社交网络时代下的企业Web安全

随着Wwb2.0技术逐渐深入人们的生活，社交网站的风靡也已经无法阻挡。根据11月11日CNNIC发布的《2009中国网民社交网络应用研究报告》，截止到2009年底，中国使用交友和社交网站的网民数将达到1.24亿，其中企业员工占据了这一庞大数字的三成多。当下很多年轻人都认为电子邮件已经过时了，他们更热衷使用即时的信息交流和更加开放的空间来与朋友们共享图片、音乐、视频等任何可以以数字化形式操作的东西。Facebook、Twitter、LinkedIn、甚至开心网等社交网站正是提供这样的平台，而它们的风靡也已经无法阻挡。如此庞大的社交网络人群给企业的Web安全带来了沉重的压力，企业需要Web安全已是当务之急。

企业的员工正相继成为了社交网络的主体用户，社交网络的流行趋势为企业管理来带了新的挑战：是选择与流行作战是默许它们存在?

社交网络的大规模应用为企业带来更多Web安全隐患

市场研究公司Experian Hitwise上个月发表报告称，与去年同期相比，9月份 Twitter访问量增长1170%;同期内Facebook美国市场份额由19.94%增长至58.95%，增幅为194%。中国互联网络信息中心(CNNIC)发布的一项最新研究报告显示，中国社交网站的用户规模更是有了跨越性的成长，已接近国内网民总数的三分之一，到今年年底，中国使用交友和社交网站的网民数预计将达到1.24亿。调查还显示年龄为20到29岁的用户占到整体人数的52.6%，而企业员工更是这个庞大数字的主要组成部分占到用户总数的31.1%。

如此庞大的员工人群开始成为社交网络的用户，这无疑为企业的管理带来了新的课题和挑战。尤其IT经理意识到基Web安全威胁正在日渐严峻，社交网络的大规模的应用为企业带来更多Web安全隐患，57%的数据窃取攻击皆是经由Web而实现。

社交网站中的内容是动态的，用户可以自己创建内容并迅速与数千人分享，而犯罪分子也在利用这一优势传播病毒、恶意软件和钓鱼信息等，并具有定向性、隐蔽性和区域性爆发等特点，这种情况下传统的安全系统已经无法控制并抵御该类潜在的Web安全威胁。进一步恶化的是，社交网站己日益受到黑客们的“青睐”，黑客们在网站中植入各种恶意软件，用以感染用户的电脑，最终窃取用户信息。当员工在使用和浏览社交网站时将无形中为企业带来巨大的危险，并有可能造成企业关键信息的流失而为企业带来不可估量的损失。另外，员工过于沉溺于社交网络和其中的一些小游戏，也将严重占用了企业带宽，大大降低自己工作效率。许多企业为了保护自身的Web安全和利益已经在企业网络中禁止了对社交网站的访问。

禁止使用社交网络不是企业最明智的选择

禁止访问真正是企业最明智的选择吗?近期在佛罗里达州召开的Gartner交流会上， Gartner的副总裁Carol Rozwell畅谈了社交网络的在商业中的重要性。她强调，企业应该让员工参与这种交流平台，而不用使用IT方法锁定这些网络。Rozwell还表示，在公司网络中禁止进入社交类网站是徒劳的，我们生活在一个数字化和相互联系的世界，工作被当成最基本是经济交易，人类的大脑把工作场所视为一种社会体系，它无法阻止社交网络，所以企业首先要做的是激励员工们的热情和培养他们的工作责任感。

虽然Rozwell做了一个非常好的论述，但对于社交网络是否应该被限制的问题仍引发了激烈争论，如果员工访问社交网站的行为在工作场所没有被完全禁止，风险就会随之而来，也许是来自垃圾邮件、也有可能是恶意软件或者欺诈，以及潜在的生产力损失。同时，IT人员和管理者往往并没有时间或缺乏资源去有效地培训员工如何在保证Web安全的前提下正确使用社交网络。

那么社交网络是否毫无价值呢?答案无疑又是否定的。社交网络的存在为企业销售人员与客户沟通提供了便利，而技术人员等也可以通过这些网络结交更多同行业的朋友了解到更多的知识。甚至企业还可以采用更多的Web 2.0技术，利用员工博客，客户论坛等促进管理和业务。

企业需要安全管理社交网络和更多Web2.0应用

Websense公司中东地区安全研究经理Carl Leonard表示：“阻止使用Web 2.0和其协作工具，将有可能限制员工的交流和知识共享能力。只要有了正确的支持，Web 2.0能够带来新的机会和真正的商业利益。”另外，他认为通过实时分析和适当的教育与告知，公司是能够在类似社交网络的使用中同时保护其资产和员工的。Carl Leonard还表示：“当前对于Web 2.0技术的需求是明确和不断增加的，Websense近期针对全球范围的IT经理人进行的调查显示，86%的IT管理人员对即将出现的更多类型的Web 2.0网站和技术感到有压力，因为年轻的员工希望通过多种渠道进行沟通，并把使用Web 2.0工具作为日常生活的一部分。”

尽管大多数IT经理都希望帮助员工接受Web 2.0并受益于此，但同时他们更担心由此引发的企业安全风险。其实确保员工认识到和明白社交网络上潜在的恶意威胁只是第一道防线，公司更有责任确保其员工和企业都受到有效的保护，并制定各种应急计划，仅仅是草拟社交网络使用规则然后放下不管是远远不够的。

Websense建议企业立即采用有效的Web安全方案和防信息泄露方案，优秀的Web安全方案可以有效过滤来自互联网的风险，将数据窃取的企图消灭在萌芽阶段，而防信息泄露方案可以对企业的信息资源进行针对性的保护，让企业和员工在享受社交网络和更多Web2.0技术带来的便利同时开放一个更广阔交流平台。

【编辑推荐】