均到每小時大約是20元,而他(她)每天若只拿出1小時的時間進行IM聊天、網上購物、娛樂八卦瀏覽、網絡炒股,這個員工每年就將給組織帶來近6000元的損失,你是否覺得他白白領了你一個半月的工資?而對于一個員工在500人左右的組織,在一年中因為互聯網濫用帶來的生產力流失將高達300萬人民幣。
被擊破的商業機密安全堡壘
通過BBS論壇、外發郵件等導致的組織內部機密信息泄漏越來越普遍
現在越來越多的泄密事件在網上流傳,比如前段時間女秘書PK老板的EMC“郵件門”事件、惠普“電話門”事件、以及近日由于一封百度品牌總監王東發給李彥宏和梁冬的內部郵件不慎泄露,其中涉及百度作弊的有關內容,在百度內部以及業內造成了重大影響,直接致使百度品牌及市場總監王東離職……這些泄密事件表明:通過論壇、外發郵件等導致的組織內部機密信息泄漏越來越普遍。
每個組織都有關系自己生死存亡的商業機密資料,比如科研部門的最新研究成果、市場部門的最新市場戰略等,為了保障這些機密信息的不外泄,很多組織都規定了非常嚴格的保密制度,包括不允許攜帶攝像機、數碼相機甚至帶有攝像功能的手機進入公司。但在Internet的面前,這些保密措施并不是“馬其諾防線”,很容易就被某些缺乏保密意識的員工通過即時通訊軟件、郵件、BBS論壇、員工個人博客等泄漏出去。同時,規模大的組織還面臨著人員的流動性問題,組織的商業合作伙伴、第三方審計員、新員工隨時可能接入內網,他們可以通過網上鄰居下載組織的財務報表或人事檔案,然后打包發給你的競爭對手。如何進行防泄密,組織需要在制度和技術措施上有一個相對完整的信息保密體系。
被動引發的法律風險
員工利用公司網絡發表反動言論等將導致組織面臨法律風險
在深圳的人們都還記得2005年年底發生的K113公交車事件:一位妻子為了督促自己的老公早日給自己買車,謊稱自己上班途中在K113上被搶劫,丈夫針對此事寫了個帖子發到論壇上;正是年關治安敏感時期該帖子被到處轉發,公安局網監分局介入調查后發現整個事情就是妻子為督促丈夫買車而編造,最后以丈夫被治安拘留15天告終。
假如這個丈夫上傳的帖子不是這個內容,而是涉及到法輪功或者其他危害國家安全的事件,員工所在的組織必然會在其中被動的卷入法律風險。
綜上所述,網絡作為信息時代企業的生產工具,同樣面臨著適當監控、合理使用的問題。根據IDC的調查,目前在歐洲和美國有80%的公司在監控員工的在線行為,而在世界500強企業中,絕大多數企業對員工的郵件,MSN等上網行為進行監控,而且這一舉措得到了法律條文上的支持。美國的《薩班斯?奧克斯利法案》和中國公安部第82號令《互聯網安全保護技術措施規定》,都明確規定了連接到互聯網上的單位要做到記錄并留存用戶上網信息,并要求聯網單位要依此規定落實記錄留存的技術措施。這種對網絡進行適當管理和監控的需求在當前中國企事業單位中顯得越來越突出。
上網行為管理時代的來臨
一直以來,安全防御理念都被局限在常規的網關級別(防火墻等)、網絡邊界(防病毒、漏洞掃描、IDS)等方面的防御,重要的安全設施大致集中于機房、網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅大大減小。但是在實際情況下,正像前面所描述的,來自網絡內部的安全威脅才是多數網絡管理人員真正需要面對的問題。
