这个界限往往不是很明显。你必须保证新型的病毒不会侵犯到你们的网络,而同时,还要保证从公司网络前门进入的订单不会受到影响。
我们现在有很多新的工具可以帮助减少威胁,包括防病毒、反垃圾邮件、防网络钓鱼、入侵防护以及入侵检测等。甚至还有一些工具可以帮助保证员工的生产力,确保员工不会在网上冲浪,或因此而带进病毒,这些工具包括URL过滤器、网页阻拦、策略管理器等。
但这些解决方案最大的问题是你无法确定什么时候安全程度就已经足够了,而什么时候又是安全防护过了头。“过头”的安全也会妨碍业务。我记得在我以前的公司,我们安装了一个强大的反垃圾邮件产品,但是我们经常在每个季度的最后一个星期又不得不把这个软件关闭,以确保不会把最后一分钟进入的订单判断为垃圾邮件,因为这样会影响我们那个季度的销售额。员工不得不再忍受一个星期的垃圾邮件的侵入,但公司必须保证那个季度能够获得应该获得的所有收入。
那么,如何解决这个安全的两难境地呢?
每个企业对安全程度的要求都是根据各自企业的特点、业务流程以及对策略特殊需求及接受程度而有所不同的。但是,作为管理员,你需要了解你的网络什么时候发生了什么事情,是谁或者是什么事物引起的,然后能够保障以后不再发生同样的事情。最低限度,我们知道我们想阻止所有的已知病毒和恶意软件,而且根据自己企业的策略,阻止那些降低我们生产力的网站(比如购物网站、成人网站、新闻网站等)。我们希望员工了解在办公室有一个“可接受范围内的”针对上网的使用策略。
你一旦确定了针对员工的策略,那么你就要确保能够把这个策略传达到每个人(保证每个人都了解策略的内容);然后,强化这个策略;最后对策略进行审核,看是否有效。让每个人都知道策略是什么并非易事,只把策略张贴出来并不能保证每个人会去看。在员工第一次上网的时候弹出网络使用策略的醒目页面可能是最可靠的方法,之后你就能提供有关哪些员工已阅读了策略并同意策略的定期报告。这样就保证了用户的确阅读了策略,而且他们必须点击同意策略,才能够再继续在网上冲浪。
创建一个可以接受的使用页面最困难的部分是你需要实施认证,并要求最终用户对使用网络进行认证。这是一个无条件的要求,因为如果没有这个要求,责任感的建立以及在安全事件发生后的取证能力将非常困难,某些情况下则根本不可能。与你现存的认证系统进行整合是最理想的,而且避免了在管理密码和用户名时与用户的争吵。
策略实施另外一个重要部分(除了认证)当然就是策略的执行了。策略执行必须要灵活,应该允许特例(CEO是否可以获得浏览所有网页的权力,而其他员工却只能浏览批准的网站),但是还要完整,包含策略所要求的各种情景(比如,在午餐时间和下班时间允许浏览所有网页,但上班时间阻止相关网站)。你可能还希望实施一些其它的策略,包括允许或禁止使用即时通讯,或者即使你允许使用即时通讯,但不希望通过即时通讯进行文件发送。其它的例子包括允许一些类型的网站(比如,旅游或者社交网络),但是禁止一些特定类型的内容(比如,可执行内容或者这些网站的图片等)。每个企业都有自己的策略,确定并实施符合自己企业的策略非常重要。
你所选择用于实施你的安全方案的安全设备应该具有灵活性,能够与你安装的认证机制相兼容,使用户在第一次使用时显示可以接受的使用策略的醒目页面;而且还要灵活和完整,使你能够实施你的策略,最终能够获得内容更为丰富的记录和报告(这样,你的责任也就完整了)。
