内网安全中有一项非常重要,但是经常会被大家低估其作用,并且也存在着一定争议的工作,那就是——行为审计。

随着企业安全意识的提高,审计的作用逐渐被大家所深知,他们也将审计开始用于事后追究责任上。但审计作用只限于此吗?“行为审计是否侵犯个人隐私”?如何才能用好审计?尚有不少疑团亟需解决。

 
审计,信息安全的晴雨表
 
审计是为了安全,它让企业得以对内部的操作可视化,这样企业可以随时发现新的安全威胁、防护漏洞,不断调整防护策略,以应对不断涌现的技术所带来的威胁,实现最大限度的安全。
 
三一重工股份有限公司研究总院信息化经理谭俊峰十分重视管理,这与三一重工研究院是三一内部核心数据部门有关。他们从企业审计系统的原则出发,制定了“把握全局、拿捏有度、主次分明、责任到位、统筹兼顾”的原则,并且在建立人力资源管理的制度时,就从宣贯公司的某些政策或制度出发,让员工知道信息保密性的要求,并且他们会经常对企业员工进行信息安全意识的培训。
 
总体来看,只要制定好规章制度,并将内网审计的概念灌输到企业的员工中,企业完全可以利用内网安全系统进行管理,这将对企业内网安全水平的提升起到极大的作用。
 
青岛中集冷藏箱制造有限公司信息主任耿峰认为,没有行为审计的内网安全系统是不完善,行为审计可以有效的检测到威胁内网安全的因素,网络管理员可以通过该系统清除威胁,确保网络安全合规。
 
“隐私”无绝对
 
行为审计,是否会侵犯员工的隐私?这个问题曾经是业界讨论的热点。随着国人对“隐私”概念理解的逐步深入,这个问题已经明朗化。认为:从这个意义上说,员工没有“隐私”可言,而所谓“隐私”就是利用企业资源干自己的事。
 
我们先来看看何谓隐私。隐私的基本含义是:不愿告人或不愿公开的个人的私事。企业的内网是为了企业经营发展的需要而组建的,在企业内网上所作的行为属于单位事务。
 
虽然“隐私”的定义很明确,但是“行为审计”在实际操作中却仍然不断的引发争论。因为人毕竟不是机器,不可能在工作场所、工作时间内百分之百的不处理个人事务。因此,员工在内网中的行为总会含有涉及隐私的内容。
 
武汉凡谷电子技术股份有限公司信息部经理朱烔哲就认为,“行为审计”的第一步就是行为收集,除非只将高危险行为识别出来并保留,否则必侵犯隐私。如果企业不顾实际情况,列出长长的违规操作人员清单,会弄得人人自危,员工阳奉阴违,反而得不偿失了。
 
我很赞同朱经理的观点,审计固然很重要,要做好审计,须深谙其“道”。要正确做好审计,需要把握住行为信息收集的度,控制好审计的范围和权限,便可以很大程度的避免一些审计带来的风险。审计只是一个工具, IT管理部门应该明确,它只是企业实现安全的手段,而不是为审计而审计。
 
好用是一方面,但如何用才能好却是另一方面。我们一起来看看业内专家和客户对此如何看待。
 
 
杭州汽轮机股份有限公司所长黄梁:审计是安全方面必不可少的一项内容。不过进行审计的人员要有公司的正式授权,而且必须对其的职责要进行清晰的界定,还要有一定的行为规范来进行限制。
 
信息安全专家李洋博士也认为:部署行为监控和行为审计类产品是企业合规的一个重要步骤,但行为审计并不一定要侵犯个人隐私,或者说不完全要侵犯个人隐私。只要严格限制审计者对原始数据的接触,就能比较好地做到尊重个人隐私。
 
游侠安全网站长张百川则指出,关于审计与隐私的问题,在国际上也有争论。很多企业部署审计监控产品的时候,无论是主机审计监控还是网络审计监控,并没有和员工说明,这非常不合理。在产品部署前,企业应当发布相关公告进行解释说明。;多数企业又控制不好审计员权限,审计员往往可以看全网人的隐私,这其实对企业存在很大的法律风险。 
 
归结以上专家和行业知名用户的观点,我认为,做好审计要从几方面考虑:
 
一是要明确审计的范围,从安全角度来说是越全越好,但从合理性角度来说,不该审计的,就不应该去碰;
 
二是对审计人员的权限有所限制。谁有审计权限,什么情况下审计,需要什么流程,都要有成文的规定,并且有必要对其审计行为进行再审计;
 
三是要合理利用审计的来的信息,善于将得到的信息根据自己的需要做成高度可视化的报表,反映出关键的问题,为决策提供指导。
 
除了恰当的审计行为之外,企业履行告知义务也是非常重要的。如安全专家张百川所说的,在部署前,需要告知内部人员。从实施的角度来说,最好做到告知义务,同时形成制度性。管理者也应该明确IT资产的公有属性,即组织为员工提供的IT设备,理论上只是为了员工能够完成其工作所必需的生产资料,因此在其计算机上所存储和使用的任何数据,都应该属于组织公有,把类似的条款写入制度,在员工入职时进行签署和培训,都有助于一旦法律纠纷发生时提供参考。
 
 
通过行为审计,可以发现员工的异常行为、潜在的危险行为,起到防患于未然的效果。而且当泄密行为发生之后,审计系统也可以帮助企业快速查找到泄密者,及时挽回损失。但是,审计、行为监控系统必须慎用,这些系统权限很高,而且对于员工的感情和工作积极性存在影响,如果滥用可能引发严重后果。企业必须要严格控制监控的权限,对管理员的职责有清晰的界定,确保系统不被滥用。