淺談Web 2.0時(shí)代企業(yè)安全風(fēng)險(xiǎn)與防治

不管您喜歡與否，任何企業(yè)都不能忽視Web 2.0現(xiàn)象，F(xiàn)acebook、Twitter、wikis、博客網(wǎng)站、音樂(lè)分享和其他協(xié)作程序都慢慢融入人們的生活，企業(yè)也需要積極處理因此產(chǎn)生的安全問(wèn)題。

這些應(yīng)用程序改變了人們交流的方式，也使企業(yè)與個(gè)人之間的界限變得模糊了。Web 2.0程序使人們能夠?qū)⒏�多�?shù)據(jù)放在公共互聯(lián)網(wǎng)上，這也意味著，對(duì)企業(yè)敏感商業(yè)數(shù)據(jù)造成巨大的潛在安全威脅。

在過(guò)去一年中，我們經(jīng)常會(huì)看到關(guān)于未受保護(hù)CD和存儲(chǔ)設(shè)備丟失等新聞，通過(guò)Web 2.0應(yīng)用服務(wù)造成的數(shù)據(jù)泄漏時(shí)間更是屢見(jiàn)不鮮。

因此，企業(yè)需要采取行動(dòng)，制止敏感信息通過(guò)Web 2.0泄漏出去。但是究竟安全風(fēng)險(xiǎn)是什么呢？要采取哪些措施才能夠降低這種安全風(fēng)險(xiǎn)呢？

避免感染

2009年2月，企業(yè)安全2.0論壇上，全球財(cái)富500強(qiáng)公司的高層們就報(bào)道了web 2.0對(duì)企業(yè)造成的巨大安全威脅。除web 2.0程序安全威脅外，最常見(jiàn)的安全威脅還包括惡意軟件，特別是旨在提取用戶電腦數(shù)據(jù)的軟件或者感染用戶電腦的軟件。

這并不奇怪，計(jì)算機(jī)病毒、蠕蟲(chóng)病毒或者其他惡意代碼的編寫(xiě)者已經(jīng)不再追求是否上新聞?lì)^條，他們需要錢(qián)，而盜取個(gè)人數(shù)據(jù)信息就是其中一種途徑。當(dāng)然，隨著Web 2.0應(yīng)用程序用戶數(shù)量的增加，攻擊者們?cè)絹?lái)越多地開(kāi)始利用這些程序來(lái)試圖盜取他們需要的敏感數(shù)據(jù)。

因此，對(duì)于企業(yè)而言，很重要的事情就是，確保企業(yè)的所有計(jì)算機(jī)（無(wú)論是臺(tái)式機(jī)還是筆記本）都受到定期更新的防病毒和防間諜軟件的保護(hù)，這將能夠讓企業(yè)免受最新威脅的攻擊。

另外，也需要考慮瀏覽器虛擬化問(wèn)題，如ZoneAlarm的ForceField，這可以為每個(gè)用戶的網(wǎng)絡(luò)瀏覽器加一層保護(hù)膜，這樣，當(dāng)用戶訪問(wèn)Web 2.0網(wǎng)站或者應(yīng)用程序時(shí)，任何惡意軟件都不能透過(guò)瀏覽器而訪問(wèn)計(jì)算機(jī)。更重要的是，還能阻止關(guān)鍵信息記錄和數(shù)據(jù)挖掘軟件向計(jì)算機(jī)外部發(fā)送數(shù)據(jù)，從而提供安全的保護(hù)。

防止數(shù)據(jù)泄漏和丟失

與Web 2.0相關(guān)的其他重要風(fēng)險(xiǎn)因素還包括用戶本身，在很多企業(yè)發(fā)生的大多數(shù)數(shù)據(jù)泄漏都不是由犯罪分子發(fā)起的，而是由試圖更快完成其工作的用戶造成的。

因?yàn)閃eb 2.0程序?yàn)橛脩籼峁┝饲八�未有的共享�?shù)據(jù)的方式，而這種方式也繞過(guò)了IT安全部門(mén)的控制，企業(yè)需要認(rèn)真檢查用戶在使用哪些Web 2.0程序，在企業(yè)不知情的情況下。

數(shù)據(jù)安全保護(hù)的出發(fā)點(diǎn)是，將對(duì)這些web 2.0應(yīng)用程序的使用方法納入企業(yè)的可接受使用條款中，明確向員工規(guī)定哪些程序可以使用，哪些程序不能使用。讓員工了解服從企業(yè)安全政策的重要性，以及相關(guān)的企業(yè)安全風(fēng)險(xiǎn)問(wèn)題。但是，有時(shí)候單靠政策本身是不夠的，因此企業(yè)必須通過(guò)解決方案對(duì)數(shù)據(jù)進(jìn)行備份和加密等操作。

通過(guò)確保只有授權(quán)用戶能夠訪問(wèn)，加密操作能夠保護(hù)服務(wù)器、計(jì)算機(jī)、筆記本和可移動(dòng)設(shè)備的敏感信息，防止敏感信息丟失或者泄漏。加密操作應(yīng)該是自動(dòng)化的，這樣用戶就不需要決定某些信息是否需要進(jìn)行保護(hù)。正確的解決方案還應(yīng)該提供數(shù)據(jù)解密和訪問(wèn)的審計(jì)線索，這樣就能迅速采取后續(xù)行動(dòng)。

總之，IT安全問(wèn)題總是會(huì)回到兩個(gè)基本問(wèn)題：控制信息和控制使用信息的人。只需要進(jìn)行稍微的規(guī)劃，企業(yè)就能夠安全地部署和使用Web 2.0應(yīng)用程序了。