最新报道指出，自由的网络带来了高效和便捷，但随之而来的也有威胁和隐患。企业需要一位明察秋毫的网络警察来为自己守门把关。

　　在互联网发展的早期，要想保护企业免受不合时宜的网络内容骚扰，方法非常简单：屏蔽那些员工不该在工作时间或用公司设备访问的网站就行了。但根据谷歌公司（Google）的统计，如今网络上的网址数量已超过1万亿，这种老办法显然不再可行，而员工们浏览不体面的网站所造成的潜在负面影响却与日俱增。

　　为企业准备的网页过滤（Web filtering）技术已经取得了长足进步，其功能更为复杂多样，决不只是能阻止色情网站或ESPN体育网站而已。

　　目前，很多服务商，如互联网服务供应商（Internet service providers，ISP）、第三方应用软件供应商以及主要的安全设备供应商等，都提供了一系列监控员工如何使用公司网络的工具。与此同时，企业的人力资源和IT部门在限制员工网络活动方面也变得更加老练。

　　基本上每个企业的员工手册里，都包括了公司制定的互联网使用政策。目前很多企业的政策都趋于开明，它们把适当的个人网上冲浪看作是使用网络的自然结果，就像员工在工作时间去看牙医一样，上网冲浪是员工个人自由的某种体现。企业权衡利弊，认为既然高速网络极大地提高了生产率，员工上网开点小差也可以不予深究。

　　不幸的是，在企业容忍度提高的同时，在线威胁却愈演愈烈，员工会有意或无意地传播企业专有信息（proprietary information）。此外，恶意软件甚至用不着员工访问色情网站就能以某种方式入侵企业网络。开发网络风险管理软件的Websense公司估计，目前多达75%的恶意软件来自于规范的高流量知名网站。

　　有限的信任

　　今天企业面临的主要问题不是员工在体育、赌博或成人网站上浪费了多少时间，而是员工开小差上网时不知不觉打开了多少关键系统的后门。

　　在这个问题上，企业和员工之间存在某种微妙的博弈。大多数企业相信员工在网上行为端正，但很少有企业愿意把选择权完全留在员工手中，这便给网页过滤服务商创造了繁荣的市场。这些厂商过去曾专注于收集不当网站的类别和网址，如今它们将范围更广的信息风险管理工具卖给企业，帮助它们与棘手的在线威胁作斗争。各大安全厂商也不甘示弱地进行收购并开发新产品线，将重点从防火墙和入侵检测系统，转移到了如安全问题专家理查德?斯蒂农（Richard Stiennon）所说的“整体安全性”（holistic security）。

　　在监控员工使用网络的问题上，过去许多提供物理链接的ISP大都采取事不关己高高挂起的做法。但经过一系列有争议的法律纠纷之后，许多ISP做出了让步，转而支持企业执行认可使用（acceptable-use）政策。

　　在企业越发重视限制员工网络活动所造成的风险时，ISP正受到其他方面的压力，它们得找出并汇报客户的非法行为（尤其是那些贩卖儿童色情制品的客户）。纽约州总检察长安德鲁?库默（Andrew Cuomo）大声疾呼，要求ISP提高警觉防止不法分子滥用网络，利用儿童牟利。儿童保护团体的统计数据显示，色情网站流量的70%发生在工作日。

　　2006年12月生效的安全法（Safe Act）规定，如果ISP发现自己的网络上有儿童色情内容却知情不报，那将作为重罪论处，每例处以30万美元的罚款。然而，由于惧怕违反宪法第一修正案（First Amendment）而陷入有关言论自由的诉纠纷中，许多ISP都不想惹祸上身，因而不愿充当网络交警。

　　3年前，联邦调查局（FBI）停止使用名为“食肉动物”（Carnivore）的数据包嗅探技术。这种软件原本安装在ISP处，用来监测犯罪嫌疑人的网络流量。由于公民自由论者对这种行为进行了大肆抨击，FBI只得放弃使用这一软件。如今FBI使用的都是普通的商用软件，它们并不依赖基于ISP的设备。

　　不过，某些ISP仍然向企业客户提供监测服务，当然这依旧是个敏感的话题，比如美国电话电报公司（AT＆T）的商用互联网服务部门就多次拒绝了关于此主题的采访请求。

　　其他ISP则没有那么守口如瓶。随着自身消费者业务的逐步商品化，ISP想通过提供高附加值、高价位的企业服务来牟利。这些服务不可避免地包括五花八门的安全和风险管理服务，有时也会涵盖网络活动监测。

　　威力众公司（Verizon）就增加了利润丰厚的咨询服务，在涉及到员工非法网络活动的安全风险问题上为企业出谋划策。该公司风险管理主管乔纳森?阮德（Jonathan Nguyen-Duy）说，要想在Facebook/Youtube/Web 2.0时代实现高水准的网络安全，对企业和ISP来说都是件很具挑战性的任务。

　　“要想在企业内整齐划一地推行认可使用标准是很难的，对于那些分支机构遍布全球的大型企业来说尤其如此。”阮德表示，“这给服务供应商出了个难题。”

　　阮德说，威力众公司通过让企业客户采用“系统化的风险管理方法”解决了问题。他指出，公司不会充当网络交警，但它将协助客户推行认可使用政策。他补充道：“我们为客户提供的工具能进行细致入微的管理权限设置，还能生成详尽的报表。”

　　威力众公司还提供咨询服务，包括推荐或捆绑销售第三方供应商的设备和服务，比如Websense公司的网络活动监测工具，MessageLabs公司的电子邮件安全工具以及思科公司（Cisco）的IronPort防入侵设备等。阮德建议客户签署为期90天的咨询合同，在此期间客户可以接受网络状态评估，了解网络中的流量类型以及员工们使用的应用程序、访问的网站和需要受到保护的企业信息等。“客户浏览了数据识别和分类流程之后，有时会有惊人的发现：有些数据库和应用程序在公司的网络上运行，但以前却无人知晓。”他说。

　　评估报告完成之后，威力众公司的咨询顾问将为客户度身打造一套工具，其中可能包括深度数据包检测（deep packet inspection，DPI）。这是一种实时网络过滤技术，不仅能检查数据，还能在每个IP数据包通过系统时检查数据包的头信息（header）。它将入侵检测及防御系统与传统的状态性防火墙有机结合起来，可以标记出明显的恶意代码，并在数据包层级检查网站流量是否符合企业的认可使用政策。阮德说：“企业面临的是多层次的威胁，所以兵来将挡水来土掩，我们建议的解决方案也是多功能的组合。”

　　这种工具组合通常包含杀毒软件以及由软件或设备驱动、能深入数据包层级进行内容检测和过滤的恶意软件防御程序。

　　斯普林特公司（Sprint）企业部门的做法与威力众公司类似。该公司几年前开始向企业客户提供代管服务，将传统ISP的角色与高水准的网络优化及安全工具组合到一起，其中有些工具基于公司自行开发的技术，另一些则利用了第三方应用程序或设备。然而，斯普林特公司也不愿充当网络交警：它向客户提供工具包（有时捆绑其他供应商的工具），但不进行任何监控活动。

　　该公司企业部门产品开发高级经理史蒂夫?帕洛特（Steve Parrott）说，目前的趋势是融合了语音、视频、音频和数据的全IP网络，因此对斯普林特公司这样的大型商业ISP来说，提供上述服务至关重要。帕洛特说，这些服务的设计和交付一般是由系统集成商来完成，“但当你转向单一平台时，就不能通过多个供应商满足那些需求。”

　　今年10月，斯普林特公司宣布推出SprintSecure代管安全和优化产品，该产品既有企业内部安装版，也有云服务托管运行版，其功能包括网页过滤、防病毒扫描、对网络应用软件（包括点对点系统）的控制以及对员工即时通讯的监测。企业内部安装版利用的是步立康系统公司（Blue Coat Systems）的ProxySG设备和WebFilter软件；云服务托管版本则用的是ScanSafe公司的软件。

　　斯普林特公司的代管安全产品经理约翰?艾森巴格（John Eisenbarger）说，企业使用由ISP收集整理的服务，其好处在于这些服务与网络紧密整合而非浮于表面，斯普林特公司可以在同一个平台追加广域网加速（WAN acceleration）等功能。艾森巴格表示，这种做法使该公司的网络保护系统可以在网页内容被优化、加速并准备提交给用户前，扫描是否存在令人讨厌的内容和恶意软件威胁；而在多供应商的环境中，它们在过滤前会先加速所有的网络流量，这会加大内容优化及交付的难度。

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。