法规遵从以规范上网行为为基

申请免费试用、咨询电话：400-8352-114

在海外上市的国内企业主要分布在电信、能源、金融和交通等行业，而且大多为国有企业背景。由于萨班斯（Sarbanes-Oxley）法案的规定，它要求企业集中保存交易及操作文件，以便于主管机关审核，企业对公司内部的治理需求日益迫切。IT在萨班斯法案中是一个非常重要的角色，它不仅是萨班斯法案实施的工具，同时也是提高萨班斯运行的重要手段。

最近几年，中海油、中国人寿、中国工商银行纷纷在美国纽约证券交易所挂牌交易，目前已经有17家中国大型企业在此进行交易，他们已经尝到了法规遵从先苦后甜的滋味。也有不少国内企业因为缺少对法规遵从的理解，信息化与业务系统不完善，被“遣送”回国。

这让企业的安全战略从外部转向内部，把以前曾经忽略的内部安全问题，重新放到安全战略的议程上来。目前有些企业只重视网络设备的稳定运行，却忽略了对员工上网行为的管理。从笔者对企业的观察，如果员工上网行为得不到有效控制，法规遵从就无从谈起。

企业可以根据自己的实际情况，采用上网行为管理系统，进行互联网的接入控制、访问管理和员上网行为管理，使得员工能够远离恶意站点，杜绝恶意代码流入企业内网，真正发挥互联网的价值。而金融系统由于自身行业特点，他们对此最为重视，已经成为各行业的代表。这些都是由惨痛教训中得来的。

员工引发内部安全危机

当银行把安全的注意力集中于防火墙、入侵控制以及风险管理等外部威胁的时候，由于银行内部原因所引起的安全问题往往容易被忽视。据银行内部的消息，大部分的银行安全问题是由于内部监控和风险管理欠缺所引起的。许多银行可能认为员工是最不需要担心的一部分，但是，有许多网络安全问题却是由于内部员工所引起的。因此，在信息化高度发展的金融领域，应该转变安全的观点，逐渐把安全的战略从防外转向防内，拥有一个真正安全的网络环境。

根据8e6公司调查显示：在金融机构中，37.5%的受访者担心间谍软件、恶意程序、黑客与蠕虫攻击。如果遭遇攻击，势必造成网络阻塞和数据损坏及丢失，若无法事先预防遭受攻击，并且发作时又不能迅速采取因应措施，势必给金融IT系统的正常业务造成灾难性的后果；25%的受访者担心行为监控不够会造成员工非法外联、越权访问、滥用网络、资源等有意或无意的行为，这些行为都有可能为信息泄漏和金融犯罪者提供可乘之机，给系统带来致命的打击。

另外，根据Yankelovich的最新调查报告显示，超过60%的企业互联网访问包括了与业务无关的、不恰当的、甚至危险的站点。另外，超过82%的员工承认在每个工作日都会使用互联网处理个人的事务，包括娱乐。员工进行互联网冲浪，产生的浪费和后果让IT主管理十分吃惊。它们主要在以下三个方面产生危害:生产力流失、网络带宽浪费、法律后果、安全隐患。

由于金融机构掌管着大量的敏感数据，不能仅仅依赖防毒软件、间谍软件和封锁广告软件产品来确保互联网的安全。相反，金融机构应该把安全的重点移动企业内部来，据统计，网络安全事件有绝大部分的攻击、漏洞和威胁来自于企业内部。例如，员工上网留下电子邮件地址或因上网后中了间谍软件，可能会招致垃圾邮件，会造成邮件服务器宕机或网络堵塞，更有甚者因收到“不当内容广告”或“钓鱼信件”后，直接读取邮件中“链结网址”，可能会触犯相关法律因而危害到企业本身。“聊天工具”或“网页邮件”为不法泄漏公司机密的人开启了一个便利通道，这些人可轻易的将公司内部重要信息传送到企业外部，为企业与客户带来莫大的损失。

以上的问题都是来自于员工无意或有意的不当网络行为所产生，8e6科技公司大中国区总经理连邦俊说：“国内金融行业的信息化日益成熟，网络安全也成了信息化后随之而来的保护工作。各大企业该如何把这些危险解决于‘未然’之前，或在问题发生之际能倒查找到问题的根源即时解决问题并保护企业的安全？一旦开放员工使用互联网，金融机构的内控与IT风险管理一定要考虑员工上网行为的审计与管理，建立一套网络安全行为管理策略，监管员工上网行为并通过‘正确引导’与‘使用规范’协助员工安全使用网络，才能有让内控与IT风险管理更加全面。”

安全需要从控制着手

要有效地防范网络病毒，最有效的方式即是通过Web访问控制、间谍软件与恶意程序阻挡、IM与P2P使用控制等上网行为管理，起到防患于未然的作用。这样不仅可以防范问题的发生，并且可以大幅降低因病毒入侵IT 系统让关键企业活动受到严重故障或灾害的风险。

完整记录员工的上网行为也行之有效，因为网络管理人员能够从上网行为与记录中的各类分析报告当中，获取目前企业内部网络潜在的网络安全风险，从而得以依据报告中显示风险系数的优先级别对症下药，进行安全相关产品的采购，确实达到防护的效果。对于金融机构而言，有时需要一些安全事件的历史记录。当员工有泄漏公司机密等不法的行为时，审计单位可以从摄录内容进行审计与记录回放，从而更有效地监控员工的非法行为。

据网康科技营销副总裁左英男认为：“信息安全问题关键是人的问题。只有企业做到‘三分技术，七分管理’才能有效解决这些问题，也就是通过有效的技术手段实现管理手段，从而达到安全效果。需要强调的是安全管理是一项由内而外的‘管理过程’，不仅仅是个技术问题。从资源角度讲，如管理控制不当，网络资源利用率会下降，在企业经常感觉带宽资源不够时，其实是企业带宽资源被占用的行为所导致的，这将为企业直接带来经济损失。从安全性上讲，网上有很多病毒，如蠕虫、木马等，都有可能利用企业网络的漏洞，甚至实施毁灭性攻击，那么如果员工一旦接触到这些高风险网站，后果将不堪设想。从法律角度讲，如果某知名企业的员工在无意中安装了色情网站的伺服，一旦被公安局查到，将对该知名企业产生了不良影响，从而造成巨大损失。”

针对企业用户面临的这些困扰，各安全软件厂商积极应对，推出各种可以解决Internet“无效率”上网问题的解决方案。如SiteView EIM、Websense、Surfcontrol、8e6、Bluecoat 、网康和Astaro等产品，主要提供上网控制、即时通讯管理、端口控制、网站访问限制、网页内容过滤、IP地址绑定、IP访问控制、IP流量管理、黑白名单设置、系统管理、网络管理、日志监控等功能。

不管员工是否愿意接受具有上网行为监控和统计功能的IT管理软件，企业对此的需求还是非常庞大的，而且市场潜力也非常可观。应该说，企业管理人员还是很需要有这样的行为管理工具。比如，SiteView EIM可以对数据包协议进行分析，对QQ游戏、联众游戏、魔兽世界等网络游戏进行控制，如同过滤QQ、P2P等通信工具一样，发现是网络游戏的包就控制、封堵，这样可以保证公司的网络带宽、网络资源得到很合理的利用。

SiteView EIM产品经理Delink说：“应该澄清的是，软件厂商推出上网行为管理软件，并不是大家想象的那样为了监控员工上网，它只是为了给大家提供一个更加清静、纯净的网络工作环境，同时帮助企业IT运维人员提高工作效率。比如，SiteView EIM还提供了诸如系统管理、网络管理、网络流量监测、日志分析、图表报告等功能，这些都可以为网络管理人员提供很大的工作便利。”

但实际情况是，上网行为管理软件主要应用于企业IT部门，由IT运维部门来运行和维护，而真正有需求的是部门管理人员。如何保证对于IT软硬件不是很擅长的部门管理人员上手呢？SiteView EIM产品经理Delink认为，最好提供直观丰富的图表统计报告，它可以通过美观的图示一目了然地展示上网状况。

8e6科技的员工上网行为审计管理解决方案就提供了即时监控与记录回放功能，以便在发生问题时，审计人员能即时倒查记录，追查问题的来源以解决问题或查看员工的上网内容是否合法。而完整记录员工的上网行为功能，使网络管理人员能够从上网行为与记录中的各类分析报告当中，获取目前企业内部网络潜在的网络安全风险，从而得以依据报告中显示风险系数的优先级别对症下药，进行安全相关产品的采购，确实达到防护的效果。

Websense EIMS过滤解决方案可以通过让IT管理员设置自定义策略来管理员工因特网、网络和应用程序的使用，平衡与工作有关的上网与个人上网之间的关系。利用易于使用的管理模块（中央管理控制台）制定和实施员工计算机管理政策，将行政管理开销降至最低。

借助管理工具被用来取证及报告工具，IT、人力资源、法律及业务经理均可轻松快捷地获取员工活动统计资料,实现法规遵从的基本要求，分析当前与近期的网络流量，洞悉网络活动的情况，以及迅速解决与网络相关的重要问题。(it168)