网络已经不可避免的走入大家的工作和生活，但是，工作期间上网的问题，一直困扰着许多公司领导和网络管理者。那么，由此产生一些问题，员工上网到底该不该管？应该怎么管？怎样面对大家提出来的种种问题？

　　两位专家来一起讨论这个棘手的问题，他们是独立信息安全咨询顾问车建君博士和SurfControl公司资深技术支持经理侯俊峰先生。

      主持人: 好了，我们进入正题。一是当前的企业应用，有必要进行监控吗？二是如果要进行监控，那就意味着对员工隐私权的侵犯，这方面如何规避？有没有合适的既能实现恰当管理又能保护员工隐私的解决方案？当前已经从平台上征集了这样几个问题，首先想请问车博士，从宏观的角度讲，企业员工滥用网络资源的情况是不是很严重？是不是已经到了（有必要）监控的程度？

　　车建君: 从宏观来讲，IT基础设施蓬勃发展的情况下，企业内部互联网的应用，包括内部的应用和外部的应用和网络日记与日俱增的背景下，企业的内容监控是很多企业的管理层关心的问题。

　　车建君: 首先他们关心的是自己的安全，因为安全涉及到企业的利益和企业数据的保密性，和企业自身发展是直接相关的问题。另一方面，对员工本身来讲，企业希望员工高效的工作，希望对员工的行为有一定的了解，能够控制好自己的人力资源，因为员工的时间也属于人力资源，这种情况下，企业对内部的监控是越来越重视的。

　　车建君: 要说到一个必要性来讲，从目前看来，可能很多的企业只是在探索是不是要用一种方法和手段去完成企业内部的监控，如果说非常完美的方案和非常统一资方和企业员工利益的解决方案，从技术和管理手段来讲，可能还没有非常完美的方法，都是在进行摸索。

　　主持人: 也就是说，他们是很想做的。

　　车建君: 是的，企业很想做。

　　主持人: 刚才车博士提到企业想做有一个原因是安全性的问题，很多的网友不太理解，侯先生能不能和我们讲一讲，一般的员工发个邮件，MSN之类的，对企业的安全上到底有哪些问题？

　　侯俊峰: 其实从内网的安全问题上讲，应该分成几方面。有些人是无意中作为的安全问题，当然有些人是故意的泄漏或者是向对方提供自己公司的资料，或者是带来了对内网的隐患。目前比如说我们员工在进行互联网访问的时候，大部分员工都是在进行正常的访问，但是互联网上的内容太多了，多种多样，无意中可能会访问一些有害的站点，当这个员工的机器或者软件遭到攻击受到感染之后可能会对外网的某些服务器发送一些东西或者进行一些行为，对方起诉的是你公司的IP，作为公司不知情，员工也不知道，都是受害者，这就造成了公司网络不太安全的情况。但是也不排除某些公司的员工因为某些情况觉得有做的不是特别舒服，跳槽之类的，有可能将公司的资料泄漏给对方，当然这是少部分，也是通过比较隐藏的，FTP或者邮件、IM的方式透露给对方，目前网络上存在的一些隐患还是有的。有些公司想通过一些手段来增加对内网的管理和监控，这也是他们越来越急需考虑的问题。

　　主持人: 看来二位对企业监控应该说认为有需要，我想插一个问题，如果企业认为员工有意无意造成公司资料泄漏或者不安全隐患，有没有一些数字能够征兵当前的损失？

　　侯俊峰: 目前还没有非常明确的数值来统计安全问题造成的损失有多大，但是有很多案例，某保险公司因为员工泄漏内部的资料造成公司的损失可能占到30%到40%，但是非常详细的数据统计，比如说各个行业，就像中国的一些保密性比较强的行业，金融、海关、设计院，他们内容的制度已经非常非常严格，你想通过网络泄漏东西已经是做不到的。

　　主持人: 我真是想去谈这样的问题，从二位专家说的，企业有这种需求和意愿，但是如果要用网络手段或者说技术手段进行监控的话，确实是有很多负作用，有没有可能纯粹行政手段或者管理手段，比如说你要上IM，一个月就罚你200元，用这种手段是不是能够达到杜绝损失的可能性？

　　车建君: 就这个问题我来说两点自己的看法。我们强调行政的管理，行政干预，去做这个事情，可能我们面临的问题就是执行力度的问题，就是我不知道我的员工上网的状态和他们究竟有多少故意的泄漏，我完全不太清楚企业网络的行为的状态，首先对这个是不熟悉的。企业领导可以通过这种命令下达下去，在企业的各个角落，但是我不可能收集到这种状态和情报，所以没有真实的情况反映。

　　主持人: 也就是说，不能充分的检验到？

　　车建君: 对。可能他说他用了，他没有查到的就说没有用。用技术上辅助行政的手段这是企业做的比较多的方法，也就是说，规章制度加上技术方案，IT部门的监控的方案，这是现在企业做的比较多的，也是通行的方法，来进行内部的监管。

　　主持人: 如果按照单纯的行政来实现的话，下面的问题是当前是不是有一套可能能用的方法，车博士说很多企业找了半天发现真正切合企业的方案可能还不是很多，侯先生在这里有一定的实践经验，请侯先生给我们介绍一下以前有什么样的探索？

　　侯俊峰: 车博士说的很好，完全的行政手段干预可能达不到预期的效果，如果我们直接进行监控的话可能员工认为侵犯了自己的隐私。

　　侯俊峰: 站在不同的角度有不同的考虑，公司认为你占公司的网络，公司付你工资，你在工作期间发生的一些行为，让我看到都是应该的，没有个人隐私。但是相对学校或者是NTC的这样我付费的利用你的网络进行活动，那你就是侵权了。作为员工考虑，只要你看我了，那我就有一种被监视的感觉，肯定是很不满意的。

　　侯俊峰: 我们在时时监控的时候，一种是监视一种是控制，你控制居多监视居少，我们上一套监视器不可能有一个网管天天看你MSN里上什么东西，这是不可能的，基本上是以控制为主，就是我不让你访问哪些资源，比如说一些成人站点和反动站点，监视放在次要的位置。

　　侯俊峰: 另外通过企业内部对员工个人隐私必须要欧一种做法来消除员工的这种情绪，你可以隐藏员工的个人信息，员工在互联网访问的时候或者通过IP地址监管或者通过用户名称，我们在监控的时候通过一些手段来有效的隐藏用户的一些信息，比如说他的IP地址统一归纳成用户A、B、C、D，这样我看到的并不是每一个用户的详细信息而是统一命名规则的信息，当公司的网络出现问题或者产生某些法律问题之后，我可以通过某些权限来获得用户的详细资料，这是一种方法。

　　侯俊峰: 当然各个公司有各个不同的规章制度，所以说通过这种规则定制的严谨程度还是要指定的。