我们提供开放的访客无线网络，仅阻止色情、赌博和种族主义等类别。公司网络阻塞多一点，比如社交网络，但访客网络无法访问内部资源。没有人获得“无限制”访问，我们总是阻止归类为恶意的网站。如果有特定站点分类错误，我们愿意更改它，但任何被阻止的站点都需要单独审查。如果供应商不喜欢它，他们可以提供自己的蜂窝网卡。

所有常见类型的 VPN 在我们的网络上都是对外开放的。在我们的环境中，如果供应商在现场并且需要连接到他们的公司网络，那很好；如果我们不信任他们，我们就不会雇用他们。

审核员连接到访客无线网络。如果他们需要来自系统的数据，他们会告诉我们需要什么查询或报告，然后我们运行它。他们在任何时候都不能直接访问我们的任何系统。

为了更直接地回答您的问题，如果使用的 IT 系统与 IT 不应该参与或不知道的项目发生冲突，我会说该项目需要他们自己的互联网连接。如果他们独立于主安全系统运行，他们也需要离开公司网络，我猜他们在你的系统安全策略之外运行（除非你有很多这些并将其放在策略中） .

从从事过审计工作的背景，以及为大型银行提供指导的背景来看，主要分为以下两类：

访客访问完全独立于公司网络——这是最简单的，正如韦恩所说，需要一些安全性，但这不应该太繁重。您应该阻止广泛类别的不合适内容，并设置基本控制以防止攻击者访问其他“客人”的数据或系统，但除此之外，您不想太仔细地查看它 - 否则它可以假设您将其视为您的公司网络，并且您的责任可能要高得多。绝对值得让所有客人签署可接受使用政策。

对于审计员来说，他们通常需要访问您的系统和他们自己的系统，但通常不需要不受限制地访问 Internet，这意味着您可以提供一个更简单的解决方案 - 通常只是一个 VPN 端点，它只允许连接到他们的远程访问解决方案。然后，如果他们想要互联网连接，他们可以通过自己的公司代理进行连接。这在很大程度上保护了您，并且意味着他们仍然可以被他们自己的系统监控。设置可能需要一些时间，但在大量组织中担任 IT 审计角色后，这通常是最简单/最便宜的。（好吧，有时最简单的解决方案是让审计员在笔记本电脑中安装 GPRS 卡，但它从来都不是最便宜的 :-)

两种解决方案在持续监控和管理方面的要求尽可能低。