P2P与Web服务：方便的代价

　　P2P技术与基于Web的服务是两种不同的东西，但有三项共同的重要特性：一是员工们很容易下载这些工具和程序;二是它们经常可以提供能提高员工工作效率的有用服务;三是它们大多数完全可以穿透企业的防火墙，绕过所有安全措施。

　　以思杰网上公司提供的基于Web的服务GoToMyPC为例。员工把GoToMyPC软件下载到自己的办公PC后，该软件可以让员工只要输入用户名和密码，就可以通过连接到互联网的任何一台PC，访问办公工作站里面的内容。开发GoToMyPC的人员发布了一份长达10页的白皮书，声称软件很安全。

　　但这还是存在让安全主管们担心的一些基本的控制问题：首先，不管该程序有多么安全，CSO都无法直接控制安全和网络数据;其次，安全主管没法控制员工用来远程访问企业网络的机器。这可能是网吧电脑，而黑客则已经在上面植入了击键记录程序，也可能是使用不安全的无线网络的家用PC。Instant Messenger和Skype等P2P技术同样具有吸引力，但同样会引发类似的安全问题。

　　在First Data公司，Mellinger使用Blue Coat Systems公司的代理服务器来限制这几种外部连接。Blue Coat的服务器使Mellinger能够控制某几种连接，并且针对其他类型的连接提供相应报警。当然，Mellinger不想干扰正常的业务活动，所以他提醒:一定要解决所有产品存在的问题，以确保员工仍可以使用所需的所有工具。他说：“我们的律师需要浏览我们原本不允许员工访问的网站。”现在，Mellinger及其小组正在对Blue Coat系统进行微调，以满足他们的迫切需求。

　　ARC公司的Bhatt发现，如果与员工进行沟通，就能够有效地处理许多P2P和Web活动。他告诉员工，自己希望他们可以就新产品和网上服务随意提问题，不必担心会遭到上司的厌烦。如果员工想使用一项流行的新服务，安全人员会进行仔细审查。要是他们觉得这服务不安全，就会寻求安全的替代服务。如果找不到替代服务，安全人员就会向员工解释为什么不能使用这项服务，以及为什么这类活动会给公司带来风险。Bhatt说：“如果员工知道了危险所在，事情就好办了。”

　　First Data还采取了另一项措施，Mellinger认为这项措施可让公司避免这些服务带来的许多问题。公司让不同的防火墙保护每一个业务部门，那样要是某个部门出现了病毒或者安全事件，就很容易与其他部门隔离开来，防止危害扩大。Mellinger说：“公司往往把自己看成是整个实体，我们不希望某个部门遭到破坏并影响整个公司。我们在各业务部门之间使用同样的安全控制措施，与各业务部门与外界之间的安全措施完全相同。”