企图操控员工的网络行为不如加以正确引导

各类组织机构的员工都是国家公民和社会成员,难免会受到各类负面的影响,进而威胁到组织机构的安全,在社交网络普及、移动应用热火、云计算来临的时代更是如此,所以不少的组织都有实施不良内容过滤或上网行为管理系统,努力将负面的、可能为组织带来不良影响的内容阻止在企业网络之外,让员工工作在相对安全、积极和健康的网络环境之中。

即使这种做法会受到人性化方面的质疑,员工也难改变现实,雇主花钱请人是来工作的,不是开网吧供员工娱乐的,所以,雇主可以理直气壮地在同员工签定的劳动合约中标识出员工所使用的信息系统和数据的所有权和监控权归雇主所有。

防民之口,甚于防川,稍懂些技术的员工可能会利用一些网络工具突破网络边界防线,或者使用其它的沟通渠道获得外界“不良信息”,而员工在通过口头进行的沟通甚至心灵感应等等也是雇主非常难以监控的。

所以,多数全球性的大型跨国公司并不使用技术手段来限制员工的互联网访问,而是加以引导,因为这些国际化大公司的高管们深知一个道理,就是技术措施的双面性,简单说就是获得控制目标实现的同时带来相应的反作用,控制力度越强,反作用力也越大。同时,技术的双面性还有另一个解释,就是好人可以利用它们、坏人也可以利用它们,简单举例说,安全控制人员可以设置防火墙,进行上网过滤、监控员工网络行为建立秩序,而员工则也可使用数据隐藏技术、加密通讯、代理上网、网络嗅探等技术搞破坏。

可能有组织会说跨国公司是利用西方先进技术来破坏我们的现有秩序,通过推销西方价值观来获利,为了保护公司免受污染应该加以抵制,进而保护员工的工作安全和生活幸福,这实则是大错特错,让人不禁想起鸦片战争的故事,西方列强向中国输出鸦片,西方国家自身并没有严格限制国民吸食鸦片,但是国民精神和体质并没有多少萎靡不振,反而强烈抵制鸦片的中国人民深受其毒害,成为“东亚病夫”。

问题就在于我们在盲目抵制西方“不良”文化入侵的时候,没有学习西方国家如何加强对国民的普及教育,而是采用家长式的粗暴做法,尽管出发点是好的,但这些做法却让员工失去了个人面子和工作尊严,进而产生很多抵触情绪甚至反抗行为。还有一点问题是员工不能一辈子由“家长”陪伴着和保护着,终究要长大,要有独立的时候,正确的做法是教会员工主动辨识不良信息,认识到不良信息的危害,以及如何防范不良信息入侵,这才是治本治根之道。

通过与国际知名安全意识教育机构进行深度合作,昆明亭长朗然科技有限公司将西方发达国家对国民的安全意识教育、跨国公司对员工的信息安全基础培训课程引进中国,不仅能够帮助建立平安和谐的网络社会,更能帮助各类型的公司了解和采用世界前沿的信息安全培训最佳实践,进而为走向世界、走向更大的成功铺路。

 

信息安全复杂行为管理的闹剧

云计算和移动计算时代来临,传统的网络安全架构受到前所未有的挑战和冲击,各种企业机构开始重建信息安全管理体系,以期采取“与时俱进”的安全战略——将核心防范力量和主要安全投资放置在云端和终端。

不过尽管依赖桌面计算机、企业内部网络和机房中心的传统计算架构已经开始显示出颓废之相,但是大型组织仍然不会轻易大规模使用基于互联网的云计算,所以互联网边界安全仍然是一项重要的控制点。整合众多网络安全的一体化安全网关设备也因硬件性能的不断提升而逐渐获得市场的认可和接受,加之可以集成功能可以简化网络管理和运营,所以类似UTM的设备在基础架构升级潮中开始受到欢迎。

安全厂商也不断地往产品中添加更多功能,除了网关层面、应用系统和数据库层面,最大的竞技战场无疑就是终端了。终端设备和用户的数量都很巨大,人人都有不错的至少自认为聪明的想法,所以终端安全产品的功能越来越强大,体积越来越臃肿。大而全才能适合更多消费者的口味,才能将竞争者比拼下去,实际上解决客户问题的可能只是“大而全”产品中非常小的一部分功能,但不幸的是这一部分功能却只能凑合着满足需求、或者只是打个擦边球,甚至仅仅只是一个功能上的噱头。

不少安全厂商和安全管理团队都在反思,外来商业产品功能强大,却不能得到有效的发挥,白白浪费开发资源和计算系统资源,内部定制开发成本高昂,没有足够的财力会让运维折腾不起。就拿员工上网行为的控管为例来讲,部署实施控管系统是为了提升员工们的生产力和防范恶意网站代码的入侵,但是实际操作时却问题重重,每个部门每位员工都不一样,理想的庞大的行为控管需要细力度到每位员工,比如甲员工每天上午访问财经网站有利于提升生产力和公司形象,乙员工在下午访问一个技术站点有利于公司内部一项技术问题的解决,甲乙调换则是在浪费工作时间……员工网络行为监管系统的管理员就需要为甲乙两名员工设置不同的策略,并且时时来监控他们的使用。还有,今天甲员工情绪低落,是否要过滤一下诸如自杀类的消极网站,而将流量移至励志类网站?而这名员工昨天却表现得太亢奋了。

您可能觉得上述这例子有些夸张,但是实际上细想想,从广义上讲,我们苦苦追求的所谓“控管目标”,以及我们的信息安全团队日常在做的,不正是类似这些的缩影吗?所以啊,我们更得反思:是否该这样建立员工网络行为监控防火墙?如何设置适当的可疑、不正常的和违规的行为特征或标准?如何有效平衡员工们的合规感及反抗欲?如何真正将安全行为控管系统与业务安全的大目标和战略有效结合?

如果有人告诉您这些问题的答案在于大数据,您需要保持半信半疑的态度,大数据的确可以帮助让看似混沌的事物变得清晰,但是在目前,将大数据分析用于实现安全行为的细力度控管,显然是不值得的。大数据应该用于能够创造更多业务价值的关键领域,而不是这个类似后勤行政管理的角色。

说到底,很多针对员工的上网行为管理系统已经远远超出安全管理人员可预期承受的范围了。昆明亭长朗然科技有限公司的移动计算安全专员James Dong说:移动计算终端的应用情况很复杂,通过越来越“智能”的“大而全”系统加之足够的人力微调,可以实现控管目标,不过问题是这种控管成本太高了,不值得。

信息安全复杂行为管理的闹剧该停一停了,如同统一威胁管理UTM解放了不同设备之间的协调障碍、简化网络基础架构、并让网络故障点大大减少一样,我们需要在计算终端方面的创新之举。亭长朗然公司James说:计算终端安全的管理,传统上过于关注的是机器,而不是机器的操控者和使用者——员工们。要将终端安全化繁为简,需要从计算终端的用户着手,强化安全意识沟通教育,因为要想真正控制了用户们的行为,最高的境界通过是指导人们的思维习惯,让人们拥有正确的安全思想。