看到好多XD都在为封堵IM软件发愁,其实IM软件太影响员工工作效率了,呵呵。
偶在公司经过一段时间摸索,总结出一点心得,想跟大家分享一下。希望给大家一些借鉴啦。
偶们公司全国各地都通过专线连接到总部,只有总部有INTERNET出口,一共5000+台PC通过这里出去,通过HTTP代理,使用ISA+WEBSENCE,防火墙关闭了80和443之外的所有端口。WEBSENCE是个好东西,可以生成详细的报表,供偶们信息安全部门分析员工访问INTERNET情况,并且过滤很多地址,包括防火墙杀手Http-tunnel的地址.QQ的地址有限,很容易屏蔽掉,MSN是标准软件,websence也屏蔽的很好。
不幸的是,每天发现IPS上还有很多MSN的流量,观测好几天才知道,是美国总部那边有MSN网关(美国总部是允许MSN的)。MSN竟然能自己找到那个网关地址,偶们大汗~~~因为不能关闭通往美国的路由,没办法,只能从别的方面下手了。
公司所有电脑加入了AD,集中管理很方便,修改了LOCAL ADMINSTRATOR的名称和密码,一般部门的人是不会拥有ADMIN权限的,安全IM就没有可能,最头痛的就是IT部门和一些配置NB的部门和老板,他们基本都有LOCAL ADMIN的权限。
公司标准PC是安装McAfee的杀毒软件和ePO,利用EPO集中管理Agent的能力,偶把msn和qq启动必须加载的dll文件9(msn 是msgslang.dll,msidcrl.dll,QQ是Basicctrldll.dll),定义为病毒,当MSN和QQ启动时,该DLL被杀,程序无法使用。
但是,IT部门很多人就发现了这个问题,擅自停掉了EPO(感觉没有IM,他们都活不了了),还好,所有成功登陆的事件会被IPS记录,利用最后终极杀手涧,行政处罚~
呵呵,忙碌了将近两个月,终于算基本解决了这个IM的问题,个人感觉,偶们还是信息安全政策做的不足,不然完全不必这么狼狈,比如权限分配合理点,行政手段跟进快一些,也许就不是现在这个样子了。
seven007 回复于:2005-11-11 16:25:26
Very Good! add to favorite
ipaddr 回复于:2005-11-12 19:09:15
网管们怎么都干些这样的事,不自由呀.
感觉受人监视,不爽.
不让上QQ的公司,我一般不去的,除非工资给我翻一倍.
:)
PKkingSon 回复于:2005-11-14 09:54:59
同意楼上!
erylily 回复于:2005-11-14 10:59:37
不知道楼上的大牛现在薪水如何啊~
说实在的,中国员工的整体素质真的不敢恭维啊,每月的websense 报告就可以看出来了.
bingosek 回复于:2005-11-14 11:20:08
你可以在isa上把msn网关屏蔽掉
erylily 回复于:2005-11-14 16:47:54
引用:原帖由 bingosek 于 2005-11-14 11:20 发表
你可以在isa上把msn网关屏蔽掉
哪里有这么简单啊,好多人都用代理,甚至Softether等等,纯技术方法根本解决不了
plumlee 回复于:2005-11-15 13:28:05
行政手段是最有效的。
tidezcy 回复于:2005-11-15 15:44:28
引用:原帖由 erylily 于 2005-11-14 16:47 发表
哪里有这么简单啊,好多人都用代理,甚至Softether等等,纯技术方法根本解决不了
如把代理类的地址都限制了,就没问题了吧.
LZ是在有钱的公司啊!
zcwhy 回复于:2005-11-16 09:59:27
如果行政处分能生效的话,我们根本就不用做那么多东西,直接检查,查到就PK。
erylily 回复于:2005-11-16 10:12:02
引用:原帖由 tidezcy 于 2005-11-15 15:44 发表
如把代理类的地址都限制了,就没问题了吧.
LZ是在有钱的公司啊!
基于Tunnel技术的东东地址很多,而且是个人的,没的封啊.
IPS能抓到它们,但是因为不是In-line Model,封不了这样的包,哎.
zhangzzs 回复于:2005-11-16 22:35:57
行政手段是最有效的手段了,当然这是在管理跟的上的公司。
carrison 回复于:2005-11-17 09:28:36
MSN based web 怎么封啊:-)
carrison 回复于:2005-11-17 10:01:20
Mcafee就是比norton强,但也比Norton复杂,呵呵
tidezcy 回复于:2005-11-17 15:56:56
mcafee好用
tidezcy 回复于:2005-11-17 16:02:38
引用:原帖由 erylily 于 2005-11-16 10:12 发表
基于Tunnel技术的东东地址很多,而且是个人的,没的封啊.
IPS能抓到它们,但是因为不是In-line Model,封不了这样的包,哎.
对客户端限制得更严一点吗,只允许已知目的IP的连接出去.
mafa 回复于:2005-11-17 18:24:31
mcafee杀加了壳的木马相当牛,norton基本上一个都杀不出来。
羡慕lz啊,我们这里连领导都聊qq、玩游戏怎么能限制员工不玩呢?不过这样网管就省了很多事。
erylily 回复于:2005-11-18 09:34:14
引用:原帖由 tidezcy 于 2005-11-17 16:02 发表
对客户端限制得更严一点吗,只允许已知目的IP的连接出去.
5000多客户端,时不时IP还会更换,怎么限制IP呢.
tidezcy 回复于:2005-11-18 11:39:04
引用:原帖由 erylily 于 2005-11-18 09:34 发表
5000多客户端,时不时IP还会更换,怎么限制IP呢.
5000多客户端 羡慕lz
zhangshoug 回复于:2005-11-18 13:34:16
引用:原帖由 erylily 于 2005-11-18 09:34 发表
5000多客户端,时不时IP还会更换,怎么限制IP呢.
不是让你限制客户端的ip,是限制客户端能到达的ip.
指定一些工作中要用到的网站,除了指定的那几个站,别的地方都不让去。
erylily 回复于:2005-11-18 13:42:34
引用:原帖由 zhangshoug 于 2005-11-18 13:34 发表
不是让你限制客户端的ip,是限制客户端能到达的ip.
指定一些工作中要用到的网站,除了指定的那几个站,别的地方都不让去。
汗,要是这样就好了.
偶们不是IT公司,各个部门什么需求都有,我们只能限制不能去的网站,哪里敢限制只允许他们去特定的站点啊.
qufo 回复于:2005-12-01 01:10:37
引用:原帖由 plumlee 于 2005-11-15 13:28 发表
行政手段是最有效的。
终于看到意见一致的。
有多少DX讨论如何禁Q,其实行政手段最好做。
yatle 回复于:2005-12-01 01:16:13
看了白天才知道"LZ"是楼主的意思..faint
xwzss 回复于:2005-12-01 12:35:02
:) 楼上的你在CU白混两年了。。。
liaosnet 回复于:2005-12-01 17:10:17
这样的公司活得有意思吗?!
不过还是比不上国内的某些公司必须装个软件(不管你开不开,只要你下次接到公司网络):只能收邮件,FTP!其他的OUT,连用USB接口都记录在案!!呵呵~~怎么样,比楼主公司牛吧!!
对于这个,楼主的可算是~~~~小猫见到大猫了吧~~哈哈
tidezcy 回复于:2005-12-02 12:44:11
引用:原帖由 liaosnet 于 2005-12-1 17:10 发表
这样的公司活得有意思吗?!
不过还是比不上国内的某些公司必须装个软件(不管你开不开,只要你下次接到公司网络):只能收邮件,FTP!其他的OUT,连用USB接口都记录在案!!呵呵~~怎么样,比楼主公司牛吧!!
...
我们就是这样做的,包括外发邮件都是有限制的,只能输入到电脑,要从电脑拿出东西都是不行的~~
phantasm006 回复于:2005-12-02 17:05:59
用过一款设备:网康互联网控制网关,封堵IM效果不错
www.netentsec.com
shimu 回复于:2005-12-03 14:59:53
引用:原帖由 liaosnet 于 2005-12-1 17:10 发表
这样的公司活得有意思吗?!
不过还是比不上国内的某些公司必须装个软件(不管你开不开,只要你下次接到公司网络):只能收邮件,FTP!其他的OUT,连用USB接口都记录在案!!呵呵~~怎么样,比楼主公司牛吧!!
...
习惯了。:D
erylily 回复于:2005-12-05 14:30:15
引用:原帖由 liaosnet 于 2005-12-1 17:10 发表
这样的公司活得有意思吗?!
不过还是比不上国内的某些公司必须装个软件(不管你开不开,只要你下次接到公司网络):只能收邮件,FTP!其他的OUT,连用USB接口都记录在案!!呵呵~~怎么样,比楼主公司牛吧!!
...
汗,偶也没准备跟谁比啊。只是分享一下心得而已.而且偶们不是IT公司,也不是金融公司,也不需要十分严格.
HSBC,IBM,华为都做的很严,我们跟他们是没的比的.
现在国内信息安全还没有形成气候,顶多Focus在技术层面,其实管理更重要.尤其对于非IT公司.
youth219443 回复于:2005-12-09 16:19:14
bucuo
szbright 回复于:2005-12-10 00:25:07
我知道hw和cisco两个做网络的公司里只能用email和ftp,
呵呵,的确,国内的用户还没有达到对网络严格控制的阶段。
bbjmmj 回复于:2005-12-11 00:28:45
封MSN、QQ不是啥难事吧?SQUID代理很容易搞定。
引用:原帖由 erylily 于 2005-11-7 17:06 发表
看到好多XD都在为封堵IM软件发愁,其实IM软件太影响员工工作效率了,呵呵。
偶在公司经过一段时间摸索,总结出一点心得,想跟大家分享一下。希望给大家一些借鉴啦。
偶们公司全国各地都通过专线连接到总部,只有 ...
erylily 回复于:2005-12-12 14:41:58
引用:原帖由 bbjmmj 于 2005-12-11 00:28 发表
封MSN、QQ不是啥难事吧?SQUID代理很容易搞定。
不要想这么简单啊,很多人用Tunnel出去,虽然我们只开80端口,它照样穿过去.
SunGod 回复于:2005-12-14 20:12:35
Http-tunnel你封不了吧,老大!
chn2k 回复于:2005-12-14 22:04:55
MSN和QQ是我工作的必备工具,我是公司总部的技术支持主管,我们分布在全国各地的FAE兄弟们在客户那里只能用这个跟我保持随时联系、实时提供指导,甚至下了班回了家我也要第一时间打开IM,没了IM无法想象我们前方的FAE怎么高效地开展工作,那种在用户现场遇到问题叫天不应叫地不灵一边还要看用户的白眼听用户的冷言的感觉,没经历过你是不会有深刻体会的——别跟我说用电话、手机,IM可以实时传播大段的文字、图片甚至传驱动程序,电话、手机办得到吗?我们的一个合作伙伴甚至规定全公司员工必须使用MSN以随时保持联系。那些千方百计封堵员工使用IM的公司,本人强烈BS,员工在工作时段内有闲暇聊天扯淡只能说明公司人浮于事,是管理层人力资源规划的失败,你试试裁员三分之二工作量不变,不封IM,还会有人用IM闲聊扯淡吗?SB!而且封堵不是根本的解决办法,你封了QQ、封了MSN,我照样可以煲电话粥呀。
用IM还有一个最直接的好处就是可以节约高额的长途电话费。
如果你是公司的IT,你应当力劝决策者怎么发挥IM的优势而不是惟命是从!因为高层是SB,而你不是!!!
阿辉 回复于:2005-12-15 10:26:43
引用:原帖由 ipaddr 于 2005-11-12 19:09 发表
网管们怎么都干些这样的事,不自由呀.
感觉受人监视,不爽.
不让上QQ的公司,我一般不去的,除非工资给我翻一倍.
:)
同意,我上一家就不让上,我做完一个月就跑了。感觉是非常不爽。
litrin 回复于:2005-12-15 12:34:04
能封我也不封,会封我也当不会封。
johndoe 回复于:2005-12-15 13:55:29
强烈同意楼上的..几十年前的中国什么电话,电脑什么都没有..工作效率也奇差..对楼主还把这种封IM拿出来说,而不是正确引导和使用IM,强烈BS..。跟古时候有一个君王不许人民用刀的样子,怕人民造反..彼有点SB的味道...
jiekechoo 回复于:2005-12-15 17:11:31
N多人在背后骂网管
rardge 回复于:2005-12-15 18:25:49
引用:原帖由 tidezcy 于 2005-12-2 12:44 发表
我们就是这样做的,包括外发邮件都是有限制的,只能输入到电脑,要从电脑拿出东西都是不行的~~
咳咳,悄悄问,你们公司怎么做到的?用什么软件啊?
chn2k 回复于:2005-12-15 23:16:57
引用:原帖由 rardge 于 2005-12-15 18:25 发表
咳咳,悄悄问,你们公司怎么做到的?用什么软件啊?
kao! 这个呀,too easy! 你让员工的办公电脑没软驱,没光驱,没USB......咳,干脆让员工都用tmd无盘站不就得啦,服务器也不联外网,不就全省心啦.最好别给员工用电脑,就更彻底啦.
嘿嘿!!!玩吧,SB
rardge 回复于:2005-12-16 13:16:36
呵呵,关键是要了解产品、了解技术,掌握和是否采用是不一样的概念。
知识不能老留在小米加步枪时代啊。
huoran 回复于:2005-12-16 19:58:58
引用:原帖由 chn2k 于 2005-12-14 22:04 发表
MSN和QQ是我工作的必备工具,我是公司总部的技术支持主管,我们分布在全国各地的FAE兄弟们在客户那里只能用这个跟我保持随时联系、实时提供指导,甚至下了班回了家我也要第一时间打开IM,没了IM无法想象我们前方的 ...
好
强烈支持。
johnsilver 回复于:2005-12-16 23:06:20
错,终极杀手锏是切断internet,呵呵
joefun 回复于:2005-12-17 07:56:20
什么公司,感觉好像很NB!
soway 回复于:2005-12-18 12:19:07
引用:原帖由 chn2k 于 2005-12-14 22:04 发表
MSN和QQ是我工作的必备工具,我是公司总部的技术支持主管,我们分布在全国各地的FAE兄弟们在客户那里只能用这个跟我保持随时联系、实时提供指导,甚至下了班回了家我也要第一时间打开IM,没了IM无法想象我们前方的 ...
注意行业不同,你不能用自己的情况去强迫别人怎么样。
给你举一个简单例子:SMIC这样的公司,如果他们内部,特别是做设计部分,可以随便上QQ,我敢肯定,任何一个客户去看了就马上走了。
passun 回复于:2005-12-18 16:42:54
把网线拉出来,拧掉它的水晶头,拉住他的根部,手起刀落!唰~~ 的一声.....!!世界就可以安静啦~ 哈哈~ ^哈哈~
mengduo 回复于:2005-12-19 15:21:34
连it部门都杀, 你老弟不是it部门的? 你们公司管理这个安全不是it部门还有独立部门的?
其实我想说,你如果能真正封死it部门,那就真是你们的it部门同事太逊了。。。。
不说别的几种办法,就最简单的利用家里的adsl做一个http 转发都可以轻易避过此类封杀
除非你们公司访问的目的ip真正就限制在几个或几十个内
supertcy 回复于:2005-12-19 15:52:46
呵呵,看来lz整个公司都不咋地~
紫来 回复于:2005-12-20 08:39:50
引用:原帖由 chn2k 于 2005-12-14 22:04 发表
MSN和QQ是我工作的必备工具,我是公司总部的技术支持主管,我们分布在全国各地的FAE兄弟们在客户那里只能用这个跟我保持随时联系、实时提供指导,甚至下了班回了家我也要第一时间打开IM,没了IM无法想象我们前方的 ...
公司有公司的制度,不要挑战公司的制度,不要挑战老板的权威。
信息安全非常重要,IM在信息安全上来讲是一个非常大的挑战。
你们公司可以使用IM,不代表其他公司就要向你们公司学习。
说白了,你就是做个技术支持的而已,并不涉及到公司的机密,或者说你们公司根本没有什么机密而已,或你们公司根本不注意保密。
老板是白痴?你那么有本事,那你怎么给白痴打工? 你问问在华为的兄弟,手机连支持拍照、无线、蓝牙、红外功能的都不让用,难道说任老板是白痴?还有那么多高科技企业,金融,银行,保险的老板都是白痴。
你家可以用,你就用好了,你鄙视人家做什么,人家公司比你规模小?人家MIS薪水比你低?人家MIS技术比你差?人家老板比你家老板白痴?
[ 本帖最后由 紫来 于 2005-12-20 08:46 编辑 ]
jkit 回复于:2005-12-20 10:23:38
屏蔽了QQ,MSN,还有ICQ,GTALK,IRC,聊天室,,,你都封了麽?
紫来 回复于:2005-12-20 11:53:09
觉得这样堵比较麻烦,干脆用AD指定使用那几个程序加密,然后指定他只能运行这个几个程序。
想强大点部署SMS 2003 SERVER,SMS连98的电脑都可以管制。
[ 本帖最后由 紫来 于 2005-12-20 12:00 编辑 ]
erylily 回复于:2005-12-20 17:09:07
引用:原帖由 紫来 于 2005-12-20 11:53 发表
觉得这样堵比较麻烦,干脆用AD指定使用那几个程序加密,然后指定他只能运行这个几个程序。
想强大点部署SMS 2003 SERVER,SMS连98的电脑都可以管制。
谢谢兄弟支持,本来就是,IM是很大的麻烦,不过现在好了,有产品可以过滤这些东西了.
PS:桌面管理,我们还是选择了LANDesk,不是SMS,呵呵,这个更顺手些.
kh50 回复于:2005-12-21 11:19:01
可以理解楼主,公共IM该封的时候就得封,除非你老板不在乎信息被窃取、不在乎员工不务正业。
顺便鄙视那些没事骂街的人,网管只是“执法者”,觉得不爽去找你公司的“立法者”算帐。
anthonyfeng 回复于:2005-12-21 13:24:34
员工不自觉,老板没选择。大部软件都是可以禁的,最好使用公司内部IM。
soway 回复于:2005-12-21 13:40:29
我说过了,这个看情况。
我比较中立的态度,技术只是实现手段。
睡着呢 回复于:2005-12-21 17:28:35
前段时间给客户封IM,出口我用的是一款应用代理型的设备,QQ使用的80和443无法通过协议的RFC检测,设备自己就给拦下了,因为客户要求开放MSN服务,所以我没做测试,我拿代理猎手做了简单的测试,所有验证请求都被拦截下来了。可能我那个客户里面技术高手比较少,暂时还没发现有人能绕过去。
wgmaster 回复于:2005-12-21 22:33:19
我在软件公司,感触很深。赫赫,必须行政+技术,行政为主,技术为辅
只要跟利益挂上边,就不用怕那些鸟了。
mafa 回复于:2005-12-21 23:43:35
一些宽松的外企,尤其是欧美的公司是允许IM的,这样比较容易沟通。
No.6 回复于:2005-12-22 16:01:22
还都挺有道理的!
人真难当.家家有本难念的经.
chn2k 回复于:2005-12-24 02:51:04
按照楼上某些前辈的说法,似乎封了IM,就杜绝了泄密可能了。笑话!关键人物、技术骨干、甚至大半个团队跳槽出走就不会泄密了吗?
封堵IM的目的,依我看主要还是禁止员工在工作时间做那些与工作无关的事。而这一点我前面已经说过,这不是靠封堵IM能解决的事。你人力资源配置得不合理,冗员充斥,工作量不饱满,员工上班没事可作,IM聊天、游戏等等,只能说明管理者、制度的制定者管理水平低下。不琢磨怎么提高管理艺术,只想着封掉IM,是管理者弱智的表现,这样的管理者,称其为SB决不为过。
我前面还说过(我说过吗?),你把现有的人裁掉三分之二,总体工作量不变,每个员工每天的工作干不完,即便是千兆上桌面,你看谁还有时间上IM?
当然,我是最不希望裁员的,无论是否被裁,对我都没任何好处——被裁掉,你还要重新谋职;侥幸留下来,你要分担被裁掉的人留下来的工作量。
[ 本帖最后由 chn2k 于 2005-12-24 03:00 编辑 ]
redaug 回复于:2005-12-24 03:50:55
你可以使用AD的组策略里的软件限制策略把那些.dll文件都加进去。不就没办法安装了。
使用ISA在ISA中文站把QQ服务器列表都闭掉(注意更新)MSN一样办法。
redaug 回复于:2005-12-24 03:52:14
实在不行还可以找点启动脚本做判断,然后毙掉。
chn2k 回复于:2005-12-24 05:56:38
引用:原帖由 紫来 于 2005-12-20 08:39 发表
公司有公司的制度,不要挑战公司的制度,不要挑战老板的权威。
信息安全非常重要,IM在信息安全上来讲是一个非常大的挑战。
你们公司可以使用IM,不代表其他公司就要向你们公司学习。
说白了,你就是做 ...
“公司有公司的制度,不要挑战公司的制度,不要挑战老板的权威。”
——试问:公司的制度没有缺陷吗?“老板的权威”是靠封IM就能建立起来的吗?
“IM在信息安全上来讲是一个非常大的挑战”
——封了IM信息就“安全”了吗?
“你们公司可以使用IM,不代表其他公司就要向你们公司学习。”
——我曾明示或暗示过要其他公司向我们公司学习吗?
“说白了,你就是做个技术支持的而已,并不涉及到公司的机密”
——“做技术支持的”(后面还有“而已”二字)就不涉及公司的机密吗?你做过技术支持(而已)吗?或者,你做过什么级别的技术支持(而已)?“而已”级吗?再或者,战战兢兢地请教一句:“‘技术支持’是啥咚咚呀?”
技术支持可以不知道上游合作厂家是那家吗?可以不知道产品的技术规格吗?我公司刚刚推出的新产品,采用了比别家更先进的技术,在同等报价条件下实现了更强大的功能,或者在功能相近的条件下给出了更低的报价和更优惠的售后服务政策,从而挤掉了竞争对手赢得了订单,这新产品的技术内容算是公司机密吗?别家不想知道吗?我要对新产品做技术支持,我不需要知道吗?
“或者说你们公司根本没有什么机密而已”
——世界上曾经有过没有机密的公司吗?技术含量很低,但它是我公司独有而竞争对手没有的,就不是机密吗?
“或你们公司根本不注意保密”
——你是说开放IM就是不注意保密吗?那么封了IM就能确保不泄密吗?
“老板是白痴?”
——你在问谁?问我吗?什么意思?为什么问我?你是“老板”吗?莫名其妙!
“你那么有本事,那你怎么给白痴打工?”
——打工怎么啦?很丢人吗?很光荣吗?你是“打工”的吗?有本事就不应该打工吗?没本事就该打工吗?老板都很“有本事”吗?“有本事”就一定要当老板吗?“有本事”就一定能当好老板吗?
“你问问在华为的兄弟,手机连支持拍照、无线、蓝牙、红外功能的都不让用,难道说任老板是白痴?”
——不认识华为的兄弟,你说的这个“任老板”就是华为的老大任正非吧。华为作到今天这个地步,好像不应该是靠封IM以及“手机连支持拍照、无线、蓝牙、红外功能的都不让用”才做到的吧。要是这么容易,那你前面问的:‘老板是白痴?’这个问题可能也就比较容易回答了。万一本帖有幸蒙任老板一阅,他会作何感想?
“还有那么多高科技企业,金融,银行,保险的老板都是白痴”
——注意!你这句话后面没有标点符号,很容易让人误解的哟!(比如用问号和用句号或感叹号的语意是不同的哟。BTW,我小学文化程度,不过万幸,我毕业了)
“你家可以用,你就用好了,你鄙视人家做什么”
——我就是鄙视,至少我用IM可以给公司节省大笔的长途电话费(含台湾、香港、美国等国际长途),关键是能即时解决问题。另外,我公司的员工工作量基本饱满,即使不封IM工作时间也几乎无暇闲聊。至少在这一点上,我觉得我公司的管理制度就比那些封IM的公司略胜一筹——至少在这一点上,我鄙视,again!
“人家公司比你规模小?”
——我公司不大不小,我公司不封IM。
不过,这公司大小跟封IM是什么关系?线性关系?指数关系?对数关系?大公司都封IM?还是公司大了就必须封IM?或者小公司要想作大就必须封IM?
说实话,“人家公司”多大我不知道。但是我知道我随时可以跟Intel(我们都说成“英特尔”)公司的技术支持(注意,跟我一样,“技术支持而已”)用MSN交流,除了技术交流,也包括嘘寒问暖圣诞春节之类。这个“英特尔”公司有多大呀?30人?不对?50人?还不对?51人?反正比北京中关村鼎好大厦里租柜台的公司要大一点儿吧,我瞎猜的啊,说错了莫怪。
“人家MIS薪水比你低?”
——我的薪水够养家糊口,同时,我可以上班时随心所欲地用IM。
再有,“MIS”是不是也是个技术工种呀?英特尔的“技术支持(而已)”,他的薪水比你说的这个“MIS”薪水高还是低呀?反正都比我高。
话说回来,这薪水高低跟封IM是什么关系?线性关系?指数关系?对数关系?
“人家MIS技术比你差?”
——我只是个做“技术支持的而已”,而且我不懂你说的“MIS”是什么(看出来了吧,我其实水平很差的)。不过英特尔公司的技术支持比我水平高(英特尔怎么啦,不过是个“技术支持”(哦,差点忘了,后面还有个“而已”)吗?),他可以用MSN随时跟我交流。
哦——扯远了。再问一句:这技术差与好跟封IM是什么关系?线性关系?指数关系?对数关系?
“人家老板比你家老板白痴?”
——我家老板至少在封IM这一点上不白痴,至于别家,让大家各自评价吧。
其实,说来说去无非是如下几点:
作为管理层(老板)同意封堵IM:因为员工在工作时间不务正业,耽误了正常工作,我是老板,我要树立我的威信,我不允许任何人挑战我制定的管理制度(你别管制度是不是合理,你有本事你当老板呀?没本事呀?那你就顺从我的制度吧);
作为公司网管同意封堵IM:因为公司的信息安全很重要,IM是信息安全的重大隐患(最合理最冠冕堂皇的理由)因为这是老板的要求,是老板指派给我的工作(这个理由也说的过去);
作为管理层(老板)默许或鼓励使用IM:因为IM能提高工作效率,降低运作成本。至于泄密的问题,不是只有IM一种途径,封了IM,并不能保证就不泄密。IM和手机、座机电话、红外、蓝牙都不过是手段,没这些,该泄照样泄。你总不能上班时一人发一个脑袋,下班时挨个儿换脑袋吧,或者上下班时每人挨个儿洗脑?
作为公司网管不同意封堵IM:因为这样做技术难度很大且效果不佳,费力不讨好。我如果有能力,就尽力说服高层尽量发挥IM的优势。“没本事”就老老实实“打工”,或者消极抵抗,等着被炒
孰是孰非,大家见仁见智,各抒己见吧。反正谁要是说不让你说话(不含人身攻击及法律禁止及涉及你公司信息安全的话)我跟他(或她)没完!
[ 本帖最后由 chn2k 于 2005-12-24 06:58 编辑 ]
tidezcy 回复于:2005-12-24 10:12:12
大家在这里都是只讨论技术和管理上的东西,说话的时候要文明点~
紫来 回复于:2005-12-24 11:29:19
引用:原帖由 chn2k 于 2005-12-24 05:56 发表
“公司有公司的制度,不要挑战公司的制度,不要挑战老板的权威。”
——试问:公司的制度没有缺陷吗?“老板的权威”是靠封IM就能建立起来的吗?
“IM在信息安全上来讲是一个非常大的挑战”
——封了IM信 ...
懒得理你,你做过信息安全工作吗?如果要你来负责公司的信息安全,那没有什么指望了。
从来就没有人说封IM,就能完全决绝信息安全问题,信息安全是一个非常大的工程,涉及面非常广,楼主只是就其中一点封IM发表一点心得而已。封IM并不能就完全解决信息安全,但是做信息安全必须解决IM的安全隐患。
没有人说华为是封IM成功的,当是华为的信息安全绝对是严格的。
就像有警察并不能防止小偷、抢劫等一系列犯罪问题,按照你的意思既然警察不可以防止一系列犯罪问题,那要警察干什么?
虽然技术不能解决所有问题,当时技术能解决多少就解决多少。
你去做你的技术支持好了,这里讨论的东西不是你欢迎的。
紫来 回复于:2005-12-24 11:39:13
和intel技术支持人员MSN聊天能说什么? 还是只能说明你是个技术支持人员而已。
你能随时和intel的研发人员用MSN聊天吗?如果能,那就有问题了。
[ 本帖最后由 紫来 于 2005-12-24 12:12 编辑 ]
erylily 回复于:2005-12-25 14:59:41
我只是在讲IM屏蔽的一点心得而已,从没有认为屏蔽IM就可以保证信息安全。但IM管理是现在国内外信息安全管理一个热门话题而已。其中最大的问题是QQ,封闭的传输协议导致很多管理工具没有办法,要知道腾讯自己也禁止QQ,只用RTX的。3分技术,7分管理,是信息安全的精髓所在。我们公司的信息安全政策是又我们信息安全部门和人力资源部门,内审部门和法律部门共同拟定和执行的。我们更多来承担技术工作而已,换句话来说,不想把那些违抗政策的直接拉出来就处理,或者说,那些小人物还不值得我们耗费那么多精力。
另外,没有一个在本行业领军的企业不重视信息安全的。IM只是我们一小部分工作而已,贯彻BS7799/ISO1799管理流程是更重要的事情。
tidezcy 回复于:2005-12-26 09:37:14
引用:原帖由 rardge 于 2005-12-15 18:25 发表
咳咳,悄悄问,你们公司怎么做到的?用什么软件啊?
也只是结合了几个软件,
以前用MDaemon,现在用postfix(邮件控制)
AD
iptables,squid
GFI.LANguard (usb,floppy,cd-rom控制)
mcafee
[ 本帖最后由 tidezcy 于 2005-12-26 09:47 编辑 ]
erylily 回复于:2005-12-26 09:50:12
引用:原帖由 tidezcy 于 2005-12-26 09:37 发表
也只是结合了几个软件,
以前用MDaemon,现在用postfix(邮件控制)
AD
iptables,squid
GFI.LANguard (usb,floppy,cd-rom控制)
mcafee
GFI有致命伤,进程太明显,如果有本地权限,很容易被杀~
还有好多类似Softether,backdoor的隧道软件,除非in-line 模式的IPS,其它都没什么好办法.
tidezcy 回复于:2005-12-26 10:08:52
引用:原帖由 erylily 于 2005-12-26 09:50 发表
GFI有致命伤,进程太明显,如果有本地权限,很容易被杀~
还有好多类似Softether,backdoor的隧道软件,除非in-line 模式的IPS,其它都没什么好办法.
确实,对用户权限也控制的很严. 我们boss对这块不舍得投入,但要求又很严,也只能这样.
[ 本帖最后由 tidezcy 于 2005-12-26 10:18 编辑 ]
erylily 回复于:2005-12-26 10:20:13
引用:原帖由 tidezcy 于 2005-12-26 10:08 发表
确实,对用户权限也控制的很严. 我们boss对这块不舍得投入,但要求又很严,也只能这样.
为什么不用AD?也不贵啊.
加上Landesk,觉得还是不错的.
tidezcy 回复于:2005-12-26 10:28:35
引用:原帖由 erylily 于 2005-12-26 10:20 发表
为什么不用AD?也不贵啊.
加上Landesk,觉得还是不错的.
用了AD, 现阶段已能满足控制的要求了.
上Landesk或者SMS费用也不便宜吧~
lhccie 回复于:2005-12-26 10:58:15
引用:原帖由 chn2k 于 2005-12-14 22:04 发表
MSN和QQ是我工作的必备工具,我是公司总部的技术支持主管,我们分布在全国各地的FAE兄弟们在客户那里只能用这个跟我保持随时联系、实时提供指导,甚至下了班回了家我也要第一时间打开IM,没了IM无法想象我们前方的 ...
举双手赞同,靠技术去限制,那还要管理做什么!吃饭呀
tidezcy 回复于:2005-12-26 11:00:22
引用:原帖由 lhccie 于 2005-12-26 10:58 发表
举双手赞同,靠技术去限制,那还要管理做什么!吃饭呀
说实在的,做这种事是费力不讨好的,并且得罪的人还不少~
erylily 回复于:2005-12-26 11:25:54
引用:原帖由 tidezcy 于 2005-12-26 11:00 发表
说实在的,做这种事是费力不讨好的,并且得罪的人还不少~
得罪谁啊?公司那么多人,谁认识你啊.一个部门能都认识就不错了.
要怕得罪人,就别做安全了.你不出成绩,哪里有晋升啊~
tidezcy 回复于:2005-12-26 11:30:55
引用:原帖由 erylily 于 2005-12-26 11:25 发表
得罪谁啊?公司那么多人,谁认识你啊.一个部门能都认识就不错了.
要怕得罪人,就别做安全了.你不出成绩,哪里有晋升啊~
可不是,我们这是一个小工厂来的,百来台PC,用PC的人每个都认识我,很多人我却不叫不名字. 没有LZ的公司大啊~
没办法,要吃饭,得罪人的事也得做了,呵呵~~~
erylily 回复于:2005-12-26 11:40:57
引用:原帖由 tidezcy 于 2005-12-26 11:30 发表
可不是,我们这是一个小工厂来的,百来台PC,用PC的人每个都认识我,很多人我却不叫不名字. 没有LZ的公司大啊~
没办法,要吃饭,得罪人的事也得做了,呵呵~~~
那是有点麻烦,呵呵,让你主管帮你扛着,呵呵.
啊奥 回复于:2005-12-26 11:59:23
楼猪是强人,,,这么干,,
jmyao 回复于:2005-12-26 12:06:42
同意,LZ脑子被枪打了,还好意思拿出来讲
tidezcy 回复于:2005-12-26 12:13:57
引用:原帖由 jmyao 于 2005-12-26 12:06 发表
同意,LZ脑子被枪打了,还好意思拿出来讲
对安全要求高的公司都有这方面的要求的~
tidezcy 回复于:2005-12-26 12:14:49
引用:原帖由 erylily 于 2005-12-26 11:40 发表
那是有点麻烦,呵呵,让你主管帮你扛着,呵呵.
那还得自己扛着~
spiceboy 回复于:2005-12-27 13:35:22
[size=3]
tom的web聊天室,80端口的,上去聊聊爽死了,还要什么im啊。
人家不乐意卖命工作,就要混日子,你拔他的网线也没用啊。
另外,封im和信息安全有什么关系?
如果我需要把机密资料带出去,发到一个https协议的信箱里不就行了吗?你解密https128位加密后监控?
你要真想搞机密,就别接入internet,上班下班各搜一次身。否则就别谈保密工作。
[/size]
bigmeg 回复于:2005-12-27 14:06:26
现在工作都这样,能有什么办法呢
dinner3000 回复于:2005-12-28 22:40:43
鄙视~~竟然要靠这种手段来保证员工的工作效率~~~~这样的公司真是烂~~~~~~
tianrenly 回复于:2005-12-29 10:07:31
一切靠自觉才能有创新和发展! 不然死水一潭!
tidezcy 回复于:2005-12-29 10:45:16
引用:原帖由 spiceboy 于 2005-12-27 13:35 发表
[size=3]
tom的web聊天室,80端口的,上去聊聊爽死了,还要什么im啊。
人家不乐意卖命工作,就要混日子,你拔他的网线也没用啊。
另外,封im和信息安全有什么关系?
如果我需要把机密资料带出去,发到一个htt ...
这也是没有更好办法的办法啊~
xxgsky 回复于:2005-12-29 11:23:30
呵呵,能查出别人聊MSN或QQ的内容吗?
easthh 回复于:2005-12-30 12:47:27
在中国内部的master route上把美国的msn 网关地址指到一个错误的地址不就可以了。
不过我不赞成封这些东西,更不支持监控IM内容。
redhat68 回复于:2005-12-31 12:48:49
我并不认为楼主是错误的,首先:我们都犯了个误区,制度一旦制定,是必须要执行的,而不是在自己的头脑里随意篡改的;二、公司在每天上班的8个小时内,你已经卖给公司了,上不上im由公司定,这并不会妨碍你的工作;三、每个公司都有自己的特殊情况,不让上im本身不代表错误,在有些单位甚至还是正确的;四、封im作为一项技术,本身是可以拿来讨论的;五、可以看得出,楼主们的公司不是个小公司,对公司制定这样的规定肯定有他们的道理,如果有人觉得这样太严格或者不讲道理,你可以换家单位,对公司和你个人来说,这都没有错误。
比如麦当劳对店里的每一位员工都有硬性规定,上岗前必须洗手,且有六个程序,每个程序都要严格执行。你会不会想,不就是洗手嘛,干吗要这么严格?如果你在一个一般的餐馆,也许不用洗手就可以上台,你觉得麦当劳做的有问题么?
Fancy05 回复于:2005-12-31 13:12:53
引用:原帖由 chn2k 于 2005-12-24 02:51 发表
按照楼上某些前辈的说法,似乎封了IM,就杜绝了泄密可能了。笑话!关键人物、技术骨干、甚至大半个团队跳槽出走就不会泄密了吗?
封堵IM的目的,依我看主要还是禁止员工在工作时间做那些与工作无关的事。而这一点 ...
我支持你, 搞管理的没有把重点放对地方, 用 和绅 的斗人方式作为管理的技巧, 不去真正释放员工的工作积极性和创造性.
被监视的员工不会把企业当自己真正的家, 不可能真正卖力工作.
我羡慕你的工作环境, 但决大部分中国公司都是这样在管理, 外国公司好一些.
pansin 回复于:2005-12-31 13:34:35
引用:原帖由 erylily 于 2005-11-14 10:59 发表
不知道楼上的大牛现在薪水如何啊~
说实在的,中国员工的整体素质真的不敢恭维啊,每月的websense 报告就可以看出来了.
看到又如何,你们自己不是也一样,利用手中的特权肆意妄为,IM软件利大于弊,关键在于疏导而不是封堵。看你们一个公司的报告,说中国员工的素质,未免狭隘,怪只怪你们人力资源有问题,找的人素质都不高,感觉你的思维挺BT,素质也不怎么的。
haohaoo 回复于:2005-12-31 16:32:53
ISA2005里面可以屏蔽掉msn的,根据包去过滤的,用代理也没用的
xue-feng 回复于:2006-01-03 10:47:56
引用:原帖由 erylily 于 2005-11-7 17:06 发表
是美国总部那边有MSN网关(美国总部是允许MSN的) ...
.....
erylily 回复于:2006-01-05 11:43:48
引用:原帖由 xue-feng 于 2006-1-3 10:47 发表
.....
文化不同~标准也不能完全相同~
nhxingliang 回复于:2006-01-05 12:01:48
引用:原帖由 litrin 于 2005-12-15 12:34 发表
能封我也不封,会封我也当不会封。
就是,俺就不封。。。。。。。。。。。。。。
让他们用呀,我觉得没有那个必要。。。。。。。。。
East_Lee 回复于:2006-01-06 14:48:08
屏蔽MSN,你要挨个屏蔽在各地的服务器,这样的事情太没有必要去做了,防民之手甚于防川,防你是防不住的。全公司的人都会恨你一辈子的。
b.s.d 回复于:2006-01-10 09:39:41
引用:原帖由 East_Lee 于 2006-1-6 14:48 发表
屏蔽MSN,你要挨个屏蔽在各地的服务器,这样的事情太没有必要去做了,防民之手甚于防川,防你是防不住的。全公司的人都会恨你一辈子的。
说的好!
liaosnet 回复于:2006-01-10 09:47:11
说句实在话,你网络做得再好,如果网内出现拨号上网你也管不到!也决不会有记录的。
能确保网内没有外连吗?基本不能!
erylily 回复于:2006-01-10 09:55:15
引用:原帖由 liaosnet 于 2006-1-10 09:47 发表
说句实在话,你网络做得再好,如果网内出现拨号上网你也管不到!也决不会有记录的。
能确保网内没有外连吗?基本不能!
说话不要这么绝对,拨号上网?我绝对敢说没有可能,没有电话线,哪来拨号上网?
teczm 回复于:2006-01-10 10:03:48
有啥子用么,做个ssl代理让你封 哈哈
erylily 回复于:2006-01-10 10:18:59
引用:原帖由 teczm 于 2006-1-10 10:03 发表
有啥子用么,做个ssl代理让你封 哈哈
一次警告,二次通知部门总监,三次开除!
plumlee 回复于:2006-01-10 10:20:15
引用:原帖由 liaosnet 于 2006-1-10 09:47 发表
说句实在话,你网络做得再好,如果网内出现拨号上网你也管不到!也决不会有记录的。
能确保网内没有外连吗?基本不能!
想拨号?
电话会记录的,
通话时长超过阀值会自动提示和记录的。
国内国外都有很多专业的软件或硬件可以做到这一点-----禁IM
LZ是大公司,完全有能力去买器材来处理,费用可以不太考虑。
其它,用AD去掉localadmin的权限后,再加个登录脚本,基本上可以啦
nonameboy 回复于:2006-01-10 11:00:56
这不是IT部门干的事吗?
gotop167 回复于:2006-01-10 12:49:22
有这个必要吗!员工还要在这个公司呆吗!
erylily 回复于:2006-01-10 13:42:03
引用:原帖由 plumlee 于 2006-1-10 10:20 发表
想拨号?
电话会记录的,
通话时长超过阀值会自动提示和记录的。
国内国外都有很多专业的软件或硬件可以做到这一点-----禁IM
LZ是大公司,完全有能力去买器材来处理,费用可以不太考虑。
其 ...
多谢支持.
IP电话没办法拨号的.
我不是在炫耀,只是来谈技术,只是不明白为什么大家都是不明白呢?
IM滥用是很危险的事情,在不能完全管理的状态下,封闭是必须的啊.哎~
都是搞安全的,怎么不相互理解一下~
teczm 回复于:2006-01-10 14:18:07
引用:原帖由 erylily 于 2006-1-10 10:18 发表
一次警告,二次通知部门总监,三次开除!
就怕发现不了 呵呵
Ajon 回复于:2006-01-10 15:20:58
LZ你有没有仔细的琢磨一下现在的你?你没有发现你的言辞里透露出“管理”别人是一种很爽的事情?个人建议作这行的人需要定期看看心理医生!我不是骂人,是有人做的人格分裂了的。希望LZ不是。
ISOneter 回复于:2006-01-10 15:30:28
大家有没有用过网路岗啊!我测试里面的限制QQ、MSN功能没有成功!我没有把网路岗装在ISA那台电脑(它同时也是的DC、DHCPSERVER、DNSSERVER,双网卡,lan接内网,WAN接防火墙)上。我是通过交换机上的端口映射的方式,把我的本机网线接交换机的端口映射为目的端口,ISA的LAN网卡接交换机的端口作为被映射端口,这样可以在网路岗里查看到所有用户访问WEB的记录。(在装网路岗时选择的是IP+MAC地址的监控方式),但用网路岗里面的限制QQ、MSN功能,我测试了,没反应,客户端还是可以上QQ和MSN
godservant 回复于:2006-01-10 23:59:18
ad+sms貌似不错,但实际使用中如果不是新装的机器,收了本地管理员用户,就不能做到很好的管理,其次sms和杀毒软件基本都会冲突,因为它会后台扫描计算机系统安装的软件补丁等.还有域用户的配置文件迁移也是很麻烦的事情,要看企业文化对这个是不是重视,不然做起来很麻烦
godservant 回复于:2006-01-11 00:03:17
最好是ad 域 和802.1x结合起来使用,还要在macfee中设定规避sms的策略
teczm 回复于:2006-01-11 09:54:22
引用:原帖由 Ajon 于 2006-1-10 15:20 发表
LZ你有没有仔细的琢磨一下现在的你?你没有发现你的言辞里透露出“管理”别人是一种很爽的事情?个人建议作这行的人需要定期看看心理医生!我不是骂人,是有人做的人格分裂了的。希望LZ不是。
9494 做管理的需要换位思考的能力,而不仅仅是打压和封闭哦
Hylas 回复于:2006-01-11 11:07:22
简单一点,你太黑了
niuzexu 回复于:2006-01-11 11:57:28
堵住了又怎么样,不能上msn又怎么样,我有本本,我可以拨号上msn,哈哈哈哈哈哈
puppetmm 回复于:2006-01-11 14:43:25
好像很多人都走上了歧途,我们讨论的是技术
erylily 回复于:2006-01-11 23:12:06
引用:原帖由 puppetmm 于 2006-1-11 14:43 发表
好像很多人都走上了歧途,我们讨论的是技术
哎,还是有明白人啊,呵呵.
erylily 回复于:2006-01-11 23:14:41
引用:原帖由 niuzexu 于 2006-1-11 11:57 发表
堵住了又怎么样,不能上msn又怎么样,我有本本,我可以拨号上msn,哈哈哈哈哈哈
想法不要太天真拜托~有这种可能么?
wind521 回复于:2006-01-12 11:55:52
够 狠
onebuyone 回复于:2006-01-12 14:38:41
有这里管理的公司国内不多呀!
wersh 回复于:2006-01-12 14:53:08
好办法!
net-wolf 回复于:2006-01-12 17:23:49
解决这个IM封锁的防范很简单,你不是定义MSN和QQ的动态链接库为病毒吗?
我运行VMWARE,里面跑QQ。
封锁QQ服务器没有关系,找个外网的公用IP作tunnel,还是可以的。
紫来 回复于:2006-01-12 19:56:17
引用:原帖由 net-wolf 于 2006-1-12 17:23 发表
解决这个IM封锁的防范很简单,你不是定义MSN和QQ的动态链接库为病毒吗?
我运行VMWARE,里面跑QQ。
封锁QQ服务器没有关系,找个外网的公用IP作tunnel,还是可以的。
晕,你认为会让你运行vmware吗?
未来高手 回复于:2006-01-13 09:11:03
我们这里用终端机技术,只能登陆到服务器,根本没机会给他们用im
[ 本帖最后由 未来高手 于 2006-1-13 09:19 编辑 ]
net_sky 回复于:2006-01-13 10:28:18
唉,我们这今天刚屏蔽了,马上就有领导来要求开的了
封不了哦!!!
A.com 回复于:2006-01-13 10:36:13
封IM还能起这么高的楼!!!有点晕,偶有恐高症。最简单的办法就是用代理,除非web方式的IM,否则全封。
紫来 回复于:2006-01-13 11:55:09
引用:原帖由 net_sky 于 2006-1-13 10:28 发表
唉,我们这今天刚屏蔽了,马上就有领导来要求开的了
封不了哦!!!
你小子头发晕了吧。自己做主想屏蔽IM。
屏蔽IM必须写入到公司制度里面才能实施,你想封就封呀?
erylily 回复于:2006-01-13 12:24:13
引用:原帖由 net_sky 于 2006-1-13 10:28 发表
唉,我们这今天刚屏蔽了,马上就有领导来要求开的了
封不了哦!!!
你说的是政府还是企业?
企业的话,写到政策里就好办,政府就算了吧.
blackclouds 回复于:2006-01-13 23:12:15
以人为本
写到制度里 行政一出台 涉及个人经济 加上证据(日志)
宰两次工资 再也没人上了
关键是行政干涉 技术上解决只是出力不讨好 还得罪N多人 要得罪人也得让行政上去得罪呗 ^_^
gnap 回复于:2006-01-15 11:20:02
最好的办法是把员工都开了!招一群不会用QQ的员工!
遇到限制的技术就这么兴奋!我国改出台员工权益保障法了!
聊天耽误工作,上IRC还可以学到不少信技术呢!还有新闻组!
果然传闻中的压榨员工不给员工能力提升机会是真的!
cpsdc 回复于:2006-01-15 20:36:58
技术上想完全堵了不可能
你有技术 人家QQ MSN 就有对策 不管管理方和技术方谁是SB
反正QQ MSN不是
所以 只要管理方有需求, 就用尽可能严密的方式给堵了 赚这家公司的钱
然后............
告诉那个公司的员工,还有哪家公司不封IM
jemyzhang 回复于:2006-01-15 21:04:43
关于信息安全的问题太广了,各公司有不同做法,我朋友在盛大,他们研发部门别说IM了,就连web都不能,因为只有内网,连USB都封了。
如果你觉得没有IM用不爽,那就不要去啊。
lz讨论的是如果要封IM该如何,大家不要跑题了,不要有攻击的言论。
erylily 回复于:2006-01-16 09:39:38
引用:原帖由 gnap 于 2006-1-15 11:20 发表
最好的办法是把员工都开了!招一群不会用QQ的员工!
遇到限制的技术就这么兴奋!我国改出台员工权益保障法了!
聊天耽误工作,上IRC还可以学到不少信技术呢!还有新闻组!
果然传闻中的压榨员工不给员工 ...
不要跑题,我只是在讲从技术上怎么解决IM屏蔽问题,不要扯这么远啊.
提升能力可以去上培训班啊,上IM培训什么?公司有限制政策,也有福利政策,只要是相关工作了,培训费报一半,认证费用全报(CCIE这样昂贵的认证也一样)!
请不要拿各种借口来给自己懈怠工作找理由~
john2218 回复于:2006-01-16 10:27:51
引用:原帖由 erylily 于 2006-1-10 09:55 发表
说话不要这么绝对,拨号上网?我绝对敢说没有可能,没有电话线,哪来拨号上网?
手机总有吧。USB口总会有吧。
用手机拨号上网还能够封的住吗?
还有看完LZ的贴子才发现做网管真的挺累的,有点两头受气的味道。
ayazero 回复于:2006-01-16 10:49:53
纯技术要封IM难度非常大,就楼主以及所有回帖中提到的方法都可以被bypass掉,不过既然有那样的制度,活在夹缝中就算穿出去了也没心情用,挑战公司的制度最后倒霉的肯定是自己,以身试法没那个必要
BS7799只是提供了一个方法论和checklist,信息安全管理怎么做跟管理风格、企业文化有必然联系
另外,并不是所有的国家和地域都推崇BS7799的
就我个人而言,虽然我是Security Professional,如果让我去一个一个要封IM的企业作信息安全管理,我可能不会去
[ 本帖最后由 ayazero 于 2006-1-16 10:51 编辑 ]
bqsc 回复于:2006-01-16 15:08:39
以技术手段限制无意义的IM提高工作效率,
技术手段是个此消彼涨的过程,难道没有人破解这种手段?显然不是!企业安全制度需要所有员工的维护,技术只是手段,关键在于行政和人,形成一种文化。否则即使完全控制网络也未必能提高多少工作效率,除非这个公司是个MATRIX。
而从技术从业人员方面来说,以制造他人不便为目的的升职、加薪恐怕也不会长久,毕竟象楼主这样正规的公司在国内还是太少,更不幸的是国内大部分公司,做人的功夫更多于做事。说的更广泛一些,我看中华传统文化就是要管人,让别人不舒服才能体现存在价值。
用技术为自己选择一种更好的前途,那么公司里谁能决定你的前途?懂得这个道理做出的任何选择都是正确的。
这回扯的比较远,我没有资格评判LZ,而是根据自己的体会有感而发。
(另外说一下,我们公司的研发部门是全封闭的,外部接口(USB、COM、FDD、CD……)机箱全部封死,人员不允许携带笔记本等通讯设备,拷贝数据需要两个以上监督人员,而且还有24小时监控摄象。另外有个上网的房间,在这里没有任何限制。)
[ 本帖最后由 bqsc 于 2006-1-16 15:21 编辑 ]
redwine 回复于:2006-01-20 18:03:45
真没想到这个帖子能引起这么大的争论,关于企业是否应该屏蔽IM的问题我觉得这是个常识性问题,im固然方便的,但也会给企业带来很多风险,某些要求高的企业通过技术手段屏蔽使用,这本身无可厚非,也有一些企业鼓励员工使用IM,达到开放沟通和降低成本的目的,也稀松平常,跟企业的性质和对信息安全的要求相关的,这里争论这些没有任何意义。不过很感谢LZ的经验共享,我们近期就计划按照楼主的方法实施。
jiangwb1 回复于:2006-01-21 15:12:16
这样也行啊,我们公司才几台电脑,我手握大权,呵呵
对了,我现在好迷茫啊
JohnBull 回复于:2006-01-24 03:46:53
Just wirte a CGI (over https) and a client program.
Bingo!
liaosnet 回复于:2006-01-25 10:56:57
各公司有各公司的办法。
各人有各人的办法。
macrodba 回复于:2006-01-25 16:49:22
太不厚道了
freemanli2005 回复于:2006-02-05 17:15:33
同意,没有突破不了的网,还是行政手段最有效,查到一个就罚一个.
实在不行就自己找个服务器,仿http-tunnel的写个自己的软件,将socket包加密封装后再传,只要不出现些关键字一般也都阻止不了吧
freemanli2005 回复于:2006-02-05 17:45:02
呜呜,我用自己的本本,无线拨号上网行不行,这么管我,每天又不给我时间薪水充电,以为我是万宝书呀,什么都生来就懂,真是的
carrison 回复于:2006-02-07 08:35:46
IPS来控制IM效果不错,呵呵
vulgate 回复于:2006-02-08 14:55:33
哈哈,蛮喜欢这里的,大家讨论的很有特色,我说说我的看法
引用:
看到好多XD都在为封堵IM软件发愁,其实IM软件太影响员工工作效率了,呵呵。
偶在公司经过一段时间摸索,总结出一点心得,想跟大家分享一下。希望给大家一些借鉴啦。
偶们公司全国各地都通过专线连接到总部,只有总部有INTERNET出口,一共5000+台PC通过这里出去,通过HTTP代理,使用ISA+WEBSENCE,防火墙关闭了80和443之外的所有端口。WEBSENCE是个好东西,可以生成详细的报表,供偶们信息安全部门分析员工访问INTERNET情况,并且过滤很多地址,包括防火墙杀手Http-tunnel的地址.QQ的地址有限,很容易屏蔽掉,MSN是标准软件,websence也屏蔽的很好。
不幸的是,每天发现IPS上还有很多MSN的流量,观测好几天才知道,是美国总部那边有MSN网关(美国总部是允许MSN的)。MSN竟然能自己找到那个网关地址,偶们大汗~~~因为不能关闭通往美国的路由,没办法,只能从别的方面下手了。
公司所有电脑加入了AD,集中管理很方便,修改了LOCAL ADMINSTRATOR的名称和密码,一般部门的人是不会拥有ADMIN权限的,安全IM就没有可能,最头痛的就是IT部门和一些配置NB的部门和老板,他们基本都有LOCAL ADMIN的权限。
公司标准PC是安装McAfee的杀毒软件和ePO,利用EPO集中管理Agent的能力,偶把msn和qq启动必须加载的dll文件9(msn 是msgslang.dll,msidcrl.dll,QQ是Basicctrldll.dll),定义为病毒,当MSN和QQ启动时,该DLL被杀,程序无法使用。
但是,IT部门很多人就发现了这个问题,擅自停掉了EPO(感觉没有IM,他们都活不了了),还好,所有成功登陆的事件会被IPS记录,利用最后终极杀手涧,行政处罚~
呵呵,忙碌了将近两个月,终于算基本解决了这个IM的问题,个人感觉,偶们还是信息安全政策做的不足,不然完全不必这么狼狈,比如权限分配合理点,行政手段跟进快一些,也许就不是现在这个样子了。
这里涉及到两个问题
1.我是技术部门的,为什么要封IM,是因为行政部门的要求,我们是手脚,他们要求什么,我们就做什么,这个是我们的本职工作
2.希望,行政部门要封IM,应该从技术和管理两个层面来做这个事情.
留下的问题是,为什么行政部门要封IM?
接着各路高手讨论的是
从技术上如何来封IM或者冲破IM的封锁
引用:
这样的公司活得有意思吗?!
不过还是比不上国内的某些公司必须装个软件(不管你开不开,只要你下次接到公司网络):只能收邮件,FTP!其他的OUT,连用USB接口都记录在案!!呵呵~~怎么样,比楼主公司牛吧!!
对于这个,楼主的可算是~~~~小猫见到大猫了吧~~哈哈
下面讨论的各种各样的公司,是怎么控制员工的上网情况的
引用:
MSN和QQ是我工作的必备工具,我是公司总部的技术支持主管,我们分布在全国各地的FAE兄弟们在客户那里只能用这个跟我保持随时联系、实时提供指导,甚至下了班回了家我也要第一时间打开IM,没了IM无法想象我们前方的FAE怎么高效地开展工作,那种在用户现场遇到问题叫天不应叫地不灵一边还要看用户的白眼听用户的冷言的感觉,没经历过你是不会有深刻体会的——别跟我说用电话、手机,IM可以实时传播大段的文字、图片甚至传驱动程序,电话、手机办得到吗?我们的一个合作伙伴甚至规定全公司员工必须使用MSN以随时保持联系。那些千方百计封堵员工使用IM的公司,本人强烈BS,员工在工作时段内有闲暇聊天扯淡只能说明公司人浮于事,是管理层人力资源规划的失败,你试试裁员三分之二工作量不变,不封IM,还会有人用IM闲聊扯淡吗?SB!而且封堵不是根本的解决办法,你封了QQ、封了MSN,我照样可以煲电话粥呀。
用IM还有一个最直接的好处就是可以节约高额的长途电话费。
如果你是公司的IT,你应当力劝决策者怎么发挥IM的优势而不是惟命是从!因为高层是SB,而你不是!!!
chn2k马上换了一个话题,
1.IM能提高我们的工作效率
2.公司封IM,可能是为了防止 员工 "有闲暇聊天扯淡"
3.并且认为不能简单的来通过封杀IM来解决 "有闲暇聊天扯淡" 的问题
下面N多,慢慢想想
wuyiwu 回复于:2006-02-09 14:14:54
引用:原帖由 erylily 于 2006-1-10 09:55 发表
说话不要这么绝对,拨号上网?我绝对敢说没有可能,没有电话线,哪来拨号上网?
呵呵 `~用手機連到PC上,用手機當貓,就可以上了`~動感地帶20塊GPRS包月,不過速度就慢了一點,呵呵,不過髮個幾百K的電郵是沒問題的,寄你幾個重要的文檔足夠了。
[ 本帖最后由 wuyiwu 于 2006-2-9 14:20 编辑 ]
lipeng21cn 回复于:2006-02-10 02:01:19
我感觉没这么费劲封这些
hikarulea 回复于:2006-02-10 09:37:42
楼主的公司不错……
rainyuers 回复于:2006-02-10 19:44:47
现在不聊天的年轻人太少了~
紫来 回复于:2006-02-11 11:36:05
引用:原帖由 wuyiwu 于 2006-2-9 14:14 发表
呵呵 `~用手機連到PC上,用手機當貓,就可以上了`~動感地帶20塊GPRS包月,不過速度就慢了一點,呵呵,不過髮個幾百K的電郵是沒問題的,寄你幾個重要的文檔足夠了。
别犯傻了!我敢保证你的手机在这家公司根本没有办法连到PC上。
hellhell 回复于:2006-02-11 15:46:28
好象web msn没有ban掉吗
sex5678 回复于:2006-02-11 21:18:15
引用:原帖由 zcwhy 于 2005-11-16 09:59 发表
如果行政处分能生效的话,我们根本就不用做那么多东西,直接检查,查到就PK。
说的是啊!!
erylily 回复于:2006-02-16 12:22:03
引用:原帖由 sex5678 于 2006-2-11 21:18 发表
说的是啊!!
这是是趋势啊,其实这个问题跟中国人漠视法律一样道理啊
jazz_mao 回复于:2006-02-20 12:44:15
越是大的厂越是喜欢做这些东东的控管
反正大厂的MIS都是吃饱了没事做的
最终苦的都是供应商
cnadl 回复于:2006-02-20 16:43:05
引用:原帖由 erylily 于 2005-11-14 10:59 发表
不知道楼上的大牛现在薪水如何啊~
说实在的,中国员工的整体素质真的不敢恭维啊,每月的websense 报告就可以看出来了.
呵呵,要以薪水论牛人么?
另,评论中国员工?呵呵,网管就做网管好了,作得再怎么龌龊也不会有人指责您没资格的。
solaris_yschang 回复于:2006-02-22 10:55:59
引用:原帖由 erylily 于 2005-11-14 10:59 发表
不知道楼上的大牛现在薪水如何啊~
说实在的,中国员工的整体素质真的不敢恭维啊,每月的websense 报告就可以看出来了.
这点工资想把员工当牛使啊!
andijo 回复于:2006-02-22 17:44:55
layer7搞定
macrodba 回复于:2006-02-23 09:01:53
我们公司也是这样的
qbqqq 回复于:2006-02-23 15:50:45
哎,这么管理也够复杂啊!
像把刀子 回复于:2006-02-24 18:59:29
最好的技术如果没有强烈的行政手段等于白搭 ---个人体会
艾斯尼勒 回复于:2006-02-26 15:27:55
现在联通的无限上网包月那么便宜,员工用自己的本本塞个这玩意儿,你有什么脾气?
用的人小心点那么除非旁边的同事打小报告否则没人会知道。。。
我有同事就这么干,虽然我们公司不封IM但网络状况不太好,还有443没有开
对那些骂楼主的人我想说两句:公司需要封IM,那么封IM就是网管人员的工作,人家作自己份内工作被其他部门员工骂也认了谁让搞的人家不爽,CUers也骂就比较没来由了,换位思考下如果你是网管,上级让你封公司某部门的im你怎么办?我们公司MIS的人连80都上不去(我记得他们说过,但记不请了)呢,想想人家也挺苦的
顽主 回复于:2006-03-01 21:46:00
用layer7层模块封,没有封不住的吧
gnap 回复于:2006-03-01 22:23:43
哪个公司评估过封IP对公司工作效率和能力提升的作用?
PS:有些公司变态的只让过HTTP,那么如何绕过被封的国外技术网站?
想上新闻组和IRC学技术不是也不行了?如果公司还没有培训的话。
那么这个公司的员工只能做机械的劳动了。
msndak 回复于:2006-03-03 15:58:32
查到就杀无赦~~还是小的公司好啊
coollava 回复于:2006-03-05 01:11:33
引用:原帖由 chn2k 于 2005-12-14 22:04 发表
MSN和QQ是我工作的必备工具,我是公司总部的技术支持主管,我们分布在全国各地的FAE兄弟们在客户那里只能用这个跟我保持随时联系、实时提供指导,甚至下了班回了家我也要第一时间打开IM,没了IM无法想象我们前方的 ...
强烈同意支持,特别bs那些所谓管理网络出口的人,把其他人使用im做为网络速度慢的理由,自己用着公司的网络下bt!
David_Oyang 回复于:2006-04-03 13:51:10
强!
daike2006 回复于:2006-04-04 09:42:39
引用:原帖由 bingosek 于 2005-11-14 11:20 发表
你可以在isa上把msn网关屏蔽掉
我现在也用这个
neoedmund 回复于:2006-04-04 10:16:31
看了那么多帖子,浪费了我不少时间。不过也学到了一些知识。
我怀疑一个警告两次罚款三次开除这样的行政手段有效吗?你们难道不怕挨闷棍?
phphp 回复于:2006-04-04 16:54:16
用得着这么麻烦?堵在这,那里又出来了
不用IM的,发10000/m通讯补偿
偷着用的,罚75%/m工资
goodboy1881 回复于:2006-05-15 16:58:16
我怀疑一个警告两次罚款三次开除这样的行政手段有效吗?
嘿嘿嘿,如果我想跳槽,是不是只要聊天三次就可以了?
64139303 回复于:2007-01-23 11:02:06
想要真正封 但是又允许看网页的 我只想到这些办法
1。搞个应用层的防火墙,比如linux下面就有很多种的
2。制定能访问的目的IP,还要保证这些IP没有代理功能
3。公司人数不多的话 可以试下聚生网管 这个我用过 还不错
|
