对SNS进行管理降低企业网面临的风险

ZDNet安全频道原创翻译 转载请注明作者以及出处

针对于Facebook等SNS进行攻击的行为，我想大家都已经司空见惯了。但是，对这些侵犯个人隐私的行为进行关注让我们发现了一股隐藏在网络下面的暗潮，在这些网络上利用社会工程进行的恶意活动。
--------------------------------------------------------------------------------------------

　　根据来自Dictionary.com网站的定义，trust的含义是“信任、信赖、相信、受托、职责;一个人或者一件东西;信心。”这个解释，对于成长在Facebook、Twitter和其它致力于清除文化和地理带来的界限满足交朋友和分享信息的SNS下的年轻员工来说，是一个很好的说明。随着来自社会化网络的“朋友”日益进入主流生活中，这种新现象也逐渐开始成为一个典型的社会问题。

　　关于社会化网络

　　在过去两三年我对社交行为进行研究的时间，更侧重的是青少年的行为模式。我相信这类用户能更准确地代表年轻员工的习惯。在这个年龄段里的男性和女性更习惯使用社会化网络，利用非传统技术解决方案(即手机、智能电话、个人数字助理、计算机等)同朋友和同事进行沟通和交流。在很多情况下，他们还不能达到认识事情的后果并且对自己的行为负责的程度。

　　但这并不意味着年长的员工在信息安全方面就不存在风险。只是，我认为对于年轻的员工来说，社会化网络带来的风险更大。

　　根据互联网调查机构佩尤互联网与美国生活计划组在2006年发表的一份报告显示，“在12到17岁的上网美国青年中，有超过一半的使用社会化网络服务（SNS）。”图一显示的就是报告的主要内容。

图一

　　调查结果显示，经常使用社会化网络的用户50%以上位于这一年龄组。这一点是毫不奇怪的，并且从2006年开始，这个数字可能还会继续上升。这会给公司在安全方面带来什么样的风险呢?为什么年轻员工喜欢使用社会化网络呢?

　　如图二所示，从调查报告中，我们可以发现约50%的人支持使用SNS结交新朋友。在工作场合与老朋友保持联系是一个低风险的活动，尽管这样的效果比老板希望的差很多。问题的关键在于，SNS的发展趋势，可以让你建立新友谊，从来没有真正实现过的与大众的友谊。

图二

　　使用社会化网络服务（SNS）可能会导致的风险

　　针对于Facebook等在线SNS进行攻击的行为，我想大家都已经司空见惯了。但是，对这些侵犯个人隐私的行为进行关注让我们发现了一股隐藏在网络下面的暗潮，在这些网络上利用社会工程进行的恶意活动。

　　SNS上的大多数用户并没有故意为网络犯罪提供有用信息。但是，和过去从来没有见过，没有通过正常范畴内的传统关系建立信任的人，进行面对面的个人接触，启动新的友谊，不是一件简单的事情。

　　面对面的身体接触可能会帮助人们提高对个人信息的真实性和交流的诚意更进一步的认可。但是对于建立密切的关系来说，它或者通过SNS进行交流都并不是最重要的因素。根据来自普吉特湾大学的心理学家卡洛琳·薇兹和丽莎·F·伍德的研究显示，

　　如果保持良好友谊的话，接触、联系和支持等因素都存在影响。但研究人员进一步对控制这些行为的因素分析后，结果发现，实际上只有一个因素，即基于社会认同的支持，会在建立最好友谊的过程中起作用。最好的朋友往往是具有相同爱好的人，举例来说，大家都是网球队的成员。不过薇兹和伍德发现，位于群体外面的朋友也可以提供这种支持。经常可以看到这种情况，成为最好的朋友需要做的，仅仅就是确认对方的身份，给予其成员的位置( “你是一个真正的基督徒”)，或对其组织表现出认可来(“太厉害了，你在斯坦福管乐队吹萨克斯!”)。为什么会是这个样子呢?研究人员认为，自信心的增强可以让两人之间的理解加深，从而建立更亲密的关系。

　　资料来源：《今日心理学》2008年11/12月刊上克伦·卡伯的文章《友谊：关注规则》

　　因此，第一个因素就是让人感觉到被理解了，大家在团体内的地位是平等的。这种工作对于经验丰富的社会工程师来说，这不是什么困难的事情。此外，由于缺乏包括面部表情和本能反应等传统的辅助方式，人们不得不利用输入的信息作为建立友谊的中间媒介。

　　按照来自温尼伯大学的社会学家贝弗利·菲尔的观点，要维持刚建立的友谊最好的方法是分享，这样才能进一步增加双方之间的信任。

　　从认识到建立友谊，就是一个自我揭露增加广度和深度的典型例子...在友谊的早期阶段，这往往是一个渐进互惠的过程。一个人需要冒险披露个人信息，然后对回应的情况进行“观察”。

　　(来源同上如前。)

　　换句话说，分享对于友谊的建立来说是至关重要的。但“分享”也可能导致危险行为的出现。

　　为了建立和保持良好的网络友谊，分享个人信息和非敏感资料是非常正常的事情。但如果员工跨越了这条界限，将个人可标识信息或者和公司业务管理相关不应该公开的信息进行共享，或者发布可能对公司安全造成影响的信息，这就意味着业务风险的上升了。

　　防范不可避免的问题

　　如果你认为仅仅通过告诉新员工禁止使用公共SNS，就可以避免这种情况的发生，答案会是否定的，因为事实会显示这样的做法是徒劳无功的。毕竟，使用这样的服务是符合公司的发展策略的。通过进行认识方面的培训，可以提高员工在这方面的安全水准，但行为这种事情是很难控制的。由于不小心或恶意的缘故，某些员工还是可能会出现问题的。因此，除了基本的安全控制措施之外，你还可以采取下面的手段以降低面临的风险，它包括了：

　　1. 我最强烈地建议禁止利用工作场合的计算机访问公共的SNS。这将有利于保护数据和信息的安全，不会出现信息直接从员工的桌面或者网络中泄露的情况。

　　2. 选择数据泄露预防系统。对数据的传输情况进行监测。如果你员工的一位网络好友出现在公司网络中的话，你可以防止数据泄露，至少可以了解它的发生过程，而不是一无所知被蒙在鼓里。