公司內部針對員工使用網路之監控與管制

訪談第一部分的主題係針對目前公司內部監控員工網路使用之監控與管制的 方法為主，並探求公司監控與管制的目的以及保密規則的內容為主。從不同部門、

層級的主管或員工可得知對政策內容認知的差異，以及公司頒布的規定與實際執 行上是否涵蓋範圍不同。因訪談對象較多，而且針對一些規定、執行方式較為雜 亂，因此呈現在內文中非引號內的敘述多半是整理歸納好的資訊。

第一項 網路監控與管制的目的

根據訪談對象 A3-2、A4-2、A5-2 的訪談紀錄¹⁸³，其實對於公司監控員工電子 郵件及網際網路使用政策的目的，A3-2 認為在於維護工作績效及工作機密；A4-2 則認為是防止公司know-how 外洩、防止公司被病毒入侵；A5-2 資訊部門的員工 說得更為清楚：「維護公司的資料安全，確保公司的競爭力」。

第二項 保密規則

保密規則，亦有公司稱作資訊安全規則或資安管理辦法(或稱原則、條例)，其 規定的重點，A5-2 說「公司是有很多的資訊保安規則還是條例，像是『禁止攜帶 USB』、『禁止攜帶照相式手機』、『禁止利用公司網路進行違反資安原則的行 為』。最後一條就包括一些了諸如『禁止上色情網頁』、『禁止傳遞機密資料至 外部信箱』…總之，就是『不可將資訊攜出公司』的意思…」。

訪談對象A 1、A 2、A3-1、A4-1、A5-1¹⁸⁴雖處於不同公司，但是卻提供了大 同小異的公司網路或資訊管理辦法，例如：不可攜帶照相手機、數位相機、攝影 機、私人筆記型電腦，電子郵件的附件有大小限制，任何可移除或有傳輸功能的 儲存設備，包括隨身碟等皆不可帶入公司，還有一些功能性的網頁的限制，特別 是web-mail(網路免費信箱)、賭博、色情、駭客、圖片或影音等一些不適當的網頁、

183 A3-2 於 2007 年 11 月 17 日、A4-2 於同年 11 月 24 日、A5-2 於同年 12 月 2 日的訪談紀錄。

184 A 1、A 2 於 2007 年 7 月 12 日、A3-1 於同年 10 月 18 日、A4-1 於同年 10 月 23 日、A5-1 於同 年11 月 10 日之訪談紀錄。

部落格、MSN 或 Skype 或 BBS 或 FTP，另外，不可上傳或下載或安裝任何程式於 電腦上等。

訪談對象A3-2 算是綜合各家說法：「…方式包括硬體和軟體。硬體部分就是 記錄媒體的管制，像是照像機、照相手機、隨身碟、私人筆記型電腦、或是其他 的可移除式儲存設備，以及門禁系統的管制。軟體方面包括internet 的使用要申 請、登記、記錄，e-mail 的檔案大小有限制…公司資料也有分成三級¹⁸⁵…」

最有意思的是，訪談對象A5-1 告訴筆者，洩漏保密規則的內容也算是違反保 密規則。

那麼，大家都是從何處得知保密規則或公司相關禁止規定的呢？多數都會回 答在進公司後第一至三個月，公司會有員工訓練，其中一部分上課內容就是在談 保密規則，而且會舉一些公司內相關案例，告訴新進員工如果洩漏公司資訊是一 個非常嚴重的錯誤，會被解雇等等的內容。另外，針對非新進員工，訪談對象A4-2 則說「…公司監控員工的方式有公告，而且技術更新是很快的，不可能事事通 知，但都會發公告提醒員工注意，不要違反資安規則…而且公告在公司資料庫上 可以隨時查詢…」。

第三項 網路監控和管制的方法

訪談對象 A 1、A 2、A3-1、A4-1、A5-1 都提到關於公司管制電子郵件的方式，

首先是寄出去的郵件會經過關鍵字搜尋，附件檔案有大小限制(例如：通常限制寄 出的檔案大小比外部寄進公司的電子郵件小很多)，以及電子郵件會備份，A 1 甚

至提到電子郵件備份的原因：「…因為有商業上的行為，萬一發生什麼事情，才知

道責任歸屬…」。

訪談對象 A4-2 則說：「電子郵件的附件、內容，經過關鍵字掃描，如果出現 關鍵字或超過大小，會copy 給老闆，還有連線的網域，也會 copy 一份給老闆。…

公司系統會監控，開機登入就開始…」

訪談對象 A3-2 則告訴筆者，每位員工的電腦每天都會由系統備份，紀錄儲存 一個月，且全公司的標準都一樣。另外，針對電子郵件及網路使用，Firewall 和 proxy 的設定嚴密，而且利用門禁系統也可以管理員工，有時候會抽檢，不過機會不多。

185 訪談對象 A4-2 、A5-2 均有說明公司內部資料根據保密程度分成三至四級。

訪談對象A5-2 則更為詳細地說明公司內部的管理的方式及手段：

「以我們公司來說，資訊安全部門就是分兩個部門，大致上來說，一個部門 負責基礎網路架構，像是包括實體線路配置、機房等一直到另一個部門負責的前 部分。但也不是絕對的分界說，像是前段分你管，後段歸我管這樣。舉例來說，

本來應該不屬於A 而是應該歸給 B 管的網頁管制這種東西，反而歸 A 管。A 以及 B 各自有各自權責範圍之內制定的 rule，而所謂的資訊管理規則則看這個部分是 屬於A 還是 B 的部分管理…」

「管理的手段有很多，例如說『e-mail 關鍵字搜尋』、『USB 偵測器』或是

『網頁關鍵字監控』等。其中像是網頁關鍵字監控，其實這一招真的很厲害，當 你輸入一個網址的時候，其實是送一個request 到公司的 server，server 會先去把那 個網頁download 下來，然後程式會自動搜索網頁裡的關鍵字，確定合規定才再傳 到你的電腦。例如說『game』或是『遊戲』、『download』或是『下載』、『hacker』

或是『駭客』這種字是絕對禁止的，要是『色情』、『十八』這種字出現太多也 會被擋住，然後程式會自動把這個網頁加入黑名單。當然也可以把一些網頁手動 加入黑名單或是從裡面拿掉。其實這樣不只可以防止員工去上一些公司認為『不 適當』的網頁，也可以知道那時候是那一個員工想去上這個網頁，因為是由你的 電腦提出傳送網頁給公司的server，這樣就會留下記錄。例如說，當員工去上諸 如104 的人才招募網頁時，系統就會偵測到這網頁上的一些關鍵字，加以記錄，

然後老闆就很可能會知道這員工可能想要離職這樣。…限制向外部信箱寄 e-mail，即使經過申請許可的，也會在系統裡保存一份備份，順便副本給老闆一 份，內部寄內部也是一樣…而且很可能有人一封封看內容，確認你是不是在傳送 公司資訊，我有同事被警告過一次，可是他傳給我的內容，其實跟公司機密無關，

只不過是一個操作介面而已…從外部寄進來的信一般而言不擋，但也是會先經過 server 用關鍵字搜索，然後才轉到員工信箱。但是如檔案太大，或是有附加檔 案，一般都會直接擋掉，也不會進入server，以免有病毒或是惡意程式之類 的。…」

訪談對象A5-1 提供：「有一天我的同事加班到很晚，突然發現自己電腦的滑 鼠會自己移動，還打開每個資料夾，我才知道原來自己的電腦還可以被遠端操控，

而且還不是經過我同意的操作；還有一次，只是想說看看公司內部網頁的每一項 裡面是什麼，順手打開公司內部職缺網頁，瀏覽沒多久，老闆竟然跑來問我『你 是不是想換部門呀？』，我真的被嚇了一跳，為什麼老闆會知道？…」