问：公司采取什么控制措施可以解决员工访问Facebook和Twitter带来的风险问题？我们的一贯立场是：当且仅当员工需要在社交网络上展示有效的商业方案时才可以访问，否则将禁止访问。我们已经开始要求去制定有效的商业方案了，但大多数员工只想去浏览网页，不想去发布信息。

　　答：如果贵公司已经决定要拦截诸如Facebook、Twitter这类型的社交网站，那么你有可能需要重新评估这一行动的安全风险、收益和成本。拦截这类网站是很容易的事情，但只要员工拥有一部企业防火墙无法控制的智能手机，他依然可以进行访问。此外，由于你的限制可能会招致员工的强烈反对，所以安全资源用在别的威胁上可能会得到更好的利用。

　　如果你真的需要实施此类拦截，那么应该根据环境的不同去寻找一个基于网络的设备，将该设备安装在本地客户端计算机上。你需要制定能够得到管理部门支持的明确政策，以便在展开工作时可以合理的采用最佳技术。一些设备可以允许你执行很细的操作，让某部分人去执行特定的事情，比如在午餐时间批准访问社交网络。

　　有些多功能的Web代理或类似的设备可以进行必要的网络控制，通过发送TCP复位或客户端配置来进行内联（inline）操作。许多设备还具有一些其他的特性，如反恶意软件功能。如果你允许不受管理的计算机或用户安装自己的软件，那么你可能需要对网络进行控制，从而使黑客更难绕过安全防御。有些设备还能拦截很多针对传统单一Web代理的攻击方式。

　　客户端软件或许可以在你的环境下正常工作，且不会增加网络基础设施的复杂性，但如果你允许不受管理的客户或那些具有管理员权限的用户访问社交网络，那么这些软件是可以被绕过的，这种做法还要求尽量全面地对软件进行安装。如果你的计算环境很小，对电脑的控制也很严格，那你甚至可以通过配置Web浏览器来限制对社交网络的访问，虽然这可能很难正确而有效的实施。