社交网络是相对较新的计算机词汇，它已经成为很大一部分的互联网用户的文化形式的一部分。

　　最近，拥有相同兴趣的人使用在线社区建立联系已经成为全世界的一种方式。随着专业社交网络，例如 LinkedIn和Blue Chip Expert的持续发展，和专业人士在以前的私人网站Facebook和MySpace上越来越受欢迎，企业安全和风险管理专家必须面对的事实是，这些网站正在成为机密企业信息的非授权的暴露渠道。把公共社交网络工具的使用增加到兴趣列表中，以及传统企业安全边界的有效性将来可能会降低。但是，强大的策略、程序和架构可以帮助减轻社交网络的风险。

　　社交网络在广义上被描述为允许人们使用电脑网络互动、汇集、连接、游玩或者合作的软件。这个定义涵盖了流行的社交网站，包括上面所提到的，以及博客、wikis、RSS、播客（podcast）、标签以及最近的搜索引擎。虽然社交网络的好处很多，包括降低成本和增加合作，但是我们要关注的是解决风险。
 
　　社交网络安全：从策略开始

　　所有的企业都有可接受使用策略的方式，它要管理企业计算机环境中所有资源的使用。由于这项技术的模糊性，可能在现有的策略中已经暗含了社交网络的策略，但是还是需要更清楚地期望和策略的表述。

　　严格阅读下社交网络环境中的策略，并确认需要弥补的缺憾。例如，由于风险和管理社交网络应用中固有的难度，很多公司都决定不允许从企业网络边界内部访问社交网络服务（通常为了新员工的招聘，人力资源部门可以除外）。策略中最重要的是要清除明确地警告不能泄露企业机密悉尼西。很多企业都在保护企业信息的培训中增加了社交网络板块。确保策略中指明了禁止通过社交网络泄露敏感信息，并列出相关内容，包括可能发生的问题等级。和通常一样，当修改可接受使用策略的时候，确保所有的员工都知道。然后应该通过分析网络日志或者通过在网上自动搜索企业信息执行策略，而网络日志将详细记录在业务时间的使用（如果不被允许）。

　　社交网络的防御

　　成功的安全总是和正确的人员、程序、策略和技术分不开的。解决社交网络的问题也是如此。入侵检测和入侵防御系统（IDS和IPS）需要经常更新来解决社交网络流量中的风险，而且应该采用带宽控制（bandwidth-shaping technology）技术维护合适的网络速度，鉴别对计算机的滥用或者攻击。
 
　　另外，很多流行的Web社交网络服服众可以本地下载的应用越来越多。虽然很多都是零星的，很多这种小应用都带有恶意负载、黑客工具或者市场软件。这可以通过不允许应用本地安装的标准的桌面图标来解决，或者变更到注册密钥或者操作系统中。

　　最后，防火墙规则设置可以详细制定监控、捕获或者阻止社交网络流量，当然，总是要保证杀毒产品可以胜任防御的最后一道防线。

　　社交网络和安全意识

　　社交网络风险也是在整个企业中提高安全意识以及主要决策者和领导者建立合作的一种很好的方法。社交网络是很熟悉的术语，也是会给企业带来风险的词语。企业的很多其他领域，在关注风险和安全的某些方面的同时，当创建策略或者修改可接受使用策略的时候，可能也需要教育和考虑。包括对社交网络风险的准备和回应中的人力资源、风险管理、银丝、物理安全、审计和法律等高级代表。强大的合作关系和强大的策略和程序一定可以从这些里面取得。

　　建立定期开会的工作组，讨论这种技术是如何出现的，以及企业整体是如何解决的。另外，使用正式的培训、新闻邮件、“lunch and learns”或者任何可能的方法确保员工知道在上班时间和在家使用社交网络的正确和不正确的方法。对于很多安全问题和风险来说，高等级的意识指向了高等级的法规遵从。

　　一劳永逸的监控

　　最后，即使这些控制都具备了，数据和信息还是不可避免的泄漏到互联网上。企业应该不断地定期查看互联网上的可能敏感的任何信息。

　　在企业信息可以通过社交网络获取的时候，不管是故意还是非故意，使用第三方服务、内部监控程序或者简单的搜索关键字和关键短语在鉴别和解决问题的时候很重要。

　　社交网络：带有风险的进步

　　和所有新出现的技术一样，社交网络的发展迅速，而安全专家需要保持对相关风险的关注。新一代的生产力的加入保证了这项技术不会只能让他们使用，而且对他们和同事以及商业合作伙伴交流的方式也很重要。

　　故意或者非故意地使用社交网络有很多优势，但是防御风险的策略和架构必须提前解决并严肃对待。切记，这样是不是反社会，而是为了安全。