內(nèi)網(wǎng)安全中有一項(xiàng)非常重要,但是也存在著一定爭議的工作,那就是——行為審計(jì)。行為審計(jì)可以發(fā)現(xiàn)不少內(nèi)網(wǎng)安全的“內(nèi)鬼”,但“行為審計(jì)是否侵犯個人隱私”一直存在爭論,如何用好審計(jì)功能也是企業(yè)和廠商都極為關(guān)注的一個課題。對此,知名業(yè)界專家、企業(yè)代表、廠商專家三方專家與您一起探討“信息防泄漏,如何用好行為審計(jì)?”。
審計(jì),信息安全的晴雨表
把握住行為信息收集的度,控制好審計(jì)的范圍和權(quán)限,便可以很大程度的避免一些審計(jì)帶來的風(fēng)險。審計(jì)只是一個工具,IT管理部門應(yīng)該明確,審計(jì)的目的是為了安全,它讓企業(yè)得以對內(nèi)部的操作可視化,這樣企業(yè)可以隨時發(fā)現(xiàn)新的安全威脅、防護(hù)漏洞,不斷調(diào)整防護(hù)策略,以應(yīng)對不斷涌現(xiàn)的技術(shù)所帶來的威脅,實(shí)現(xiàn)最大限度的安全。三一重工股份有限公司研究總院信息化經(jīng)理譚俊峰十分重視管理,這與三一重工研究院是三一內(nèi)部核心數(shù)據(jù)部門有關(guān)。他們從企業(yè)審計(jì)系統(tǒng)的原則出發(fā),制定了“把握全局、拿捏有度、主次分明、責(zé)任到位、統(tǒng)籌兼顧”的原則,并且在建立人力資源管理的制度時,就從宣貫公司的某些政策或制度出發(fā),讓員工知道信息保密性的要求,并且他們會經(jīng)常對企業(yè)員工進(jìn)行信息安全意識的培訓(xùn)。
總體來看,只要制定好規(guī)章制度,并將內(nèi)網(wǎng)審計(jì)的概念灌輸?shù)狡髽I(yè)的員工中,企業(yè)完全可以利用內(nèi)網(wǎng)安全系統(tǒng)進(jìn)行管理,這將對企業(yè)內(nèi)網(wǎng)安全水平的提升起到極大的作用。青島中集冷藏箱制造有限公司信息主任耿峰認(rèn)為,沒有行為審計(jì)的內(nèi)網(wǎng)安全系統(tǒng)是不完善,行為審計(jì)可以有效的檢測到威脅內(nèi)網(wǎng)安全的因素,網(wǎng)絡(luò)管理員可以通過該系統(tǒng)清除威脅,確保網(wǎng)絡(luò)安全合規(guī)。譚俊峰也認(rèn)為很多產(chǎn)品在企業(yè)部署完備后都能發(fā)揮一定的作用,但是怎么發(fā)揮長期的作用是每個企業(yè)必須思考的問題,(比如說漏洞掃描,它能發(fā)現(xiàn)很多問題,但是怎么樣來處理,處理過程中與現(xiàn)有應(yīng)用發(fā)生沖突怎么解決。在實(shí)際工作中發(fā)現(xiàn)信息安全漏洞,但是行政命令干預(yù),我們怎么辦),企業(yè)運(yùn)用好審計(jì)系統(tǒng)需要把握全局、拿捏有度、主次分明、責(zé)任到位、統(tǒng)籌兼顧。
“隱私”無絕對
行為審計(jì),是否會侵犯員工的隱私?這個問題曾經(jīng)是業(yè)界討論的熱點(diǎn)。隨著國人對“隱私”概念理解的逐步深入,這個問題已經(jīng)明朗化。隱私的基本含義是:不愿告人或不愿公開的個人的私事。企業(yè)的內(nèi)網(wǎng)是為了企業(yè)經(jīng)營發(fā)展的需要而組建的,在企業(yè)內(nèi)網(wǎng)上所作的行為屬于單位事務(wù),鄭州三全食品股份有限公司CIO周清湘認(rèn)為:從這個意義上說,員工沒有“隱私”可言,而所謂“隱私”就是利用企業(yè)資源干自己的事。
雖然“隱私”的定義很明確,但是“行為審計(jì)”在實(shí)際操作中卻仍然不斷的引發(fā)爭論。因?yàn)槿水吘共皇菣C(jī)器,不可能在工作場所、工作時間內(nèi)百分之百的不處理個人事務(wù)。因此,員工在內(nèi)網(wǎng)中的行為總會含有涉及隱私的內(nèi)容。武漢凡谷電子技術(shù)股份有限公司信息部經(jīng)理朱烔哲就認(rèn)為,“行為審計(jì)”的第一步就是行為收集,除非只將高危險行為識別出來并保留,否則必侵犯隱私。如果企業(yè)不顧實(shí)際情況,列出長長的違規(guī)操作人員清單,會弄得人人自危,員工陽奉陰違,反而得不償失了。
實(shí)施審計(jì)需張弛有度
審計(jì),涉及隱私,有法律風(fēng)險;不審計(jì),失去監(jiān)管,有安全風(fēng)險。這對矛盾該如何解決,怎樣才能用好審計(jì),讓行為審計(jì)發(fā)揮出應(yīng)有的作用呢?杭州汽輪機(jī)股份有限公司所長黃梁認(rèn)為行為審計(jì)是安全方面必不可少的一項(xiàng)內(nèi)容。不過進(jìn)行審計(jì)的人員要有公司的正式授權(quán),而且必須對其的職責(zé)要進(jìn)行清晰的界定,還要有一定的行為規(guī)范來進(jìn)行限制。信息安全專家李洋博士也認(rèn)為:部署行為監(jiān)控和行為審計(jì)類產(chǎn)品是企業(yè)合規(guī)的一個重要步驟,但行為審計(jì)并不一定要侵犯個人隱私,或者說不完全要侵犯個人隱私。只要嚴(yán)格限制審計(jì)者對原始數(shù)據(jù)的接觸,就能比較好地做到尊重個人隱私。游俠安全網(wǎng)站長張百川則指出,關(guān)于審計(jì)與隱私的問題,在國際上也有爭論。很多企業(yè)部署審計(jì)監(jiān)控產(chǎn)品的時候,無論是主機(jī)審計(jì)監(jiān)控還是網(wǎng)絡(luò)審計(jì)監(jiān)控,并沒有和員工說明,這非常不合理;多數(shù)企業(yè)又控制不好審計(jì)員權(quán)限,審計(jì)員往往可以看全網(wǎng)人的隱私,這其實(shí)對企業(yè)存在很大的法律風(fēng)險。
溢信科技產(chǎn)品總監(jiān)黃凱明確指出,做好審計(jì)要從幾方面考慮,一是要明確審計(jì)的范圍,從安全角度來說是越全越好,但從合理性角度來說,不該審計(jì)的,就不應(yīng)該去碰;二是對審計(jì)人員的權(quán)限有所限制。誰有審計(jì)權(quán)限,什么情況下審計(jì),需要什么流程,都要有成文的規(guī)定,并且有必要對其審計(jì)行為進(jìn)行再審計(jì);三是要合理利用審計(jì)的來的信息,善于將得到的信息根據(jù)自己的需要做成高度可視化的報(bào)表,反映出關(guān)鍵的問題,為決策提供指導(dǎo)。
如此看來,審計(jì)與隱私之間并非不可調(diào)和,只要以恰當(dāng)?shù)?ldquo;審計(jì)行為”來進(jìn)行“行為審計(jì)”,是可以達(dá)到既保障信息安全又避免法律風(fēng)險的目的的。
除了恰當(dāng)?shù)膶徲?jì)行為之外,企業(yè)履行告知義務(wù)也是非常重要的。黃凱認(rèn)為,從實(shí)施的角度來說,最好做到告知義務(wù),同時形成制度性。管理者也應(yīng)該明確IT資產(chǎn)的公有屬性,即組織為員工提供的IT設(shè)備,理論上只是為了員工能夠完成其工作所必需的生產(chǎn)資料,因此在其計(jì)算機(jī)上所存儲和使用的任何數(shù)據(jù),都應(yīng)該屬于組織公有,把類似的條款寫入制度,在員工入職時進(jìn)行簽署和培訓(xùn),都有助于一旦法律糾紛發(fā)生時提供參考。張百川也認(rèn)為,產(chǎn)品部署前,應(yīng)當(dāng)發(fā)布相關(guān)公告進(jìn)行解釋說明。
綜上所述,部署行為管理和行為審計(jì)類產(chǎn)品是合法的,也是必須的。通過行為審計(jì),可以發(fā)現(xiàn)員工的異常行為、潛在的危險行為,起到防患于未然的效果。而且當(dāng)泄密行為發(fā)生之后,審計(jì)系統(tǒng)也可以幫助企業(yè)快速查找到泄密者,及時挽回?fù)p失。但是,審計(jì)、行為監(jiān)控系統(tǒng)必須慎用,這些系統(tǒng)權(quán)限很高,而且對于員工的感情和工作積極性存在影響,如果濫用可能引發(fā)嚴(yán)重后果。企業(yè)必須要嚴(yán)格控制監(jiān)控的權(quán)限,對管理員的職責(zé)有清晰的界定,確保系統(tǒng)不被濫用。
內(nèi)網(wǎng)安全,重在審計(jì)。審計(jì)的目的是防止信息泄露,那么如何判斷一款信息防泄漏方案的好壞?請關(guān)注“內(nèi)網(wǎng)安全”十年之“辯”