企业如何做好社交网站安全防护

　　社交网站在个人用户中掀起热潮之后，又将触角伸向企业，为企业员工提供内部交流沟通平台。但是最近的Twitter机密文档泄密事件说明，社交网站在给企业带来便利的同时，也带来了巨大安全风险，需要对其进行合理安全防护。

　　社交网站成主要泄露渠道

　　在传统上，人们往往认为木马病毒会窃取QQ号、邮箱地址，后门程序可以让黑客偷窥你电脑上的手机号、通讯录，从而把“隐私泄露”的责任全部归因于“电脑中毒、电脑中了木马”等技术因素。

　　其实现在的情况已经有了很大改变，社交网站的隐私泄露、用户个人的安全意识不强等非技术性的因素，已经成为收集、利用网民隐私的重要原因。而那些木马、病毒、后门程序则成为他们收集网民隐私的辅助工具，而不再是主要因素。

　　通过社交网站，商业公司不但可以收集用户的手机号、MSN账号等普通信息，还可以通过分析网民发布的博客、帖子、同学群体等，推测出用户的消费倾向(节俭还是奢侈)、个人婚姻情况(单身还是离婚)、工作情况(是否有跳槽的意向)等十分隐私的信息。

　　用户经常遇到的泄密问题包括：

　　1.手机号泄露。手机号泄露之后，很多人会频繁接到各种广告短信，推销发票、枪支、性用品等非法物品;有人会接到各种诈骗电话，近来热门的“中奖电话”、“退税诈骗电话”等，起因往往就是由于用户的手机号泄露。

　　2.MSN账号密码泄露(QQ帐号密码)。MSN和QQ作为人们日常应用的网络通讯工具，一旦泄露会带来很多麻烦。比如，黑客会编写机器人程序，利用收集到的MSN账号密码登陆，然后向其好友发送垃圾消息、商业广告等。

　　3.邮件账号泄露(Outlook通讯录、Foxmail通讯录泄露)。黑客会使用收集到的邮箱帐号密码登陆，冒充用户向其好友发送商业广告、病毒链接、木马网站链接，甚至可以利用该邮箱，获取用户更多的个人隐私。

　　4.真实情况泄露。这主要指的是网民的一些真实生活情况会被网上泄露，典型的如“虐猫女”、“铜须门”、“最牛小三”、“北师大美女副总裁”事件等。发生泄露之后，人们的正常生活会遭到严重影响。

　　5.病毒和挂马网站。用户的邮件账号、QQ号、MSN账号泄露后，经常会收到木马网站链接、钓鱼网站链接等。如果不做好防备，很容易中毒。

　　上述这些泄密问题，往往存在于博客、社交网站、论坛上，而社交网站由于兼具博客和论坛功能，其危险性更是不容低估。

　　社交网站的七种安全风险

　　作为目前火热的社交网站，其中的领先者通常有数千万注册用户。据业内人士估计，排行前列的社交网站，一般会在北京拥有用户300万以上，上海300万以上，广州200万以上。根据其经营策略的不同，人群分布会有不同，比如有的侧重于白领、有的侧重于学生等等。如此巨大的用户群体，一旦发生个人隐私泄露，其危害不容低估。

　　在流行的社交网站中，要求用户填写的个人资料包括：性别、年龄、教育程度、工作情况、婚姻情况、真实照片、手机号码等。如果用户要使用网站的交友功能、游戏功能，通常还要提供更多的信息，包括：MSN账号密码、QQ帐号密码、Outlook邮箱通讯录。可以说，如果网民将这些信息全部填写完毕，那就几乎没有任何隐私可言。

　　而且，根据瑞星的调查分析，通过“查找朋友”、“游戏邀请”等方式引诱用户填写隐私资料、对其好友进行频繁骚扰，并不是某个网站的单独行为，而已经成为很多SNS借以吸引用户的重要手段，几乎所有网站都在采用，几乎成为社交网站最为重要的“潜规则”。而正是这些潜规则，对用户的安全构成了严重威胁。

　　调查结果显示，社交网站存在的七种主要安全风险包括：

　　1.利用引诱、误导等方式，鼓励用户填写MSN和QQ的账号、密码。

　　2.通过游戏积分奖励、优先享受新功能等方式，鼓励用户填写自己的真实情况。网站提供的安全保护，却存在很多问题。

　　3.鼓励网民将网站帐户与手机绑定，建立手机信息库，存在隐私泄露风险。

　　4.网站的隐私保护设计，完全以“方便”为立足点，漠视用户的“安全风险”。

　　5.网站使用大量ajax技术，很容易产生XSS和CSRF攻击，使用户电脑中毒，网银账户失窃等。

　　6.频繁骚扰注册用户的联系人，诱骗其注册自己的网站，甚至直接骗取隐私信息，并频繁发送广告。

　　7.用户在游戏、交流的过程中很容易泄露自己的真实情况，可能给黑客诈骗带来方便。

　　针对上述问题，瑞星安全专家建议：

　　1.在社交网站填写任何个人资料之前，都要了解到其中蕴含的风险。尽量不要在社交网站填写过于详细的个人资料;

　　2.不要随意通过陌生人的MSN好友请求、SNS网站的好友请求;

　　3.把自己的SNS资料设为最高安全等级。

　　上网行为管理技术PK社交网站

　　企业应对社交网站，可以从加强企业文化建设，完善企业规章制度等方面入手，同时，也可在从技术上采用全面的监管手段，对员工互联网行为实施“管控”。例如，市面上有种“上网行为管理”产品，主要部署在企业互联网出口处，可以从“带宽管理”、“应用控制”等多个角度对整个公司网络的各种活动进行管控，帮助企业提升工作效率、优化带宽使用、降低安全威胁、保护IT投资。

　　据张宝权介绍，目前，网康上网行为管理产品提供三种不同层面的控制策略，来满足不同用户的业务需要：第一， 完全封堵。通过网康产品的“网页过滤”功能，可以直接封堵社交网络站点，员工登陆时页面显示为空。

　　第二， 应用控制，屏蔽游戏功能，保留社交功能。网康上网行为管理产品可以基于应用协议，基于行为内容去控制。具体来说，它可以只屏蔽社交网的小游戏功能(例如，开心网停车、偷菜等等)，其他功能照常使用，这样既不会占用过多的带宽，又不会影响企业员工与客户的沟通交流。

　　第三， 流量控制，合理分配流量，限制企业员工访问社交网的总流量，保证关键业务的正常运行。例如，在公司总网络出口安置网康上网行为管理设备，开启流量控制功能：对社交网络访问进行限制，限在1M以内，有效避免了非法应用对正常业务的影响。通过这种方式，企业带宽能够保障，员工也不会滋生抵触情绪。

　　最后，张宝权特别指出，“我们所提倡的员工‘上网行为管理’，并不是强制性的管理模式，而是根据企业的需要，结合员工的具体要求，切实做到‘以人为本’的管理模式。”比如，“对于社交网站这类应用，在上班时间内可以禁止或限制，帮助员工提高工作效率，养成良好的工作习惯。而在休息时间段可以适当开放，毕竟它们可以作为员工调节身心、放松压力的工具。”