内网安全中有一项非常重要,但是也存在着一定争议的工作,那就是——行为审计。行为审计可以发现不少内网安全的“内鬼”,但“行为审计是否侵犯个人隐私”一直存在争论,如何用好审计功能也是企业和厂商都极为关注的一个课题。对此,e-works近期采访了知名业界专家、企业代表、厂商专家,集结三方专家与您一起探讨“信息防泄漏,如何用好行为审计?”。
审计,信息安全的晴雨表
把握住行为信息收集的度,控制好审计的范围和权限,便可以很大程度的避免一些审计带来的风险。审计只是一个工具,IT管理部门应该明确,审计的目的是为了安全,它让企业得以对内部的操作可视化,这样企业可以随时发现新的安全威胁、防护漏洞,不断调整防护策略,以应对不断涌现的技术所带来的威胁,实现最大限度的安全。三一重工股份有限公司研究总院信息化经理谭俊峰十分重视管理,这与三一重工研究院是三一内部核心数据部门有关。他们从企业审计系统的原则出发,制定了“把握全局、拿捏有度、主次分明、责任到位、统筹兼顾”的原则,并且在建立人力资源管理的制度时,就从宣贯公司的某些政策或制度出发,让员工知道信息保密性的要求,并且他们会经常对企业员工进行信息安全意识的培训。
总体来看,只要制定好规章制度,并将内网审计的概念灌输到企业的员工中,企业完全可以利用内网安全系统进行管理,这将对企业内网安全水平的提升起到极大的作用。青岛中集冷藏箱制造有限公司信息主任耿峰认为,没有行为审计的内网安全系统是不完善,行为审计可以有效的检测到威胁内网安全的因素,网络管理员可以通过该系统清除威胁,确保网络安全合规。谭俊峰也认为很多产品在企业部署完备后都能发挥一定的作用,但是怎么发挥长期的作用是每个企业必须思考的问题,(比如说漏洞扫描,它能发现很多问题,但是怎么样来处理,处理过程中与现有应用发生冲突怎么解决。在实际工作中发现信息安全漏洞,但是行政命令干预,我们怎么办),企业运用好审计系统需要把握全局、拿捏有度、主次分明、责任到位、统筹兼顾。
“隐私”无绝对
行为审计,是否会侵犯员工的隐私?这个问题曾经是业界讨论的热点。随着国人对“隐私”概念理解的逐步深入,这个问题已经明朗化。隐私的基本含义是:不愿告人或不愿公开的个人的私事。企业的内网是为了企业经营发展的需要而组建的,在企业内网上所作的行为属于单位事务,郑州三全食品股份有限公司CIO周清湘认为:从这个意义上说,员工没有“隐私”可言,而所谓“隐私”就是利用企业资源干自己的事。
虽然“隐私”的定义很明确,但是“行为审计”在实际操作中却仍然不断的引发争论。因为人毕竟不是机器,不可能在工作场所、工作时间内百分之百的不处理个人事务。因此,员工在内网中的行为总会含有涉及隐私的内容。武汉凡谷电子技术股份有限公司信息部经理朱烔哲就认为,“行为审计”的第一步就是行为收集,除非只将高危险行为识别出来并保留,否则必侵犯隐私。如果企业不顾实际情况,列出长长的违规操作人员清单,会弄得人人自危,员工阳奉阴违,反而得不偿失了。
实施审计需张弛有度
审计,涉及隐私,有法律风险;不审计,失去监管,有安全风险。这对矛盾该如何解决,怎样才能用好审计,让行为审计发挥出应有的作用呢?杭州汽轮机股份有限公司所长黄梁认为行为审计是安全方面必不可少的一项内容。不过进行审计的人员要有公司的正式授权,而且必须对其的职责要进行清晰的界定,还要有一定的行为规范来进行限制。信息安全专家李洋博士也认为:部署行为监控和行为审计类产品是企业合规的一个重要步骤,但行为审计并不一定要侵犯个人隐私,或者说不完全要侵犯个人隐私。只要严格限制审计者对原始数据的接触,就能比较好地做到尊重个人隐私。游侠安全网站长张百川则指出,关于审计与隐私的问题,在国际上也有争论。很多企业部署审计监控产品的时候,无论是主机审计监控还是网络审计监控,并没有和员工说明,这非常不合理;多数企业又控制不好审计员权限,审计员往往可以看全网人的隐私,这其实对企业存在很大的法律风险。
溢信科技产品总监黄凯明确指出,做好审计要从几方面考虑,一是要明确审计的范围,从安全角度来说是越全越好,但从合理性角度来说,不该审计的,就不应该去碰;二是对审计人员的权限有所限制。谁有审计权限,什么情况下审计,需要什么流程,都要有成文的规定,并且有必要对其审计行为进行再审计;三是要合理利用审计的来的信息,善于将得到的信息根据自己的需要做成高度可视化的报表,反映出关键的问题,为决策提供指导。
如此看来,审计与隐私之间并非不可调和,只要以恰当的“审计行为”来进行“行为审计”,是可以达到既保障信息安全又避免法律风险的目的的。
除了恰当的审计行为之外,企业履行告知义务也是非常重要的。黄凯认为,从实施的角度来说,最好做到告知义务,同时形成制度性。管理者也应该明确IT资产的公有属性,即组织为员工提供的IT设备,理论上只是为了员工能够完成其工作所必需的生产资料,因此在其计算机上所存储和使用的任何数据,都应该属于组织公有,把类似的条款写入制度,在员工入职时进行签署和培训,都有助于一旦法律纠纷发生时提供参考。张百川也认为,产品部署前,应当发布相关公告进行解释说明。
综上所述,e-works认为部署行为管理和行为审计类产品是合法的,也是必须的。通过行为审计,可以发现员工的异常行为、潜在的危险行为,起到防患于未然的效果。而且当泄密行为发生之后,审计系统也可以帮助企业快速查找到泄密者,及时挽回损失。但是,审计、行为监控系统必须慎用,这些系统权限很高,而且对于员工的感情和工作积极性存在影响,如果滥用可能引发严重后果。企业必须要严格控制监控的权限,对管理员的职责有清晰的界定,确保系统不被滥用。
Pingback 引用通告: 内网安全十年之辩专题 | 溢信的内网安全博客