公司安全大bug：网管

　　网络管理员，MIS人员，企业领导人往往会挑选一些经过熟人推荐的人选。

　　谁在窥视老板的邮件

　　文· 肖鸿扬

　　公司的邮件，进出都有备份，但我可没这么多闲功夫天天看。这位网上绰号汤包的年轻人抱怨说。他是一家台湾企业的MIS人员，也就是负责管理公司信息系统的人。

　　如今的企业里，像汤包这样的技术人员经常都要面临诸如此类的日常工作--比如进行公司资料管理、信息安全政策的拟定，协调公司内部的信息沟通等。而对员工的电脑、邮件（也包括老板的）的检查同样是网管及MIS人员的职责范围。

　　这时，关键点出现了--网管及MIS人员，成了对企业信息安全最为重要的环节。窥视老板的邮件、拷贝关键文件……掌握少数几位高管才能知道的商业机密，似乎在汤包们来说，仅仅是手到擒来，小菜一碟的事情。

　　疑人不用，用人不疑，因为不管换任何一位MIS都有可能会泄密。汤包认为除非公司真的花大钱做一套很严密的保密系统，但这样一定会对企业运作带来许多不便。

　　而按照网管、MIS人员的职责分，他们本来就有权利去检查和监控使用者的电脑、甚至是邮件。这正应了那句信息安全领域里流传的格言--安全是相对的，不安全是绝对的。也就是说，安全就好像上保险，上了保险也不能阻止意外的发生。

　　台湾盈晟科技的总经理许之坚多年来一直活跃在IT业界，可谓是资深人士，他对企业信息安全管理更有切身体会，信息安全的风险无处不在，而且无法预期。有可能一个操作员在无意间就把公司重要讯息发出去并且造成公司致命的危机。

　　而潜在的隐患到底在哪里？在于企业各阶层的操作人员及主管对信息安全的认识有不同程度上的差异所致。许之坚认为在目前亚洲的企业当中，高管对信息安全的认识还非常有限，在这样差异明显的信息流通中，风险便变得无可避免了，关键在于老板对整个讯息安全的认知有多少。

　　搜狐网的网络安全顾问周霖也不同意安全隐患的责任主要担负在网管和MIS人员身上，他们不是天生有权可以看任何资料的，包括EMAIL，相反，同样要经过公司授权或是高层授权才可以。他认为对企业内部电脑及网络进行监控，是技术人员正常的作业范围，至于保密，有聘用合同可以对技术人员进行约束。

　　确实，网管与MIS人员是企业信息安全中极为关键的人物，而且遍查国内外案例，因泄露公司机密被公开曝光的犯案者也寥寥无几，看来，公司的电脑网络技术人员并非泄密的高发人群？

　　来自台湾的许之坚就说，在商业竞争中，对手窃取公司信息最常见手法便是从买通中层主管、信息管理人员下手。

　　一语道破天机，之所以被曝光的网管泄密案件不多，或许仅仅因为他们的职位相对较低，而且涉案时往往犯案的中高层人员是媒体关注的焦点，记者在查阅相关资料时，便在网上某论坛上发现一些关于MIS人员职责的讨论……

　　说句真话啦，如果真的有权去看某些重要的资料，比如机密EMAIL之类的，我倒是没见有哪个MIS不会将这种重要信件转一份到自己信箱去的。--Overcertified

　　做网管也得认清自己的本分，把好自己的分寸，不然私自看这些资料久了，不定哪天就惹祸上身。--Huckly

　　……

　　不知道作为企业的高层，了解到这些公司的技术人员如此行为，会作何感想？

　　因而就有了在招聘某些能接触到企业机密信息的职位时，比如网络管理员，MIS人员……企业主往往会挑选一些经过熟人推荐的人选，以求可靠和安全。　　就像财务、研发、市场都会是老板的自己人一样，在台湾，这种现象也非常普遍。许之坚说，不过，能力还是要列为重点的考量标准，只是在人情和能力之间，该如何平衡，就成为了选人的关键。