主持人: 今天下午的专家访谈现在开始
主持人: 各位网友大家好。网络已经不可避免的走入大家的工作和生活,但是,工作期间上网的问题,一直困扰着许多公司领导和网络管理者。51CTO网站从6月29日就此问题展开了一场关于“监控员工上网,是否可行?”的在线辩论比赛,引起了广大网友的激烈反响。经过正反双方的唇枪舌剑的三个星期的辩论,大家仍然没有得到一致意见,正反方的支持率旗鼓相当。
主持人: 那么,由此产生一些问题,员工上网到底该不该管?应该怎么管?怎样面对大家提出来的种种问题?当然还有,这次辩论赛谁赢了? 面对这些问题,我们非常希望今天能够把这个问题的答案找出来,所以今天我们特别请来了两位在企业网络安全实施方面富有经验的专家和我们一起讨论。他们是独立信息安全咨询顾问车建君博士。车博士是IT变更管理资深顾问,曾在国家计算机网络入侵防范中心从事漏洞风险研究,目前从事变更管理解决方案渠道和技术咨询工作。
主持人: 另外一位专家是侯俊峰先生,他是全球著名内容安全解决方案提供商SurfControl公司资深技术支持经理,有超过5年的安全管理实施经验。我们将就本次辩论中出现的焦点问题请他们作出权威的解释和讨论,回答此前网友提出的问题。同时我们是一个在线聊天,各位网友可以在线提问,我们也会随时根据大家的问题进行回答。两位专家此前也全程关注了本次辩论大赛,在本次访谈的最后,我也会请他们对正反双方进行打分,然后根据网友、专家和评审组三方面的意见,我们会在今天下午5点左右公布本次活动的获奖结果。
主持人: 好了,我们进入正题。在本次辩论赛中,双方的争论主要集中在这么两个问题上。一是当前的企业应用,有必要进行监控吗?二是如果要进行监控,那就意味着对员工隐私权的侵犯,这方面如何规避?有没有合适的既能实现恰当管理又能保护员工隐私的解决方案?当前已经从平台上征集了这样几个问题,首先想请问车博士,从宏观的角度讲,企业员工滥用网络资源的情况是不是很严重?是不是已经到了(有必要)监控的程度?
车建君: 从宏观来讲,IT基础设施蓬勃发展的情况下,企业内部互联网的应用,包括内部的应用和外部的应用和网络日记与日俱增的背景下,企业的内容监控是很多企业的管理层关心的问题。
车建君: 首先他们关心的是自己的安全,因为安全涉及到企业的利益和企业数据的保密性,和企业自身发展是直接相关的问题。另一方面,对员工本身来讲,企业希望员工高效的工作,希望对员工的行为有一定的了解,能够控制好自己的人力资源,因为员工的时间也属于人力资源,这种情况下,企业对内部的监控是越来越重视的。
车建君: 要说到一个必要性来讲,从目前看来,可能很多的企业只是在探索是不是要用一种方法和手段去完成企业内部的监控,如果说非常完美的方案和非常统一资方和企业员工利益的解决方案,从技术和管理手段来讲,可能还没有非常完美的方法,都是在进行摸索。
主持人: 也就是说,他们是很想做的。
车建君: 是的,企业很想做。
主持人: 刚才车博士提到企业想做有一个原因是安全性的问题,很多的网友不太理解,侯先生能不能和我们讲一讲,一般的员工发个邮件,MSN之类的,对企业的安全上到底有哪些问题?
侯俊峰: 其实从内网的安全问题上讲,应该分成几方面。有些人是无意中作为的安全问题,当然有些人是故意的泄漏或者是向对方提供自己公司的资料,或者是带来了对内网的隐患。目前比如说我们员工在进行互联网访问的时候,大部分员工都是在进行正常的访问,但是互联网上的内容太多了,多种多样,无意中可能会访问一些有害的站点,当这个员工的机器或者软件遭到攻击受到感染之后可能会对外网的某些服务器发送一些东西或者进行一些行为,对方起诉的是你公司的IP,作为公司不知情,员工也不知道,都是受害者,这就造成了公司网络不太安全的情况。但是也不排除某些公司的员工因为某些情况觉得有做的不是特别舒服,跳槽之类的,有可能将公司的资料泄漏给对方,当然这是少部分,也是通过比较隐藏的,FTP或者邮件、IM的方式透露给对方,目前网络上存在的一些隐患还是有的。有些公司想通过一些手段来增加对内网的管理和监控,这也是他们越来越急需考虑的问题。
主持人: 看来二位对企业监控应该说认为有需要,我想插一个问题,如果企业认为员工有意无意造成公司资料泄漏或者不安全隐患,有没有一些数字能够征兵当前的损失?
侯俊峰: 目前还没有非常明确的数值来统计安全问题造成的损失有多大,但是有很多案例,某保险公司因为员工泄漏内部的资料造成公司的损失可能占到30%到40%,但是非常详细的数据统计,比如说各个行业,就像中国的一些保密性比较强的行业,金融、海关、设计院,他们内容的制度已经非常非常严格,你想通过网络泄漏东西已经是做不到的。
主持人: 我真是想去谈这样的问题,从二位专家说的,企业有这种需求和意愿,但是如果要用网络手段或者说技术手段进行监控的话,确实是有很多负作用,有没有可能纯粹行政手段或者管理手段,比如说你要上IM,一个月就罚你200元,用这种手段是不是能够达到杜绝损失的可能性?
车建君: 就这个问题我来说两点自己的看法。我们强调行政的管理,行政干预,去做这个事情,可能我们面临的问题就是执行力度的问题,就是我不知道我的员工上网的状态和他们究竟有多少故意的泄漏,我完全不太清楚企业网络的行为的状态,首先对这个是不熟悉的。企业领导可以通过这种命令下达下去,在企业的各个角落,但是我不可能收集到这种状态和情报,所以没有真实的情况反映。
主持人: 也就是说,不能充分的检验到?
车建君: 对。可能他说他用了,他没有查到的就说没有用。用技术上辅助行政的手段这是企业做的比较多的方法,也就是说,规章制度加上技术方案,IT部门的监控的方案,这是现在企业做的比较多的,也是通行的方法,来进行内部的监管。
主持人: 如果按照单纯的行政来实现的话,下面的问题是当前是不是有一套可能能用的方法,车博士说很多企业找了半天发现真正切合企业的方案可能还不是很多,侯先生在这里有一定的实践经验,请侯先生给我们介绍一下以前有什么样的探索?
侯俊峰: 车博士说的很好,完全的行政手段干预可能达不到预期的效果,如果我们直接进行监控的话可能员工认为侵犯了自己的隐私。
侯俊峰: 站在不同的角度有不同的考虑,公司认为你占公司的网络,公司付你工资,你在工作期间发生的一些行为,让我看到都是应该的,没有个人隐私。但是相对学校或者是NTC的这样我付费的利用你的网络进行活动,那你就是侵权了。作为员工考虑,只要你看我了,那我就有一种被监视的感觉,肯定是很不满意的。
侯俊峰: 我们在时时监控的时候,一种是监视一种是控制,你控制居多监视居少,我们上一套监视器不可能有一个网管天天看你MSN里上什么东西,这是不可能的,基本上是以控制为主,就是我不让你访问哪些资源,比如说一些成人站点和反动站点,监视放在次要的位置。
侯俊峰: 另外通过企业内部对员工个人隐私必须要欧一种做法来消除员工的这种情绪,你可以隐藏员工的个人信息,员工在互联网访问的时候或者通过IP地址监管或者通过用户名称,我们在监控的时候通过一些手段来有效的隐藏用户的一些信息,比如说他的IP地址统一归纳成用户A、B、C、D,这样我看到的并不是每一个用户的详细信息而是统一命名规则的信息,当公司的网络出现问题或者产生某些法律问题之后,我可以通过某些权限来获得用户的详细资料,这是一种方法。
侯俊峰: 当然各个公司有各个不同的规章制度,所以说通过这种规则定制的严谨程度还是要指定的。
主持人: 咱们已经进入了辩论的最核心的问题,就是监控本身对于员工隐私权的侵犯,这也是本次辩论的一个最主要的问题。在这里网友也提出了很具体的问题,和刚才我们谈到的很相关,可能有一些很细的问题请二位解答。一则忘忧河当前正在谈的一个问题很相关的就是,所谓监控到底监控的是什么?也就是说,是不是实施了那一他之后,员工的所有隐私都将大白于天下。你刚才说到一个词,主要是控制而不是监视,那就是说网管不可能一个一个看,那就是所谓的不可能是他顾不上,如果他有时间有精力,是不是就可以看?是不是员工的所有的IM、E-mail和所有的信息都有可能被大白于天下?
侯俊峰: 这个问题问得非常的尖锐,刚才所说的公司内部监控的是监控的什么东西?监视控制的话,一般情况下我归纳为还是对公司网络资源的一种保护,他的目的并不是监视员工做什么事情,而是保护员工更有效的利用公司的网络资源。
侯俊峰: 不是说一个老板为看员工的什么东西来上一套系统,一般是为了提高公司的效率和网络应用率来上一套系统。另外一个问题,网管在有时间的情况下会不会对员工的每一条访问行为都进行监视和统计,我在南宁开会的时候有一个统计,忘了是哪个公司发起的,他们公司有一个非常好的监视系统。
侯俊峰: 在座位后面都有摄像头,可以很清楚的拍摄下员工电脑上的东西,还有一个系统是随时抓取员工内部计算机上的资料,比如一些聊天的信息都可以看到。
侯俊峰: 这样记者去采访网管的时候,网管说一般情况下老板是不会向他们提这种要求的,可能一个月都不会向他们提一个要求,网管也不会天天看这个,因为他们也有事情要去做。网管也不会因为是同事而侵犯隐私,公司还是以控制为主,不会产生每天以了解员工隐私为主的情况出现。
主持人: 这里有网友的一个问题:请专家明确表态,监控的到底是网络还是员工?
车建君: 这个问题这样来回答。因为这个问题应该不是一个确定的问题。刚才我也提到了,企业从安全性来讲,应该是去监控,是监控自己的网络和人力资源,从安全性来讲企业也是控制安全性,因为员工上网可能造成对企业安全性的损害,他可能会维护自己安全的点从而规避风险。从控制人力资源的角度来讲,通过控制人力资源来达到提高企业生产力的角度来考虑,可能我们更多的要控制。
车建君: 企业上一套方案也好还是上一套员工上网监控的产品,应该不简单的为了去控制,也不应该只是监视,应该是两方面结合起来去做这个事情,企业都希望结合这两方面的因素。
主持人: 主持人:这里要给网友们强调一点,专家在刚才差不多20分钟的讲解里面都反复谈到了一个词,就是监控这个词总是拆成两个词,一个是监视,一个是控制。车博士甚至认为这两个词也都不合适,可能用管理能更合适一点。
车建君: 对,行为管理。
主持人: 在线的网友也都在讨论,其实不是在控而是对监视这个词太反感了,正方他们谈到的问题反而是怎么样去控制,这也形成了他们的一个辩论基点,也有一些人去谈这样的问题,在一个企业的正常运转之中,如果你增加一套监控体制的话,一定要增加成本,增加的这部分成本到底有多大?是否会影响到公司的正常运转?你上了一套监控系统增加成本,会比你不上损失的还大,那肯定就不合适了,我也想请侯先生谈一谈,在你以前实施的过程中,能不能给大家描述一下,一是对老板而言,他要花多少钱?二对技术人员而言,会不会很麻烦?
侯俊峰: 如果说一个企业上了这一套系统,成本分为硬件的资金和技术成本,还有我们可以为企业保护多大的资源?我们也统计了一下,举例来说,一个20人的公司吧,如果每天我们为员工提高一个小时的工作效率。
主持人: 这是很有可能的。
侯俊峰: 对,一个小时,那么按每个小时20元来说的话,一天算下来20人的公司就是400元,如果我们再×1年200个工作日来看就是8万元,而一个公司的软件成本大概在1到2万之间,技术成本基本上是以越来越简单和容易操作来说的。
主持人: 还是想请侯先生谈一谈,在当前中国市场甚至全球市场上,采用技术手段的企业是不是很多?他们有没有一些实际的经验或者教训能够向在座的朋友介绍的?
侯俊峰: 我们不需要了解太多的东西就可以用,否则就因为某些因素而不能推广。产品肯定是简单容易操作的,一个向导页面就可以操作。
侯俊峰: 经验教训大家查一下应该是非常多的。从我们客户来讲,我们的监控产品在世界上应用到了23000多家,这样我们来进行统计一下就可以发现,世界前500强以外,90%以上都上了监控系统,有我们的产品也有其他公司的产品,说明对企业和员工保护肯定是一个趋势。
车建君: 我做安全、做咨询也好,实际上企业内部的管理也算是IT治理中的一部分,涉及到IT治理的宏大的系统中,企业的管理和员工上网监控等等企业内部的管理和监控,应该是企业的一个IT组织治理的一个基础。
主持人: 对。
车建君: 这个基础的牢固性直接反映和映射到企业IT治理中的各个环节,比如说,如果一个企业的员工蓄意的情况下导致了企业重要的数据比如建筑工程公司的图纸、投标书等机密的文件泄漏的话,牵扯到其他部门的重大损失,也不仅仅是IT的问题,造成了很多的问题。
侯俊峰: 法律问题。
车建君: 现在我们说风险可控,怎么控制风险?在IT风险的游戏规则下,我们认为合理合法的进行员工行为管理,实际上是有力的提高企业的管理水平。
主持人: 您提到上一套监控也好、管理也好的这样一套系统,是可以起到管理的作用的,这也要结合企业的实际情况来看。
车建君: 对。合理的。
主持人: 这种合理应该从哪些因素考虑?
主持人: 作为企业的老板和技术主管应该从哪些角度来衡量我在什么时候、什么情况下需要逐步的去采用这样的方案?怎么判断?
车建君: OK,映射到企业组织的管理中我可以这样的解释,企业的感觉对员工来讲,如果我要上这套系统,做这件事情,进行控制的话,员工应该是有知晓的权利的。
主持人: 知情权。
车建君: 对。应该是事前通知,而不是事后知道,从法律上保护了监控和企业的网上员工行为管理是事先让员工知道的,保证了合理性。中国法律中规定了公民通信的自由,这是咱们都有的,基本的权利,但是从时政上来讲这种案例不好操作。
主持人: 也就是说,你有通信的自由,但是用公司的资源在上班时间进行这种私人通讯是否应该保护?
车建君: 这是你的通信自由,但是又影响到了他人的利益,这是互相牵扯的关系,从时政的角度来考虑,上网的监控,如果公司做到事前通知而且有书面的协议形式,让员工来签署,可以避免法律上的纠纷,这是可能确定的。
车建君: 事前要告诉员工我们要做这样一个事情,做这样的行为监控,我让员工知道并且签署这样的一个协议,这是可能避免的。
车建君: 这应该是第一条规则,企业要推行这样一个方案的时候,应该先做这样一个事情,再从管理的方面自上而下的上这样一套系统,包括IT部门、财务、人力资源等相关的部门,一起来讨论一下,我定什么样的规章制度,形成一种规范,怎么实施。是这么来做的。
主持人: 车博士是把企业在实施这套系统的时候要注意的问题讲了一下,侯先生是不是给大家介绍一下,以前在给企业实施这种方案的时候,企业有哪些顾虑?
主持人: 推行这种方案的时候哪些问题解决了?还有哪些问题你这边仍然没有拿到最合适的答案的?
侯俊峰: 一个公司在上一套监控系统的时候,肯定是遇到了一些问题,遇到了一些问题之后才会去上这套系统,否则就无所谓监控这个东西了,大部分我们遇到的是用BT下载一些东西,严重影响了其他正常的一些网络应用,这样他就要知道怎么样控制,不让员工使用BT的软件,另外公司员工上网的时候好多人都在办一些个人的事情,尤其是买股票的一些人,他可能用二三个小时的时间去看股票,另外就是即时通讯、聊天的东西,有可能利用聊天工具传一些文件,那么公司就不希望出现这种情况。
侯俊峰: 另外公司在做这件事情的时候,也是车博士提到的知情权的问题,员工在进入公司之前公司肯定要给你一系列的规章制度,告诉你不能做什么不能做什么,在事情结束之后才会告诉你来公司应该做什么。另外一点,公司认为你使用了公司的网络和资源,这就无所谓一个侵犯隐私的问题。
侯俊峰: 另外他们上了这套系统之后有以下几个好处,一个是他可以节省大量的带宽资源,举个很明显的例子,当你打开一个东西的时候,他的带宽是2M,你不打开就节省了2M的带宽,当然我们不仅仅是为了节省资源,而更多的是保证公司的正常有效的运行。
侯俊峰: 大多数员工在上网的时候也都是在正常的,也都是在打开网站看一下新闻,但是会无意中打开一些连接,有可能是“钓鱼”的,而监控软件会避免这种情况的发生,而且会避免一些法律纠纷。有时候我们在监控系统的时候会看到公司网络运行情况,当一旦出现法律纠纷的时候可以有效的查找或者避免。你做了监控软件,一些与法律有关的站点比如说反动站点是不允许上的,也可以避免法律问题的产生。最后一点就是提高了员工的工作效率,有效的利用公司的资源。
主持人: 今天来的网友看来很多是纯粹的技术人员,他们刚才从网上提出了很多很细的问题。侯经理也谈到了用监控系统管理员工进行BT下载、炒股和私人聊天。
主持人: 网友提出了几个细的问题,您能不能介绍一下用哪种技术或者哪种产品?到底能够监控哪些系统和软件?这套系统是怎么运行的?比如说我们使用的笔记本电脑,我不允许你在我笔记本上按软件,那还能不能实施,或者我想什么办法回家破解了,这个能不能正常的使用。
侯俊峰: 这个网友问得很技术性。如果说这个员工的笔记本电脑上装了一个软件,禁止网管员在上面装东西。公司如果上这种监控系统会有固定的网管做这个事情。就像我们公司,网管会把笔记本和台式机给你,上面已经装好了一定的软件,你的权限限制在一定范围之内。
侯俊峰: 刚才提到了,如果我把系统格式化了重新安装系统,这属于最极端的方法。你卸载了这个系统之后有可能不能应用公司的应用管理程序,会对你本身的工作有影响,你还要去找网管解决问题,那么网管也会对你的电脑进行一定的设置。
主持人: 也就是说,行政加技术的手段,使公司的电脑都可以符合公司的系统。
侯俊峰: 对。当然个人的笔记本就不可能由网管进行一些操作。
主持人: 我和我的朋友之间加一套系统,加密,这个时候你的系统还能够监控吗?
侯俊峰: 这个就属于监控与反监控的手段了,首先说你有监控系统,道高一尺、魔高一丈。公司的监控系统不会放到每一个人的客户端上而会在网关处。
侯俊峰: 如果在网端的话那会大大加重网管的负担。如果公司的员工对电脑非常懂,可能会加一些代理协议,连接到外面的服务器上玩MSN或者上网下载一些东西,这种情况是没有办法做的,如果有加密协议肯定看不到里面的传输内容。
车建君: 从技术手段上,企业要做到彻底监控是不可能的,因为会有很聪明的员工,会想到很多的办法来规避。
车建君: 企业采用温和的手段,执行力度不会很强,当然也会有执行力度很强的企业。刚才也提到,我们监控什么?梳理邮件,避免垃圾邮件来避免对公司员工的骚扰,另外一方面他也希望监控到员工进进出出的邮件中是否有不利于公司的信息,起码有个备份在那里,做到有据可查。
车建君: 在即时信息上,比如MSN、ICQ、QQ等,QQ是加密的体系,协议是加密的,不过也有逆向工程的把协议破解的,我们很难保证公司里的员工不能突破这个限制,但是我们可以从管理和技术两手来控制这个事,能够做到把企业的风险控制在一定的范围里面,通过一些技术手段来做到风险的可控。
主持人: 有一个问题我不知道是不是应该问,而且网友也在提出,还不是一个人在提这个问题。
网友:如果说已经实施了这么一个监控系统,到底我要用什么办法使我的隐私不被人发现?也就是反监控的问题怎么实现?
主持人: 如果不合适可以不讲,但是我希望二位给这些员工提一些建议,无论是从技术上还是心理上,当你有了这个需求应该怎么办?
侯俊峰: 这个属于反监控的问题,这个问题如果说专门做技术的人来讲可能会掌握一些手段,比如说我想办法让我的个人信息不通过公司的出口或者通过加密信息的方式通过公司的出口。
主持人: 现在在线的可能一半以上都是技术人员。
侯俊峰: 个人隐私怎么可能不被监控?你的个人隐私是属于在工作时间之内的还是工作时间之外的?
侯俊峰: 还是那句话,网管不可能对你的个人隐私非常感兴趣,可能对他来说公司的网络安全更为重要。比如说我们中午说去吃饭,这个会触犯公司哪个制度吗?我刚参加计算机世界的内网监控的讨论会,设计院的一个老师提出,我们一般去通知另外一个同事做哪些事情的时候,会去一个公司拍拍肩膀,去哪里玩了,看什么球了,然后再玩正事。与公司工作无关的几句的无所谓的话,公司也不会认为你是侵犯公司了利益。
主持人: 能不能简单的解释为,公司不是要看你在做什么,而是禁止你做一些事情。
侯俊峰: 对,还是从控制的角度说比较好。
主持人: 我还想让车博士去谈一个比较有趣的方面,正方在讨论中反复希望印证一个事情,公司采用这样一套系统之后,对于完成员工工作的有效性大大提高的,反方则一直以监视、侵犯隐私权这样一条结论是持否定的,您对这一条有什么看法?
主持人: 就是采用监控系统之后,对于工作的有效性到底是能提高还是降低?
车建君: 这里有一个数据,也是一个调研机构,市场研究公司,他们去调查,在亚太地区氛围比较相似的地方,在56%的上班时间的没有在做与工作相关的事情,这个是非常严重的情况。
车建君: 当然我们不可能说百分之百,这样的话企业实在也是太高效率了,但是有56%的时间在做与工作无关的事情,在这样的情况下,如果企业通过内部的上网行为的管理手段或者技术方案也好,包括相关的制度规范去形成企业的一系列的IT治理的手段,你把这个也归纳为IT治理来讲,至少我们可以从数字上看到生产力的提高。
主持人: 但是可能出现这样一个问题,他可能干得活是多了,但是心里并不痛快。
车建君: 对。
主持人: 有这样一个比喻,当学生真的不想学的时候,你不如带他们去稍微轻松下。
主持人: 另外一件事情,是也是在学校里,学校要在每间教室按一个摄像头,本来的含义是要看学生怎么样,但是最反对的是老师,他认为我每一节课都变得赤赤裸裸,这样我一进教室就会战战兢兢,肯定要做我应该做的事情,但是效率可能反而不如我在很自我的情况下要高。这种情况怎么样来调节?
车建君: 开句玩笑来讲,很多时候我们之所以打开MSN,我们已经离不开这个网络了,很多时候我们自己的时间用到了一些工作和非工作互相交叉,我自己都很难分清楚了,刚才的数据是很有说服力的数据。
车建君: 有的时候,企业内部通过上了这么一套系统,可能自己知道有这么一个东西在限制我,从而规范了一些行为,自己可能会自己去合乎这个规范。
车建君: 我觉得从某些意义上来讲,是对员工自己的时间管理是有帮助的,他自己可能做到更多有意义的事情,他这种行为也能够在一个大范围的前提下,效率是提高的,这不失为对员工也好企业也好是比较有意义的方法。
车建君: 我觉得在合理合法的前提下,对企业内部的员工的上网行为管理纳入到整个IT治理上来讲,这是一个积极的部分。
主持人: 可能是我刚才的那样一个举例,有点偏重于反方了。其实我的教师朋友以前在单位里安装摄像头以后,经过了一段时间的心理调整之后,其实(发现)还是很正常的。大家也看到没有校长和校领导在监视器前看老师在做什么,在课堂上对摄像头基本上视而不见了。
主持人: 但这里可能永远存在这样一个问题,企业在处理这个问题的时候,可能需要一定的行政手段来处理。
主持人: 除了车博士之前谈到的,在上监控系统之前要做很多的准备工作,还有没有其他的好办法向企业推荐的,在采用监控系统同时,又让员工很坦然。
车建君: 身心舒畅?
主持人: 对。对企业老板有没有什么好的建议?
车建君: 要对实施的管理层来讲,刚才我谈到,在员工进入公司之前或者说我要用这套系统前要对大家做一个公告,宣布我要做什么事情,让他们知道自己的行为可能会被监控,事前要让自己的员工了解这个事情。
车建君: 对双方来讲是开诚布公的,我们企业有这个需要,基于安全性也好,或者其他的也好,并且从法律上来讲,最好是有书面的协议,把这种协议写到NTA里面去,并且把那样的细则加入到企业内部的管理制度里去。
主持人: 法律手段?
车建君: 这样让员工事先知道、事先了解,而且监控的范围是在哪里,要监控的东西列出来,让员工知道行为的范围,这样对双方来讲是开诚公布的事情,这样也有助于企业内部的管理。
网友哈哈:我对我的公司员工很信任,我一点也不想采取这种行动。
主持人: 在这种情况下,我当前的眼光看,这种想法有失偏颇,您对企业主是不是也要讲解一下,监控系统和企业网络管理之间的联系是什么?
车建君: 这里我想强调一下,企业的管理层来讲应该做到聪明的管理,我们要去实施这样一个企业内部上网的监控和管理的解决方案的时候,我们要聪明的实施,怎么样聪明的实施呢?
车建君: 第一就是做到事前通知,并且纳入到企业的规章制度里去,并且形成相应的协议。第二是在具体操作的时候,对和企业IT的基础设施相关的,按照一定的程序去做。
车建君: 我们也听到了,上海的白领因为自己和老公之间的一些话被IT部门的人看到了,造成了对自己的影响,这就是企业的问题了,对她的名誉权造成了损害,企业要规范自己的IT控制部门,在事实的时候按照一定的规范去操作,而不是滥用自己的对网络管理的权利去做一些超出他应该去控制的事情,这样实际上变成了一种黑客行为和损害他人利益的行为。
主持人: 这样才是真正提高生产力,企业才会变得更和谐,否则只是对无所事事的员工一些威慑,而并不是对大部分的员工产生好的影响。
网友:侯先生还是没有给大家介绍,当前可用的产品有那些?
主持人: 能不能简单的介绍一下,推荐一下当前想监控BT下载,这是很多网管很头疼的事情,还有你说的干私活或者登录一些很危险或者很不合适的网站,像这种行为我们应该用什么样的产品去规避他?
侯俊峰: 一般情况下大家提到最多的产品就是BT或者是QQ,QQ要控制他的端口不太可能,BT的端口都是随机的,我们公司有一个ETS产品,可以控制进口,当一个用户使用QQ或者BT软件的时候我们进行阻止,或者对软件进行删除或者警告他一些信息。
车建君: 警告上网的产品现在有很多网页过滤产品。很多的用户讲防火墙也可以做到,我自己加一个不让上什么网站绝对可以,但是网管不可能每天拿着防火墙添加UL,所以专业的网络软件是必要的,专业的网页过滤产品会有非常强大的库,像我们公司的SurfControl小组工程师会收集一些资料进行分类让客户去使用,大家就可以有效的避免登录一些网站,避免遇到间谍软件或者下载一个间谍软件的时候自动终止。
主持人: 在网关上安装一个产品,可以和你们的数据库时时更新。
侯俊峰: 我们的产品叫分类数据库,里面存了1400多万个网址,有很多的分类,比如说反动的、色情的、新闻的、体育的、股票的、商业的,可能有的公司会阻止有重大危害的分类,当然这些产品必须要采取人性化的管理,你说新闻是阻止好还是不阻止好?
侯俊峰: 还是商业的,市场在搜索可能会用到信息,得不同的人实施不同的规则,这也是在实施一些产品的时候所需要考虑的。比如说我早晨8:30来了,还没有上班呢,我要访问新闻你不让我访问,情绪就有了,中午吃完饭了,我想去论坛,你不允许吗?一刀切不行。
侯俊峰: 上班的时间用这个规则,下班的时间用另外一个规则,也可以得流量和时间上的限制,允许你最多一天浏览新闻30分钟,也可以进行一些温馨的提示,当员工被阻止的时候很恼火,当他访问成人站点,你可以告诉他你访问的是有危害的成人站点和反动站点,这样他就明白这是对自己的保护而不是限制。
主持人: 但是每个企业的需求差别很大,网管在改变规则的时候是不是很容易,是不是对他的技术需求有很大的要求呢?
侯俊峰: 假如说我们的产品对方公司有运营,可以和他的AD域结合,把某些分类和时间段拖上去,大概用10几秒的事情,但是前期公私要考虑到对哪些人实施,非常快。
主持人: 还有一个问题,对企业的网络是不是有一些损耗?
侯俊峰: 这个问题很好,我当时在杭州展会的时候也有老师问我,他们有几万个学生,他们的网络带宽是有限的,你们上了一个系统,是不是也要占我们的带宽,实际上不是这样的。
侯俊峰: 我们屏蔽了一些网站,可能一个站点图片非常多,比如说这些图片有2M的信息,我们就为客户节省了2M的资源。客户也可以设定对一些影音文件和流媒体文件的下载,这也是节省客户带宽资源的有效的手段。
主持人: 到此为止,我们基本上把今天要解决的问题解决了。从网络上也看到大家一直在继续的进行辩论,我能够看到大家已经在讨论一些监视和管理公开的问题,这也是一个很好的现象。
主持人: 按照一开始的计划,我们还有一项很重要的事情要做,就是对前三周的辩论赛进行点评。之前我已经请两位专家对辩论的过程和正反双方的观点进行了旁观,在此还是要请两位对正反双方进行点评,先请车博士。
车建君: 我们这样来看,实际上在正反双方的辩论是非常积极的而且非常富有建设性的意见的,对正方的意见,监控是有利于员工的公司的这样个观点是非常不错的,他通过管理的手段,不仅有行政上的意图而且有可控的方法去控制内部的风险,这样的想法和做法都是很积极的。
车建君: 有利于员工更好的做自身的工作,也是我刚才提到的,企业来做这个工作,也是更好的规范个人的行为,不知不觉中也是提高了工作的效率,都是很积极的因素。
车建君: 员工每天进行的和工作无关的访问是应该避免的,这样的情况应该得到监控,这一个观点非常不错,这些意见都是非常中肯的。企业从安全性上来讲,通过有意、无意的方法进行信息的泄漏给企业带来了非常大的隐患,网友的观点都非常清晰的透视到了这个情况,非常有建设性和代表性。
主持人: 请侯经理对正反双方的情况进行评论。
侯俊峰: 刚才车博士说了一下关于正方的观点,我在网上看我们PK得非常激烈和精彩。反方的观点大部分集中在一点上,就是个人隐私的问题。大家很多人认为宁可管理也不要监控,你可以管我但是不能监视我。
侯俊峰: 个人隐私绝不允许侵犯的问题,还是刚才我们谈过的,公司上了一套监控软件之后,并不是说为了侵犯你的个人隐私而上,而是保护员工和企业的利益而上的这套监控软件。企业制订有效的规章制度和技术的结合,来尽可能的避免员工个人隐私被侵犯的感觉,尽量的减少。
侯俊峰: 这样的话就可以有效的来防止个人隐私被侵犯的感觉更强。所以说公司员工利用上班时间、利用公司的资源来进行个人的事情,可以通过一些规章制度先告诉员工我们在做哪些事情,员工有知情权,然后我们再对员工的行为进行一些控制,这对于员工和公司来说都是很有效的保护行为。
主持人: 我们还有一个重要的议程,就是请专家对正反双方进行点评,注意就是对正反双方在辩论中的表现情况,而不是您自己同意正方还是反方。
主持人: 因为我们要在今天5点通过几方的意见,向大家公布是哪方获胜,专家的意见也是考评意见之一,大家用5分制给正反双方分别打分,这可能有一些难度。
主持人: 我现在可以和二位讲的是,在7月17日0点时,我们统计了一下,支持正方201人,支持反方是257人,这两个数字只是代表正反双方的支持人数,评审组会按照大家在论坛上的辩论情况来看是正方的团队获胜还是反方团队获胜,二位的评判依据只是正反双方的辩手在辩论中的思路、特点以及表现出来的风格、素质。
主持人: 下面从车博士开始,您对正方的打分是?
车建君: 最高5分是吗?
主持人: 是的。
车建君: 正方5分,反方4分。
主持人: 车博士是给正方打满分了,请侯经理打分。
侯俊峰: 正方4.5分,反方5分。
主持人: 侯经理是做网络安全的。
侯俊峰: 这个是不代表个人情绪和观点的,我本身是支持正方的,但感觉反方的一些论点和论据比较精彩,正方提出的几个理由也是非常非常的好,所以4.5分,当然必须有一个输赢,我非常喜欢两边都是5分。
主持人: 感谢两位专家,也感谢这次参与整个活动的大概1000人的网友,以及通过浏览的形式或者其他形式来参与到这次活动中的网友,以及今天和我们一起参加这次在线访谈的朋友们,我现在还不能看到有多少人。
主持人: 最后按照习惯,还是要请二位用一句话对今天讨论的主题进行点评,先请侯经理。
侯俊峰: 我觉得内网监控主要是一个长远的发展趋势,而且这个趋势是制度和技术的结合,也就是说,单单有行政制度可能不能完全达到很好的监控效果,单单有好的技术而没有制度的铺垫也会引起很多员工的反感,要两者结合,技术和制度的结合必不可少。
车建君: 在企业内部网络行为管理的研讨中,开诚布公的讨论是企业管理中的积极因素。
主持人: 感谢两位,今天关于企业员工上网行为的讨论就暂时告一段落,但这个话题还会持续的讨论下去,就像车博士讲的,很多问题采取开诚布公的形式去探讨,这是一个很好的解决方案。
主持人: 51CTO以后也会举办很多类似的形式和大家探讨安全以及企业内部管理的问题,感谢各位网友能够持续的积极的参加我们的活动,感谢各位网友,感谢两位专家在这么热的天气,在百忙之中来参加我们的活动,谢谢大家。