Chinaunix

标题: 公司屏蔽IM软件的一点心得 [打印本页]
作者: erylily    时间: 2005-11-07 17:06
标题: 公司屏蔽IM软件的一点心得
看到好多XD都在为封堵IM软件发愁,其实IM软件太影响员工工作效率了,呵呵。
偶在公司经过一段时间摸索,总结出一点心得,想跟大家分享一下。希望给大家一些借鉴啦。
偶们公司全国各地都通过专线连接到总部,只有总部有INTERNET出口,一共5000+台PC通过这里出去,通过HTTP代理,使用ISA+WEBSENCE,防火墙关闭了80和443之外的所有端口。WEBSENCE是个好东西,可以生成详细的报表,供偶们信息安全部门分析员工访问INTERNET情况,并且过滤很多地址,包括防火墙杀手Http-tunnel的地址.QQ的地址有限,很容易屏蔽掉,MSN是标准软件,websence也屏蔽的很好。
不幸的是,每天发现IPS上还有很多MSN的流量,观测好几天才知道,是美国总部那边有MSN网关(美国总部是允许MSN的)。MSN竟然能自己找到那个网关地址,偶们大汗~~~因为不能关闭通往美国的路由,没办法,只能从别的方面下手了。
公司所有电脑加入了AD,集中管理很方便,修改了LOCAL ADMINSTRATOR的名称和密码,一般部门的人是不会拥有ADMIN权限的,安全IM就没有可能,最头痛的就是IT部门和一些配置NB的部门和老板,他们基本都有LOCAL ADMIN的权限。
公司标准PC是安装McAfee的杀毒软件和ePO,利用EPO集中管理Agent的能力,偶把msn和qq启动必须加载的dll文件9(msn 是msgslang.dll,msidcrl.dll,QQ是Basicctrldll.dll),定义为病毒,当MSN和QQ启动时,该DLL被杀,程序无法使用。
但是,IT部门很多人就发现了这个问题,擅自停掉了EPO(感觉没有IM,他们都活不了了),还好,所有成功登陆的事件会被IPS记录,利用最后终极杀手涧,行政处罚~
呵呵,忙碌了将近两个月,终于算基本解决了这个IM的问题,个人感觉,偶们还是信息安全政策做的不足,不然完全不必这么狼狈,比如权限分配合理点,行政手段跟进快一些,也许就不是现在这个样子了。
作者: seven007    时间: 2005-11-11 16:25
Very Good! add to favorite
作者: ipaddr    时间: 2005-11-12 19:09
网管们怎么都干些这样的事,不自由呀.

感觉受人监视,不爽.

不让上QQ的公司,我一般不去的,除非工资给我翻一倍.

:)
作者: PKkingSon    时间: 2005-11-14 09:54
同意楼上!
作者: erylily    时间: 2005-11-14 10:59
不知道楼上的大牛现在薪水如何啊~
说实在的,中国员工的整体素质真的不敢恭维啊,每月的websense 报告就可以看出来了.
作者: bingosek    时间: 2005-11-14 11:20
你可以在isa上把msn网关屏蔽掉
作者: erylily    时间: 2005-11-14 16:47
原帖由 bingosek 于 2005-11-14 11:20 发表
你可以在isa上把msn网关屏蔽掉



哪里有这么简单啊,好多人都用代理,甚至Softether等等,纯技术方法根本解决不了
作者: plumlee    时间: 2005-11-15 13:28
行政手段是最有效的。
作者: tidezcy    时间: 2005-11-15 15:44
原帖由 erylily 于 2005-11-14 16:47 发表
哪里有这么简单啊,好多人都用代理,甚至Softether等等,纯技术方法根本解决不了


如把代理类的地址都限制了,就没问题了吧.

LZ是在有钱的公司啊!
作者: zcwhy    时间: 2005-11-16 09:59
如果行政处分能生效的话,我们根本就不用做那么多东西,直接检查,查到就PK。
作者: erylily    时间: 2005-11-16 10:12
原帖由 tidezcy 于 2005-11-15 15:44 发表


如把代理类的地址都限制了,就没问题了吧.

LZ是在有钱的公司啊!


基于Tunnel技术的东东地址很多,而且是个人的,没的封啊.

IPS能抓到它们,但是因为不是In-line Model,封不了这样的包,哎.
作者: zhangzzs    时间: 2005-11-16 22:35
行政手段是最有效的手段了,当然这是在管理跟的上的公司。
作者: carrison    时间: 2005-11-17 09:28
MSN based web 怎么封啊
作者: carrison    时间: 2005-11-17 10:01
Mcafee就是比norton强,但也比Norton复杂,呵呵
作者: tidezcy    时间: 2005-11-17 15:56
mcafee好用
作者: tidezcy    时间: 2005-11-17 16:02
原帖由 erylily 于 2005-11-16 10:12 发表


基于Tunnel技术的东东地址很多,而且是个人的,没的封啊.

IPS能抓到它们,但是因为不是In-line Model,封不了这样的包,哎.


对客户端限制得更严一点吗,只允许已知目的IP的连接出去.
作者: mafa    时间: 2005-11-17 18:24
提示: 作者被禁止或删除 内容自动屏蔽
作者: erylily    时间: 2005-11-18 09:34
原帖由 tidezcy 于 2005-11-17 16:02 发表


对客户端限制得更严一点吗,只允许已知目的IP的连接出去.


5000多客户端,时不时IP还会更换,怎么限制IP呢.
作者: tidezcy    时间: 2005-11-18 11:39
原帖由 erylily 于 2005-11-18 09:34 发表


5000多客户端,时不时IP还会更换,怎么限制IP呢.



5000多客户端   羡慕lz
作者: zhangshoug    时间: 2005-11-18 13:34
原帖由 erylily 于 2005-11-18 09:34 发表


5000多客户端,时不时IP还会更换,怎么限制IP呢.

不是让你限制客户端的ip,是限制客户端能到达的ip.
指定一些工作中要用到的网站,除了指定的那几个站,别的地方都不让去。
作者: erylily    时间: 2005-11-18 13:42
原帖由 zhangshoug 于 2005-11-18 13:34 发表

不是让你限制客户端的ip,是限制客户端能到达的ip.
指定一些工作中要用到的网站,除了指定的那几个站,别的地方都不让去。



汗,要是这样就好了.
偶们不是IT公司,各个部门什么需求都有,我们只能限制不能去的网站,哪里敢限制只允许他们去特定的站点啊.
作者: qufo    时间: 2005-12-01 01:10
原帖由 plumlee 于 2005-11-15 13:28 发表
行政手段是最有效的。



终于看到意见一致的。

有多少DX讨论如何禁Q,其实行政手段最好做。
作者: yatle    时间: 2005-12-01 01:16
看了白天才知道"LZ"是楼主的意思..faint
作者: xwzss    时间: 2005-12-01 12:35
楼上的你在CU白混两年了。。。
作者: liaosnet    时间: 2005-12-01 17:10
这样的公司活得有意思吗?!
不过还是比不上国内的某些公司必须装个软件(不管你开不开,只要你下次接到公司网络):只能收邮件,FTP!其他的OUT,连用USB接口都记录在案!!呵呵~~怎么样,比楼主公司牛吧!!
对于这个,楼主的可算是~~~~小猫见到大猫了吧~~哈哈
作者: tidezcy    时间: 2005-12-02 12:44
原帖由 liaosnet 于 2005-12-1 17:10 发表
这样的公司活得有意思吗?!
不过还是比不上国内的某些公司必须装个软件(不管你开不开,只要你下次接到公司网络):只能收邮件,FTP!其他的OUT,连用USB接口都记录在案!!呵呵~~怎么样,比楼主公司牛吧!!
...


我们就是这样做的,包括外发邮件都是有限制的,只能输入到电脑,要从电脑拿出东西都是不行的~~
作者: phantasm006    时间: 2005-12-02 17:05
用过一款设备:网康互联网控制网关,封堵IM效果不错
www.netentsec.com
作者: shimu    时间: 2005-12-03 14:59
原帖由 liaosnet 于 2005-12-1 17:10 发表
这样的公司活得有意思吗?!
不过还是比不上国内的某些公司必须装个软件(不管你开不开,只要你下次接到公司网络):只能收邮件,FTP!其他的OUT,连用USB接口都记录在案!!呵呵~~怎么样,比楼主公司牛吧!!
...

习惯了。
作者: erylily    时间: 2005-12-05 14:30
原帖由 liaosnet 于 2005-12-1 17:10 发表
这样的公司活得有意思吗?!
不过还是比不上国内的某些公司必须装个软件(不管你开不开,只要你下次接到公司网络):只能收邮件,FTP!其他的OUT,连用USB接口都记录在案!!呵呵~~怎么样,比楼主公司牛吧!!
...


汗,偶也没准备跟谁比啊。只是分享一下心得而已.而且偶们不是IT公司,也不是金融公司,也不需要十分严格.
HSBC,IBM,华为都做的很严,我们跟他们是没的比的.

现在国内信息安全还没有形成气候,顶多Focus在技术层面,其实管理更重要.尤其对于非IT公司.
作者: youth219443    时间: 2005-12-09 16:19
bucuo
作者: szbright    时间: 2005-12-10 00:25
我知道hw和cisco两个做网络的公司里只能用email和ftp,
呵呵,的确,国内的用户还没有达到对网络严格控制的阶段。
作者: bbjmmj    时间: 2005-12-11 00:28
封MSN、QQ不是啥难事吧?SQUID代理很容易搞定。

原帖由 erylily 于 2005-11-7 17:06 发表
看到好多XD都在为封堵IM软件发愁,其实IM软件太影响员工工作效率了,呵呵。
偶在公司经过一段时间摸索,总结出一点心得,想跟大家分享一下。希望给大家一些借鉴啦。
偶们公司全国各地都通过专线连接到总部,只有 ...
作者: erylily    时间: 2005-12-12 14:41
原帖由 bbjmmj 于 2005-12-11 00:28 发表
封MSN、QQ不是啥难事吧?SQUID代理很容易搞定。



不要想这么简单啊,很多人用Tunnel出去,虽然我们只开80端口,它照样穿过去.
作者: SunGod    时间: 2005-12-14 20:12
Http-tunnel你封不了吧,老大!
作者: chn2k    时间: 2005-12-14 22:04
MSN和QQ是我工作的必备工具,我是公司总部的技术支持主管,我们分布在全国各地的FAE兄弟们在客户那里只能用这个跟我保持随时联系、实时提供指导,甚至下了班回了家我也要第一时间打开IM,没了IM无法想象我们前方的FAE怎么高效地开展工作,那种在用户现场遇到问题叫天不应叫地不灵一边还要看用户的白眼听用户的冷言的感觉,没经历过你是不会有深刻体会的——别跟我说用电话、手机,IM可以实时传播大段的文字、图片甚至传驱动程序,电话、手机办得到吗?我们的一个合作伙伴甚至规定全公司员工必须使用MSN以随时保持联系。那些千方百计封堵员工使用IM的公司,本人强烈BS,员工在工作时段内有闲暇聊天扯淡只能说明公司人浮于事,是管理层人力资源规划的失败,你试试裁员三分之二工作量不变,不封IM,还会有人用IM闲聊扯淡吗?SB!而且封堵不是根本的解决办法,你封了QQ、封了MSN,我照样可以煲电话粥呀。
用IM还有一个最直接的好处就是可以节约高额的长途电话费。
如果你是公司的IT,你应当力劝决策者怎么发挥IM的优势而不是惟命是从!因为高层是SB,而你不是!!!
作者: 阿辉    时间: 2005-12-15 10:26
原帖由 ipaddr 于 2005-11-12 19:09 发表
网管们怎么都干些这样的事,不自由呀.

感觉受人监视,不爽.

不让上QQ的公司,我一般不去的,除非工资给我翻一倍.

:)



同意,我上一家就不让上,我做完一个月就跑了。感觉是非常不爽。
作者: litrin    时间: 2005-12-15 12:34
能封我也不封,会封我也当不会封。
作者: johndoe    时间: 2005-12-15 13:55
强烈同意楼上的..几十年前的中国什么电话,电脑什么都没有..工作效率也奇差..对楼主还把这种封IM拿出来说,而不是正确引导和使用IM,强烈BS..。跟古时候有一个君王不许人民用刀的样子,怕人民造反..彼有点SB的味道...
作者: jiekechoo    时间: 2005-12-15 17:11
N多人在背后骂网管
作者: rardge    时间: 2005-12-15 18:25
原帖由 tidezcy 于 2005-12-2 12:44 发表


我们就是这样做的,包括外发邮件都是有限制的,只能输入到电脑,要从电脑拿出东西都是不行的~~


咳咳,悄悄问,你们公司怎么做到的?用什么软件啊?
作者: chn2k    时间: 2005-12-15 23:16
原帖由 rardge 于 2005-12-15 18:25 发表


咳咳,悄悄问,你们公司怎么做到的?用什么软件啊?


kao! 这个呀,too easy! 你让员工的办公电脑没软驱,没光驱,没USB......咳,干脆让员工都用tmd无盘站不就得啦,服务器也不联外网,不就全省心啦.最好别给员工用电脑,就更彻底啦.
嘿嘿!!!玩吧,SB
作者: rardge    时间: 2005-12-16 13:16
呵呵,关键是要了解产品、了解技术,掌握和是否采用是不一样的概念。
知识不能老留在小米加步枪时代啊。
作者: huoran    时间: 2005-12-16 19:58
原帖由 chn2k 于 2005-12-14 22:04 发表
MSN和QQ是我工作的必备工具,我是公司总部的技术支持主管,我们分布在全国各地的FAE兄弟们在客户那里只能用这个跟我保持随时联系、实时提供指导,甚至下了班回了家我也要第一时间打开IM,没了IM无法想象我们前方的 ...



强烈支持。
作者: johnsilver    时间: 2005-12-16 23:06
提示: 作者被禁止或删除 内容自动屏蔽
作者: joefun    时间: 2005-12-17 07:56
什么公司,感觉好像很NB!
作者: soway    时间: 2005-12-18 12:19
提示: 作者被禁止或删除 内容自动屏蔽
作者: passun    时间: 2005-12-18 16:42
把网线拉出来,拧掉它的水晶头,拉住他的根部,手起刀落!唰~~ 的一声.....!!世界就可以安静啦~ 哈哈~ ^哈哈~
作者: mengduo    时间: 2005-12-19 15:21
标题: 呵呵 你老弟什么部门
连it部门都杀, 你老弟不是it部门的? 你们公司管理这个安全不是it部门还有独立部门的?

   其实我想说,你如果能真正封死it部门,那就真是你们的it部门同事太逊了。。。。

    不说别的几种办法,就最简单的利用家里的adsl做一个http 转发都可以轻易避过此类封杀

  除非你们公司访问的目的ip真正就限制在几个或几十个内
作者: supertcy    时间: 2005-12-19 15:52
呵呵,看来lz整个公司都不咋地~
作者: 紫来    时间: 2005-12-20 08:39
原帖由 chn2k 于 2005-12-14 22:04 发表
MSN和QQ是我工作的必备工具,我是公司总部的技术支持主管,我们分布在全国各地的FAE兄弟们在客户那里只能用这个跟我保持随时联系、实时提供指导,甚至下了班回了家我也要第一时间打开IM,没了IM无法想象我们前方的 ...


公司有公司的制度,不要挑战公司的制度,不要挑战老板的权威。
信息安全非常重要,IM在信息安全上来讲是一个非常大的挑战。


你们公司可以使用IM,不代表其他公司就要向你们公司学习。
说白了,你就是做个技术支持的而已,并不涉及到公司的机密,或者说你们公司根本没有什么机密而已,或你们公司根本不注意保密。

老板是白痴?你那么有本事,那你怎么给白痴打工? 你问问在华为的兄弟,手机连支持拍照、无线、蓝牙、红外功能的都不让用,难道说任老板是白痴?还有那么多高科技企业,金融,银行,保险的老板都是白痴。

你家可以用,你就用好了,你鄙视人家做什么,人家公司比你规模小?人家MIS薪水比你低?人家MIS技术比你差?人家老板比你家老板白痴?

[ 本帖最后由 紫来 于 2005-12-20 08:46 编辑 ]
作者: jkit    时间: 2005-12-20 10:23
屏蔽了QQ,MSN,还有ICQ,GTALK,IRC,聊天室,,,你都封了麽?
作者: 紫来    时间: 2005-12-20 11:53
觉得这样堵比较麻烦,干脆用AD指定使用那几个程序加密,然后指定他只能运行这个几个程序。
想强大点部署SMS 2003 SERVER,SMS连98的电脑都可以管制。

[ 本帖最后由 紫来 于 2005-12-20 12:00 编辑 ]
作者: erylily    时间: 2005-12-20 17:09
原帖由 紫来 于 2005-12-20 11:53 发表
觉得这样堵比较麻烦,干脆用AD指定使用那几个程序加密,然后指定他只能运行这个几个程序。
想强大点部署SMS 2003 SERVER,SMS连98的电脑都可以管制。



谢谢兄弟支持,本来就是,IM是很大的麻烦,不过现在好了,有产品可以过滤这些东西了.

PS:桌面管理,我们还是选择了LANDesk,不是SMS,呵呵,这个更顺手些.
作者: kh50    时间: 2005-12-21 11:19
可以理解楼主,公共IM该封的时候就得封,除非你老板不在乎信息被窃取、不在乎员工不务正业。


顺便鄙视那些没事骂街的人,网管只是“执法者”,觉得不爽去找你公司的“立法者”算帐。
作者: anthonyfeng    时间: 2005-12-21 13:24
员工不自觉,老板没选择。大部软件都是可以禁的,最好使用公司内部IM。
作者: soway    时间: 2005-12-21 13:40
提示: 作者被禁止或删除 内容自动屏蔽
作者: 睡着呢    时间: 2005-12-21 17:28
前段时间给客户封IM,出口我用的是一款应用代理型的设备,QQ使用的80和443无法通过协议的RFC检测,设备自己就给拦下了,因为客户要求开放MSN服务,所以我没做测试,我拿代理猎手做了简单的测试,所有验证请求都被拦截下来了。可能我那个客户里面技术高手比较少,暂时还没发现有人能绕过去。
作者: wgmaster    时间: 2005-12-21 22:33
我在软件公司,感触很深。赫赫,必须行政+技术,行政为主,技术为辅
只要跟利益挂上边,就不用怕那些鸟了。
作者: mafa    时间: 2005-12-21 23:43
提示: 作者被禁止或删除 内容自动屏蔽
作者: No.6    时间: 2005-12-22 16:01
还都挺有道理的!

人真难当.家家有本难念的经.
作者: chn2k    时间: 2005-12-24 02:51
按照楼上某些前辈的说法,似乎封了IM,就杜绝了泄密可能了。笑话!关键人物、技术骨干、甚至大半个团队跳槽出走就不会泄密了吗?
封堵IM的目的,依我看主要还是禁止员工在工作时间做那些与工作无关的事。而这一点我前面已经说过,这不是靠封堵IM能解决的事。你人力资源配置得不合理,冗员充斥,工作量不饱满,员工上班没事可作,IM聊天、游戏等等,只能说明管理者、制度的制定者管理水平低下。不琢磨怎么提高管理艺术,只想着封掉IM,是管理者弱智的表现,这样的管理者,称其为SB决不为过。
我前面还说过(我说过吗?),你把现有的人裁掉三分之二,总体工作量不变,每个员工每天的工作干不完,即便是千兆上桌面,你看谁还有时间上IM?
当然,我是最不希望裁员的,无论是否被裁,对我都没任何好处——被裁掉,你还要重新谋职;侥幸留下来,你要分担被裁掉的人留下来的工作量。

[ 本帖最后由 chn2k 于 2005-12-24 03:00 编辑 ]
作者: redaug    时间: 2005-12-24 03:50
你可以使用AD的组策略里的软件限制策略把那些.dll文件都加进去。不就没办法安装了。
使用ISA在ISA中文站把QQ服务器列表都闭掉(注意更新)MSN一样办法。
作者: redaug    时间: 2005-12-24 03:52
实在不行还可以找点启动脚本做判断,然后毙掉。
作者: chn2k    时间: 2005-12-24 05:56
原帖由 紫来 于 2005-12-20 08:39 发表


公司有公司的制度,不要挑战公司的制度,不要挑战老板的权威。
信息安全非常重要,IM在信息安全上来讲是一个非常大的挑战。


你们公司可以使用IM,不代表其他公司就要向你们公司学习。
说白了,你就是做 ...


“公司有公司的制度,不要挑战公司的制度,不要挑战老板的权威。”
——试问:公司的制度没有缺陷吗?“老板的权威”是靠封IM就能建立起来的吗?

“IM在信息安全上来讲是一个非常大的挑战”
——封了IM信息就“安全”了吗?

“你们公司可以使用IM,不代表其他公司就要向你们公司学习。”
——我曾明示或暗示过要其他公司向我们公司学习吗?

“说白了,你就是做个技术支持的而已,并不涉及到公司的机密”
——“做技术支持的”(后面还有“而已”二字)就不涉及公司的机密吗?你做过技术支持(而已)吗?或者,你做过什么级别的技术支持(而已)?“而已”级吗?再或者,战战兢兢地请教一句:“‘技术支持’是啥咚咚呀?”
技术支持可以不知道上游合作厂家是那家吗?可以不知道产品的技术规格吗?我公司刚刚推出的新产品,采用了比别家更先进的技术,在同等报价条件下实现了更强大的功能,或者在功能相近的条件下给出了更低的报价和更优惠的售后服务政策,从而挤掉了竞争对手赢得了订单,这新产品的技术内容算是公司机密吗?别家不想知道吗?我要对新产品做技术支持,我不需要知道吗?

“或者说你们公司根本没有什么机密而已”
——世界上曾经有过没有机密的公司吗?技术含量很低,但它是我公司独有而竞争对手没有的,就不是机密吗?

“或你们公司根本不注意保密”
——你是说开放IM就是不注意保密吗?那么封了IM就能确保不泄密吗?

“老板是白痴?”
——你在问谁?问我吗?什么意思?为什么问我?你是“老板”吗?莫名其妙!

“你那么有本事,那你怎么给白痴打工?”
——打工怎么啦?很丢人吗?很光荣吗?你是“打工”的吗?有本事就不应该打工吗?没本事就该打工吗?老板都很“有本事”吗?“有本事”就一定要当老板吗?“有本事”就一定能当好老板吗?

“你问问在华为的兄弟,手机连支持拍照、无线、蓝牙、红外功能的都不让用,难道说任老板是白痴?”
——不认识华为的兄弟,你说的这个“任老板”就是华为的老大任正非吧。华为作到今天这个地步,好像不应该是靠封IM以及“手机连支持拍照、无线、蓝牙、红外功能的都不让用”才做到的吧。要是这么容易,那你前面问的:‘老板是白痴?’这个问题可能也就比较容易回答了。万一本帖有幸蒙任老板一阅,他会作何感想?

“还有那么多高科技企业,金融,银行,保险的老板都是白痴”
——注意!你这句话后面没有标点符号,很容易让人误解的哟!(比如用问号和用句号或感叹号的语意是不同的哟。BTW,我小学文化程度,不过万幸,我毕业了)

“你家可以用,你就用好了,你鄙视人家做什么”
——我就是鄙视,至少我用IM可以给公司节省大笔的长途电话费(含台湾、香港、美国等国际长途),关键是能即时解决问题。另外,我公司的员工工作量基本饱满,即使不封IM工作时间也几乎无暇闲聊。至少在这一点上,我觉得我公司的管理制度就比那些封IM的公司略胜一筹——至少在这一点上,我鄙视,again!

“人家公司比你规模小?”
——我公司不大不小,我公司不封IM。
不过,这公司大小跟封IM是什么关系?线性关系?指数关系?对数关系?大公司都封IM?还是公司大了就必须封IM?或者小公司要想作大就必须封IM?
说实话,“人家公司”多大我不知道。但是我知道我随时可以跟Intel(我们都说成“英特尔”)公司的技术支持(注意,跟我一样,“技术支持而已”)用MSN交流,除了技术交流,也包括嘘寒问暖圣诞春节之类。这个“英特尔”公司有多大呀?30人?不对?50人?还不对?51人?反正比北京中关村鼎好大厦里租柜台的公司要大一点儿吧,我瞎猜的啊,说错了莫怪。

“人家MIS薪水比你低?”
——我的薪水够养家糊口,同时,我可以上班时随心所欲地用IM。
再有,“MIS”是不是也是个技术工种呀?英特尔的“技术支持(而已)”,他的薪水比你说的这个“MIS”薪水高还是低呀?反正都比我高。
话说回来,这薪水高低跟封IM是什么关系?线性关系?指数关系?对数关系?

“人家MIS技术比你差?”
——我只是个做“技术支持的而已”,而且我不懂你说的“MIS”是什么(看出来了吧,我其实水平很差的)。不过英特尔公司的技术支持比我水平高(英特尔怎么啦,不过是个“技术支持”(哦,差点忘了,后面还有个“而已”)吗?),他可以用MSN随时跟我交流。
哦——扯远了。再问一句:这技术差与好跟封IM是什么关系?线性关系?指数关系?对数关系?

“人家老板比你家老板白痴?”
——我家老板至少在封IM这一点上不白痴,至于别家,让大家各自评价吧。

其实,说来说去无非是如下几点:

作为管理层(老板)同意封堵IM:因为员工在工作时间不务正业,耽误了正常工作,我是老板,我要树立我的威信,我不允许任何人挑战我制定的管理制度(你别管制度是不是合理,你有本事你当老板呀?没本事呀?那你就顺从我的制度吧);

作为公司网管同意封堵IM:因为公司的信息安全很重要,IM是信息安全的重大隐患(最合理最冠冕堂皇的理由)因为这是老板的要求,是老板指派给我的工作(这个理由也说的过去);

作为管理层(老板)默许或鼓励使用IM:因为IM能提高工作效率,降低运作成本。至于泄密的问题,不是只有IM一种途径,封了IM,并不能保证就不泄密。IM和手机、座机电话、红外、蓝牙都不过是手段,没这些,该泄照样泄。你总不能上班时一人发一个脑袋,下班时挨个儿换脑袋吧,或者上下班时每人挨个儿洗脑?

作为公司网管不同意封堵IM:因为这样做技术难度很大且效果不佳,费力不讨好。我如果有能力,就尽力说服高层尽量发挥IM的优势。“没本事”就老老实实“打工”,或者消极抵抗,等着被炒

孰是孰非,大家见仁见智,各抒己见吧。反正谁要是说不让你说话(不含人身攻击及法律禁止及涉及你公司信息安全的话)我跟他(或她)没完!

[ 本帖最后由 chn2k 于 2005-12-24 06:58 编辑 ]
作者: tidezcy    时间: 2005-12-24 10:12
大家在这里都是只讨论技术和管理上的东西,说话的时候要文明点~
作者: 紫来    时间: 2005-12-24 11:29
原帖由 chn2k 于 2005-12-24 05:56 发表


“公司有公司的制度,不要挑战公司的制度,不要挑战老板的权威。”
——试问:公司的制度没有缺陷吗?“老板的权威”是靠封IM就能建立起来的吗?

“IM在信息安全上来讲是一个非常大的挑战”
——封了IM信 ...


懒得理你,你做过信息安全工作吗?如果要你来负责公司的信息安全,那没有什么指望了。

从来就没有人说封IM,就能完全决绝信息安全问题,信息安全是一个非常大的工程,涉及面非常广,楼主只是就其中一点封IM发表一点心得而已。封IM并不能就完全解决信息安全,但是做信息安全必须解决IM的安全隐患。

没有人说华为是封IM成功的,当是华为的信息安全绝对是严格的。

就像有警察并不能防止小偷、抢劫等一系列犯罪问题,按照你的意思既然警察不可以防止一系列犯罪问题,那要警察干什么?

虽然技术不能解决所有问题,当时技术能解决多少就解决多少。

你去做你的技术支持好了,这里讨论的东西不是你欢迎的。
作者: 紫来    时间: 2005-12-24 11:39
和intel技术支持人员MSN聊天能说什么? 还是只能说明你是个技术支持人员而已。
你能随时和intel的研发人员用MSN聊天吗?如果能,那就有问题了。

[ 本帖最后由 紫来 于 2005-12-24 12:12 编辑 ]
作者: erylily    时间: 2005-12-25 14:59
我只是在讲IM屏蔽的一点心得而已,从没有认为屏蔽IM就可以保证信息安全。但IM管理是现在国内外信息安全管理一个热门话题而已。其中最大的问题是QQ,封闭的传输协议导致很多管理工具没有办法,要知道腾讯自己也禁止QQ,只用RTX的。3分技术,7分管理,是信息安全的精髓所在。我们公司的信息安全政策是又我们信息安全部门和人力资源部门,内审部门和法律部门共同拟定和执行的。我们更多来承担技术工作而已,换句话来说,不想把那些违抗政策的直接拉出来就处理,或者说,那些小人物还不值得我们耗费那么多精力。
另外,没有一个在本行业领军的企业不重视信息安全的。IM只是我们一小部分工作而已,贯彻BS7799/ISO1799管理流程是更重要的事情。
作者: tidezcy    时间: 2005-12-26 09:37
原帖由 rardge 于 2005-12-15 18:25 发表


咳咳,悄悄问,你们公司怎么做到的?用什么软件啊?


也只是结合了几个软件,
以前用MDaemon,现在用postfix(邮件控制)
AD
iptables,squid
GFI.LANguard (usb,floppy,cd-rom控制)
mcafee

[ 本帖最后由 tidezcy 于 2005-12-26 09:47 编辑 ]
作者: erylily    时间: 2005-12-26 09:50
原帖由 tidezcy 于 2005-12-26 09:37 发表


也只是结合了几个软件,
以前用MDaemon,现在用postfix(邮件控制)
AD
iptables,squid
GFI.LANguard (usb,floppy,cd-rom控制)
mcafee


GFI有致命伤,进程太明显,如果有本地权限,很容易被杀~

还有好多类似Softether,backdoor的隧道软件,除非in-line 模式的IPS,其它都没什么好办法.
作者: tidezcy    时间: 2005-12-26 10:08
原帖由 erylily 于 2005-12-26 09:50 发表


GFI有致命伤,进程太明显,如果有本地权限,很容易被杀~

还有好多类似Softether,backdoor的隧道软件,除非in-line 模式的IPS,其它都没什么好办法.


确实,对用户权限也控制的很严. 我们boss对这块不舍得投入,但要求又很严,也只能这样.

[ 本帖最后由 tidezcy 于 2005-12-26 10:18 编辑 ]
作者: erylily    时间: 2005-12-26 10:20
原帖由 tidezcy 于 2005-12-26 10:08 发表


确实,对用户权限也控制的很严. 我们boss对这块不舍得投入,但要求又很严,也只能这样.


为什么不用AD?也不贵啊.
加上Landesk,觉得还是不错的.
作者: tidezcy    时间: 2005-12-26 10:28
原帖由 erylily 于 2005-12-26 10:20 发表


为什么不用AD?也不贵啊.
加上Landesk,觉得还是不错的.


用了AD, 现阶段已能满足控制的要求了.
上Landesk或者SMS费用也不便宜吧~
作者: lhccie    时间: 2005-12-26 10:58
原帖由 chn2k 于 2005-12-14 22:04 发表
MSN和QQ是我工作的必备工具,我是公司总部的技术支持主管,我们分布在全国各地的FAE兄弟们在客户那里只能用这个跟我保持随时联系、实时提供指导,甚至下了班回了家我也要第一时间打开IM,没了IM无法想象我们前方的 ...


举双手赞同,靠技术去限制,那还要管理做什么!吃饭呀
作者: tidezcy    时间: 2005-12-26 11:00
原帖由 lhccie 于 2005-12-26 10:58 发表


举双手赞同,靠技术去限制,那还要管理做什么!吃饭呀



说实在的,做这种事是费力不讨好的,并且得罪的人还不少~
作者: erylily    时间: 2005-12-26 11:25
原帖由 tidezcy 于 2005-12-26 11:00 发表



说实在的,做这种事是费力不讨好的,并且得罪的人还不少~



得罪谁啊?公司那么多人,谁认识你啊.一个部门能都认识就不错了.
要怕得罪人,就别做安全了.你不出成绩,哪里有晋升啊~
作者: tidezcy    时间: 2005-12-26 11:30
原帖由 erylily 于 2005-12-26 11:25 发表



得罪谁啊?公司那么多人,谁认识你啊.一个部门能都认识就不错了.
要怕得罪人,就别做安全了.你不出成绩,哪里有晋升啊~


可不是,我们这是一个小工厂来的,百来台PC,用PC的人每个都认识我,很多人我却不叫不名字. 没有LZ的公司大啊~
没办法,要吃饭,得罪人的事也得做了,呵呵~~~
作者: erylily    时间: 2005-12-26 11:40
原帖由 tidezcy 于 2005-12-26 11:30 发表


可不是,我们这是一个小工厂来的,百来台PC,用PC的人每个都认识我,很多人我却不叫不名字. 没有LZ的公司大啊~
没办法,要吃饭,得罪人的事也得做了,呵呵~~~



那是有点麻烦,呵呵,让你主管帮你扛着,呵呵.
作者: 啊奥    时间: 2005-12-26 11:59
楼猪是强人,,,这么干,,
作者: jmyao    时间: 2005-12-26 12:06
同意,LZ脑子被枪打了,还好意思拿出来讲
作者: tidezcy    时间: 2005-12-26 12:13
原帖由 jmyao 于 2005-12-26 12:06 发表
同意,LZ脑子被枪打了,还好意思拿出来讲


对安全要求高的公司都有这方面的要求的~
作者: tidezcy    时间: 2005-12-26 12:14
原帖由 erylily 于 2005-12-26 11:40 发表



那是有点麻烦,呵呵,让你主管帮你扛着,呵呵.



那还得自己扛着~
作者: spiceboy    时间: 2005-12-27 13:35

tom的web聊天室,80端口的,上去聊聊爽死了,还要什么im啊。
人家不乐意卖命工作,就要混日子,你拔他的网线也没用啊。
另外,封im和信息安全有什么关系?
如果我需要把机密资料带出去,发到一个https协议的信箱里不就行了吗?你解密https128位加密后监控?
你要真想搞机密,就别接入internet,上班下班各搜一次身。否则就别谈保密工作。
作者: bigmeg    时间: 2005-12-27 14:06
现在工作都这样,能有什么办法呢
作者: dinner3000    时间: 2005-12-28 22:40
鄙视~~竟然要靠这种手段来保证员工的工作效率~~~~这样的公司真是烂~~~~~~
作者: tianrenly    时间: 2005-12-29 10:07
标题: 一切靠自觉才能有创新和发展!
一切靠自觉才能有创新和发展!   不然死水一潭!
作者: tidezcy    时间: 2005-12-29 10:45
原帖由 spiceboy 于 2005-12-27 13:35 发表

tom的web聊天室,80端口的,上去聊聊爽死了,还要什么im啊。
人家不乐意卖命工作,就要混日子,你拔他的网线也没用啊。
另外,封im和信息安全有什么关系?
如果我需要把机密资料带出去,发到一个htt ...


这也是没有更好办法的办法啊~
作者: xxgsky    时间: 2005-12-29 11:23
呵呵,能查出别人聊MSN或QQ的内容吗?
作者: easthh    时间: 2005-12-30 12:47
在中国内部的master route上把美国的msn 网关地址指到一个错误的地址不就可以了。
不过我不赞成封这些东西,更不支持监控IM内容。
作者: redhat68    时间: 2005-12-31 12:48
我并不认为楼主是错误的,首先:我们都犯了个误区,制度一旦制定,是必须要执行的,而不是在自己的头脑里随意篡改的;二、公司在每天上班的8个小时内,你已经卖给公司了,上不上im由公司定,这并不会妨碍你的工作;三、每个公司都有自己的特殊情况,不让上im本身不代表错误,在有些单位甚至还是正确的;四、封im作为一项技术,本身是可以拿来讨论的;五、可以看得出,楼主们的公司不是个小公司,对公司制定这样的规定肯定有他们的道理,如果有人觉得这样太严格或者不讲道理,你可以换家单位,对公司和你个人来说,这都没有错误。
比如麦当劳对店里的每一位员工都有硬性规定,上岗前必须洗手,且有六个程序,每个程序都要严格执行。你会不会想,不就是洗手嘛,干吗要这么严格?如果你在一个一般的餐馆,也许不用洗手就可以上台,你觉得麦当劳做的有问题么?
作者: Fancy05    时间: 2005-12-31 13:12
原帖由 chn2k 于 2005-12-24 02:51 发表
按照楼上某些前辈的说法,似乎封了IM,就杜绝了泄密可能了。笑话!关键人物、技术骨干、甚至大半个团队跳槽出走就不会泄密了吗?
封堵IM的目的,依我看主要还是禁止员工在工作时间做那些与工作无关的事。而这一点 ...


我支持你, 搞管理的没有把重点放对地方, 用 和绅 的斗人方式作为管理的技巧, 不去真正释放员工的工作积极性和创造性.
被监视的员工不会把企业当自己真正的家, 不可能真正卖力工作.

我羡慕你的工作环境, 但决大部分中国公司都是这样在管理, 外国公司好一些.
作者: pansin    时间: 2005-12-31 13:34
原帖由 erylily 于 2005-11-14 10:59 发表
不知道楼上的大牛现在薪水如何啊~
说实在的,中国员工的整体素质真的不敢恭维啊,每月的websense 报告就可以看出来了.

看到又如何,你们自己不是也一样,利用手中的特权肆意妄为,IM软件利大于弊,关键在于疏导而不是封堵。看你们一个公司的报告,说中国员工的素质,未免狭隘,怪只怪你们人力资源有问题,找的人素质都不高,感觉你的思维挺BT,素质也不怎么的。
作者: haohaoo    时间: 2005-12-31 16:32
ISA2005里面可以屏蔽掉msn的,根据包去过滤的,用代理也没用的
作者: xue-feng    时间: 2006-01-03 10:47
原帖由 erylily 于 2005-11-7 17:06 发表
是美国总部那边有MSN网关(美国总部是允许MSN的) ...


.....
作者: erylily    时间: 2006-01-05 11:43
原帖由 xue-feng 于 2006-1-3 10:47 发表


.....



文化不同~标准也不能完全相同~
作者: nhxingliang    时间: 2006-01-05 12:01
原帖由 litrin 于 2005-12-15 12:34 发表
能封我也不封,会封我也当不会封。



就是,俺就不封。。。。。。。。。。。。。。

让他们用呀,我觉得没有那个必要。。。。。。。。。
作者: East_Lee    时间: 2006-01-06 14:48
屏蔽MSN,你要挨个屏蔽在各地的服务器,这样的事情太没有必要去做了,防民之手甚于防川,防你是防不住的。全公司的人都会恨你一辈子的。
作者: b.s.d    时间: 2006-01-10 09:39
原帖由 East_Lee 于 2006-1-6 14:48 发表
屏蔽MSN,你要挨个屏蔽在各地的服务器,这样的事情太没有必要去做了,防民之手甚于防川,防你是防不住的。全公司的人都会恨你一辈子的。

说的好!
作者: liaosnet    时间: 2006-01-10 09:47
说句实在话,你网络做得再好,如果网内出现拨号上网你也管不到!也决不会有记录的。
能确保网内没有外连吗?基本不能!
作者: erylily    时间: 2006-01-10 09:55
原帖由 liaosnet 于 2006-1-10 09:47 发表
说句实在话,你网络做得再好,如果网内出现拨号上网你也管不到!也决不会有记录的。
能确保网内没有外连吗?基本不能!


说话不要这么绝对,拨号上网?我绝对敢说没有可能,没有电话线,哪来拨号上网?



欢迎光临 Chinaunix (http://bbs.chinaunix.net/) Powered by Discuz! X3.2