深信服『行为感知系统』最全面解读,打工人必看!(4.7千字)
最近圈里都在看这个截图,清晰可见员工简历投递的网站、投递次数以及投递时间、职位等。
作为打工人,看到员工这样被监控,多数人第一反应是哆嗦、不舒服。
接着是感觉这玩意贩卖个人隐私不合法吧?
然后就是对这个行为背后问题的吐槽:
02 地主监控长工是传统
03 这“监控”合法吗?
04 监控的实现原理?
05 能监控到什么细节程度?
06 能绕过吗?有财产风险吗?
07 产品经理视角的需求分析
后记:无往不在枷锁中
01
『深信服行为感知系统』是个啥?
这个员工监控系统,来自“深信服行为感知系统BA”。深信服(300454.SZ),市值超过600亿元,本身是个做的不错的云服务商。其全网行为管理产品已经连续12年保持国内市场占有率第一。
么错,这是个有实力的科技公司。而“行为感知系统”本身的定位是正面的,只是当用于员工行为监控的时候,效果有点让弱势的员工不舒服。
比如,“感知系统”不仅拥有工作日志、网速带宽、信息泄密、电脑开关等常用的网管功能,提前分析员工的离职跳槽倾向。
可以提供“离职风险分析”、“工作效率分析”等多项功能。能够提前发现潜在离职风险员工,并且给出离职风险判定依据;还能够分析公司员工的怠工情况,及时发现消极怠工的部门和人员。
比如,在过去一周的时间内,某公司市场部的一位员工以访问招聘网站1小时20分的累计时长排在第一位,其访问了拉勾网、智联招聘、BOSS直聘等网站,累计访问了20次。
相关的案例展示,其中包括苏宁电器股份有限公司、印尼食品和药物监督局、深圳创维数字技术股份有限公司、光大银行深圳分行、新浪以及华东师范大学等也都部署了其上网行为管理系统。
地主监控长工是传统
是不是突然有点哆嗦了。但这不是新鲜的事情。
并不止深信服这一款类似的系统。也不止这一次曝光类似事件。
字节某位员工透漏,新入职的员工必须安装管理插件,无论你是使用公司的电脑还是自己的私人电脑,这款软件必须要安装,否则无法进行办公!
网易为了避免员工玩手机分心,影响入厕,在公司厕所安装新号干扰器。
上汽某员工透漏,员工工位下面被安装了红外线传感器,而安装这个传感器的目的是检测是否真实有人。
快手被爆在洗手间安装计时器。
这“监控”合法吗?
深信服销售人员称,这项服务经过公安备案的,是被允许存在的,目前市面上的很多互联网公司都在用。并且一般都会建议客户要告知员工,因为员工有知情权。
所以,是否涉嫌侵犯员工的个人隐私,核心在于安装上述系统的公司是否告知了员工,或者,相关系统若安装在工作电脑上是否明显、员工能否看得出来。
否则会涉嫌非法收集员工的个人信息,对员工个人的隐私权构成侵犯。
这就是一些公司在入职时候,会再三强调,工作期间绝对不能使用公司的电脑和网络看与工作无关的内容。
甚至事先让我签了一个相当于同意被监控的声明,大概意思就是所有上网行为都是被监控的。
04
监控的实现原理?
从技术角度,监控的方式上主要分为两种:
安装具有监控功能的后门软件
通过镜像交换机或者网关的方式进行监控
远程屏幕截取; USB端口控制; 远程控制被监控机硬盘上的任意文件、记录、跟踪和限制应用软件的使用情况; 电脑硬件资产统计等,QQ、MSN、SKYPE等聊天内容甚至密码的记录; 网页、股票、游戏、下载、电影等各类上网软件的审计; 甚至密码的记录等功能。
典型的软件有,请记住这些名字:
深信服、网康、金盾等厂商开发的硬件防火墙和路由器,以及考普信息安全网络监控系统、P2P终结者、网络幽狗、超级嗅探狗、网猫等几百种软件。
如果比较幸运,也许boss只能看见你访问的是什么网站,因为通过https访问的网站,它的域名仍然可见。
很多公司中的计算机都在同一局域网中,通过同一代理网关向外进行信息交换,该代理网关是被公司内的计算机信任的。那么该代理网关就能够解密任何https加密的数据。这种情况下https并没有任何防止boss发现的效果。
05
能监控到什么细节程度?
1)多画面实时监控
员工的一切操作尽在眼前,默认支持多画面16画面,超过16个员工可以轮循显示。也可以自定义同时显示更多屏幕(该界面显示为16个屏幕,可以根据需要扩展到36,64,100…)。
2)文件操作监控
可以监控员工复制、剪切、删除和重命名文件或文件夹的操作。
3)实时远程控制
实时监视员工计算机,并能对其进行控制,就像操作自己电脑一样简单的操作员工计算机。
4)摄像头多画面监控:
实时查看多个被监控计算机摄像头的画面(此界面演示为16画面,可根据需求扩展为36,64,100……)
5)游戏监控:
能监控员工所玩游戏的内容。
6)程序运行记录:
监控员工打开的程序以及窗口的纪录。
7)其他监视
可以监视员工计算机的所有操作,自定义监视选项,并定义只监视某些操作,而忽略其他操作。
8)实时流量监视
监视员工的计算机流量,使管理员能够及时发现流量异常等。
9)禁止搜索关键词或禁止打开网页含特定词汇的网址,比如禁止搜索“股票”。
10)禁止在线电影和动画,禁止局域网看电影。
11)禁止插入u盘,但允许使用USB键盘鼠标,只禁用U盘,允许插入优盘,但只允许从优盘拷贝文件到电脑,不允许拷贝文件到u盘。
12)禁止智能手机等Windows便捷设备连接电
06
能绕过吗?有财产风险吗?
被监控无异于在人前裸奔。那么怎么绕过去呢?
要想明白这个问题,首先要搞清楚行为管理是通过什么来“管理”内网电脑的。
1、确定自己的电脑是否存在该类监控软件并清除
1)安全软件直接检测
2)360安全卫士流量防火墙
3)任务管理器
没有操作但又在不断产生流量的进程; 大量占用CPU的进程。
2、镜像交换机或者网关类监控
这类,比如深信服的该系统,是通过网络中的数据流量来分析、管理内网网络设备的(典型的就是电脑,也包括各类pad、手机等),这么来看,只要网络设备的流量经过行为管理,就能进行对它管理。
所以,在电脑上通过安装虚拟机的方式,并没有改变网络流量的经过行为管理的数据流,是不能绕过被行为管理的。除非在虚拟机里面连接VPN,在里面干不能让公司看到的事。
如果可以用自己电脑,那就用自己电脑不连公司网络或连VPN千不能让公司看到的事,也不需要虚拟机了;
或者自己买VPS和域名,搭建ocserv,用正规SSL证书……
显示ROI太低。
3、网银帐号和密码会不会很容易就被窃取了?
从常规判断上是不会的。银行基本都有专门的安全控件。
从技术上看,本质就是网络侧拦截非加密的数据包,银行的网银都有防键盘监控插件,传输用https。
一般微信qq的文件传输不是加密的,有的论坛只有登陆界面是加密,后面的内容页面是非加密,所以用办公电脑搞点事情还是以后风险的。
深信服的设备出厂就不会监控网银的账号等敏感信息。通过任何手段都没有办法添加。
07
产品经理视角的需求分析
1、地主提防长工是刚需
为什么各家公司要如此费劲心思去监控员工的离职意向呢?
形成目前这种局面的原因主要有两个。
其中一个就是,在部分企业对HR的KPI考核中,有一条非常重要的参数叫做离职率,通常如果一个公司离职率超过一定系数,HR就要负起责任。
为此,这些企业的HR需要知道每一个员工对公司的忠诚度、近期是否有跳槽意向等,以便于他们作出进一步的应对策略。
第二,有些公司需要拥有特殊专长的核心人员支撑才可以正常完成工作,使用离职监控服务可以提前预知核心人员是否存在离职倾向,以便提前做好离职后的招聘、替代准备。
正是因为各种企业管理方面的需要,部分企业才会快速采用“简单粗暴”的离职监控服务来管制员工。
2、这种方法本身存在误差和本末倒置
古人说:君以国士待我,我当以国士待之;君以路人待我,我以路人报之;君以草芥待我,我当以仇寇报之!
好的领导想留住好员工,重要的是要持续了解团队每个成员的工作情况,给他们的努力及时给予认可与回报,从而建立彼此的信任。
3、可能存在另外两个刚需
正所谓“毒蛇出没处,七步之类必有解药”。
需求的对立面也是需求。
一个是站在公司角度,比起所谓的离职监控平台,更多企业需要的或许是一款“员工体验平台”。这样的系统已经存在,相对更难被接受。
另一个是员工角度,反监控的插件,或许也值得研究一下。
后记:
无往不在枷锁中
“人是生而自由的,但却无往不在枷锁之中。”———卢梭的名著《社会契约论》的第一卷第一章的第一句话。
与此同时,我们也还记得北岛的诗《生活》,只有一个字:网。
500年前,文艺复兴时期,意大利美第奇家族创建了全欧洲第一张天网:欧洲金融汇兑网络,创建了全欧洲第一张地网:欧洲物流网络。
150多年前,美国出现了世界上第一批托拉斯:有天网(美国电报电话网络公司),有地网(北方铁路网络公司、洛克菲勒石油管道网络公司)。
如今,互联网又将如筛一样地网住我们的生活点滴。
这就是,社会。
所以,既然在公司拿钱干活,尽量少登录私人任何软件帐号,最好不要去触犯监管规则。
小心两种情况:一种是公司发的电脑等设备,一种是连进公司wifi的设备。
最后,对于深信服公司,也无需过度解读。一来这款感知系统只是其诸多科技产品中的一个另类;二来深信服也只是诸多另类产品服务商中的一个。(完)
扫码+微信(加社群交流)
注明:城市+工作年限
——推荐阅读——