內網安全中有一項非常重要，但是也存在著一定爭議的工作，那就是——行為審計。行為審計可以發現不少內網安全的“內鬼”，但“行為審計是否侵犯個人隱私”一直存在爭論，如何用好審計功能也是企業和廠商都極為關注的一個課題。對此，知名業界專家、企業代表、廠商專家三方專家與您一起探討“信息防泄漏，如何用好行為審計？”。

審計，信息安全的晴雨表

把握住行為信息收集的度，控制好審計的范圍和權限，便可以很大程度的避免一些審計帶來的風險。審計只是一個工具，IT管理部門應該明確，審計的目的是為了安全，它讓企業得以對內部的操作可視化，這樣企業可以隨時發現新的安全威脅、防護漏洞，不斷調整防護策略，以應對不斷涌現的技術所帶來的威脅，實現最大限度的安全。三一重工股份有限公司研究總院信息化經理譚俊峰十分重視管理，這與三一重工研究院是三一內部核心數據部門有關。他們從企業審計系統的原則出發，制定了“把握全局、拿捏有度、主次分明、責任到位、統籌兼顧”的原則，并且在建立人力資源管理的制度時，就從宣貫公司的某些政策或制度出發，讓員工知道信息保密性的要求，并且他們會經常對企業員工進行信息安全意識的培訓。

總體來看，只要制定好規章制度，并將內網審計的概念灌輸到企業的員工中，企業完全可以利用內網安全系統進行管理，這將對企業內網安全水平的提升起到極大的作用。青島中集冷藏箱制造有限公司信息主任耿峰認為，沒有行為審計的內網安全系統是不完善，行為審計可以有效的檢測到威脅內網安全的因素，網絡管理員可以通過該系統清除威脅，確保網絡安全合規。譚俊峰也認為很多產品在企業部署完備后都能發揮一定的作用，但是怎么發揮長期的作用是每個企業必須思考的問題，（比如說漏洞掃描，它能發現很多問題，但是怎么樣來處理，處理過程中與現有應用發生沖突怎么解決。在實際工作中發現信息安全漏洞，但是行政命令干預，我們怎么辦），企業運用好審計系統需要把握全局、拿捏有度、主次分明、責任到位、統籌兼顧。

“隱私”無絕對

行為審計，是否會侵犯員工的隱私？這個問題曾經是業界討論的熱點。隨著國人對“隱私”概念理解的逐步深入，這個問題已經明朗化。隱私的基本含義是：不愿告人或不愿公開的個人的私事。企業的內網是為了企業經營發展的需要而組建的，在企業內網上所作的行為屬于單位事務，鄭州三全食品股份有限公司CIO周清湘認為：從這個意義上說，員工沒有“隱私”可言，而所謂“隱私”就是利用企業資源干自己的事。

雖然“隱私”的定義很明確，但是“行為審計”在實際操作中卻仍然不斷的引發爭論。因為人畢竟不是機器，不可能在工作場所、工作時間內百分之百的不處理個人事務。因此，員工在內網中的行為總會含有涉及隱私的內容。武漢凡谷電子技術股份有限公司信息部經理朱烔哲就認為，“行為審計”的第一步就是行為收集，除非只將高危險行為識別出來并保留，否則必侵犯隱私。如果企業不顧實際情況，列出長長的違規操作人員清單，會弄得人人自危，員工陽奉陰違，反而得不償失了。

實施審計需張弛有度

審計，涉及隱私，有法律風險；不審計，失去監管，有安全風險。這對矛盾該如何解決，怎樣才能用好審計，讓行為審計發揮出應有的作用呢？杭州汽輪機股份有限公司所長黃梁認為行為審計是安全方面必不可少的一項內容。不過進行審計的人員要有公司的正式授權，而且必須對其的職責要進行清晰的界定，還要有一定的行為規范來進行限制。信息安全專家李洋博士也認為：部署行為監控和行為審計類產品是企業合規的一個重要步驟，但行為審計并不一定要侵犯個人隱私，或者說不完全要侵犯個人隱私。只要嚴格限制審計者對原始數據的接觸，就能比較好地做到尊重個人隱私。游俠安全網站長張百川則指出，關于審計與隱私的問題，在國際上也有爭論。很多企業部署審計監控產品的時候，無論是主機審計監控還是網絡審計監控，并沒有和員工說明，這非常不合理；多數企業又控制不好審計員權限，審計員往往可以看全網人的隱私，這其實對企業存在很大的法律風險。

溢信科技產品總監黃凱明確指出，做好審計要從幾方面考慮，一是要明確審計的范圍，從安全角度來說是越全越好，但從合理性角度來說，不該審計的，就不應該去碰；二是對審計人員的權限有所限制。誰有審計權限，什么情況下審計，需要什么流程，都要有成文的規定，并且有必要對其審計行為進行再審計；三是要合理利用審計的來的信息，善于將得到的信息根據自己的需要做成高度可視化的報表，反映出關鍵的問題，為決策提供指導。

如此看來，審計與隱私之間并非不可調和，只要以恰當的“審計行為”來進行“行為審計”，是可以達到既保障信息安全又避免法律風險的目的的。

除了恰當的審計行為之外，企業履行告知義務也是非常重要的。黃凱認為，從實施的角度來說，最好做到告知義務，同時形成制度性。管理者也應該明確IT資產的公有屬性，即組織為員工提供的IT設備，理論上只是為了員工能夠完成其工作所必需的生產資料，因此在其計算機上所存儲和使用的任何數據，都應該屬于組織公有，把類似的條款寫入制度，在員工入職時進行簽署和培訓，都有助于一旦法律糾紛發生時提供參考。張百川也認為，產品部署前，應當發布相關公告進行解釋說明。

綜上所述，部署行為管理和行為審計類產品是合法的，也是必須的。通過行為審計，可以發現員工的異常行為、潛在的危險行為，起到防患于未然的效果。而且當泄密行為發生之后，審計系統也可以幫助企業快速查找到泄密者，及時挽回損失。但是，審計、行為監控系統必須慎用，這些系統權限很高，而且對于員工的感情和工作積極性存在影響，如果濫用可能引發嚴重后果。企業必須要嚴格控制監控的權限，對管理員的職責有清晰的界定，確保系統不被濫用。