Web2.0時(shí)代的到來(lái)使得更多的互聯(lián)網(wǎng)應(yīng)用充斥在企業(yè)之中。社交網(wǎng)絡(luò)的普及為使得員工的通信更加便捷，但Web2.0同時(shí)也為企業(yè)帶來(lái)了諸多的安全漏洞。使得企業(yè)互聯(lián)網(wǎng)安全防護(hù)的難度提高了許多。那么面對(duì)這種情況，企業(yè)應(yīng)該如何部署Web2.0安全策略又成了擺在我們面前的問(wèn)題。

Web2.0加大了安全保障的復(fù)雜性，企業(yè)正在尋求一種全面的方法保護(hù)企業(yè)安全，他們希望這種方法既能減少威脅，又可以減輕管理難度。

對(duì)于許多企業(yè)而言，社交網(wǎng)絡(luò)和Web2.0應(yīng)用已經(jīng)超越了個(gè)人使用的需求，并已經(jīng)有助于企業(yè)銷售產(chǎn)品，優(yōu)化工作效率的工具。

例如，人力資源部的人可以使用LinkedIn等來(lái)研究員工展望，銷售團(tuán)隊(duì)可以利用Facebook等與客戶互動(dòng)，而營(yíng)銷部門則可以利用Twitter等共享頭條新聞或者擴(kuò)大最新新聞或公告的瀏覽范圍。

這些工具同時(shí)滿足了信息共享，及時(shí)通訊等需求，其受關(guān)注度和使用頻率不可小覷。而其發(fā)展勢(shì)頭也非常好。預(yù)計(jì)到2013年，全球范圍內(nèi)企業(yè)投資到Web2.0技術(shù)上的資金有望達(dá)到46億美金。企業(yè)無(wú)法忽視這個(gè)利用新工具增加生產(chǎn)效率的契機(jī)。

新一代網(wǎng)絡(luò)威脅

雖然，社交網(wǎng)絡(luò)和Web2.0應(yīng)用增加了我們的協(xié)作能力，但是他們也引發(fā)了新一輪網(wǎng)絡(luò)威脅。

社交網(wǎng)絡(luò)的特性使得人們建立了一個(gè)基于網(wǎng)絡(luò)的，互相信任的聯(lián)絡(luò)網(wǎng)，而這張網(wǎng)又?jǐn)U展到了商業(yè)領(lǐng)域。于是，用戶可以輕易地交換或傳播信息，圖像和文件——通常這類操作都不需要進(jìn)行身份驗(yàn)證和信息驗(yàn)證。

而通過(guò)社交網(wǎng)絡(luò)散步的惡意代碼數(shù)量以及端對(duì)端文件共享的網(wǎng)站數(shù)量都在迅速增加。這些新工具非常有利于社交工程式攻擊，實(shí)施這些攻擊的人可以利用這類攻擊并威脅敏感數(shù)據(jù)。因此，企業(yè)應(yīng)該確保自己的侵入防御系統(tǒng)優(yōu)于查探模式，而且要確保此系統(tǒng)將重心真正放在阻止威脅上。

近八成的數(shù)據(jù)泄漏都是無(wú)心之失。這些都是員工的疏忽大意或無(wú)意識(shí)地違背公司手冊(cè)中的安全策略造成的。例如，某員工可能講一份保密文件發(fā)送給錯(cuò)誤的收件人或是使用Web網(wǎng)頁(yè)，P2P文件共享網(wǎng)頁(yè)將容量很大的文件發(fā)送給商業(yè)伙伴。無(wú)論如何，上傳文件后，如果沒(méi)有閱讀操作細(xì)則，他們就很可能喪失對(duì)敏感數(shù)據(jù)的控制。

非常有必要警告員工哪些數(shù)據(jù)是企業(yè)的敏感數(shù)據(jù)，并且要告知數(shù)據(jù)的分類情況。Web2.0應(yīng)用為企業(yè)帶來(lái)許多好處，可是為了減少隨之而來(lái)的威脅，企業(yè)應(yīng)該尋求技術(shù)部署方案來(lái)幫助員工通過(guò)自學(xué)遠(yuǎn)離高風(fēng)險(xiǎn)的操作。

Web瀏覽器虛擬化技術(shù)

為了能夠在客戶端有效抵御Web2.0威脅，一些領(lǐng)先的企業(yè)正著手部署方案和一些相應(yīng)的行為和分析技巧，這些技巧可以讓員工利用工具的同時(shí)又不損害企業(yè)的安全。

例如，許多企業(yè)正利用Web瀏覽器虛擬化技術(shù)，因?yàn)檫@一技術(shù)既可以隔離已知或未知的威脅，又可以提供高級(jí)探索功能來(lái)阻止員工打開有危險(xiǎn)的網(wǎng)站。現(xiàn)在，幾乎任何使用瀏覽器的用戶都可以使用社交網(wǎng)絡(luò)和Web2.0應(yīng)用。幸運(yùn)的是，Web瀏覽器虛擬化技術(shù)可以將企業(yè)數(shù)據(jù)與互聯(lián)網(wǎng)隔離開，同時(shí)又可以讓員工在受保護(hù)的前提下自由瀏覽器網(wǎng)絡(luò)。

和許多安全一樣，重在防護(hù)的多層級(jí)保護(hù)對(duì)維護(hù)企業(yè)的互聯(lián)網(wǎng)安全至關(guān)重要。一個(gè)好的Web2.0安全策略應(yīng)該包含下列七個(gè)特征：

1. 應(yīng)用控制：部署用于Web2.0，社交網(wǎng)絡(luò)和互聯(lián)網(wǎng)應(yīng)用的粒度安全控件。

2. 服從：記錄并保存記錄以便滿足調(diào)整和電子化搜尋的要求。

3. Web過(guò)濾：監(jiān)控和控制員工使用Web的情況。

4. 阻止惡意攻擊：在網(wǎng)關(guān)處阻止間諜軟件，根工具包和蠕蟲。

5. 帶寬控制：控制帶寬密集型應(yīng)用的使用，如文件共享和視頻流。

6. Web瀏覽器虛擬化：提供雙瀏覽器模式，使員工有能力將企業(yè)數(shù)據(jù)與互聯(lián)網(wǎng)隔離。

7. 自學(xué)功能：分析用戶的行為，預(yù)配置策略，當(dāng)敏感數(shù)據(jù)面臨危險(xiǎn)時(shí)警告用戶。

Web2.0的安全問(wèn)題非常復(fù)雜，而且還涉及如何讓企業(yè)管理新型威脅。一個(gè)有效的Web2.0安全策略可以通過(guò)全面的端點(diǎn)安全完善網(wǎng)絡(luò)保護(hù)，可以讓企業(yè)輕松地將安全服務(wù)整合到已有架構(gòu)中，而不需要消耗有限的IT預(yù)算。對(duì)于企業(yè)而言這樣的方案尤為重要，因?yàn)樗梢蕴峁└玫陌踩阅?，?jiǎn)化管理，而且可以隨著商業(yè)需求的變化，進(jìn)行調(diào)整。
 

【編輯推薦】

1. 黑客使用Web攻擊的八條原因
2. 防止入侵從Web應(yīng)用安全漏洞做起
3. 社交網(wǎng)絡(luò)時(shí)代下的企業(yè)Web安全
4. 概述網(wǎng)頁(yè)掛馬原理與危害
5. 網(wǎng)頁(yè)掛馬之我的前生今世