淺談Web 2.0時代企業(yè)安全風險與防治

不管您喜歡與否，任何企業(yè)都不能忽視Web 2.0現(xiàn)象，F(xiàn)acebook、Twitter、wikis、博客網(wǎng)站、音樂分享和其他協(xié)作程序都慢慢融入人們的生活，企業(yè)也需要積極處理因此產生的安全問題。

這些應用程序改變了人們交流的方式，也使企業(yè)與個人之間的界限變得模糊了。Web 2.0程序使人們能夠將更多數(shù)據(jù)放在公共互聯(lián)網(wǎng)上，這也意味著，對企業(yè)敏感商業(yè)數(shù)據(jù)造成巨大的潛在安全威脅。

在過去一年中，我們經常會看到關于未受保護CD和存儲設備丟失等新聞，通過Web 2.0應用服務造成的數(shù)據(jù)泄漏時間更是屢見不鮮。

因此，企業(yè)需要采取行動，制止敏感信息通過Web 2.0泄漏出去。但是究竟安全風險是什么呢？要采取哪些措施才能夠降低這種安全風險呢？

避免感染

2009年2月，企業(yè)安全2.0論壇上，全球財富500強公司的高層們就報道了web 2.0對企業(yè)造成的巨大安全威脅。除web 2.0程序安全威脅外，最常見的安全威脅還包括惡意軟件，特別是旨在提取用戶電腦數(shù)據(jù)的軟件或者感染用戶電腦的軟件。

這并不奇怪，計算機病毒、蠕蟲病毒或者其他惡意代碼的編寫者已經不再追求是否上新聞頭條，他們需要錢，而盜取個人數(shù)據(jù)信息就是其中一種途徑。當然，隨著Web 2.0應用程序用戶數(shù)量的增加，攻擊者們越來越多地開始利用這些程序來試圖盜取他們需要的敏感數(shù)據(jù)。

因此，對于企業(yè)而言，很重要的事情就是，確保企業(yè)的所有計算機（無論是臺式機還是筆記本）都受到定期更新的防病毒和防間諜軟件的保護，這將能夠讓企業(yè)免受最新威脅的攻擊。

另外，也需要考慮瀏覽器虛擬化問題，如ZoneAlarm的ForceField，這可以為每個用戶的網(wǎng)絡瀏覽器加一層保護膜，這樣，當用戶訪問Web 2.0網(wǎng)站或者應用程序時，任何惡意軟件都不能透過瀏覽器而訪問計算機。更重要的是，還能阻止關鍵信息記錄和數(shù)據(jù)挖掘軟件向計算機外部發(fā)送數(shù)據(jù)，從而提供安全的保護。

防止數(shù)據(jù)泄漏和丟失

與Web 2.0相關的其他重要風險因素還包括用戶本身，在很多企業(yè)發(fā)生的大多數(shù)數(shù)據(jù)泄漏都不是由犯罪分子發(fā)起的，而是由試圖更快完成其工作的用戶造成的。

因為Web 2.0程序為用戶提供了前所未有的共享數(shù)據(jù)的方式，而這種方式也繞過了IT安全部門的控制，企業(yè)需要認真檢查用戶在使用哪些Web 2.0程序，在企業(yè)不知情的情況下。

數(shù)據(jù)安全保護的出發(fā)點是，將對這些web 2.0應用程序的使用方法納入企業(yè)的可接受使用條款中，明確向員工規(guī)定哪些程序可以使用，哪些程序不能使用。讓員工了解服從企業(yè)安全政策的重要性，以及相關的企業(yè)安全風險問題。但是，有時候單靠政策本身是不夠的，因此企業(yè)必須通過解決方案對數(shù)據(jù)進行備份和加密等操作。

通過確保只有授權用戶能夠訪問，加密操作能夠保護服務器、計算機、筆記本和可移動設備的敏感信息，防止敏感信息丟失或者泄漏。加密操作應該是自動化的，這樣用戶就不需要決定某些信息是否需要進行保護。正確的解決方案還應該提供數(shù)據(jù)解密和訪問的審計線索，這樣就能迅速采取后續(xù)行動。

總之，IT安全問題總是會回到兩個基本問題：控制信息和控制使用信息的人。只需要進行稍微的規(guī)劃，企業(yè)就能夠安全地部署和使用Web 2.0應用程序了。