陳佳新
但是現在,根據 Google 的資料顯示,大概已經有 1 兆個網址,顯然要阻擋所有不適宜網站是不太可行的,儘管看起來員工耗費在網頁上頭的時間已經有點太超過了。況且危險又不僅只於來自那些可疑網站。
結論就是:提供給企業使用的網頁過濾服務變得越來越複雜與強健,而不再只是像阻擋色情網站和 ESPN 那樣單純了。
好消息是,許多公司(舉凡網際網路服務提供商,到第三方應用軟體供應商,乃至主要的安全團隊)現在都開始提供大量的工具,以協助監視和規範員工使用公司網路的方式。同時,HR 和 IT 部門也都學會了如何限制員工的網頁瀏覽活動。
很少有公司不會在其員工手冊裡面寫到某種形式的網際網路可接受使用規範。許多企業現在的態度已經轉變成將某種程度的個人網頁瀏覽行為,視為存取網頁的自然結果以及個人自由,就像在上班時間去看牙醫一樣。這些公司很樂意用這些小小的甜頭,來換取高速存取網頁的生產力優勢。
可惜的是,隨著公司的容忍度提高,竟導致線上威脅叢生,從惡意或蓄意散佈專利資訊,乃至不需要瀏覽色情網站就會被滲透到公司網路裡面的惡意軟體。網頁風險管理公司 Websense 估計,現在有高達 75% 的惡意軟體都來自於聲譽好、流量高的知名網站。
不能盡信員工
今日已不再需要關心員工浪費在運動、賭博或成人網站的時間有多少,反而應該更加留意他們在網路上閒逛時到底不經意開啟了多少道通往關鍵系統的大門。
結果就是公司必須與其員工大玩「原則上相信,但是有待驗證」的誠信遊戲。大部分的公司都相信其員工在線上所做的是正確無害的事情;同時,又不樂於將決定權全部交到員工的手裡。這種情況形同為前面提到過的網頁過濾供應商們開創了龐大的需求市場,從過去關注的收集分類清單與禁止網站 URL,茁壯為更廣闊的資訊風險管理工具市場,以便協助企業與更複雜的線上威脅奮戰。此外這股趨勢也導致了在主要的安全供應商之間引發新一波的併購風與誕生新的產品線,從防火牆和入侵偵測的基本防護,轉變成安全專家 Richard Stiennon(部落格 ThreatChaos 的作者)所稱的「全面安全」(holistic security) 。
除此之外,許多提供實體連線以通往不受控制之地網頁的 ISP,都不太監視和規範其員工的上網活動。在一系列激烈的法律爭論之後,他們大部分都同意實施可接受使用方針 (Acceptable-Use Policy, AUP) 。
每次當 ISP 也受到壓力必須查出並且提供關於其客戶非法行為(尤其是兒童色情交易)的報告時,控制員工瀏覽網頁所帶來的風險就會一再地被提起與強調。美國紐約州檢察總長 Andrew Cuomo 已將此作為其個人聖戰,央求 ISP 更加警惕他們的網路如何剝削兒童。兒童保護團體的統計數據指出,高達 70% 的各種網路色情流量是發生在一般上班日時段。
在 2006 年 12 月簽署為法律的安全法案將使一旦發現其網路上有兒童色情卻未通報的 ISP 被判處重罪,並且針對每起案例科以高達 30 萬美元的罰金。然而許多擔心美國憲法第一修正案和言論自由訴訟的 ISP,並不想讓自己成為網頁流量警察 (Web traffic cop) 。
……未完(更多內容請參閱網路資訊雜誌 2009 年 10 月號 215 期)