如何有效控制員工訪問社交網(wǎng)站？

問：公司采取什么控制措施可以解決員工訪問Facebook和Twitter帶來的風險問題？我們的一貫立場是：當且僅當員工需要在社交網(wǎng)絡(luò)上展示有效的商業(yè)方案時才可以訪問，否則將禁止訪問。我們已經(jīng)開始要求去制定有效的商業(yè)方案了，但大多數(shù)員工只想去瀏覽網(wǎng)頁，不想去發(fā)布信息。

答：如果貴公司已經(jīng)決定要攔截諸如Facebook、Twitter這類型的社交網(wǎng)站，那么你有可能需要重新評估這一行動的安全風險、收益和成本。攔截這類網(wǎng)站是很容易的事情，但只要員工擁有一部企業(yè)防火墻無法控制的智能手機，他依然可以進行訪問。此外，由于你的限制可能會招致員工的強烈反對，所以安全資源用在別的威脅上可能會得到更好的利用。

如果你真的需要實施此類攔截，那么應(yīng)該根據(jù)環(huán)境的不同去尋找一個基于網(wǎng)絡(luò)的設(shè)備，將該設(shè)備安裝在本地客戶端計算機上。你需要制定能夠得到管理部門支持的明確政策，以便在展開工作時可以合理的采用最佳技術(shù)。一些設(shè)備可以允許你執(zhí)行很細的操作，讓某部分人去執(zhí)行特定的事情，比如在午餐時間批準訪問社交網(wǎng)絡(luò)。

有些多功能的Web代理或類似的設(shè)備可以進行必要的網(wǎng)絡(luò)控制，通過發(fā)送TCP復(fù)位或客戶端配置來進行內(nèi)聯(lián)（inline）操作。許多設(shè)備還具有一些其他的特性，如反惡意軟件功能。如果你允許不受管理的計算機或用戶安裝自己的軟件，那么你可能需要對網(wǎng)絡(luò)進行控制，從而使黑客更難繞過安全防御。有些設(shè)備還能攔截很多針對傳統(tǒng)單一Web代理的攻擊方式。

客戶端軟件或許可以在你的環(huán)境下正常工作，且不會增加網(wǎng)絡(luò)基礎(chǔ)設(shè)施的復(fù)雜性，但如果你允許不受管理的客戶或那些具有管理員權(quán)限的用戶訪問社交網(wǎng)絡(luò)，那么這些軟件是可以被繞過的，這種做法還要求盡量全面地對軟件進行安裝。如果你的計算環(huán)境很小，對電腦的控制也很嚴格，那你甚至可以通過配置Web瀏覽器來限制對社交網(wǎng)絡(luò)的訪問，雖然這可能很難正確而有效的實施。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]