现代化的企业一定是重视 IT 管理的,那怎么做比较系统呢?先从网络监控聊起吧。
(1) 为什么企业需要网络监控?
因为前几周看到某记者团拍的小视频,一派胡言,我就想先写网络监控这个题。它里面的剧情是,某学生搞兼职,接到一个“监控员工上网记录的系统”的任务,他觉得“内心不安”。这个剧情是“危害国家安全”的伏笔。
国家层面有的制度设计我们不讨论。其实企业层面做网络监控,是十分正常的。
首先,这是企业的网络。你只在上班时间使用企业网络,这种监控并不会触及到你下班之后的隐私。
然后,监控的理由是什么呢?如果通过企业网络泄密了,或者跟客户做了什么承诺,可以留证据、查来源。基本上只有这一个理由。当然还有“员工上班时间不应该拿企业网络做与工作无关的事情”的考虑。我觉得这个理由是很正当的。
网上也可以看到,有的 IT 企业就是这么神秘,甚至内网网页的屏幕上都有水印,拍照就能知道是谁的电脑。
为了实现这个目标,就有了相关的监控产品。甚至对于电子邮箱,有专门的存档服务器产品,把所有收发过的邮件保存下来,主服务器上删了也没用。
(2) 怎么监控?
现在的互联网上,大部分的数据是没有加密的。无论网页,还是邮件,都是如此。它们就像明信片一样,所有的邮差都能看到所有的内容。
而监控设备这时候做的事情,就是在企业网络出口的地方设一个中转站,不断地把明信片的内容记录下来。更进一步的话,如果明信片上有什么不好的文字,中转站“一言不合”,就可以把它改掉。
对于这种数据的监控,因为速度很快,所以是无形的。只有我们十分熟悉的连接被重置,因为对数据做了比较明显的修改,所以可以通过时间差、连接过程,来判断监控设备在网络中的位置。
(3) 加密的数据怎么办呢?
而另一些数据,诸如“HTTPS”连接的网页,他们就像是装在了拆不开的信封里,信差只能看到这封信要寄到哪。而且信封的封口有密码,还会盖上一个“印章”(专业名词是数字证书),只要印章不对,收到数据的人就知道这不是真的“信件”。
上面的比喻我觉得已经无敌了。这时候,监控设备还是有招的。别人的信封是拆不开(没有密钥),那我可以假装是发信人,把信调包,让他们以为是在跟对方通信,实际是跟我在通信,我有密钥,就能对通信进行解密了。
在通信的过程中,双方要互相验证对方的“印章”,才会拆开信封,开始通信。客户端的印章是私章,服务器通常不会太在意,但服务器的“公章”就很重要了。客户端会事先知道一些有公信力的造“公章”的厂子(证书颁发机构),这些厂子的公章就是对的。
监控设备要把信“调包”,私章可以随便造,最重要的就是解决“公章”能不能被客户端信任的问题。这时候有两种解决方法。
第一种方法,因为客户端是企业内的嘛,企业强制要求所有的客户端都信任“自己厂”的公章,然后就可以随便造公章了。这种方法是光明正大地做企业监控的办法,员工也很容易就能看到,也“无可奈何”。
第二种方法,通常就不是企业监控产品的做法了。不走心的,我就随便刻一个章,虽然明眼人一看就知道有问题,但反正你们也不注意看。走心的,我私下让一家正规公章厂刻章总可以吧,你就很难发现了(除非你知道某个网站只用某个厂子的章)。你懂的。
(4) 调包失败怎么弄?扔了
至于有些加密方法,根本没法调包的话,只有一种办法:不让你们通信。
在企业环境里,有哪种“合法”的加密通信是很容易确定的,所以封起来很容易。而近年来某些监控产品已经有了自学习的能力,对于各种新奇的加密方法能够自动学习判断、自动屏蔽。
刚才说到,企业可以让客户端“强制信任”自己刻的公章。那该怎么来管理这些大大小小的电脑呢?下次来说。