社交网站的安全陷阱小圈子不等于滴水不漏

【.com 综合消息】社交网站已成为人们茶余饭后必逛的网络平台。从以学生为主体的“人人网”到以白领为主体的“开心网”、搜狐“白社会”，再到以商务人士为主体的阿里巴巴“人脉圈”，社交网站正无孔不入地渗入到各阶层的生活中。由于现今商业社会及职场讲究人际网络，标榜能协助开拓人脉关系的社交网站自然大行其道，这使得不少企业也容许员工在公司范围使用社交网站。

根据中国互联网络信息中心发布的报告，截止到2009年我国交友和社交网站的用户规模达到1.76亿，占国内网民总数的45.8%。然而，互联网安全专业厂商Check Point软件技术有限公司指出，社交网站对用户存有潜在安全威胁，其根由是因为用户“迷信”它是安全的。

社交网站是Web 2.0应用中的佼佼者，自它在2007年起开始大行其道以来，与社交网站的网络安全事件与日俱增，根据最近的调研，目前有19%的网络安全事件与Web 2.0网站有关。2009年9月，国内著名社交网站“人人网”便遭受了名为“JS.Frienren”蠕虫病毒攻击，并透过用户好友名单扩散，进而窃取数十万网友资讯。 

Check Point 安全产品总监Guy Guzner指出，对于黑客来说，社交网站是一个便于策动网络攻击的平台，因为它能够使大量信息在相互信任的用户及群体之间迅速广泛流传，这令网络歹徒可以轻而易举散播恶意软件、恶意连接及诈骗攻击。

社交网站由于有一种“小圈子”性质，交往的各方都是“老友记”，使得用户迷信“它是比较安全”的。

社交网站成为网络病毒的媒介

社交网站为人们之间的沟通架起了桥梁，为个人和企业进行社会交流消除了物理界限。社交网站用户已在自己的虚拟社交圈中建立了高度的信任感，他们与网络好友分享信息、图片、文件及所有类型的内容，而不需要身份等任何形式的认证，因为他们相信虚拟社交圈内的人们关系亲密无间。社交网站用户非常信任这些信息的发送者，并会不假思索地点开未知网站，上载新的应用或视频等，从而放松了对个人信息安全性的警惕。

XXX指出，通过社交网站传播恶意软件比通过邮件等其他方式更能使用户中招。从社交网站的鼻祖Facebook和Twitter目前的情况来看，每个Facebook用户平均有130个联系人和Twitter有126个，毋庸置疑社交网站为网络犯罪提供了广泛的潜在受害者和可观的点击率。

黑客瞄准社交网站，不仅仅因为上述原因，还因为其有多样化的操作工具，包括范围广阔的Web 2.0特色和应用，如用户发布日志、视频分享、个人简介等。所有这些应用在过去几个月都成为散布恶意软件和窃取用户信息的载体。

对于企业而言，允许员工在工作时浏览社交网站可能更危险，这些网站不仅对网络造成威胁，更多严重后果也可以预料到，例如敏感信息泄漏或企业信息误用。出于对潜在安全风险的考虑，足以使企业禁止员工在工作期间访问社交网站。

提高警惕部署安全防线

XXX提出，从技术角度讲，Web 2.0本不应带来比以前更多的挑战，用户也不应该因噎废食，而更多是应该加强对Web交换带来风险的管理。他建议企业和用户应从四点基本措施出发建起第一道安全防线。

提高警惕 – 用户应当意识到无论是网上冲浪、收发电子邮件，还是游走于自己无比信任的虚拟社交圈，都不应摒弃戒备之心，更应当提高警惕。

设置密码 – 用户应当通过恰当的隐私设置采用安全方法保护个人信息，例如从设定足够安全的账户密码开始。

避免暴露– 企业员工应当避免过度暴露个人及企业的信息，应当像在平时生活中一样，紧守负责任的，安全的网上行为准则。

武装自己 – 企业应当采用可信赖的安全武器，例如好的防火墙、强大的IPS等安全工具构筑网络安全架构，抵御各种各样的安全威胁攻击。当然，针对Web 2.0专用的安全工具也是必备之选。

此外，Check Point已取得业界最全面的应用程序分类和签字数据库，可为5万多个Web 2.0专用界面工具和4,500多种互联网应用程序提供安全控制。Check Point WebCheck™是针对Web攻击的解决方案，它采用虚拟化引擎的核心技术。这个引擎可以使所有的未知和恶意操作都被写入虚拟的文件系统。只有用户指定的下载才被放入电脑。由此，用户可以无忧无虑的访问任何网站，点击任何链接。

为防止用户访问伪造站点， Check Point WebCheck™使用了双模式的反钓鱼网站引擎。它包含钓鱼网站签名数据库和高级启发式检测功能。当用户访问已知钓鱼网站时，基于签名的检测引擎会显示警告。但并非所有的钓鱼网站都能使用签名库和阻止列表加以检测。有鉴于此，Check Point研发了启发式钓鱼网站检测引擎，可以发现50多个包括主要金融、社交和购物网站在内的伪造站点。 

此种安全保护与良好的实施政策相结合，并对补丁进行定期更新，将协助企业和个人免遭蠕虫、木马、钓鱼、间谍及其他恶意代码的威胁。