防止社交网络恶意软件的最佳实践

　　问：对于企业用户在与社交网站进行互动过程中出现的超时设置、缓存、以及其他安全问题，你有什么好的建议?有可能为企业用户建立和实现一个标准的安全指南吗?这样做能够避免数据泄露，同时阻止社交网络的恶意软件吗?

　　答：你当然需要实施和执行一个可接受的使用政策，包括对社交网络站点的使用。正如你所说，这样做有助于避免数据泄露，还可以减少基于社交网络的攻击的成功率。

　　为确保政策能有效工作，最好的办法是在与雇员的互动过程中逐步制定，并严格执行。一旦了解了这些政策背后的逻辑，雇员们就不会规避政策中的限制，同时也会参与到政策的制定中去。

　　只允许访问那些有明显商业利益的社交网站，且只允许有商业需求的用户访问，是一个企业确保社交网络安全的最佳做法。在决定允许雇员访问哪个社交网站时，你应该考虑这些社交网站的实际情况，以及他们会对用户的信息和内容做怎样的处理。

　　在社交网络的使用政策中，包含对雇员的安全意识培训，这很关键。社交网站是一种很独特的交流渠道，普及优良实践、约束用户行为是减少其中风险的最佳方法。许多社交网站的个人资料页面中鼓励用户发布和共享个人信息，但是这些信息可能会被收集并被用于网络钓鱼或者针对个人或组织的恶意攻击。这通常会危及人事安全，还会将公司的信息资源和商业信誉置于危险之中。应使雇员们意识到，虽然信息能够很轻易地发布，但是要完全删除却是几乎不可能的。

　　对雇员的培训还应该包括对常见的社交网络恶意欺诈和社会工程学的防范，以保护个人或者登录信息。我们当然应该使用高强度的密码，而且，如果可能的话，应要求雇员将个人账户和工作账户分开。此外，还应建议雇员充分应用隐私设置，控制能够被别人浏览的信息，以及哪些人可以浏览这些信息。

　　对于你上面提到的问题，好的做法就是设置较短的会话超时时间并限制缓存内容。大多数浏览器都支持对缓存内容进行控制。要保护未关闭的会话，你可以设置一个带密码的屏幕保护程序，在机器闲置后的短时间内自动激活。

　　上面提到的都是行之有效的办法，但是，制定易于执行的安全政策更能影响你的雇员的行为。网络监控工具，如Websense公司的Web Security Gateway，或者BlueCoat系统公司的ProxyAVline，能够发现使用政策中的漏洞，从而提醒你对其进行升级。必要时，还可对某一具体用户执行规范的步骤。另外，通过对社交网站的内容进行分析、监控剪切和粘贴操作、监督文件访问和拦截不适当的网络访问，数据丢失保护(data loss prevention，DLP)工具能防止有意或无意的数据泄露，同时对用户发出警告。