張弛有度的審計信息安全的晴雨表

2014-11-08 22:36:55 大云網(wǎng)　點擊量：評論 (0)

　審計只是一個工具，IT管理部門應該明確，審計的目的是為了安全，它讓企業(yè)得以對內(nèi)部的操作可視化，這樣企業(yè)可以隨時發(fā)現(xiàn)新的安全威脅、防護漏洞，不斷調(diào)整防護策略，以應對不斷涌現(xiàn)的技術(shù)所帶來的威脅，實現(xiàn)最

　審計只是一個工具，IT管理部門應該明確，審計的目的是為了安全，它讓企業(yè)得以對內(nèi)部的操作可視化，這樣企業(yè)可以隨時發(fā)現(xiàn)新的安全威脅、防護漏洞，不斷調(diào)整防護策略，以應對不斷涌現(xiàn)的技術(shù)所帶來的威脅，實現(xiàn)最大限度的安全。三一重工股份有限公司研究總院信息化經(jīng)理譚俊峰十分重視管理，這與三一重工研究院是三一內(nèi)部核心數(shù)據(jù)部門有關(guān)。他們從企業(yè)審計系統(tǒng)的原則出發(fā)，制定了“把握全局、拿捏有度、主次分明、責任到位、統(tǒng)籌兼顧”的原則，并且在建立人力資源管理的制度時，就從宣貫公司的某些政策或制度出發(fā)，讓員工知道信息保密性的要求，并且他們會經(jīng)常對企業(yè)員工進行信息安全意識的培訓。

　　總體來看，只要制定好規(guī)章制度，并將內(nèi)網(wǎng)審計的概念灌輸?shù)狡髽I(yè)的員工中，企業(yè)完全可以利用內(nèi)網(wǎng)安全系統(tǒng)進行管理，這將對企業(yè)內(nèi)網(wǎng)安全水平的提升起到極大的作用。青島中集冷藏箱制造有限公司信息主任耿峰認為，沒有行為審計的內(nèi)網(wǎng)安全系統(tǒng)是不完善，行為審計可以有效的檢測到威脅內(nèi)網(wǎng)安全的因素，網(wǎng)絡管理員可以通過該系統(tǒng)清除威脅，確保網(wǎng)絡安全合規(guī)。譚俊峰也認為很多產(chǎn)品在企業(yè)部署完備后都能發(fā)揮一定的作用，但是怎么發(fā)揮長期的作用是每個企業(yè)必須思考的問題，(比如說漏洞掃描，它能發(fā)現(xiàn)很多問題，但是怎么樣來處理，處理過程中與現(xiàn)有應用發(fā)生沖突怎么解決。在實際工作中發(fā)現(xiàn)信息安全漏洞，但是行政命令干預，我們怎么辦)，企業(yè)運用好審計系統(tǒng)需要把握全局、拿捏有度、主次分明、責任到位、統(tǒng)籌兼顧。

　　“隱私”無絕對

　　行為審計，是否會侵犯員工的隱私?這個問題曾經(jīng)是業(yè)界討論的熱點。隨著國人對“隱私”概念理解的逐步深入，這個問題已經(jīng)明朗化。隱私的基本含義是：不愿告人或不愿公開的個人的私事。企業(yè)的內(nèi)網(wǎng)是為了企業(yè)經(jīng)營發(fā)展的需要而組建的，在企業(yè)內(nèi)網(wǎng)上所作的行為屬于單位事務，鄭州三全食品股份有限公司CIO周清湘認為：從這個意義上說，員工沒有“隱私”可言，而所謂“隱私”就是利用企業(yè)資源干自己的事。

　　雖然“隱私”的定義很明確，但是“行為審計”在實際操作中卻仍然不斷的引發(fā)爭論。因為人畢竟不是機器，不可能在工作場所、工作時間內(nèi)百分之百的不處理個人事務。因此，員工在內(nèi)網(wǎng)中的行為總會含有涉及隱私的內(nèi)容。武漢凡谷電子技術(shù)股份有限公司信息部經(jīng)理朱烔哲就認為，“行為審計”的第一步就是行為收集，除非只將高危險行為識別出來并保留，否則必侵犯隱私。如果企業(yè)不顧實際情況，列出長長的違規(guī)操作人員清單，會弄得人人自危，員工陽奉陰違，反而得不償失了。

　　實施審計需張弛有度

　　審計，涉及隱私，有法律風險;不審計，失去監(jiān)管，有安全風險。這對矛盾該如何解決，怎樣才能用好審計，讓行為審計發(fā)揮出應有的作用呢?杭州汽輪機股份有限公司所長黃梁認為行為審計是安全方面必不可少的一項內(nèi)容。不過進行審計的人員要有公司的正式授權(quán)，而且必須對其的職責要進行清晰的界定，還要有一定的行為規(guī)范來進行限制。信息安全專家李洋博士也認為：部署行為監(jiān)控和行為審計類產(chǎn)品是企業(yè)合規(guī)的一個重要步驟，但行為審計并不一定要侵犯個人隱私，或者說不完全要侵犯個人隱私。只要嚴格限制審計者對原始數(shù)據(jù)的接觸，就能比較好地做到尊重個人隱私。游俠安全網(wǎng)站長張百川則指出，關(guān)于審計與隱私的問題，在國際上也有爭論。很多企業(yè)部署審計監(jiān)控產(chǎn)品的時候，無論是主機審計監(jiān)控還是網(wǎng)絡審計監(jiān)控，并沒有和員工說明，這非常不合理;多數(shù)企業(yè)又控制不好審計員權(quán)限，審計員往往可以看全網(wǎng)人的隱私，這其實對企業(yè)存在很大的法律風險。

　　溢信科技產(chǎn)品總監(jiān)黃凱明確指出，做好審計要從幾方面考慮，一是要明確審計的范圍，從安全角度來說是越全越好，但從合理性角度來說，不該審計的，就不應該去碰;二是對審計人員的權(quán)限有所限制。誰有審計權(quán)限，什么情況下審計，需要什么流程，都要有成文的規(guī)定，并且有必要對其審計行為進行再審計;三是要合理利用審計的來的信息，善于將得到的信息根據(jù)自己的需要做成高度可視化的報表，反映出關(guān)鍵的問題，為決策提供指導。

　　如此看來，審計與隱私之間并非不可調(diào)和，只要以恰當?shù)?ldquo;審計行為”來進行“行為審計”，是可以達到既保障信息安全又避免法律風險的目的的。

　　除了恰當?shù)膶徲嬓袨橹猓髽I(yè)履行告知義務也是非常重要的。黃凱認為，從實施的角度來說，最好做到告知義務，同時形成制度性。管理者也應該明確IT 資產(chǎn)的公有屬性，即組織為員工提供的IT設備，理論上只是為了員工能夠完成其工作所必需的生產(chǎn)資料，因此在其計算機上所存儲和使用的任何數(shù)據(jù)，都應該屬于組織公有，把類似的條款寫入制度，在員工入職時進行簽署和培訓，都有助于一旦法律糾紛發(fā)生時提供參考。張百川也認為，產(chǎn)品部署前，應當發(fā)布相關(guān)公告進行解釋說明。

　　綜上所述，部署行為管理和行為審計類產(chǎn)品是合法的，也是必須的。通過行為審計，可以發(fā)現(xiàn)員工的異常行為、潛在的危險行為，起到防患于未然的效果。而且當泄密行為發(fā)生之后，審計系統(tǒng)也可以幫助企業(yè)快速查找到泄密者，及時挽回損失。但是，審計、行為監(jiān)控系統(tǒng)必須慎用，這些系統(tǒng)權(quán)限很高，而且對于員工的感情和工作積極性存在影響，如果濫用可能引發(fā)嚴重后果。企業(yè)必須要嚴格控制監(jiān)控的權(quán)限，對管理員的職責有清晰的界定，確保系統(tǒng)不被濫用。