摘要：波士顿医疗中心(BMC)是一家附属于波士顿大学的私立医院，该医院使用Websense公司的安全软件阻止对所有社交媒体网站的访问。企图使用像Facebook、微博或Twitter此类网站的用户，将会看到一个网页，显示其访问的站点被禁止。然而，关于对此类网站的访问是开放还是阻止的辩论仍然在继续。

　　事实上，BMC的IT主管Brad Blake说，该讨论“几乎每天”都在上演。Blake说：“你可以想象，我们有许多用户想要访问这些网站，但由于种种原因，如果开放对此类站点的访问，我们会觉得不安的。”
　　
　　如果BMC创建一个Facebook帐户，并要求其病人成为好友，Blake说：“这将构建一个安全漏洞。我们的高级管理人员已经感觉到，阻止对这些网站的访问比监督和管理它们更加容易。”
　　
　　面作为一种业务工具的社交媒体的使用，CIO们很难平衡业务需求与安全问题。事实上，有些CIO如此捉襟见肘，以至于他们正乞求为此事被采访，这样他们可以声称他们是这个游戏的新手，对用于社交媒体的安全工具毫不知情。其他CIO们受到来自他们的公关人员的压力，出于安全原因，无法说他们的想法。即使那些同意为保障社交媒体的安全而描述他们的策略的CIO们，对提供有关他们的IT工具的详情，也显得犹豫不决。那些和Blake情况类似的其他人：随着他们的公司在与企业应该如何利用社交媒体的搏斗中，他们默认的立场是简单地阻止访问。
　　
　　这并没有使Jonathan Penn感觉奇怪。Penn是Forrester研究公司的安全分析师。他说：“我们发现，很多政策都不容许社交媒体的使用，即使是当有业务需要时。在政策出台以前，公司已经让人们进入社交媒体并使用它，但是策略和安全小组还没有跟上。”
　　
　　不久前，关于员工把YouTube这样的社交媒体网站用于业务目的的说法似乎是荒谬的。现在，许多市场部门正在YouTube上投放视频，以及跟踪竞争对手发布的视频。但是，保护业务免受来自社交媒体的风险，同时促进合法的业务需要——至少在一个积极的基础上——仍然超出了许多企业管理的范围。
　　
　　Penn说：“人们现在还没有一个真正可用的工具。许多工具——访问控制就是其中一个——都是粗糙和简陋的。”实现细致入微、自动化的规则是“非常困难的”，例如，允许市场部门人员使用YouTube，只要它占用仅仅这么多带宽，或者是仅仅在某个时间段内可以使用。
　　
　　公司需要监控它们的网络、桌面以及他们的社交网络，以发现员工和外界在谈论关于公司的内容。然而，在这种情况下，Penn说，现有技术中做的最好的往往是事后发现问题。
　　
　　Kurt Baumgarten是咨询公司Peritus Security Partners LLC的信息安全副总裁。Baumgarten鼓励客户跟踪出现在社交媒体网站上的公司信息。如Sysomos公司的监测工具，虽然不便宜，但允许公司追踪他们的在线声誉。这种工具也可以用来确定员工是否正在披露敏感信息。有许多可用于Twitter的分析工具，包括Tweet Stats、Twitter Grader和Hootsuite。Web和内容过滤工具，像Websense的Surf Control，可以覆盖互联网和电子邮件。事实上，用于监视员工上网行为的内部工具已经出现很长时间了。他说：“大多数好的防火墙都可以发现异常——红灯警示此人正上传2GB的数据。”
　　
　　然而，安全工具并不是那么聪明。Baumgarten说：“入侵防御系统并不够聪明，无法根据正在发布的内容或语法关闭相关连接。”清晰的社交媒体使用政策，仍然是抵御社交媒体威胁的第一道防线。
　　
　　对于Tom Gainer来说，这是战术而不是损失。Gainer是得克萨斯州的地区性银行First Bank Southwest的高级副总裁。任何出现在社交媒体网站(诸如Facebook和MySpace)上的网页是为银行服务，而且是银行支持的。使用专用的、独立的、不在银行网络中的PC控制银行网页，且只有来自银行内部的两位指定的工作人员可以访问此台PC。在一封邮件中，Gainer解释到，这台PC工作站只处理银行选择参与的社会媒体网站——而“没有别的”。
　　
　　关于银行使用哪些工具以减轻可能来源于社交媒体的各类攻击的风险，Gainer是慎重的。他坦言，他正使用他所谓的“边界安全”实时检查进出银行的流量。他说，该银行正运行一台设备，用以控制对外部网站的访问，并且该设备还提供了积极检查进出流量的其他安全措施。他补充说：“这是我可以给你的这方面的所有信息。”
　　
　　Gainer说，有关员工对社交媒体的使用，出于安全原因，目前该银行阻止所有对社交媒体网站的访问。
　　
　　Gainer说：“在银行外面，工作人员做什么，由他们去，尽管我们试图教育他们存在的危险。”
　　
　　责任编辑：Lily