駕馭Web 2.0的IT思維

Web 2.0平台在過去幾年間的急速增加，已經改變全球網際網路使用者溝通及互動的方式。在這些應用程式中，有許多原本只是開發供一般大眾使用，但現今的Web 2.0工具已在企業組織裡被廣泛使用，例如社交網站、部落格、即時通訊、維基百科或點對點網站，皆被認為是相當普遍且實用的通訊工具，能提供許多合法的商業使用。  

然而，對許多企業而言，增加網際網路應用程式的使用卻是一項重大議題。許多企業，尤其是內部的IT部門，皆以嚴格的保留態度看待Web 2.0工具。根據今年Check Point委託知名隱私暨資訊管理研究機構Ponemon針對企業內部的IT管理人員所進行的「職場Web 2.0安全性（Web 2.0 Security in the Workplace）」全球大調查顯示，約74%的IT管理人員將Web 2.0應用程式視為其公司商務及安全性的威脅，調查中所提到的主要缺點為：  

● 安全性：與Web 2.0應用程式相關的潛在安全性風險相當多，從病毒、惡意軟體及間諜軟體感染、SQL隱碼攻擊及殭屍網路到資料外洩、非法活動或聲譽受損等，皆有許多企業擔心之處。現今Web 2.0工具已在網路犯罪者間日益受到歡迎，因此在公司網路內使用網路應用程式的安全性，令人格外憂心。

● 頻寬佔用：授權網際網路應用程式，像是YouTube或點對點檔案共用，經常會影響企業的頻寬效能，並造成許多的網路流量。根據最近的研究數據顯示，約有10%的公司頻寬是因員工觀賞YouTube影片所消耗，其次，使用Facebook亦佔據了4.5%的總頻寬。為了保留企業頻寬及商務應用程式的使用空間，IT管理人員通常會限制或封鎖這

● 影響工作生產力：雖然許多Web 2.0應用程式的確能達到真正加值的商務效果，但仍有許多人傾向將它們歸類為容易妨礙工作生產力、消磨時間用的網際網路「玩具」。也因此大多數的公司機構皆強力主張應僅對特定使用者開放，或限定於特定時間內使用特定的網際網路應用程式。例如，公司可能會希望只在午餐時間開放使用Facebook，而在工作時間內封鎖其使用；或者允許員工使用Facebook聊天，但禁止在上班時使用其他如開心農場等會妨礙工作進行的應用程式。  

長久以來，這樣的恐懼造成各公司企業會使用防火牆軟體或網頁過濾器，以限制網際網路應用程式的使用，並禁止使用社交網站。  

但在公司網路上所執行的數以千計的網頁應用程式中，又該如何分辨哪些是能幫助工作的商務工具、哪些是適合員工消磨時間的良性工具，哪些應用程式可能真的會對公司網路造成安全性威脅呢？任何一個廣受歡迎的網站，例如Facebook，都可能適用於上述任何一種類別。IT管理人員不可能百分之百掌握員工在網際網路上的活動，這也讓企業難以定義及執行可以保護商務，而又不致於扼殺正當商務活動的資安政策。  

邁向更佳的Web 2.0掌控之道  

為了能繼續掌控Web 2.0平台所提供的優點，企業需要具備更佳的洞悉能力，以及更好的工具以管理監控內部的使用方式。  

首先，企業需要新的安全控管能力，以分辨在HTTP上所執行的上千種應用程式的差異性。過去，只要能辨別不同網址或網域名稱，並依據不同網路的子網路及IP位址為原則分類即可做到。但時至今日，像是IP式的防火牆原則及網址過濾功能等傳統工具，在Web 2.0環境中已不足以防範新的威脅。企業需要具備針對新應用程式的細微觀察能力，以分辨跨越防火牆但可共用相同通訊協定及連接埠的不同應用程式通訊串流。  

其次，企業需要能夠分辨不同的使用者，並依據其工作角色、部門或職權授予不同的權限。例如行銷部門可能會透過Facebook、噗浪推廣企業品牌或產品，而人資部門則利用Web 2.0查詢職務應徵者的相關個人紀錄等。因此企業需要具備細微的身份辨識能力，以便依據不同使用者的個別角色及組織內的責任，並根據他們用來存取網際網路應用程式的特定裝置，例如筆記型電腦或行動裝置加以分辨。  

目前市面上已經推出一些解決方案，例如Check Point Application Control Software Blade，特殊的應用程式及身份識別控管能力，結合內含50,000多種以上的網路應用程式辨識資料庫AppWiki，讓企業能定義細微的原則控制項，進而識別、封鎖或限制上千種應用程式的使用。  

鼓勵使用者承擔責任  

除了技術，減輕Web 2.0應用程式在工作場所的風險及濫用，也意味著充分告知及教育使用者。  

事實上，根據Check Point委託Ponemon調查的數據顯示，大多數的IT管理人員認為應由一般使用者擔負起協助企業減輕網際網路應用程式相關安全性風險的第一線責任。但同比例的IT管理人員相信其員工在日常的商務溝通時，極少或從未考量過公司的安全性威脅。  

為了解決此問題，企業必須改善整體使用者的警覺性：對員工進行教育，並要求他們對其網路行為及使用喜愛的應用程式時的潛在風險，承擔起部份的責任。在理想的情況下，也應該讓他們更熟知公司對使用Web 2.0工具的資安政策，以及他們該如何在工作環境中使用這些工具。同時，IT部門也應該更瞭解公司內使用了哪些應用程式及其使用的目的，並作出適當的決定，以便更精確而有效率地控管個人或高風險的使用，而不會阻礙公司商務上的運作。  

對此建議的做法是針對可能造成潛在風險的應用程式，為企業提供警告使用者的選項。例如當一位員工開啟Facebook時，可以顯示一個彈出式警告，即時告知他們與Facebook相關的Web 2.0風險，以及公司所採用的資安政策，以防止可能的Web 2.0意外威脅。藉此，不僅能藉由自我警告功能及對使用者委以適度責任來協助IT管理人員，也能同時教育公司員工。  

更大的透明度、更佳的洞悉能力及強化的監控，