科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道企业如何做好社交网站安全防护

企业如何做好社交网站安全防护

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

社交网站在个人用户中掀起热潮之后,又将触角伸向企业,为企业员工提供内部交流沟通平台。但是最近的Twitter机密文档泄密事件说明,社交网站在给企业带来便利的同时,也带来了巨大安全风险,需要对其进行合理安全防护。

来源:中国IT实验室 2009年9月11日

关键字: 安全策略 社交网站 网站安全

  • 评论
  • 分享微博
  • 分享邮件

  社交网站在个人用户中掀起热潮之后,又将触角伸向企业,为企业员工提供内部交流沟通平台。但是最近的Twitter机密文档泄密事件说明,社交网站在给企业带来便利的同时,也带来了巨大安全风险,需要对其进行合理安全防护。

  社交网站成主要泄露渠道

  在传统上,人们往往认为木马病毒会窃取QQ号、邮箱地址,后门程序可以让黑客偷窥你电脑上的手机号、通讯录,从而把“隐私泄露”的责任全部归因于“电脑中毒、电脑中了木马”等技术因素。

  其实现在的情况已经有了很大改变,社交网站的隐私泄露、用户个人的安全意识不强等非技术性的因素,已经成为收集、利用网民隐私的重要原因。而那些木马、病毒、后门程序则成为他们收集网民隐私的辅助工具,而不再是主要因素。

  通过社交网站,商业公司不但可以收集用户的手机号、MSN账号等普通信息,还可以通过分析网民发布的博客、帖子、同学群体等,推测出用户的消费倾向(节俭还是奢侈)、个人婚姻情况(单身还是离婚)、工作情况(是否有跳槽的意向)等十分隐私的信息。

  用户经常遇到的泄密问题包括:

  1.手机号泄露。手机号泄露之后,很多人会频繁接到各种广告短信,推销发票、枪支、性用品等非法物品;有人会接到各种诈骗电话,近来热门的“中奖电话”、“退税诈骗电话”等,起因往往就是由于用户的手机号泄露。

  2.MSN账号密码泄露(QQ帐号密码)。MSN和QQ作为人们日常应用的网络通讯工具,一旦泄露会带来很多麻烦。比如,黑客会编写机器人程序,利用收集到的MSN账号密码登陆,然后向其好友发送垃圾消息、商业广告等。

  3.邮件账号泄露(Outlook通讯录、Foxmail通讯录泄露)。黑客会使用收集到的邮箱帐号密码登陆,冒充用户向其好友发送商业广告、病毒链接、木马网站链接,甚至可以利用该邮箱,获取用户更多的个人隐私。

  4.真实情况泄露。这主要指的是网民的一些真实生活情况会被网上泄露,典型的如“虐猫女”、“铜须门”、“最牛小三”、“北师大美女副总裁”事件等。发生泄露之后,人们的正常生活会遭到严重影响。

  5.病毒和挂马网站。用户的邮件账号、QQ号、MSN账号泄露后,经常会收到木马网站链接、钓鱼网站链接等。如果不做好防备,很容易中毒。

  上述这些泄密问题,往往存在于博客、社交网站、论坛上,而社交网站由于兼具博客和论坛功能,其危险性更是不容低估。

  社交网站的七种安全风险

  作为目前火热的社交网站,其中的领先者通常有数千万注册用户。据业内人士估计,排行前列的社交网站,一般会在北京拥有用户300万以上,上海300万以上,广州200万以上。根据其经营策略的不同,人群分布会有不同,比如有的侧重于白领、有的侧重于学生等等。如此巨大的用户群体,一旦发生个人隐私泄露,其危害不容低估。

  在流行的社交网站中,要求用户填写的个人资料包括:性别、年龄、教育程度、工作情况、婚姻情况、真实照片、手机号码等。如果用户要使用网站的交友功能、游戏功能,通常还要提供更多的信息,包括:MSN账号密码、QQ帐号密码、Outlook邮箱通讯录。可以说,如果网民将这些信息全部填写完毕,那就几乎没有任何隐私可言。

  而且,根据瑞星的调查分析,通过“查找朋友”、“游戏邀请”等方式引诱用户填写隐私资料、对其好友进行频繁骚扰,并不是某个网站的单独行为,而已经成为很多SNS借以吸引用户的重要手段,几乎所有网站都在采用,几乎成为社交网站最为重要的“潜规则”。而正是这些潜规则,对用户的安全构成了严重威胁。

  调查结果显示,社交网站存在的七种主要安全风险包括:

  1.利用引诱、误导等方式,鼓励用户填写MSN和QQ的账号、密码。

  2.通过游戏积分奖励、优先享受新功能等方式,鼓励用户填写自己的真实情况。网站提供的安全保护,却存在很多问题。

  3.鼓励网民将网站帐户与手机绑定,建立手机信息库,存在隐私泄露风险。

  4.网站的隐私保护设计,完全以“方便”为立足点,漠视用户的“安全风险”。

  5.网站使用大量ajax技术,很容易产生XSS和CSRF攻击,使用户电脑中毒,网银账户失窃等。

  6.频繁骚扰注册用户的联系人,诱骗其注册自己的网站,甚至直接骗取隐私信息,并频繁发送广告。

  7.用户在游戏、交流的过程中很容易泄露自己的真实情况,可能给黑客诈骗带来方便。

  针对上述问题,瑞星安全专家建议:

  1.在社交网站填写任何个人资料之前,都要了解到其中蕴含的风险。尽量不要在社交网站填写过于详细的个人资料;

  2.不要随意通过陌生人的MSN好友请求、SNS网站的好友请求;

  3.把自己的SNS资料设为最高安全等级。

  上网行为管理技术PK社交网站

  企业应对社交网站,可以从加强企业文化建设,完善企业规章制度等方面入手,同时,也可在从技术上采用全面的监管手段,对员工互联网行为实施“管控”。例如,市面上有种“上网行为管理”产品,主要部署在企业互联网出口处,可以从“带宽管理”、“应用控制”等多个角度对整个公司网络的各种活动进行管控,帮助企业提升工作效率、优化带宽使用、降低安全威胁、保护IT投资。

  据张宝权介绍,目前,网康上网行为管理产品提供三种不同层面的控制策略,来满足不同用户的业务需要:第一, 完全封堵。通过网康产品的“网页过滤”功能,可以直接封堵社交网络站点,员工登陆时页面显示为空。

  第二, 应用控制,屏蔽游戏功能,保留社交功能。网康上网行为管理产品可以基于应用协议,基于行为内容去控制。具体来说,它可以只屏蔽社交网的小游戏功能(例如,开心网停车、偷菜等等),其他功能照常使用,这样既不会占用过多的带宽,又不会影响企业员工与客户的沟通交流。

  第三, 流量控制,合理分配流量,限制企业员工访问社交网的总流量,保证关键业务的正常运行。例如,在公司总网络出口安置网康上网行为管理设备,开启流量控制功能:对社交网络访问进行限制,限在1M以内,有效避免了非法应用对正常业务的影响。通过这种方式,企业带宽能够保障,员工也不会滋生抵触情绪。

  最后,张宝权特别指出,“我们所提倡的员工‘上网行为管理’,并不是强制性的管理模式,而是根据企业的需要,结合员工的具体要求,切实做到‘以人为本’的管理模式。”比如,“对于社交网站这类应用,在上班时间内可以禁止或限制,帮助员工提高工作效率,养成良好的工作习惯。而在休息时间段可以适当开放,毕竟它们可以作为员工调节身心、放松压力的工具。”

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章