Web 2.0技术的协作性和互动性对企业具有极大吸引力，各种规模的公司都可以充分利用社交网站，免费在线服务和其他的协作型web 2.0平台。

　　虽然其互动性兼具趣味性和启发性，但同时它也降低了生产力，存在引发数据泄漏的漏洞和内在安全威胁，而后面三者更是web 2.0对商业的极大威胁。CISO必须在安全和商业需求之间寻求一种平衡，以降低数据泄漏的风险和危害。

　　由于web 2.0技术的快速发展，时测安全方法或许不再是防御攻击和防止数据泄漏的最佳选择了。许多企业都使用传统web过滤方法（对抗web威胁的基本方法），但是它不能应对web 2.0的安全问题，因为诸如AJAX、SAML和XML等协议为威胁的查找带来了一定麻烦。同样，RSS和富互联网应用正被直接安放到互联网上，非静态的内容加大了身份识别的难度。最后，用户产生的内容也难以保存。

　　除了传统防御，如标准图像、IDS/IPS、带宽矫正、反病毒/反恶意软件和防火墙规则设置——许多CISO正在将重心放到数据泄漏防御技术上，以减轻数据泄漏的威胁。但是他们也发现这些新兴技术不是立竿见影的。不论是部署基于网络，基于托管的产品还是数据识别DLP产品，都要牢记平衡好速度，准确性和足够覆盖面这三者间的重要性。

　　DLP内容分析产品提供各种web 2.0安全选项，我们必须了解其中的差异和共同点，以便部署一个能满足企业需求的产品。DLP分析技巧包括：用常规表达式进行基于模式的搜索，用真实数据库的搜索要素进行指纹识别，准确的文件匹配，统计分析来搜索可能包含敏感信息的内容，用文档匹配来补充文件，词汇分析以及供应商目录，以便处理调整型法案。当然并非一种技巧适用于所有案例，选择怎样的技巧取决于你所保护的数据。

　　安全专家如何保护web 2.0的安全呢？答案是统筹兼顾。接受web 2.0并不存在问题，只是要认识到威胁的存在，并且要创建一个web 2.0安全工具集使其效果最大化。这个工具集应该以商业目标为基础来确立备有证明文件的策略，并清楚地指明允许什么样的内容，要拦截什么样的内容以及什么人，何时可以对内容进行访问。可以开发出新的策略，或者对当前策略进行升级更新，使其明确且具有可操作性。

　　在策略到位后，要防止信息从网络泄漏。你的工具集必须包含可以监测，防御，警告，加密和保障的技术。部署一个能够阻止敏感信息从外围邮件系统泄漏出去的产品，然后将其设置为实时运行，以避免影响员工或企业的生产力。

　　最后，即便以上所有控件都到位，数据和信息仍然存在泄漏的可能。企业应该时刻保持警惕。 当企业的信息可以从社区获取时，最好使用声誉较好的保护服务，内部监控程序或是在身份识别和处理实例的时候实行密码准入。

　　在所有新兴的技术中，web 2.0及其相关组件发展迅速，安全专家需要对其可能带来的威胁保持高度警惕。抵抗威胁的策略，技术和架构必须具有前瞻性，而且可以被CISO使用以便进一步巩固其价值。

   原文出处：http://safe.it168.com/a2010/1028/1119/000001119411.shtml