“员工上网管理”专家谈(1)

主持人: 今天下午的专家访谈现在开始

主持人: 各位网友大家好。网络已经不可避免的走入大家的工作和生活，但是，工作期间上网的问题，一直困扰着许多公司领导和网络管理者。51CTO网站从6月29日就此问题展开了一场关于“监控员工上网，是否可行？”的在线辩论比赛，引起了广大网友的激烈反响。经过正反双方的唇枪舌剑的三个星期的辩论，大家仍然没有得到一致意见，正反方的支持率旗鼓相当。

主持人: 那么，由此产生一些问题，员工上网到底该不该管？应该怎么管？怎样面对大家提出来的种种问题？当然还有，这次辩论赛谁赢了？ 面对这些问题，我们非常希望今天能够把这个问题的答案找出来，所以今天我们特别请来了两位在企业网络安全实施方面富有经验的专家和我们一起讨论。他们是独立信息安全咨询顾问车建君博士。车博士是IT变更管理资深顾问，曾在国家计算机网络入侵防范中心从事漏洞风险研究，目前从事变更管理解决方案渠道和技术咨询工作。

主持人: 另外一位专家是侯俊峰先生，他是全球著名内容安全解决方案提供商SurfControl公司资深技术支持经理，有超过5年的安全管理实施经验。我们将就本次辩论中出现的焦点问题请他们作出权威的解释和讨论，回答此前网友提出的问题。同时我们是一个在线聊天，各位网友可以在线提问，我们也会随时根据大家的问题进行回答。两位专家此前也全程关注了本次辩论大赛，在本次访谈的最后，我也会请他们对正反双方进行打分，然后根据网友、专家和评审组三方面的意见，我们会在今天下午5点左右公布本次活动的获奖结果。

主持人: 好了，我们进入正题。在本次辩论赛中，双方的争论主要集中在这么两个问题上。一是当前的企业应用，有必要进行监控吗？二是如果要进行监控，那就意味着对员工隐私权的侵犯，这方面如何规避？有没有合适的既能实现恰当管理又能保护员工隐私的解决方案？当前已经从平台上征集了这样几个问题，首先想请问车博士，从宏观的角度讲，企业员工滥用网络资源的情况是不是很严重？是不是已经到了（有必要）监控的程度？

车建君: 从宏观来讲，IT基础设施蓬勃发展的情况下，企业内部互联网的应用，包括内部的应用和外部的应用和网络日记与日俱增的背景下，企业的内容监控是很多企业的管理层关心的问题。

车建君: 首先他们关心的是自己的安全，因为安全涉及到企业的利益和企业数据的保密性，和企业自身发展是直接相关的问题。另一方面，对员工本身来讲，企业希望员工高效的工作，希望对员工的行为有一定的了解，能够控制好自己的人力资源，因为员工的时间也属于人力资源，这种情况下，企业对内部的监控是越来越重视的。

车建君: 要说到一个必要性来讲，从目前看来，可能很多的企业只是在探索是不是要用一种方法和手段去完成企业内部的监控，如果说非常完美的方案和非常统一资方和企业员工利益的解决方案，从技术和管理手段来讲，可能还没有非常完美的方法，都是在进行摸索。

主持人: 也就是说，他们是很想做的。

车建君: 是的，企业很想做。

主持人: 刚才车博士提到企业想做有一个原因是安全性的问题，很多的网友不太理解，侯先生能不能和我们讲一讲，一般的员工发个邮件，MSN之类的，对企业的安全上到底有哪些问题？

侯俊峰: 其实从内网的安全问题上讲，应该分成几方面。有些人是无意中作为的安全问题，当然有些人是故意的泄漏或者是向对方提供自己公司的资料，或者是带来了对内网的隐患。目前比如说我们员工在进行互联网访问的时候，大部分员工都是在进行正常的访问，但是互联网上的内容太多了，多种多样，无意中可能会访问一些有害的站点，当这个员工的机器或者软件遭到攻击受到感染之后可能会对外网的某些服务器发送一些东西或者进行一些行为，对方起诉的是你公司的IP，作为公司不知情，员工也不知道，都是受害者，这就造成了公司网络不太安全的情况。但是也不排除某些公司的员工因为某些情况觉得有做的不是特别舒服，跳槽之类的，有可能将公司的资料泄漏给对方，当然这是少部分，也是通过比较隐藏的，FTP或者邮件、IM的方式透露给对方，目前网络上存在的一些隐患还是有的。有些公司想通过一些手段来增加对内网的管理和监控，这也是他们越来越急需考虑的问题。

主持人: 看来二位对企业监控应该说认为有需要，我想插一个问题，如果企业认为员工有意无意造成公司资料泄漏或者不安全隐患，有没有一些数字能够征兵当前的损失？

侯俊峰: 目前还没有非常明确的数值来统计安全问题造成的损失有多大，但是有很多案例，某保险公司因为员工泄漏内部的资料造成公司的损失可能占到30%到40%，但是非常详细的数据统计，比如说各个行业，就像中国的一些保密性比较强的行业，金融、海关、设计院，他们内容的制度已经非常非常严格，你想通过网络泄漏东西已经是做不到的。

主持人: 我真是想去谈这样的问题，从二位专家说的，企业有这种需求和意愿，但是如果要用网络手段或者说技术手段进行监控的话，确实是有很多负作用，有没有可能纯粹行政手段或者管理手段，比如说你要上IM，一个月就罚你200元，用这种手段是不是能够达到杜绝损失的可能性？

车建君: 就这个问题我来说两点自己的看法。我们强调行政的管理，行政干预，去做这个事情，可能我们面临的问题就是执行力度的问题，就是我不知道我的员工上网的状态和他们究竟有多少故意的泄漏，我完全不太清楚企业网络的行为的状态，首先对这个是不熟悉的。企业领导可以通过这种命令下达下去，在企业的各个角落，但是我不可能收集到这种状态和情报，所以没有真实的情况反映。

主持人: 也就是说，不能充分的检验到？

车建君: 对。可能他说他用了，他没有查到的就说没有用。用技术上辅助行政的手段这是企业做的比较多的方法，也就是说，规章制度加上技术方案，IT部门的监控的方案，这是现在企业做的比较多的，也是通行的方法，来进行内部的监管。

主持人: 如果按照单纯的行政来实现的话，下面的问题是当前是不是有一套可能能用的方法，车博士说很多企业找了半天发现真正切合企业的方案可能还不是很多，侯先生在这里有一定的实践经验，请侯先生给我们介绍一下以前有什么样的探索？

侯俊峰: 车博士说的很好，完全的行政手段干预可能达不到预期的效果，如果我们直接进行监控的话可能员工认为侵犯了自己的隐私。

侯俊峰: 站在不同的角度有不同的考虑，公司认为你占公司的网络，公司付你工资，你在工作期间发生的一些行为，让我看到都是应该的，没有个人隐私。但是相对学校或者是NTC的这样我付费的利用你的网络进行活动，那你就是侵权了。作为员工考虑，只要你看我了，那我就有一种被监视的感觉，肯定是很不满意的。

侯俊峰: 我们在时时监控的时候，一种是监视一种是控制，你控制居多监视居少，我们上一套监视器不可能有一个网管天天看你MSN里上什么东西，这是不可能的，基本上是以控制为主，就是我不让你访问哪些资源，比如说一些成人站点和反动站点，监视放在次要的位置。

侯俊峰: 另外通过企业内部对员工个人隐私必须要欧一种做法来消除员工的这种情绪，你可以隐藏员工的个人信息，员工在互联网访问的时候或者通过IP地址监管或者通过用户名称，我们在监控的时候通过一些手段来有效的隐藏用户的一些信息，比如说他的IP地址统一归纳成用户A、B、C、D，这样我看到的并不是每一个用户的详细信息而是统一命名规则的信息，当公司的网络出现问题或者产生某些法律问题之后，我可以通过某些权限来获得用户的详细资料，这是一种方法。

侯俊峰: 当然各个公司有各个不同的规章制度，所以说通过这种规则定制的严谨程度还是要指定的。

主持人: 咱们已经进入了辩论的最核心的问题，就是监控本身对于员工隐私权的侵犯，这也是本次辩论的一个最主要的问题。在这里网友也提出了很具体的问题，和刚才我们谈到的很相关，可能有一些很细的问题请二位解答。一则忘忧河当前正在谈的一个问题很相关的就是，所谓监控到底监控的是什么？也就是说，是不是实施了那一他之后，员工的所有隐私都将大白于天下。你刚才说到一个词，主要是控制而不是监视，那就是说网管不可能一个一个看，那就是所谓的不可能是他顾不上，如果他有时间有精力，是不是就可以看？是不是员工的所有的IM、E-mail和所有的信息都有可能被大白于天下？

侯俊峰: 这个问题问得非常的尖锐，刚才所说的公司内部监控的是监控的什么东西？监视控制的话，一般情况下我归纳为还是对公司网络资源的一种保护，他的目的并不是监视员工做什么事情，而是保护员工更有效的利用公司的网络资源。

侯俊峰: 不是说一个老板为看员工的什么东西来上一套系统，一般是为了提高公司的效率和网络应用率来上一套系统。另外一个问题，网管在有时间的情况下会不会对员工的每一条访问行为都进行监视和统计，我在南宁开会的时候有一个统计，忘了是哪个公司发起的，他们公司有一个非常好的监视系统。

侯俊峰: 在座位后面都有摄像头，可以很清楚的拍摄下员工电脑上的东西，还有一个系统是随时抓取员工内部计算机上的资料，比如一些聊天的信息都可以看到。

侯俊峰: 这样记者去采访网管的时候，网管说一般情况下老板是不会向他们提这种要求的，可能一个月都不会向他们提一个要求，网管也不会天天看这个，因为他们也有事情要去做。网管也不会因为是同事而侵犯隐私，公司还是以控制为主，不会产生每天以了解员工隐私为主的情况出现。

主持人: 这里有网友的一个问题：请专家明确表态，监控的到底是网络还是员工？

车建君: 这个问题这样来回答。因为这个问题应该不是一个确定的问题。刚才我也提到了，企业从安全性来讲，应该是去监控，是监控自己的网络和人力资源，从安全性来讲企业也是控制安全性，因为员工上网可能造成对企业安全性的损害，他可能会维护自己安全的点从而规避风险。从控制人力资源的角度来讲，通过控制人力资源来达到提高企业生产力的角度来考虑，可能我们更多的要控制。

车建君: 企业上一套方案也好还是上一套员工上网监控的产品，应该不简单的为了去控制，也不应该只是监视，应该是两方面结合起来去做这个事情，企业都希望结合这两方面的因素。

主持人: 主持人：这里要给网友们强调一点，专家在刚才差不多20分钟的讲解里面都反复谈到了一个词，就是监控这个词总是拆成两个词，一个是监视，一个是控制。车博士甚至认为这两个词也都不合适，可能用管理能更合适一点。

车建君: 对，行为管理。

主持人: 在线的网友也都在讨论，其实不是在控而是对监视这个词太反感了，正方他们谈到的问题反而是怎么样去控制，这也形成了他们的一个辩论基点，也有一些人去谈这样的问题，在一个企业的正常运转之中，如果你增加一套监控体制的话，一定要增加成本，增加的这部分成本到底有多大？是否会影响到公司的正常运转？你上了一套监控系统增加成本，会比你不上损失的还大，那肯定就不合适了，我也想请侯先生谈一谈，在你以前实施的过程中，能不能给大家描述一下，一是对老板而言，他要花多少钱？二对技术人员而言，会不会很麻烦？

侯俊峰: 如果说一个企业上了这一套系统，成本分为硬件的资金和技术成本，还有我们可以为企业保护多大的资源？我们也统计了一下，举例来说，一个20人的公司吧，如果每天我们为员工提高一个小时的工作效率。

主持人: 这是很有可能的。

侯俊峰: 对，一个小时，那么按每个小时20元来说的话，一天算下来20人的公司就是400元，如果我们再×1年200个工作日来看就是8万元，而一个公司的软件成本大概在1到2万之间，技术成本基本上是以越来越简单和容易操作来说的。

主持人: 还是想请侯先生谈一谈，在当前中国市场甚至全球市场上，采用技术手段的企业是不是很多？他们有没有一些实际的经验或者教训能够向在座的朋友介绍的？

侯俊峰: 我们不需要了解太多的东西就可以用，否则就因为某些因素而不能推广。产品肯定是简单容易操作的，一个向导页面就可以操作。

侯俊峰: 经验教训大家查一下应该是非常多的。从我们客户来讲，我们的监控产品在世界上应用到了23000多家，这样我们来进行统计一下就可以发现，世界前500强以外，90%以上都上了监控系统，有我们的产品也有其他公司的产品，说明对企业和员工保护肯定是一个趋势。

车建君: 我做安全、做咨询也好，实际上企业内部的管理也算是IT治理中的一部分，涉及到IT治理的宏大的系统中，企业的管理和员工上网监控等等企业内部的管理和监控，应该是企业的一个IT组织治理的一个基础。

主持人: 对。

车建君: 这个基础的牢固性直接反映和映射到企业IT治理中的各个环节，比如说，如果一个企业的员工蓄意的情况下导致了企业重要的数据比如建筑工程公司的图纸、投标书等机密的文件泄漏的话，牵扯到其他部门的重大损失，也不仅仅是IT的问题，造成了很多的问题。

侯俊峰: 法律问题。

车建君: 现在我们说风险可控，怎么控制风险？在IT风险的游戏规则下，我们认为合理合法的进行员工行为管理，实际上是有力的提高企业的管理水平。

主持人: 您提到上一套监控也好、管理也好的这样一套系统，是可以起到管理的作用的，这也要结合企业的实际情况来看。

车建君: 对。合理的。

主持人: 这种合理应该从哪些因素考虑？

主持人: 作为企业的老板和技术主管应该从哪些角度来衡量我在什么时候、什么情况下需要逐步的去采用这样的方案？怎么判断？

车建君: OK，映射到企业组织的管理中我可以这样的解释，企业的感觉对员工来讲，如果我要上这套系统，做这件事情，进行控制的话，员工应该是有知晓的权利的。

主持人: 知情权。

车建君: 对。应该是事前通知，而不是事后知道，从法律上保护了监控和企业的网上员工行为管理是事先让员工知道的，保证了合理性。中国法律中规定了公民通信的自由，这是咱们都有的，基本的权利，但是从时政上来讲这种案例不好操作。

主持人: 也就是说，你有通信的自由，但是用公司的资源在上班时间进行这种私人通讯是否应该保护？
车建君: 这是你的通信自由，但是又影响到了他人的利益，这是互相牵扯的关系，从时政的角度来考虑，上网的监控，如果公司做到事前通知而且有书面的协议形式，让员工来签署，可以避免法律上的纠纷，这是可能确定的。

车建君: 事前要告诉员工我们要做这样一个事情，做这样的行为监控，我让员工知道并且签署这样的一个协议，这是可能避免的。

车建君: 这应该是第一条规则，企业要推行这样一个方案的时候，应该先做这样一个事情，再从管理的方面自上而下的上这样一套系统，包括IT部门、财务、人力资源等相关的部门，一起来讨论一下，我定什么样的规章制度，形成一种规范，怎么实施。是这么来做的。

主持人: 车博士是把企业在实施这套系统的时候要注意的问题讲了一下，侯先生是不是给大家介绍一下，以前在给企业实施这种方案的时候，企业有哪些顾虑？

主持人: 推行这种方案的时候哪些问题解决了？还有哪些问题你这边仍然没有拿到最合适的答案的？
侯俊峰: 一个公司在上一套监控系统的时候，肯定是遇到了一些问题，遇到了一些问题之后才会去上这套系统，否则就无所谓监控这个东西了，大部分我们遇到的是用BT下载一些东西，严重影响了其他正常的一些网络应用，这样他就要知道怎么样控制，不让员工使用BT的软件，另外公司员工上网的时候好多人都在办一些个人的事情，尤其是买股票的一些人，他可能用二三个小时的时间去看股票，另外就是即时通讯、聊天的东西，有可能利用聊天工具传一些文件，那么公司就不希望出现这种情况。

侯俊峰: 另外公司在做这件事情的时候，也是车博士提到的知情权的问题，员工在进入公司之前公司肯定要给你一系列的规章制度，告诉你不能做什么不能做什么，在事情结束之后才会告诉你来公司应该做什么。另外一点，公司认为你使用了公司的网络和资源，这就无所谓一个侵犯隐私的问题。

侯俊峰: 另外他们上了这套系统之后有以下几个好处，一个是他可以节省大量的带宽资源，举个很明显的例子，当你打开一个东西的时候，他的带宽是2M，你不打开就节省了2M的带宽，当然我们不仅仅是为了节省资源，而更多的是保证公司的正常有效的运行。

侯俊峰: 大多数员工在上网的时候也都是在正常的，也都是在打开网站看一下新闻，但是会无意中打开一些连接，有可能是“钓鱼”的，而监控软件会避免这种情况的发生，而且会避免一些法律纠纷。有时候我们在监控系统的时候会看到公司网络运行情况，当一旦出现法律纠纷的时候可以有效的查找或者避免。你做了监控软件，一些与法律有关的站点比如说反动站点是不允许上的，也可以避免法律问题的产生。最后一点就是提高了员工的工作效率，有效的利用公司的资源。

主持人: 今天来的网友看来很多是纯粹的技术人员，他们刚才从网上提出了很多很细的问题。侯经理也谈到了用监控系统管理员工进行BT下载、炒股和私人聊天。

主持人: 网友提出了几个细的问题，您能不能介绍一下用哪种技术或者哪种产品？到底能够监控哪些系统和软件？这套系统是怎么运行的？比如说我们使用的笔记本电脑，我不允许你在我笔记本上按软件，那还能不能实施，或者我想什么办法回家破解了，这个能不能正常的使用。

侯俊峰: 这个网友问得很技术性。如果说这个员工的笔记本电脑上装了一个软件，禁止网管员在上面装东西。公司如果上这种监控系统会有固定的网管做这个事情。就像我们公司，网管会把笔记本和台式机给你，上面已经装好了一定的软件，你的权限限制在一定范围之内。

侯俊峰: 刚才提到了，如果我把系统格式化了重新安装系统，这属于最极端的方法。你卸载了这个系统之后有可能不能应用公司的应用管理程序，会对你本身的工作有影响，你还要去找网管解决问题，那么网管也会对你的电脑进行一定的设置。

主持人: 也就是说，行政加技术的手段，使公司的电脑都可以符合公司的系统。

侯俊峰: 对。当然个人的笔记本就不可能由网管进行一些操作。