不管您喜欢与否,任何企业都不能忽视Web 2.0现象,Facebook、Twitter、wikis、博客网站、音乐分享和其他协作程序都慢慢融入人们的生活,企业也需要积极处理因此产生的安全问题。
这些应用程序改变了人们交流的方式,也使企业与个人之间的界限变得模糊了。Web 2.0程序使人们能够将更多数据放在公共互联网上,这也意味着,对企业敏感商业数据造成巨大的潜在安全威胁。
在过去一年中,我们经常会看到关于未受保护CD和存储设备丢失等新闻,通过Web 2.0应用服务造成的数据泄漏时间更是屡见不鲜。
因此,企业需要采取行动,制止敏感信息通过Web 2.0泄漏出去。但是究竟安全风险是什么呢?要采取哪些措施才能够降低这种安全风险呢?
避免感染
2009年2月,企业安全2.0论坛上,全球财富500强公司的高层们就报道了web 2.0对企业造成的巨大安全威胁。除web 2.0程序安全威胁外,最常见的安全威胁还包括恶意软件,特别是旨在提取用户电脑数据的软件或者感染用户电脑的软件。
这并不奇怪,计算机病毒、蠕虫病毒或者其他恶意代码的编写者已经不再追求是否上新闻头条,他们需要钱,而盗取个人数据信息就是其中一种途径。当然,随着Web 2.0应用程序用户数量的增加,攻击者们越来越多地开始利用这些程序来试图盗取他们需要的敏感数据。
因此,对于企业而言,很重要的事情就是,确保企业的所有计算机(无论是台式机还是笔记本)都受到定期更新的防病毒和防间谍软件的保护,这将能够让企业免受最新威胁的攻击。
另外,也需要考虑浏览器虚拟化问题,如ZoneAlarm的ForceField,这可以为每个用户的网络浏览器加一层保护膜,这样,当用户访问Web 2.0网站或者应用程序时,任何恶意软件都不能透过浏览器而访问计算机。更重要的是,还能阻止关键信息记录和数据挖掘软件向计算机外部发送数据,从而提供安全的保护。
防止数据泄漏和丢失
与Web 2.0相关的其他重要风险因素还包括用户本身,在很多企业发生的大多数数据泄漏都不是由犯罪分子发起的,而是由试图更快完成其工作的用户造成的。
因为Web 2.0程序为用户提供了前所未有的共享数据的方式,而这种方式也绕过了IT安全部门的控制,企业需要认真检查用户在使用哪些Web 2.0程序,在企业不知情的情况下。
数据安全保护的出发点是,将对这些web 2.0应用程序的使用方法纳入企业的可接受使用条款中,明确向员工规定哪些程序可以使用,哪些程序不能使用。让员工了解服从企业安全政策的重要性,以及相关的企业安全风险问题。但是,有时候单靠政策本身是不够的,因此企业必须通过解决方案对数据进行备份和加密等操作。
通过确保只有授权用户能够访问,加密操作能够保护服务器、计算机、笔记本和可移动设备的敏感信息,防止敏感信息丢失或者泄漏。加密操作应该是自动化的,这样用户就不需要决定某些信息是否需要进行保护。正确的解决方案还应该提供数据解密和访问的审计线索,这样就能迅速采取后续行动。
总之,IT安全问题总是会回到两个基本问题:控制信息和控制使用信息的人。只需要进行稍微的规划,企业就能够安全地部署和使用Web 2.0应用程序了。