严格控制网络访问:严格控制陪餐人数

　　编辑按 　　 　　一根链条的牢固程度完全取决于最薄弱的那个环节。对于许多公司来说，信息安全的最薄弱环节往往就是对网络访问的管理。理想情况下，企业会有自动流程来分发网络访问权，且当员工离开企业时，该访问权会自动收回。但现实和理想总是相差甚远：不少企业的员工在被解雇的好几个星期后，仍拥有原来的访问权限，随时可访问公司的敏感系统；大多数企业员工可以在上班时间访问购物、拍卖和体育站点，甚至访问一些内容敏感的站点。
　　说是太过敏感也好，偏执狂也罢，或者干脆是过度小家子气也行，面对因网络访问管理薄弱而带来的种种安全问题，企业已经别无选择。那么该如何对访问内部网络和访问因特网进行有效管理，以业务需求和特定站点为基础赋予员工相应的访问权限？本栏目特选编了一组关于网络访问管理的文章，希望对用户有所帮助。
　　● 完善薄弱环节 ● 严格控制网络访问
　　为控制对未授权站点的访问，企业应以业务需求和特定站点为基础，赋予员工相应的访问权限。
　　说是太过敏感也好，偏执狂也罢，或者干脆是过度小家子气也行，但直接结果是，Balls食品连锁企业在堪萨斯城的28家Hen House和Price Chopper超级市场及药品商店向我们展示了企业网络的真正模型应该是怎样的。用户实际上并没有什么选择的余地。
　　
　　严格的政策
　　
　　最近在美国麻省的安全咨询公司Networks Unlimited做的一次审计中所提及Balls食品连锁企业的“非常网络使用”，就是一项控制网络使用的限制性政策，它以业务需求和特定站点为基础，赋予员工相应的互联网访问权限，并严格过滤进出的电子邮件。
　　严格到什么程度？举个例子，如果你发送出去的邮件中带有企业所禁止的附件的话，你的电子邮件权限将会被暂停一个星期。首席财务官Mike Beal坚决支持这项政策，他表示:“审计结果让我放下心来。”在使用情况审计方面经验丰富的Networks Unlimited公司总裁Harry Segal也表示：“这些结果简直是异乎寻常地好。”网络使用情况审计主要关注这四个方面：工作效率的损失、法律责任、带宽消耗和数据安全。
　　Balls食品连锁企业在所有这四个方面都做得很好。绝大多数企业网络用户无法访问购物、拍卖和体育站点，因此对工作效率的影响很小。类似的，无法访问内容敏感的站点可以将法律方面的风险降至最低，无法连接网络广播流和下载多媒体文件则保证了企业带宽。最后，严格的电子邮件过滤和Web下载限制则将间谍软件、特洛伊木马和病毒以及键盘记录软件挡在了门外，保证了敏感数据的安全。
　　“如果我们的网络政策很宽松的话，那问题就会糟糕得多。”Balls的网络系统管理员Lancer Fischer说道，“我们非常好地建立了政策和实践，每个有计算机的员工都了解地非常清楚并严格执行。”对Fischer来说，问题主要在于执行。
　　每次在用户登录进企业网络时，相关政策就会被重申一遍。作为登录过程的一部分，会弹出一个对话框，上面首先概括了企业网络政策，然后提醒用户“出于管理和安全方面的原因，系统的使用将会被监视和记录”。要想继续，用户必须同意并点击确认按钮。
　　为了确保对网络的全权控制，Balls的网络有一种“车轮”式配置，即公司总部作为轮心，各商店作为轮辐。所有数据流都要经由轮心，所有数据都存储在轮心。而收款机（POS）终端则由另一个企业部门所有，单独运行。
　　Balls食品连锁企业有近3000名员工和350台电脑，其28个商店中每个商店差不多有15名员工可以访问因特网，而总部具有因特网访问权限的员工差不多有100位。为了维护和保证尽可能严格的控制，只有把企业内联网设为网关后才能访问外部网络，这种方案使得Fischer的工作小组可以在防火墙上指定所允许访问站点的IP地址。
　　新闻、体育、娱乐和购物站点彻底被封禁。所允许的特定的站点包括像本地天气预报、高速公路交通报告、员工帮助程序、401（K）账户状态信息、药物筛选、应聘员工背景资料检索站点和其他与业务直接相关的站点如食品供应商和批发商网站等等。
　　“其他公司先是对员工访问因特网的权限不做任何限制，出了问题后才收回相应权限。”Fischer说道，“我们的态度是，不是他们工作内容所要求的权限一律不放。”
　　一个例外是药品商店的网络访问不受限制，因为药剂师需要访问各种网站研究调查处方药和非处方药之间潜在可能的交互作用。
　　也正是由于存在这个例外，审计的结果才并非百分之百地理想。“很快，我就发现员工使用这些机器登录Hotmail和其他Web站点。”Fischer说道。基于Web的个人邮件站点是Fischer关注的主要目标。“对于使用Hotmail或Yahoo，我们无法控制它们带入企业网络的东西。我们可以阻止多媒体文件，但很可能到了12月份，人们会收到一封附件为圣诞树的电子邮件，你可以用鼠标点击对圣诞树进行装饰，这看起来好像很正常，但结果却是它会在你计算机上安装键盘记录软件。”
　　这很糟糕。对于正在努力跟紧健康保险便利及责任法案（HIPAA）隐私要求的医药业计算机来说，键盘记录软件是潜在的可能触发相应法律条文的火种。“很明显，键盘记录软件违反了HIPPA。”Fischer说道。
　　
　　手中利器
　　
　　Balls食品连锁企业的系统使用的是Postini公司的名为周边管理器的抢占式电子邮件过滤服务。垃圾邮件出现的次数很快就降到几乎为零，不过Fischer尤其喜欢它那甚至能将病毒和SMTP攻击挡在企业网关以外的能力。
　　Postini的解决方案同样可以暂停员工发送电子邮件的权限。当扫描发送出去的电子邮件时，Fischer注意到邮件中带有未经许可的附件，而此类附件是不可能穿过有Postini产品保护的企业电子邮件系统而从外部进入企业网络的。调查表明其来源于个人Hotmail账号，员工访问该邮件后再通过企业的Microsoft Exchange服务器将内容转发出去。
　　“我们暂停了某位员工的邮件账号五天时间。”Fischer说道，“失去发送合法邮件权利的滋味可不太好受。”可能手段有点严厉，不过员工从此可就不敢再犯了。
　　
　　审计结果良好
　　
　　为了定量测量用户网络活动情况，Networks Unlimited在一台服务器上安装了Websense并被配置成自身不进行任何过滤动作的被动登录工具。Segal派遣一名工程师到堪萨斯城，在企业内安装这台服务器。
　　接下来是连续11天对一组典型的医药工作小组和总部电脑的网络活动情况进行记录。然后服务器被运回Networks Unlimited进行分析。数据提取出来后，以11天的数据推断整年的情况，审计期间每个小时所记录的网络活动情况代表一年中的33个小时，在整合编辑出结果后，Segal亲自乘飞机到Balls的总部汇报他们的发现结果。
　　以年度数据为基础的结果表明，和其他同样由Networks Unlimited所审计的类似规模的企业相比，Balls的员工的网络行为要好得多。
　　Balls的职员每年花费686个小时浏览基于Web的邮件，作为对比，中等大小的医药中心则浪费了1477个小时，而类似规模的律师事务所的员工则浪费了6525个小时。
　　对律师事务所的记录结果表明他们还经常访问**站点，并且这种活动一到午饭时间和下午六点以后就迅速消失。Segal认为只有一种解释：“他们在工作时间访问这些站点。”在律师事务所，下载的流媒体最主要的来源是espn.com，从另一家律师事务所的审计结果则发现，对成人网站有几乎相同的网络使用时间模式。结论就是，员工在应该工作的时间上网冲浪，而且很少占用午饭时间。
　　报告显示在Balls没有出现网络广播流媒体的下载，而对于律师事务所，一个星期的审计结果就发现超过3G的流媒体内容。这种与工作无关的网络活动一年下来要浪费超过156G的带宽。
　　在Balls食品连锁企业中，员工每年共花费429小时用于访问个人购物站点。作为对比，医药中心的员工则花费了超过2073个小时。
　　“毫无疑问，由于Balls采用了严格的限制性政策，它保障并维护了其控制能力，保护了企业网络、数据和企业自身。”Segal说道。
　　通过在过去两年中所进行的许多审计，Networks Unlimited发现，个人网络使用活动的模式有很大的变化。以Napster下载服务为代表的点对点的网络活动稳步下降，而即时消息的使用则急速上升。对成人网站的访问基本保持平稳。
　　
　　逐步放宽访问范围
　　
　　除施行了限制性政策来禁止访问和工作不相关的站点外，Balls食品连锁企业正准备着手安装部属一套企业范围的Websense安全和过滤平台。而部属这套平台的目的则与传统的思维恰恰相反，当然，你应该不会感到奇怪。Fischer对Websense的作用有另外一种看法，他说道:“多数企业使用Websense来限制员工的网络活动，而我们的做法则恰恰相反，我认为它可以用于逐步放宽员工的网络访问范围。”
　　Fischer很现实地意识到，Balls的政策，即以每个员工和每个站点为基础赋予访问权限，这种做法是无法适用于具有数千员工的大型企业的。
　　Fischer认为：“这些企业必须做的是，切实施行它们的网络使用政策，禁止访问所有可能浪费企业资源或危及企业网络的数据和站点。”（译自美国《CSO》杂志）