内网安全中有一项非常重要,但是也存在着一定争议的工作,那就是——行为审计。行
为审计可以发现不少内网安全的“内鬼”,但“行为审计是否侵犯个人隐私”一直存在争
论,如何用好审计功能也是企业和厂商都极为关注的一个课题。对此,知名业界专家、企
业代表、厂商专家三方专家与您一起探讨“信息防泄漏,如何用好行为审计?”,并且为大
家推荐一款内网安全必不可少的软件——山丽防水墙系统。
山丽网安-最强推荐基于动态透明加密技术,集文档管理和安全审计于一身的“山丽
防水墙系统”。山丽防水墙系统是一款基于环境指纹的信息安全软件管理系统, 用于企业
内部终端管理和数据文档管理,通过终端、数据双对象的管理方法,实现机密信息资料的
防泄漏、防拷贝、防未授权访问等安全维护和管理,提供为商业及其他核心机密应用环境
构建强大而实用的安全防线和数据信息保护策略。
审计,信息安全的晴雨表
把握住行为信息收集的度,控制好审计的范围和权限,便可以很大程度的避免一些审计
带来的风险。审计只是一个工具,IT管理部门应该明确,审计的目的是为了安全,它让企
业得以对内部的操作可视化,这样企业可以随时发现新的安全威胁、防护漏洞,不断调整
防护策略,以应对不断涌现的技术所带来的威胁,实现最大限度的安全。三一重工股份有
限公司研究总院信息化经理谭俊峰十分重视管理,这与三一重工研究院是三一内部核心数
据部门有关。他们从企业审计系统的原则出发,制定了“把握全局、拿捏有度、主次分明
、责任到位、统筹兼顾”的原则,并且在建立人力资源管理的制度时,就从宣贯公司的某
些政策或制度出发,让员工知道信息保密性的要求,并且他们会经常对企业员工进行信安
全意识的培训。
总体来看,只要制定好规章制度,并将内网审计的概念灌输到企业的员工中,企业完全可
以利用内网安全系统进行管理,这将对企业内网安全水平的提升起到极大的作用。青岛中
集冷藏箱制造有限公司信息主任耿峰认为,没有行为审计的内网安全系统是不完善,行为
审计可以有效的检测到威胁内网安全的因素,网络管理员可以通过该系统清除威胁,确保
网络安全合规。谭俊峰也认为很多产品在企业部署完备后都能发挥一定的作用,但是怎么
发挥长期的作用是每个企业必须思考的问题,(比如说漏洞扫描,它能发现很多问题,但是
怎么样来处理,处理过程中与现有应用发生冲突怎么解决。在实际工作中发现信息安全漏
洞,但是行政命令干预,我们怎么办),企业运用好审计系统需要把握全局、拿捏有度、主
次分明、责任到位、统筹兼顾。
“隐私”无绝对
行为审计,是否会侵犯员工的隐私?这个问题曾经是业界讨论的热点。随着国人对“隐私
”概念理解的逐步深入,这个问题已经明朗化。隐私的基本含义是:不愿告人或不愿公开
的个人的私事。企业的内网是为了企业经营发展的需要而组建的,在企业内网上所作的行
为属于单位事务,郑州三全食品股份有限公司CIO周清湘认为:从这个意义上说,员工没有
“隐私”可言,而所谓“隐私”就是利用企业资源干自己的事。
虽然“隐私”的定义很明确,但是“行为审计”在实际操作中却仍然不断的引发争论
。因为人毕竟不是机器,不可能在工作场所、工作时间内百分之百的不处理个人事务。因
此,员工在内网中的行为总会含有涉及隐私的内容。
山丽网际档案网络监控系统是一个功能强大的监视及控制互联网使用的工具,它记录局
域网上所有机器所浏览的网页、上传下载的文件和收发的电子邮件,网络监控自动解析出
机器的名称,并将所记录的内容按机器名称分类保存便于管理和查看。它还可以根据需要
对指定的计算机的网络活动进行阻止,防止敏感资料的外泄或做与工作无关的事情。
实施审计需张弛有度
审计,涉及隐私,有法律风险;不审计,失去监管,有安全风险。这对矛盾该如何解决
,怎样才能用好审计,让行为审计发挥出应有的作用呢?杭州汽轮机股份有限公司所长黄梁
认为行为审计是安全方面必不可少的一项内容。不过进行审计的人员要有公司的正式授权
,而且必须对其的职责要进行清晰的界定,还要有一定的行为规范来进行限制。信息安全
专家李洋博士也认为:部署行为监控和行为审计类产品是企业合规的一个重要步骤,但行
为审计并不一定要侵犯个人隐私,或者说不完全要侵犯个人隐私。只要严格限制审计者对
原始数据的接触,就能比较好地做到尊重个人隐私。
如此看来,审计与隐私之间并非不可调和,只要以恰当的“审计行为”来进行“行为
审计”,是可以达到既保障信息安全又避免法律风险的目的的。
除了恰当的审计行为之外,企业履行告知义务也是非常重要的。黄凯认为,从实施的
角度来说,最好做到告知义务,同时形成制度性。管理者也应该明确IT资产的公有属性,
即组织为员工提供的IT设备,理论上只是为了员工能够完成其工作所必需的生产资料,因
此在其计算机上所存储和使用的任何数据,都应该属于组织公有,把类似的条款写入制度
,在员工入职时进行签署和培训,都有助于一旦法律纠纷发生时提供参考。
部署行为管理和行为审计类产品是合法的,也是必须的。通过行为审计,可以发现员
工的异常行为、潜在的危险行为,起到防患于未然的效果。而且当泄密行为发生之后,审
计系统也可以帮助企业快速查找到泄密者,及时挽回损失。但是,审计、行为监控系统必
须慎用,这些系统权限很高,而且对于员工的感情和工作积极性存在影响,如果滥用可能
引发严重后果。企业必须要严格控制监控的权限,对管理员的职责有清晰的界定,确保系
统不被滥用。但是使用山丽防水墙系统可就大不一样了!
山丽防水墙通过设备资产管理、端口管理、介质管理、外联管理、桌面管理、远程管理
一套计算机终端管理模式,在软件实施后可以达到技术手段的管理效果。对被保护的电脑
,可以做到:
<1>外设管理:或禁止,或只读,或审计;
<2>非法外联:多端口,多设备,有记录;
<3>透明加密:盗走了,拿走了,没法用;
<4>权限控管:谁能看,谁能印,防篡改;
<5>时间期限:可次数,可时间,严限制;
<6>使用追踪:谁看过,谁印过,有记录;
<7>生命周期:谁生成,谁共享,谁销毁;
<8>日志审计:谁设置,谁使用,谁审计。
内网安全,重在审计。审计的目的是防止信息泄露,更多防信息泄漏,请关注
[url]http://www.sanlen.com/product/index.htm[/url]。