自由的网络带来了高效和便捷，但随之而来的也有威胁和隐患。企业需要一位明察秋毫的网络警察来为自己守门把关。

　　在互联网发展的早期，要想保护企业免受不合时宜的网络内容骚扰，方法非常简单：屏蔽那些员工不该在工作时间或用公司设备访问的网站就行了。但根据谷歌公司（Google）的统计，如今网络上的网址数量已超过1万亿，这种老办法显然不再可行，而员工们浏览不体面的网站所造成的潜在负面影响却与日俱增。

　　为企业准备的网页过滤（Web filtering）技术已经取得了长足进步，其功能更为复杂多样，决不只是能阻止色情网站或ESPN体育网站而已。

　　目前，很多服务商，如互联网服务供应商（Internet service providers，ISP）、第三方应用软件供应商以及主要的安全设备供应商等，都提供了一系列监控员工如何使用公司网络的工具。与此同时，企业的人力资源和IT部门在限制员工网络活动方面也变得更加老练。

　　基本上每个企业的员工手册里，都包括了公司制定的互联网使用政策。目前很多企业的政策都趋于开明，它们把适当的个人网上冲浪看作是使用网络的自然结果，就像员工在工作时间去看牙医一样，上网冲浪是员工个人自由的某种体现。企业权衡利弊，认为既然高速网络极大地提高了生产率，员工上网开点小差也可以不予深究。

　　不幸的是，在企业容忍度提高的同时，在线威胁却愈演愈烈，员工会有意或无意地传播企业专有信息（proprietary information）。此外，恶意软件甚至用不着员工访问色情网站就能以某种方式入侵企业网络。开发网络风险管理软件的Websense公司估计，目前多达75%的恶意软件来自于规范的高流量知名网站。

　　有限的信任

　　今天企业面临的主要问题不是员工在体育、赌博或成人网站上浪费了多少时间，而是员工开小差上网时不知不觉打开了多少关键系统的后门。

　　在这个问题上，企业和员工之间存在某种微妙的博弈。大多数企业相信员工在网上行为端正，但很少有企业愿意把选择权完全留在员工手中，这便给网页过滤服务商创造了繁荣的市场。这些厂商过去曾专注于收集不当网站的类别和网址，如今它们将范围更广的信息风险管理工具卖给企业，帮助它们与棘手的在线威胁作斗争。各大安全厂商也不甘示弱地进行收购并开发新产品线，将重点从防火墙和入侵检测系统，转移到了如安全问题专家理查德？斯蒂农（Richard Stiennon）所说的“整体安全性”（holistic security）。

　　在监控员工使用网络的问题上，过去许多提供物理链接的ISP大都采取事不关己高高挂起的做法。但经过一系列有争议的法律纠纷之后，许多ISP做出了让步，转而支持企业执行认可使用（acceptable-use）政策。

　　在企业越发重视限制员工网络活动所造成的风险时，ISP正受到其他方面的压力，它们得找出并汇报客户的非法行为（尤其是那些贩卖儿童色情制品的客户）。纽约州总检察长安德鲁？库默（Andrew Cuomo）大声疾呼，要求ISP提高警觉防止不法分子滥用网络，利用儿童牟利。儿童保护团体的统计数据显示，色情网站流量的70%发生在工作日。

　　2006年12月生效的安全法（Safe Act）规定，如果ISP发现自己的网络上有儿童色情内容却知情不报，那将作为重罪论处，每例处以30万美元的罚款。然而，由于惧怕违反宪法第一修正案（First Amendment）而陷入有关言论自由的诉纠纷中，许多ISP都不想惹祸上身，因而不愿充当网络交警。

　　3年前，联邦调查局（FBI）停止使用名为“食肉动物”（Carnivore）的数据包嗅探技术。这种软件原本安装在ISP处，用来监测犯罪嫌疑人的网络流量。由于公民自由论者对这种行为进行了大肆抨击，FBI只得放弃使用这一软件。如今FBI使用的都是普通的商用软件，它们并不依赖基于ISP的设备。

　　不过，某些ISP仍然向企业客户提供监测服务，当然这依旧是个敏感的话题，比如美国电话电报公司（AT＆T）的商用互联网服务部门就多次拒绝了关于此主题的采访请求。

　　其他ISP则没有那么守口如瓶。随着自身消费者业务的逐步商品化，ISP想通过提供高附加值、高价位的企业服务来牟利。这些服务不可避免地包括五花八门的安全和风险管理服务，有时也会涵盖网络活动监测。

　　威力众公司（Verizon）就增加了利润丰厚的咨询服务，在涉及到员工非法网络活动的安全风险问题上为企业出谋划策。该公司风险管理主管乔纳森？阮德（Jonathan Nguyen-Duy）说，要想在Facebook/Youtube/Web 2.0时代实现高水准的网络安全，对企业和ISP来说都是件很具挑战性的任务。

　　“要想在企业内整齐划一地推行认可使用标准是很难的，对于那些分支机构遍布全球的大型企业来说尤其如此。”阮德表示，“这给服务供应商出了个难题。”

　　阮德说，威力众公司通过让企业客户采用“系统化的风险管理方法”解决了问题。他指出，公司不会充当网络交警，但它将协助客户推行认可使用政策。他补充道：“我们为客户提供的工具能进行细致入微的管理权限设置，还能生成详尽的报表。”

　　威力众公司还提供咨询服务，包括推荐或捆绑销售第三方供应商的设备和服务，比如Websense公司的网络活动监测工具，MessageLabs公司的电子邮件安全工具以及思科公司（Cisco）的IronPort防入侵设备等。阮德建议客户签署为期90天的咨询合同，在此期间客户可以接受网络状态评估，了解网络中的流量类型以及员工们使用的应用程序、访问的网站和需要受到保护的企业信息等。“客户浏览了数据识别和分类流程之后，有时会有惊人的发现：有些数据库和应用程序在公司的网络上运行，但以前却无人知晓。”他说。

　　评估报告完成之后，威力众公司的咨询顾问将为客户度身打造一套工具，其中可能包括深度数据包检测（deep packet inspection，DPI）。这是一种实时网络过滤技术，不仅能检查数据，还能在每个IP数据包通过系统时检查数据包的头信息（header）。它将入侵检测及防御系统与传统的状态性防火墙有机结合起来，可以标记出明显的恶意代码，并在数据包层级检查网站流量是否符合企业的认可使用政策。阮德说：“企业面临的是多层次的威胁，所以兵来将挡水来土掩，我们建议的解决方案也是多功能的组合。”

　　这种工具组合通常包含杀毒软件以及由软件或设备驱动、能深入数据包层级进行内容检测和过滤的恶意软件防御程序。

　　斯普林特公司（Sprint）企业部门的做法与威力众公司类似。该公司几年前开始向企业客户提供代管服务，将传统ISP的角色与高水准的网络优化及安全工具组合到一起，其中有些工具基于公司自行开发的技术，另一些则利用了第三方应用程序或设备。然而，斯普林特公司也不愿充当网络交警：它向客户提供工具包（有时捆绑其他供应商的工具），但不进行任何监控活动。

　　该公司企业部门产品开发高级经理史蒂夫？帕洛特（Steve Parrott）说，目前的趋势是融合了语音、视频、音频和数据的全IP网络，因此对斯普林特公司这样的大型商业ISP来说，提供上述服务至关重要。帕洛特说，这些服务的设计和交付一般是由系统集成商来完成，“但当你转向单一平台时，就不能通过多个供应商满足那些需求。”

　　今年10月，斯普林特公司宣布推出SprintSecure代管安全和优化产品，该产品既有企业内部安装版，也有云服务托管运行版，其功能包括网页过滤、防病毒扫描、对网络应用软件（包括点对点系统）的控制以及对员工即时通讯的监测。企业内部安装版利用的是步立康系统公司（Blue Coat Systems）的ProxySG设备和WebFilter软件；云服务托管版本则用的是ScanSafe公司的软件。

　　斯普林特公司的代管安全产品经理约翰？艾森巴格（John Eisenbarger）说，企业使用由ISP收集整理的服务，其好处在于这些服务与网络紧密整合而非浮于表面，斯普林特公司可以在同一个平台追加广域网加速（WAN acceleration）等功能。艾森巴格表示，这种做法使该公司的网络保护系统可以在网页内容被优化、加速并准备提交给用户前，扫描是否存在令人讨厌的内容和恶意软件威胁；而在多供应商的环境中，它们在过滤前会先加速所有的网络流量，这会加大内容优化及交付的难度。

　　精细化

　　企业很高兴接受ISP推荐的“一流”供应商，但这并不意味着商业科技主管们只依靠运营商认证的安全软件套装就能高枕无忧了，有些时候还是应当直接求助于专家。

　　Websense公司的网络安全解决方案产品管理主管迪恩？科扎（Dean Coza）说，依靠ISP提供网络安全服务的主要问题，在于它们不能向客户提供细致入微的安全政策，因为让ISP头疼的是客户们的需求大相径庭。

　　Websense公司成立于1994年，一开始它向企业客户提供网址黑名单及过滤器，帮助企业保护重要信息及管理信息风险。今年9月，该公司发布了旗舰产品的7.0版，该产品超越了DPI的范畴，从本质上说是一个网络安全网关，能够动态实时地检查并批准（或阻止）每个网页以及穿越企业网络的数据包。

　　科扎表示，使用该软件的结果是“内容的完全解构和重组”。他坚持认为，专业程度较低的DPI系统所做的内容检查工作，只及得上Websense公司10%的产品功能。该工具在浏览器中运行脚本检测可能“散列”或编码于其中的恶意软件。脚本将网页内容与Websense公司的启发式检测和签名进行对比，从而确定它们是否携带隐藏威胁，然后将网页内容重新编译（如果它们经检查证明符合要求）并交付给员工。Websense公司将这个过程称之为“去混淆”（de-obfuscation）。 
步立康系统公司的发展轨迹与Websense公司类似，一开始该公司提供互联网加速服务（提高网络内容在慢速网络上的传输速度）和网址过滤服务，后来该公司扩展业务，通过10种网络扫描引擎提供可执行的脚本工具。英国电信公司（BT）和斯普林特公司之类的运营商，都使用了步立康系统公司的ProxySG设备来监测网络活动。它们会根据预先制定的企业安全政策发出警报并拦截不当内容，并负责监测病毒和恶意代码。该公司的工具被多个供应商的扫描引擎和反病毒软件使用，其中包括大型安全厂商赛门铁克公司（Symantec）和竞争对手Websense公司。步立康系统公司声称，过去两年的公司营收均创历史新高。

　　该公司产品营销副总裁嘉莉？奥克斯（Carrie Oakes）说：“我们将很多基础设施卖给ISP，它们转手向大型企业提供在企业内部安装的服务，同时向寻求过滤功能的中小型企业提供网络托管服务。”

　　与此同时，主要的网络供应商和安全厂商为了获得深度数据包检测及安全网络网关技术，都在热火朝天地进行收购。2007年初，思科公司花费8.3亿美元收购了提供电子邮件过滤设备和数据丢失预防系统的IronPort公司。去年年末，迈克菲公司（McAfee）出手4.65亿美元收购了安全运算公司 (Secure Computing)，该公司主营企业网页过滤、电子邮件安全、入侵防护及防火墙软件。独立的网络安全公司也不甘示弱，过去几个季度里收益屡创新高的Websense公司也在一年前收购了竞争对手SurfControl公司。

　　不幸的是，目前存在的问题有点像军备竞赛：尽管用来保护企业网络的工具变得更先进、更强大，但由员工无意或恶意的网络活动所带来的潜在威胁同样也变得更为复杂。恶意软件侵扰、数据泄漏以及违规灾难等触目惊心的事故层出不穷，可是许多企业仍然没有给予网络安全问题足够的重视。每家接受采访的供应商和ISP都认为，企业IT组织对网络安全风险的理解远远落后于严峻的现实。许多安全行业的高管估计，目前使用新型网络保护和过滤工具的企业不到20%。

　　咨询机构弗罗斯特苏利文公司（Frost & Sullivan）的分析师布鲁顿？泰伦斯（Terrence Brewton）认为，应该担起责任的是用户或企业，而非ISP。他表示:“ISP提供骨干网，也可以提供一些附加工具，但他们能做的也就仅限于此了。”

　　在网络安全方面，IT主管有4种选择：其一，根据企业的实际需要，选择安全和网络监测工具，组成一个多供应商的解决方案；其二，依靠ISP提供的咨询和服务来获得这些工具；其三，从网络设备供应商，如思科公司或北电网络公司（Nortel），或网络安全服务商，如赛门铁克公司，那里采购内置软件；其四，袖手旁观，坐以待毙。

　　显然，无论哪家公司都不会选择第4种方案。企业应该找到一个平衡点，既能向员工提供有助于实现高效工作的上网自由，同时又能保证内部网络的安全。

图表1：

你公司监控员工网络活动的原因

73%限制员工浏览不良网站和内容

52%限制未经授权访问敏感数据

48%优化网络和服务器上的流量

45%侦测潜在的敏感数据泄露

44%提高员工工作效率

　　数据来源：《InformationWeek》进行的2008年战略安全调研，共有723位有过员工网络活动监控经历的商业科技专家参与

图表2：

你公司监控哪些类型的网络活动？

49%网页浏览

40%收取电子邮件

37%发出电子邮件

33%网络、服务器及应用程序的使用

31%敏感应用程序及数据的访问

12%博客及社交网站的活动

33%不对员工进行监控

　　数据来源：《InformationWeek》进行的2008年战略安全调研，共有723位有过员工网络活动监控经历的商业科技专家参与