社交網(wǎng)絡(luò)中，對于企業(yè)用戶在與社交網(wǎng)站進(jìn)行互動過程中出現(xiàn)的超時設(shè)置、緩存、以及其他安全問題，你有什么好的建議?有可能為企業(yè)用戶建立和實(shí)現(xiàn)一個標(biāo)準(zhǔn)的安全指南嗎?這樣做能夠避免數(shù)據(jù)泄露，同時阻止社交網(wǎng)絡(luò)的惡意軟件嗎?

這些問題并不難回答，你當(dāng)然需要實(shí)施和執(zhí)行一個可接受的使用政策，包括對社交網(wǎng)絡(luò)站點(diǎn)的使用。正如你所說，這樣做有助于避免數(shù)據(jù)泄露，還可以減少基于社交網(wǎng)絡(luò)的攻擊的成功率。

為確保政策能有效工作，最好的辦法是在與雇員的互動過程中逐步制定，并嚴(yán)格執(zhí)行。一旦了解了這些政策背后的邏輯，雇員們就不會規(guī)避政策中的限制，同時也會參與到政策的制定中去。

只允許訪問那些有明顯商業(yè)利益的社交網(wǎng)站，且只允許有商業(yè)需求的用戶訪問，是一個企業(yè)確保社交網(wǎng)絡(luò)安全的最佳做法。在決定允許雇員訪問哪個社交網(wǎng)站時，你應(yīng)該考慮這些社交網(wǎng)站的實(shí)際情況，以及他們會對用戶的信息和內(nèi)容做怎樣的處理。

在社交網(wǎng)絡(luò)的使用政策中，包含對雇員的安全意識培訓(xùn)，這很關(guān)鍵。社交網(wǎng)站是一種很獨(dú)特的交流渠道，普及優(yōu)良實(shí)踐、約束用戶行為是減少其中風(fēng)險的最佳方法。許多社交網(wǎng)站的個人資料頁面中鼓勵用戶發(fā)布和共享個人信息，但是這些信息可能會被收集并被用于網(wǎng)絡(luò)釣魚或者針對個人或組織的惡意攻擊。這通常會危及人事安全，還會將公司的信息資源和商業(yè)信譽(yù)置于危險之中。應(yīng)使雇員們意識到，雖然信息能夠很輕易地發(fā)布，但是要完全刪除卻是幾乎不可能的。

對雇員的培訓(xùn)還應(yīng)該包括對常見的社交網(wǎng)絡(luò)惡意欺詐和社會工程學(xué)的防范，以保護(hù)個人或者登錄信息。我們當(dāng)然應(yīng)該使用高強(qiáng)度的密碼，而且，如果可能的話，應(yīng)要求雇員將個人賬戶和工作賬戶分開。此外，還應(yīng)建議雇員充分應(yīng)用隱私設(shè)置，控制能夠被別人瀏覽的信息，以及哪些人可以瀏覽這些信息。

對于你上面提到的問題，好的做法就是設(shè)置較短的會話超時時間并限制緩存內(nèi)容。大多數(shù)瀏覽器都支持對緩存內(nèi)容進(jìn)行控制。要保護(hù)未關(guān)閉的會話，你可以設(shè)置一個帶密碼的屏幕保護(hù)程序，在機(jī)器閑置后的短時間內(nèi)自動激活。

上面提到的都是行之有效的辦法，但是，制定易于執(zhí)行的安全政策更能影響你的雇員的行為。網(wǎng)絡(luò)監(jiān)控工具，如Websense公司的Web Security Gateway，或者BlueCoat系統(tǒng)公司的ProxyAVline，能夠發(fā)現(xiàn)使用政策中的漏洞，從而提醒你對其進(jìn)行升級。必要時，還可對某一具體用戶執(zhí)行規(guī)范的步驟。另外，通過對社交網(wǎng)站的內(nèi)容進(jìn)行分析、監(jiān)控剪切和粘貼操作、監(jiān)督文件訪問和攔截不適當(dāng)?shù)木W(wǎng)絡(luò)訪問，數(shù)據(jù)丟失保護(hù)(data loss prevention，DLP)工具能防止有意或無意的數(shù)據(jù)泄露，同時對用戶發(fā)出警告。

社交網(wǎng)絡(luò)不僅僅是一些新潮的商業(yè)模式，它更是一個推動互聯(lián)網(wǎng)向現(xiàn)實(shí)世界無限靠近的關(guān)鍵力量。它也是互聯(lián)網(wǎng)上最普及的應(yīng)用。

【編輯推薦】

1. 社交網(wǎng)絡(luò)時代下的企業(yè)Web安全
2. 如何確保企業(yè)內(nèi)社交網(wǎng)絡(luò)的安全使用
3. 社交網(wǎng)絡(luò)成為攻擊平臺的最佳選擇