摘要：，社交网站不经检查的数据流正成为敏感数据的新来源，给大规模黑客攻击创造了条件，有人甚至认为社交媒体会成为企业IT安全部门的噩梦。同时该文呼吁称制定社交网站流量安全政策迫在眉睫。

　　Twitter、Facebook、Gmail、LinkedIn、Skype，类似这样的社交网站还有很多很多，在十亿社交网站用户中，绝大多数经常一边工作一边玩社交媒体。这种不经检查的数据流正成为敏感数据的新来源，也带来安全漏洞，给大规模黑客攻击创造了条件。从技术角度讲，虽然制定社交网站流量安全政策存在一定难度，但仍必须制定这样的政策。
　　
　　如果你的朋友或家人曾让你帮助解决PC速度变慢的问题，那你一定知道，普通家庭用户喜欢点击任何一处链接，喜欢接受任何朋友发出的邀请，甚至喜欢安装来自任何一个网站的软件。你可以分辨个人社交网站和职业社交网站之间的不同，比如Facebook和LinkedIn的区别，它们由于不同的原因吸引不同的用户，但问题是大多数用户并不擅长将个人生活和职业生活区别开来。我们可能会用GoogleBuzz账户的密码去作为登录公司活动目录(Active Directory)和Salesforce.com的密码。
　　
　　黑客们当然清楚，现在电子邮件保护技术相当成熟，相比逃避电子邮件内容过滤工具的检查，诱使用户点击社交网站上的链接更容易一些。这些偷渡式下载(drive-bydownload)攻击可以使个人电脑和公司电脑感染各类恶意软件。现已略显落伍的病毒正被攻击目标更明确的定制式恶意软件所取代。恶意软件的威胁性更大，甚至能达到专业人士所称的“高级持续威胁”(APT)的程度。
　　
　　国际知名厂商EMC旗下安全部门RSA称，该机构电脑系统近期遭受黑客攻击威胁，他们通过社交网站寻找公司重要职员的详细资料，然后将恶意软件以嵌入微软Excel电子表格的AdobeFlash形式，通过鱼叉式网路钓鱼(Spearphishing)发送至目标电脑。那些黑客用来搜集目标人群信息的社交网站就成了“病毒载体”。
　　
　　IT部门主管在社交媒体使用问题上面临着两大挑战：一是如何保护网络免遭黑客攻击，二是如何保证生产率，在前一种情况中，黑客通过公司合作伙伴、外包商和员工使用的社交网站获取信息，在后一种情况中，由于员工思想处于“持续连线”状态，他们希望不断与工作和社交网站保持联系，这样，生产率肯定会受到影响。
　　
　　总之，只要经过适当的安全意识培训，同时制定合情合理的用户政策，员工完全可以使用这些网站。同时，企业应该监督员工使用社交媒体或社交网站的情况，无论是出于个人目的还是职业需要，以保证他们遵守公司内部政策，降低发生欺诈事件的概率。最重要的是，要具备从网络内监督社交媒体使用情况的能力，如可以识别哪些用户正在使用哪些社交媒体服务，可以确定使用社交媒体服务的规模和方式，可以检查并警惕传输给那些社交媒体服务的内容。
　　
　　在工作场所使用社交媒体的问题上，各方都应承担起自己的责任：员工有责任保持警惕，无论是在办公室、家中，还是在巴哈马群岛度假;企业有责任推出定义清晰的安全政策，保持开放的姿态，对高级管理层提出合情合理的要求。
　　
　　责任编辑：Lily