互联网的普及让用户可以实现随时随地访问Internet,网络已经成为信息传播的重要途径之一。但当员工在组织机构内部使用单位的互联网出口资源访问Internet时,随之而来的各种有意或者无意的上网行为给组织带来的风险也不容忽视。
在此,本文将就组织单位内网员工的非善意上网行为的管控与大家做简单的探讨。
一、 员工的非善意上网行为有哪些?
员工利用组织的互联网出口都会发生哪些上网行为呢?无非是Email收发、业务系统访问、浏览网页、论坛发贴、IM聊天、P2P下载等等,纷繁复杂的上网行为如果不经管理,可能使组织面对莫大的安全风险,信息风险与法律风险,下面让我们来看看一些具体问题:
1、 利用组织网络通过Email与非法组织联系。
用户在日常工作时间可能经常会收到海外邪教组织等诋毁政府的非法邮件,绝大部分员工会置之不理,但出于好奇心或偏激的思想可能会诱使少数员工与这些组织保持联系,而这种行为无疑会将组织置于违法境地。
向组织外部发送的Email除了服务于日常业务外,即将离职的员工甚至可能将组织的研发机密、行销方案等发送到竞争对手处。即便只是将组织内部敏感信息泄露到公网也会对组织造成不利影响,如"史上最牛女秘书"事件即是将组织内部邮件外发至Internet所导致。
2、 访问非法网页、搜索非法资源。
Google统计数据显示"互联网独立网页已经超过一万亿个".访问非业务网页影响工作效率;访问色情网站违反道德;访问反政府网页违反法律;但如何有效识别和过滤公网上一万亿条网址呢?
员工往往借助百度、Google等搜索感兴趣的内容(如搜索"艳照门"),搜索结果呈现出最新的相关网页,如何防范?另外越来越多的网页正在以SSL加密形式提供访问,包括网上银行、证券基金网站、以及非法网站等,有心的员工通过www.google.com搜索"https 同志"等可以检索到众多SSL加密的非法网址,对加密SSL加密网页的管理也是管控非善意上网行为的重要部分。
此外互联网上众多WEB聊天室已经成为性骚扰等藏污纳垢的主要场所,但此类聊天室访问端口通常是随机动态变化的,这为组织的网页访问管控手段提出了挑战。
3、 通过网络外发敏感信息。
泡论坛、顶帖子、人肉搜索等已经成为诸多员工互联网休闲方式之一。但如果将总裁办公室里的八卦、对工资的不满、对组织的抱怨等发布到百度贴吧、天涯上,必将给组织带来不良影响。
而通过组织的互联网资源上传色情图片、下载存在版权争议的软件等也会将组织送入法律漩涡之中。
4、 P2P行为滥用带宽资源。
BT、迅雷等P2P工具对带宽的滥用能力众所周知,少数员工使用P2P工具畅快的下载最新的影视剧的同时,其他员工则要忍受蜗牛般的网速。即使通过部分手段实现BT、迅雷等常见P2P软件的管控后,员工依然可以通过互联网搜索安装其他不常见的P2P软件、加密的P2P软件等,这让组织的带宽压力难以缓解,带宽使用效率始终难以提升。
5、 非业务上网行为降低工作效率。
金融海啸席卷全球,如何提升组织的盈利能力成为困扰老板们的问题之一。而将员工8小时工作时间更多的聚焦在业务与工作之上,将提升工作效率,增强组织的盈利能力。
面对内网员工纷繁复杂的各种上网行为,如何有效管理?传统防火墙等设备只能基于端口、IP、协议类型进行一刀切方式的管控显然无法满足用户的要求。