某工程设计院：设计结果外泄问题一定要解决

    我们单位是一家工程设计院，主要的业务就是工程设计了。因为采用的是项目制管理方式，对于员工的考核是任务制的，主要看设计任务是否完成了。

    在网络信息化这块，我们最关心的就是设计结果对外泄露的问题。一个设计好不容易设计出来，如果让竞争对手知道了，它问题就大了。

    这方面，我们已经对设计工程师的电脑进行了严格限制。例如，把USB口封掉，并且把机箱锁死，不能换硬盘等操作，防止物理的数据外泄。

   不过，设计结果还可能通过P2P上传、QQ、MSN传输，论坛上传附件等多种方式对外泄露，这种可能性很大，所以，我们很想对这些网络应用进行管理，封掉这条路。

某国际制造企业：40%的人员用MSN是业务需要

我们是日本某国际制造集团，全球有5万多位员工。最近几个月，我考察了我们办公室里100多个人：

按照公司的规定是绝对禁止装MSN，但是这个事情我观察了一下，MSN的行为被定义为禁止的网络行为，但是数据显示40%的人员用MSN是业务需要。所以我想一个问题，网络行为不是单方面的，而是双方面的。他发生一个网络行为，要跟网络行为对象产生互动，对方要求他有这个网络行为，才可以发生。我的客户要求用MSN联系，这个时候我们尽管禁止MSN，但还是得用。

某汽车制造集团：如何定义网络行为，哪些东西该管？

    现在讨论网络行为，我们遇到一个最大的瓶颈，就是如何定义网络行为，哪些网络行为你必须通过技术手段干涉的，技术仅仅是一个手段，其他什么作用也起不了。在所有技术手段之前，作为网络行为管理头等要素，应该是定义网络行为的概念。这种行为，比方说你刚才说的哪些上网行为必须要定义下来，是公司不允许的，公司不允许的行为管好，网络行为实际上就是人的行为。定义出来网络行为之后，实际上网络行为就是一种对人的管理，而不是技术问题。这点我觉得应该是这样。

    对于企业最困难的事情不是技术的事情，现在讨论的是网络行为，网络行为定义很麻烦。对你所定义的行为，一定要网上发生了，很难定义行为对企业有效还是无效，还是阻碍。我最近几个月，考察了我办公室里100多个人，我发现按照我们公司的规定是绝对禁止装MSN，但是这个事情我观察了一下，MSN的行为被定义为禁止的网络行为，但是数据显示40%的人员用MSN是业务需要。所以我想一个问题，网络行为不是单方面的，而是双方面的。他发生一个网络行为，要跟网络行为对象产生互动，对方要求他有这个网络行为，才可以发生。我的客户要求用MSN联系，这个时候我们尽管禁止MSN，但还是得用。我发现这么一个情况。

    另外第二个情况，我们做了一个试点进行全程监视，对某个人，某一台计算机全程监视。这个监视的结果是什么呢？张三这个人今天干了什么，把结果打印出来，堆成山，对这些资料无法分析，无法管理。所以我们要看清楚，到底管什么，是管人，还是管什么的。现在是一个尊重个性的时代，网络行为的管理，慢慢还要深入到一些法律层次，一些个人权利的问题，个人信息保障的问题。
    30年前日本通过了个人信息保障法，现在今年人大刚刚提出了。但这时候技术又受到很好的限制。所以我觉得在这个过程中，网络行为管理和集团行为管理有一些相连的东西。网络行为管理首先要解决网络行为的定义，其次要明确哪些东西该管，哪些东西不该管，第三，面对大量的网络行为如何界定，这些确定之后，才能讨论用什么来实现网络行为的管理。

某网络在线企业：如果监管，员工就会觉得自己像机器一样，没有自由

    我来自北京某在线网络科技有限公司，我们公司自主研发了一个比较大的网站，是医药的。我们公司也是做网络的，所以网络行为非常复杂，比如说有人需要上QQ，有人不需要，有人需要上MSN，有人不需要。如果你要限制这个，限制那个，员工就会觉得自己像机器一样，没有自己的自由，像被监视一样。因为外网是单一的服务，内网是需求比较复杂的。如果你监视的那么严格，就有点被监视的感觉，上班就产生一种压力的心理。我觉得像这种管理，你的设备做的再强，可以做到一系列的问题，我觉得还是要技术跟行政相结合，还有对员工定期的培训，告诉员工这个东西要怎么怎么样，或者不要用一些纯粹的霸王条款，不允许这个，不允许那个。所以要技术和行政相结合。

    我们公司有以上的问题，但不会说定某些条款来做的。因为像QQ一样，你可以聊，你是做业务的可以聊QQ但是你聊的内容我们可以查到，但是不能让网络管理员盯着这一批人的QQ记录，这样两方面都很累。

某印刷企业：我们采用交换机做流量控制

    我是印刷企业的网络工程师，对于网络行为这块，我们用交换机做流量控制，交换机上一层做防火墙，交换机做流量控制，主要是做每一个IP，如果你中病毒，就分掉了。上面的防火墙就是管出和进都做记录，但不会对QQ、MSN，聊天记录不会记录。但这种方式有一个弊端，一旦产生的东西太多，调取很麻烦。有没有简单的方法？因为这样做成本很高，我们防火墙数据太大，无法删掉，因为规则太多了，有没有这种问题的解决方法？

某网络教育企业：网络行为是由人制订的，有技术层面，也有行政层面

    我来自某网络教育企业，我说一下，实际上网络行为说好界定，也好界定，说不好界定也不好界定。我原来的公司基本上就是局域网，三千多人，现在是在北大商学网教育有限公司工作，另外和一些杂志和论坛接触，做一些技术支持。

    关于怎么样界定网络行为，QQ、MSN这些通讯软件，每个公司在社会层面有一个认识，每个人也有一个认识，既然你在我这个公司，我公司决定这个网络行为是什么样的，我就是一个独立的网络，我不管你商业界定的网络行为是什么样，我说不让上MSN就不能上。所以网络行为是由人制订的，有技术层面的，也有行政层面的。我可以界定某些因特殊需要，很简单，写个申请，我需要和外界交流，假如我是一个小公司，我们公司要给华为生产一个组件，开一个MSN，我相信公司领导不会不让你去开一个的MSN。这是网络行为当中的一个。

    这个问题矛盾就解决了，我可以允许你MSN聊天，文本信息，但是不允许MSN传文件，包括QQ，这些从技术上都可以做到。但是从行为上，从制度上肯定更可以做到。

    我想说的是真正的IT管理，网络行为管理，我个人总结为几点：

    第一个，最重要的关键就是一个好的，适合你公司的网络拓扑，不应该扯开与整个公司的网络关系。一个好的网络拓扑结构，实际上也决定着或者部分决定着这个公司网络行为管理的情况。我跟很多家公司，包括跟一些政府部门，包括中国妇联，国家出版总署，还有农业部网络监控都做过，也跟他们的信息员交流过。你做的再好，不管是用软件还是用硬件，这个网络拓扑不合适，不适合你的公司，或者你本身做得不好，你这个网络行为的管理点，这个设备，不管你是用软件，还是用硬件，没有放在合适的位置，根本管不好。

    比如说网康，要放在网关出，不管有几个路由，都要放在网关。如果不放在网关上，在管理的同时会对网络造成影响。所以就是怎样把各个结点，各个设备归位到更适合的位置。

    第二个，作为公司，个人的技术能力，技术层面，或者他对IT的发展，或者IT技术层面的认知问题。举一个简单的例子，我在我们公司从来没用过硬件的东西，硬件的东西很多，我在我们公司用了两种方式，就用LINUX管理，像AD，我也用过，我一直用混合型的。我现在首先要知道日常的，作为内部局域网的用户都有哪些网络行为。这些网络行为用LINUX，用WINDOWS，在网关处我就可以侦测到网络当中任何一个行为，而且知道端口是哪个IP。我知道你访问80就是Web服务，你访问53，就是访问QQ。我用个人技术水平也确定公司网络行为。我工作一段时间之后，就知道你每个IP都在干什么。

某运营商维护单位：罪犯式监视很累，主要是当作安全备份

    如果把员工作为一个罪犯监视，确实很累。如果你把他作为一个安全备份来讲，可以这样考虑。比如说030，出了问题了，你可以查出了什么问题，什么时候发生的时候，如果你没有这个技术手段，就不能证明是哪个人干的。我的技术功能就是可以查到这个人。我加了这个东西备份或者是防范，出了问题我去追查，而不是现场看着你，看着你网管太累了。办公室有公司的企业文化，有公司的规矩，法律的东西要理解，但是个人的东西可以在上班时间不交流，一些简单的问候无所谓，包括老板都可以理解。你工作不可能是百分之百时间，70%的时间放在工作上，老板已经是非常幸运了。比如说发邮件，如果邮件涉及公司的内部资料，内部信息，关于秘密的东西怎么样控制流出。小公司没关系，但是大公司问题就多了。有些东西我不愿意跟别人交流，有些东西是必须的。

    我的建议是这个东西肯定要有，但是管理的尺度，从制度和定义上松一下，这是一个双赢的概念。