主持人：各位網友大家好，非常歡迎大家如期來到51CTO在線訪談。51CTO“在線訪談”系列活動已經舉辦了很多期，并取得的良好的效果。它逐漸成為廣大網友了解IT行業與技術的一個窗口。
今天我們有幸邀請到了，北京網康科技有限公司副總裁左英男先生，和用友軟件股份有限公司網絡主管王曉科先生做客51CTO，他們將為大家解答在企業互聯網接入管理和控制中碰到的實際問題。
左先生、王先生跟大家打個招呼吧。    
左英男：各位網友大家好！
王曉科：各位網友大家好！
主持人：許多朋友反映，管理和控制企業互聯網接入的安全問題，讓他們感到非常棘手。因此，我們今天就這個問題和朋友們進行深入探討。我們今天主要討論三個方面的問題：
一是企業互聯網接入管理和控制在企業安全管理中的地位和重要性。
二是企業互聯網接入管理和控制的常見問題與解決方案。
三是企業互聯網接入管理和控制的經驗總結。

如何解決員工上網控制問題？

網友有個提問，我覺得很有意思。就是說現在的老板都是擔心員工瞎上網，又擔心這種上網的行為里面有一些泄密的行為，可能觸犯一些隱私，有沒有兩全其美的解決方法？就是既讓員工可以上網不影響工作，又不會觸犯到員工的個人隱私。有沒有相關的管理方法或者所謂的解決方案？

左英男：這個問題我就發表一點看法。關于員工上網行為管理和控制和個人的隱私的問題一直是網上有很多的評論，也有很多事件出來。這個問題分兩方面來看：第一員工在企業工作，你在工作時間要去做你應該做的事情。在這種層面下有句俗話“不做虧心事，不怕鬼叫門”。你在為公司工作，在這個情況下，你不用擔心有很多其他的一些方面的東西被別人看到。
第二個層面來講，確實企業來講，很多企業給員工提供了一個比較寬松的工作。包括網康來講也是這樣的工作環境，我們也并不限制每個員工一點時間都不能干別的。在這個前提之下我們需要有一個技術手段和管理手段相配合，怎么樣既能夠主觀的控制，同時又能夠保持個人隱私。比如在我們的網康的技術里首先提供技術手段，幫助企業很好的管理員工上網行為，什么時間上的什么網站，發的什么郵件都可以記錄下來。同時我們有一個管理權限，這個權限非常細致。什么樣的管理員看到什么樣的信息，出什么樣的報表。這種前提下企業需要用我們的一些技術手段來保證和控制，同時制定相應的管理手段。
比如我可以規定什么樣級別的報表，只有總裁一個人看。比如說管理員可能只能看到什么樣的信息，什么樣的信息無論是公司任何人，在沒有法律條款的前提下都不會看，但是我可能會保持下來。同時從國外一些企業借鑒來看，比如員工在入職的時候公司和員工簽訂一份協議，告知員工為了企業的一些機密信息不能被泄露，企業可能也會采用這樣的手段，告知的義務應該由企業來承擔。通過種種管理的手段和相應的配合，來解決這個問題。目前大概我了解的是這些層面上的東西。

主持人：從左總的話中，我總結出兩點問題。第一個是隨著互聯網事業的發展，人們的工作、學習跟生活的方式在發生很大的變化。而且提高了工作效率，包括信息資源，得到最大程度的共享。第二個就是，同時我們也注意到互聯網迅速的發展，給企業帶來的許多網絡安全、信息安全問題。如果這個問題得不到很好的解決，那么肯定會阻礙企業的發展，以及信息化進程的發展。

在信息安全建設中，企業最容易忽視那些問題？

那么在企業網絡建設中，信息安全肯定是很重要的環節。針對于這個環節當中，企業最容易忽視哪些問題？左總能不能針給大家解答一下？

左英男：我覺得是這樣的。其實在企業關于信息的安全問題，或者網絡安全的問題談了很多年了。從前幾年來看，可以說三到五年的時間里，基本上企業對信息安全管理控制這方面的主要投入集中在防范的一個層面。防范來自外部各種各樣的攻擊，或者各種各樣的入侵。比如使用防火墻設備，防止外部的員工進入，防止黑客的入侵。比如用殺毒軟件、防火墻之類的東西防止外部的病毒攻擊。這是企業可能目前在安全方面做的最多的事情。
在一兩年前，安全問題不僅僅是來自外部，假如一個小公司來講，真正有多少人關注我，一定要入侵你的公司怎么樣，這種比例非常小。所以人們逐漸意識到安全問題很多源自內部，是企業內部員工或者有意、無意的出現一些安全的問題。這個也是討論了很久。
那么怎么解決這個問題？從技術手段上整個信息安全的圈子里面比較少，另外網康也是看準這樣一個機會，著重點是從企業的內部入手，主要通過加強企業內部的管理和控制，最終達到安全的目標。這樣一種概念提出來。同時也是希望幫助企業，使企業意識到這方面的內容，我們也通過技術手段幫助企業解決這方面的問題。這方面可能是企業比較容易忽視的。
比如就拿現在肆虐的病毒、蠕蟲、木馬等等，基本上它的傳播手段我可以說至少90%以上是來自互聯網。因為你個人的計算機漏洞，可能就把蠕蟲引進了自己的電腦。首先個人主機被感染病毒，然后又在局域網散布，這是個很嚴重的問題。

企業忽視信息安全問題，將會引發什么安全隱患？

主持人：像正常我們來談安全問題的時候，就像左總所說比較注意一些病毒防范、黑客攻擊。其實企業的網絡安全里面不僅僅包含這些方面，像你所說的一些信息安全、數據保護尤其重要，而恰恰大部分企業往往忽視這樣的問題。那么就引出來一個話題，上網失去控制，企業將會怎樣？請兩位分別來談一談。

王曉科：互聯網如果不加控制的話，因為我們工作也經歷過這種事情。剛才左總也說了，原來企業注重于互聯網和內網之間的邊界防范，像防火墻、用戶監測系統。現在好多病毒和木馬是侵入到網頁，通過外網的方式有一些惡意程序，或者流氓軟件，都是通過網頁形式來下載。如果不加以控制的話，第一塊員工正常的大量帶寬，企業花很多費用做帶寬，那么可能就保證不了安全，有些資源就會被員工所占用了，正常的工作就沒有辦法開展。這樣用戶就會感覺很慢，郵件也發不出去。
還有一點，如果不加以控制的話，好多惡意網站的病毒會入侵到企業里面。雖然很多企業已經裝了防病毒軟件，但是是以防范為主的，并不是以主動殺病毒為主的。好多是病毒出來以后，防病毒才會給予一些解決。所以在沒解決之前，企業可能就受到大規模的影響。另外一個，如果不加以控制，企業員工的工作效率和各方面，老板也會覺得工作效率受影響，覺得員工在上班時間上網炒股、看電影、聽MP3。因為我們畢竟是一個軟件開發企業，倡導的也是開放的環境，但是有些行為還是應該規范的，因為畢竟是在工作里面。當時來的時候也簽了一些知識產權保護協議，公司也規定上網行為管理，一些管理制度和規范。但是我們規范制度還是有相應的手段來控制，保證企業的正常運作。

主持人：其實從兩位剛才的談話中，可以看出對現實當中企業的安全問題是很嚴峻的。上網失去控制，將會引發企業很多的問題。其實這種問題可能很多的廠家、提供商已經開始關注了，并且提出了各種各樣的解決方法。有的從最初的安裝員工的一些監控軟件來硬性、強制的措施去控制員工上網行為。還有后來發展到允許用計時工具軟件結合到工作系統當中，實行一種懷柔的政策，目的還是想規范員工的上網行為。顯然這兩種方法都差強人意。
強制的做法可能有侵犯員工的隱私。懷柔的政策不能判定員工到底是工作了，還是在做私人的聊天或者其他的事情，沒有辦法判斷。那么怎么才能兩者兼備？既能治標也能治本。剛才左先生也談了，有一個整體的解決方案。

在信息安全建設中，企業最容易忽視那些問題？
企業忽視信息安全問題，將會引發什么安全隱患？
如何防止企業機密信息泄露？
用友公司是如何解決員工上網行為存在的安全隱患？
企業互聯網接入的具體應用有哪些？
怎樣實現對外發E-mail、BBS等行為的監控？
國外內容安全產品與國內產品相比，是否有優勢？區別在哪里？
內容安全控制產品的應用
互聯網內容安全管理產品如何面對日益增多的互聯網應用？
網康互聯網內容網關設備是怎樣定義管理規則的？
如何從信息安全角度評估企業互聯網接入是否安全？
企業員工對互聯網內容管理設備有何感受？
怎樣管理無線辦公用戶的上網行為？
忽視員工上網行為存在的安全隱患，千人企業年損失500萬