美国零售业巨头TJX公司的信用卡支付系统在年初被黑客入侵，共有465万个信用卡号码被盗，从而使这起事件成为迄今为止最大的一起数据泄密事件。虽然目前许多公司在竭力保护自己、避免发生下一次TJX那样的重大数据泄露事件，但它们忽视了另一种风险：社交网络。几乎每家公司内部都有人在写博客——无论这是不是官方博客。

　　不是说只有“迷你微软”（Mini-Microsoft，常常抨击微软的内部博客）才会带来问题。热情高涨却对公司政策不是很熟悉的员工、公开留言板上的开发人员，甚至是员工偶尔谈论一下工作的私人博客，它们都会带来风险。

　　弗雷斯特咨询公司近期的一项调查研究了诸如此类的内容安全问题。委托弗雷斯特公司作这项调查的是Proofpoint，这家公司提供电子邮件安全与数据泄露预防解决方案。

　　2007年7月进行的这项调查收到了员工数量不少于1000人的美国公司返回的308份答卷。弗雷斯特公司发现，20%以上的调查对象事后发现“在过去的12个月通过发布在博客或者留言板上的内容泄露了机密、敏感或者私密的信息。”

    Proofpoint公司的市场开发主管Keith Crosley说：“安全与IT从业人士刚刚开始对博客和留言板有一清醒认识。主要担心的还是从公司发出去的电子邮件，但其他这几种消息传送及网络联系方式也不容忽视。”

　　粗心员工与恶意员工一样危险

 　　公司员工通常并不是心怀叵测，只是粗心大意而已。AOL在去年发生的数据泄露事件就是一个典例。AOL曾在现已停办的研究网站上发布了与搜索查询有关的信息，此举侵犯了658000名用户的隐私。虽然AOL用数字取代用户姓名，试图以此保护用户的身份，但弄清楚许多这些用户的身份还是比较容易，因为用户常常在AOL上查找自己、亲朋好友以及所在小区的信息。

　　AOL肯定没有恶意，只是太粗心罢了。AOL以为，这些信息有助于研究人员，他们的本意肯定也不是想侵犯顾客的隐私。他们就是没有把问题考虑全面，从而导致了重大丑闻、在公众跟前颜面全无、失去了许多顾客、缠身官司，最后开除了三名员工，其中包括首席技术官。

　　据弗雷斯特研究公司的分析师G. Oliver Young声称，甚至早在员工进来之前，公司就要开始为内容控制而操心了。他说：“如果求职者把有问题的内容放在MySpace或者Facebook页面上，这就要引起警惕。”如今，公司在为求职者提供面试机会之前就审查这些网站的做法司空见惯。

　　据Proofpoint公司的Crosley声称，这个问题要比大多数人认为的来得严重。他说：“每发生一起重大的数据泄露事件，恐怕就有数百起比较小的同类事件。”只是这些事件没有公之于众。事件在公司内部得到了处理，结果常常以解雇相关人员收场。

　　Crosley说：“人力资源部门开始审查某个员工的网上行为时，事态其实很严重了。”在过去，员工很担心公司对自己的上网浏览习惯吹毛求疵。毕竟，随着工作融入到知识员工的个人生活当中，许多人认为，在工作时间偶尔处理些私事是完全合情合理的。同样，知识工作的压力使得员工休息十分钟、查看体育比赛得分同样是可以接受的。

　　Proofpoint公司发现，绝大多数雇主并不担心浪费时间。“如果人力资源部门在监控员工的网上行为，那么这种行为几乎总是与数据泄露或者机密信息被偷有关——而不是浪费时间的行为。担心工作效率是否受到影响是次要得多的问题。毕竟，单单浪费些时间不会让你的股东价值损失数百万美元之巨。”

　　不过，数据泄露和数据被偷未必与网上行为有关。美国退伍军人管理局（VA）传出重大的数据泄露丑闻后，事后查明原来是一名IT员工把笔记本电脑给丢了。随着与便携式存储设备有关的费用越来越低，发生类似事件的可能性却越来越大。

　　由于如今市面上出现了数GB容量的USB驱动器，而且价位很低，每天晚上都会出现类似VA的风险，因为你的员工有可能怀揣数GB的信息离开办公楼。

　　SkyRecon Systems公司的首席运营官兼美国业务部总裁Philippe Honigman说：“要像管理敏感应用软件那样来认真管理外部存储设备及外设。公司提供的大多数USB驱动器没有内置的验证或者加密机制，大多数公司完全忽视了这些设备带来的风险。”

　　预防数据泄露需要多管齐下

　　数据泄露问题非常严重、复杂，甚至足以让精明的IT专业人士都束手无策。不过，现在市面上出现了能够助你一臂之力的工具。

　　据专家们声称，第一步就是制订政策、培训员工。Young说：“我们告诉客户的其中一点就是，如果你没有针对博客、维基和社交网络等方面制订政策，那么你到头来会面临风险。”他说，员工谈论工作是很自然不过的事情，谈论内容常常会出现在博客上。说白了，博客与街头角落的酒吧或者教友联谊会没什么两样。

　　他说：“问题在于，互联网是非常公开的环境。我只要抽出点时间在网上搜索调查一下，就能对大公司内部发生的情况了解得一清二楚。”

　　政策加培训通常只是一种权宜之计。IT安全供应商利用这老套的办法来堵住它们的技术所无法堵住的漏洞。毕竟，依赖最终用户行为的任何安全做法都是有风险的。

　　不过，由于数据泄露很容易进入到法律领域，特别是如果这种泄露涉及知识产权窃取这一类，那么这种情况下，政策加培训这种做法具有可以量化的优点。一旦数据受到危及，重视数据的公司就能够要求获得比较高的赔偿金。如果粗心大意的员工把不该公布的信息公之于众，公司就能够以正当理由开除这些员工。如果某人被追究泄露敏感信息的责任，内容清楚的政策和定期进行的培训足以反驳员工声称“我不知情”的辩护。

　　话虽如此，政策与培训的作用还是非常有限。技术仍然必不可少，不过有助于遏制数据泄露问题的许多工具甚至不是安全工具。

　　据Young声称，与社交网络和消息传送应用程序有关的风险常常表明公司存在其他内部问题。他说：“风险源常常是试图解决某个问题的员工。如果企业解决了这个问题，那么这种风险也就不复存在。”

　　Crosley补充说，许多公司常常对风险估算不当，通讯工具方面过于保守。它们把注意力放在了错误的方面，没有准确估计与采用技术及忽视技术有关的实际成本。生产力与效率的提高抵消得了部署成本吗？内部控制抵消得了任由员工通过公司后门带入技术的风险吗？

　　他说：“如果员工迫切需要好一点的基于万维网的电子邮件系统，就提供给他们。不要让他们使用Gmail，Gmail不是非常安全可靠。”

　　除了基于万维网的电子邮箱、虚拟专用网（VPN）和安全无线网络之类的工具外，Young着重提到了电子邮件安全与内容监控是对付数据泄露的下一道防线。他说：“在某些行业、尤其是金融业，电子邮件安全与内容监控必不可少。”

　　Crosley建议，如果公司还没有制订政策，或者对新的安全技术不熟悉，应当请供应商过来帮忙。当然，供应商的代表可能会对你说这样的话：“除非你知道与贵公司有关的方方面面，否则很难制订政策。大多数供应商首先会进行审查，这是合理的起步工作”，不过这番话不无道理。

　　对于不仅仅满足于安全政策与战略的公司而言，它们可以开始评估数据泄露预防解决方案。新兴公司是这个行业的领头羊，Proofpoint、Provilla、Clearswift和PortAuthority（2007年1月被Websense公司收购）都能适合需要。