重新审视企业内部安全

在旧金山召开的Gartner 2007 Symposium/ITxpo上，与会者对于目前企业IT人员做面临的三大问题进行了投票。而投票结果对于企业安全人员来说，意义深远。

投票

投票的第一个问题是“是否可以让雇员任意使用消费电子产品、应用和服务？”在与会的300余人中，有70％都表示应该开放雇员使用消费电子产品的权力，只有29％的人认为企业应该控制员工在办公环境使用消费电子产品。现在很多消费电子产品都以应用于办公环境。种类丰富的消费电子产品使得企业在管理上很难有明显效果。另外，大部分人都认为，对员工使用消费电子产品进行控制会降低员工的工作效率。

另外两个投票内容是对建立在支持雇员使用电子产品和软件的基础上的。但是其中67％的人都表示，IT部门不应该让雇员任意安装软件。其次是有关与IT安全决策是否要与非IT人员共同协商决定的问题，有53％的人表示赞同。

我的观点

虽然我很支持为了业务需要而实施各种技术，但是我绝对反对员工在没有控制的前提下以提高办公效率为名义私自安装各种软件或设备。随着PDA，智能手机，USB存储设备以及MP3播放器等设备的功能日益强大，如果不采取控制措施，企业所面对的风险也将随之快速增长。我并不主张禁止员工使用任何可以提高工作效率的设备，但是我认为企业一定要对这种设备所带来的风险进行评估。因此，与其禁用个人设备，不如通过内容监视来达到一定的风险管理等级。这样至少企业能知道自己的敏感数据是否流失。

在控制员工随意安装软件方面，我认为企业应该建立一个软件黑名单。换句话说，企业应该将那些公认具有很高安全风险的软件列出来,禁止员工使用。如果员工按照规定不再安装具有安全风险的软件,那么企业终端系统的安全性也就有了一定程度的保障。另外，对终端系统的保护工作还包括对系统补丁和反恶意软件程序升级的管理。总之，如果企业让员工任意安装软件或硬件，企业必须要对员工所安装的软件和硬件进行安全监管。

最后，我认为向非IT人员解释企业的安全监管策略也是个问题。可以肯定企业中的部分员工会对这种方式表示反对，但是大部分员工会赞同企业为了安全考虑而实施正确的解决方案。 另外一个关键问题是，在安全和效率之间取得平衡。进行安全评估后，应该在企业员工常用程序和安全之间取得平衡，尽可能让员工可以安全提高工作效率的功能和应用。

本次投票的结果并没有出乎我的意料。作为企业安全团队的领导，我经常会遇到团队成员与企业员工在安装软件方面争吵的情况。但是我一直坚持认为作为安全专家，我们应该对员工所安装的软件安全负责，让员工在安全的前提下尽量提高工作效率。如果我们放松对员工安装软件或者使用移动设备的监管，受益的只有等在门口的黑客。