F5应用安全现状调查中发现,传统的网络安全方案有很多不足之处,随着物联网、云计算、大数据等新技术的普及,习惯了边界防护的安全主管发现,一切变得那么不可控——越来越多的数据存储在云端,超越了传统的安全防护边界;日益增长的IoT(物联网)设备也在挑战我们的防护能力。这一切都凸显出传统安全防护手段的力不从心。传统安全防护的重心在于边界防护——终端防护、网络防护、主机防护等,在不同的区域间通过安全设备构筑了分立的防护体系,彼此之间缺乏信息共享和防护协同,在层出不穷的漏洞和高级攻击手段面前,看似强固的安全防护堡垒成为了摆设。与日趋乏力的安全防护手段相比,攻击手段却日趋高级——零日漏洞、高级持续攻击、网络军火武器等,都成为攻击者的手段。网络攻击已由黑客个人的炫技行为,发展成为有组织的犯罪活动,并且呈现了手段专业化、目的商业化、源头国际化以及载体移动化的趋势目前市场最需要的就是具有一站式整合能力的安全厂商,将终端、边界和云端的安全防护融合起来,提供全面的安全防护体系,提供一站式的解决方案,让用户将精力用于业务发展上。作为全 球应用交付领域的先行者,F5遵循理念先行、全面防护的战略,立足作为具备最全面安全交付能力的厂商,为用户提供全系列信息安全产品及完整的解决方案,做到从底层信息安全基础设施到顶层应用,构建安全可信的全面防护。不断加强互联网金 融网络安全依法管理、科学管理,逐步实现网络安全防护从基于现实威胁的静态保护向基于未来风险的动态预防的转变。
。
2. 网络安全未来发展怎么样
在大数据的发展下,我国针对网络安全的人才需求将会增加
在我国大数据快速发展的今天,大数据泄密事件时常发生,未来我国或许需要更多的网络安全领域的人才进行网络安全管理,保障我国国家安全。2019-2021年第一季度,网络安全技术岗一直是我国需求量最大且薪资最高的职业,而Java工程师、网络安全工程师、Web前端工程师等职业也成为了我国网络安全领域热门的职业。
综合来看,随着滴滴事件的发酵,国家网信办开始对《网络安全审查办法》修订可以看出我国对打击危害网络安全行为的决心,未来,我国对网络安全领域的人才需求或将加大,国家也会出台一系列措施加大对网络安全领域人才的培养。
3. 应对网络安全新要求
随着网络安全向更高层次的发展,其趋势已经从基础的网络层建设开始向应用层和内容层建设过渡,北京网康科技的互联网控制网关系列产品就是针对国内网络安全市场的新需求,在2005年推出的面向应用层和内容层的网络内容安全产品,目前已经得到用户和经销商的广泛认可。为了让更多的塌扮老人认识内容安全的重要性和体验内容安全产品,日前,网康科技宣布,2006年内容安全应用解决方案中国巡展活动将全面启动。届时,网康科技将就其旗舰产品——网康互联网控制网关的销售策略,并就内容安全的核心技术概念、信息安全产品趋势与广大客户、合作伙伴进行深入研讨,以推进中国信息化建设的健康、安全发展。
从整个网络安全产业的发展来看,对网络内容的管理和控制正顺应了互联网应用普及时代对网络安全的新要求,因为越来越多的用户希望籍由加强对互联网内容的管理和控制来建设更加完善、更加安全的网络环境。通过内容安全设备,用户可以降低安全风险、杜绝不良信息、提高工作效率、节约网络资源,从而更好的利用网络创造更多的价值,让互联网更好地为人们服务。
网康科技作为国内领先缺岁的内容安全厂商,在不断吸纳国外先进理念和技术的同时,一直坚持自主创新的发展道路,其自主研发的“互联网控制网关”不仅应用了国际领先的技术,更自主创新了针对互联网使用者的“上网行为管理”的新网络安全理念。网康科技ceo袁沈刚认为:为什么在安装了防火墙、防病毒软件等防护措施后,网络安全事故依然频繁发生?这是因为互联网的使用者是“人”,而人们在互联网上的行为并没有得到有效的管理和控制。就像道路交通,没有红绿灯和交警的管理,城市的交通状况将是不可想象的。而内容安全则是建立在基础网络安全设备之上的,针对应用层和内容层的安全策略。如果人们在互联网上的行为得到了一定的管团升理和约束,再通过防火墙等设备的内外兼治,就能真正达到完美的网络安全效果。
据了解,北京网康科技的内容安全应用解决方案巡展将从3月14日开始,在之后的3个月内,巡展将陆续登陆上海、广州、厦门、杭州、南京等全国几十个城市,全面展示网康科技先进的内容安全产品和理念。以此为契机, 网康科技的全面推广计划也将揭开序幕。
目前,国家出于对国民经济和社会发展的战略考虑,在中央和各部委的规划设计中已经明确指出,要在全国范围内加大对“信息安全”的建设,要将“信息安全”提升到战略高度。作为“信息安全”的重要组成部分“内容安全”市场的发展,全球各大咨询机构都给出了乐观的评判和预估:据idc公布的最新报告显示,内容安全管理市场将以16.9%的年平均复合增长率增长,到2008年时市场规模将达到75亿美元。在中国,内容安全管理正从萌芽期转入成长期,据赛迪顾问的预测,中国网络安全市场将在2010年突破100亿元的规模,而增长最快的将是网络内容安全设备。
4. 应对当前网络安全角势齐向东是如何作答的
2018年7月10日,由中国互联网协会主办的第十七届中国互联网大会在北京召开。围绕“新时代新征程 新动能”的大会主题,360企业安全集团董事长齐向东也以三个“新”作答,给出了应对当前网络安全角势的三个“药方”——新技术、新系统和新机制,即第三代网络安全技术、网络安全防护的“三位能力”系统和关键信息基础设施网络安全的三方制衡机制。
齐向东给出的第三个“药方”是三方制衡机制。他强调,保障关键信息基础设施的网络安全,需要将建设、运营和安全服务三个裂判蔽角色分开,这和建筑工程需要建设方、施工方和监理方三方制衡是一个道理。
“现在我国各地都在大力建设云平台、大数据中心,安全是政务云的生命线,需要明晰各方的分工和责任,甲方是建设方,要严格要求,乙方云厂冲并商,要提高标准,还需要第三方安全服务查漏补缺,这三方互相制衡,才能从最大程度上杜绝漏洞,长治久安。”齐向东说。
内容来源 新华网
5. 网络安全未来发展趋势怎么样
网络安全态势紧张,网络安全事件频发
据国家互联网应急中心(CNCERT),2019年上半年,CNCERT新增捕获计算机恶意程序样本数量约3200万个,计算机恶意程序传播次数日均达约998万次,CNCERT抽样监测发现,2019年上半年我国境内峰值超过10Gbps的大流量分布式拒绝服务攻击(DDoS攻击)事件数量平均每月约4300起,同比增长18%;国家信息安全漏洞共享平台(CNVD)收录通用型安全漏洞5859个。网站安全方面,2019年上半年,CNCERT自主监测发现约4.6万个针对我国境内网站的仿冒页面,境内外约1.4万个IP地址对我国境内约2.6万个网站植入后门,同比增长约1.2倍,可见我国网络安全态势紧张。
网络安全行业的发展短期内是通过频繁出现的安全事件驱动,短中期离不开国家政策合规,中长期则是通过信息化、云计算、万物互联等基础架构发展驱动。2020年网络安全领域将进一步迎来网络安全合规政策及安全事件催化,例如自2020年1月1日起施行《中华人民共和国密码法》,2020年3月1日起施行《网络信息内容生态治理规定》等。2020年作为
“十三五”收官之年,将陆续开始编制网络安全十四五规划。在各种因素的驱动下,2020年我国网络安全行业将得到进一步发展。
——以上数据来源于前瞻产业研究院《中国网络安全行业发展前景预测与投资战略规划分析报告》。
6. 网络安全前景怎么样
不管你是应届生,还是初入职场的实习生,亦或是想要跳槽换工作的职场人,当我们开始选择一份工作时,本质上都在考虑以下几个问题:
这份工作的现收入水平如何;这份工作有没有发展前景;这个行业未来的薪资涨幅大不大。
那么,IT行业里网络安全的薪资和发展前景现在是处于什么情况呢?
现在就从钱途、行业现状、发展前景、为什么学习网络安全等几方面来给大家解疑答惑。
首先,给大家简单说一下,网络安全是什么。
网络安全是指通过有效的技术和管理手段,保护计算机信息系统和网络内的计算机硬件、软件及数据不因偶然或恶意的原因而遭到破坏、更改、泄露,保障系统连续可靠正常地运行,信息服务不中断。信息安全是指保护信息系统的安全,主要目标包括保护信息系统的保密性、完整性和可用性等。
一:网络安全的钱途好不好
首先聊聊大家最关心的问题,毕竟出来工作都是为了钱嘛,除了BOSS外,员工辛苦工作的结果都体现在了薪资上。薪资的多少决定了大家的生活层次和消费水平,谁不想住私人豪宅开着跑车过得潇洒自由一点呢?
受疫情影响,今年很多行业都不太乐观,甚至很难生存下去,但今年,网络安全行业在第一季度亿元级融资就到达了5起。疫情将互联网线上购物推送到了全国人民手中,更是将网络安全推上了高速车道。无法复工的那段日子,企业都采用远程办公的方式上班,那么如何保证线上数据的安全,就成了大家的难题,这时候,网络安全的重要作用就得到了完全发挥。根据历史情况,不难发现,网络安全职业几乎不受经济大环境影响。
四:为什么学习网络安全
国家政策扶持
2017年6月1日国家安全法实施,安全法规定, 各企业针对自有业务服务器需要安全管理,各企业都会成立SRC,安全人员岗位会进一步扩 大,其中第71条规定,“国家加大对国家安全各项建设的投入,保障国家安全工作所需经费和装备,第二十一条和三十一条“国家实行网络安全等级保护制度”。
市场巨大
年各安全厂商收入高达400亿左右,2017年调查对象(约210余家) 网络安全公司(360、 启明、绿盟、华为、安恒、知道创宇、深信服),其中深信服市值高达300多亿。
人才缺口大
国内职业教育、技能教育缺乏导致网安人才的培养出现重大缺口。据测算现有网安人才市场需求高达70万人,而高校的学历教育培养的信息安全专业人才每年仅3万余人。
薪资高
网安人才的匮乏,用人开出招聘薪资往往高于求职者的预期。从老男孩培养的毕业人员工资测算,刚刚毕业的学生,入职薪资最低7000起。技术稍好10000- 20000月薪的学生也比比皆是。
靠能力说话
在网络安全专业,专业技能竞争力要远高于学历本身。在网安专业只看能力不看学历也成了大家公认的原则。
在今年3月在国内的一次重要会议中,决策层特别强调,要加快推进国内5G、特高压、城际高速铁路、城市轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网等七大领域的新型基础建设,要以新发展理念为引领,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的基础设施体系。
随着“新基建”的大力发展,未来网络安全对国家安全牵一发而动全身,对企业和个人而言,也不可以在报以任何侥幸心理,从而促使网络安全快速发展。
7. 网络安全前景怎么样
在信息化的现代,网络安全产业成为保障“新基建”安全的重要基石,我国网络安全行业市场规模一直呈现高速增长态势。未来,随着5G网络、人工智能、大数据等新型网络技术在各个领域的深入开展,其将为网络安全企业的发展提供新的机遇。
随着科技的进步和社会的发展,网络安全的概念和内涵不断演进。其发展历程可分为起源期、萌芽期、成长期和加速期四个时期,分别对应通信加密时代、计算机安全时代、信息安全时代以及网络空间安全时代。
目前网络安全正处于网络空间安全时代的加速期:2014年中央网络安全和信息化领导小组成立后,网络安全法、等保2.0等政策不断出台,网络安全上升为国家战略。
与信息安全时代的区别在于网络边界逐渐模糊或消失,仅凭传统的边界安全已不能做到有效防护,防护理念和技术发生深刻改变,主动安全逐渐兴起。安全解决方案和安全服务也越来越被重视。
—— 以上数据及分析请参考于前瞻产业研究院《中国网络安全行业发展前景预测与投资战略规划分析报告》
8. 如何利用大数据来处理网络安全攻击
“大数据”已经成为时下最火热的IT行业词汇,各行各业的大数据解决方案层出不穷。究竟什么是大数据、大数据给信息安全带来哪些挑战和机遇、为什么网络安全需要大数据,以及怎样把大数据思想应用于网络安全技术,本文给出解答。
一切都源于APT
APT(Advanced Persistent Threat)攻击是一类特定的攻击,为了获取某个组织甚至是国家的重要信息,有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段,包括各种最先进的手段和社会工程学方法,一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候,攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。此外,APT攻击具有持续性,甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段,以及在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。更加危险的是,这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行,包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。
现有技术为什么失灵
先看两个典型APT攻击案例,分析一下盲点在哪里:
1、 RSA SecureID窃取攻击
1) 攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件。邮件标题为“2011 Recruitment Plan”,寄件人是[email protected],正文很简单,写着“I forward this file to you for review. Please open and view it.”;里面有个EXCEL附件名为“2011 Recruitment plan.xls”;
2) 很不幸,其中一位员工对此邮件感到兴趣,并将其从垃圾邮件中取出来阅读,殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞(CVE-2011-0609)。这个Excel打开后啥也没有,除了在一个表单的第一个格子里面有个“X”(叉)。而这个叉实际上就是内嵌的一个Flash;
3) 该主机被植入臭名昭着的Poison Ivy远端控制工具,并开始自BotNet的C&C服务器(位于 good.mincesur.com)下载指令进行任务;
4) 首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑;
5) RSA发现开发用服务器(Staging server)遭入侵,攻击方随即进行撤离,加密并压缩所有资料(都是rar格式),并以FTP传送至远端主机,又迅速再次搬离该主机,清除任何踪迹;
6) 在拿到了SecurID的信息后,攻击者就开始对使用SecurID的公司(例如上述防务公司等)进行攻击了。
2、 震网攻击
遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的,理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破,超级工厂病毒也正充分的利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒,而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击,以此 为第一道攻击跳板,进一步感染相关人员的U盘,病毒以U盘为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心的逐步扩散,利用多种漏洞,包括当时的一个 0day漏洞,一点一点的进行破坏。这是一次十分成功的APT攻击,而其最为恐怖的地方就在于极为巧妙的控制了攻击范围,攻击十分精准。
以上两个典型的APT攻击案例中可以看出,对于APT攻击,现代安全防御手段有三个主要盲点:
1、0day漏洞与远程加密通信
支撑现代网络安全技术的理论基础最重要的就是特征匹配,广泛应用于各类主流网络安全产品,如杀毒、入侵检测/防御、漏洞扫描、深度包检测。Oday漏洞和远程加密通信都意味着没有特征,或者说还没来得及积累特征,这是基于特征匹配的边界防护技术难以应对的。
2、长期持续性的攻击
现代网络安全产品把实时性作为衡量系统能力的一项重要指标,追求的目标就是精准的识别威胁,并实时的阻断。而对于APT这种Salami式的攻击,则是基于实时时间点的检测技术难以应对的。
3、内网攻击
任何防御体系都会做安全域划分,内网通常被划成信任域,信任域内部的通信不被监控,成为了盲点。需要做接入侧的安全方案加固,但不在本文讨论范围。
大数据怎么解决问题
大数据可总结为基于分布式计算的数据挖掘,可以跟传统数据处理模式对比去理解大数据:
1、数据采样——>全集原始数据(Raw Data)
2、小数据+大算法——>大数据+小算法+上下文关联+知识积累
3、基于模型的算法——>机械穷举(不带假设条件)
4、精确性+实时性——>过程中的预测
使用大数据思想,可对现代网络安全技术做如下改进:
1、特定协议报文分析——>全流量原始数据抓取(Raw Data)
2、实时数据+复杂模型算法——>长期全流量数据+多种简单挖掘算法+上下文关联+知识积累
3、实时性+自动化——>过程中的预警+人工调查
通过传统安全防御措施很难检测高级持续性攻击,企业必须先确定日常网络中各用户、业务系统的正常行为模型是什么,才能尽早确定企业的网络和数据是否受到了攻击。而安全厂商可利用大数据技术对事件的模式、攻击的模式、时间、空间、行为上的特征进行处理,总结抽象出来一些模型,变成大数据安全工具。为了精准地描述威胁特征,建模的过程可能耗费几个月甚至几年时间,企业需要耗费大量人力、物力、财力成本,才能达到目的。但可以通过整合大数据处理资源,协调大数据处理和分析机制,共享数据库之间的关键模型数据,加快对高级可持续攻击的建模进程,消除和控制高级可持续攻击的危害。
9. 有关网络安全的环节和网络存在的社会性问题的解决方案
1.网络安全的环节
究竟哪个部分才是网络中最薄弱的一环?Internet防火墙、防病毒软件、远程控制的PC、还是移动办公用的笔记本电脑?大多数的安全专家都同意这样一种观点:狡猾的电脑黑客往往可以通过向特定的用户提几个简单的问题就能入侵几乎所有的网络。
他们不仅会使用各种技术手段,还会利用社交工程学的概念来进行欺诈,通俗一点来说,他们会利用人类与生俱来的信任并帮助他人的愿望以及对未知事物的好奇心,他们利用这些弱点骗取用户名和口令,使得那些采用各种先进技术的安全防护措施形同虚设。
如果你对这种情况还没有特别的感性认识,可以参看我们的插文“黑客经常使用的5种诡计”,并反思一下自己在那种情况下是否也会轻易上当。不过在那篇插文中所涉及的诡计也只是黑客用来刺探有用信息的一部分办法而已。
实际上,电脑黑客无需与任何人交谈就能获得大量的信息,他们只要访问你所在公司的Web网站,就能知道公司的各个领导职位、财务信息、组织结构图以及员工的e-mail地址和电话号码。另外,他们还会从公司扔掉的旧文件中筛选出很多有价值的东西,比如组织结构图、市场计划、备忘录、人力资源手册、财务报表、公司规章制度和流程说明等等。黑客们会利用这些信息来获取该公司员工的信任,比如伪装成员工、客户给该公司的雇员打电话或者发邮件,一步一步获得对方的信任,最终通过他们进入公司的网络。
从公司员工那里获取信息的技术包括以下几类:
◆ 用一大堆难以理解的信息或各种奇怪的问题来搞乱某个员工的思路,让你无法摸清他到底想干什么。
◆ 黑客们还会故意给你设置一些技术故障,然后再帮你解决它以博得你的信任。这种方法被称为反向社交工程学。
◆ 用带有强烈感情色彩的语气甚至是恐吓的口气命令你服从他的指示。
◆ 如果发现你有抵触情绪,他会适当放弃几个小的要求。这样一来你就觉得你也应当满足他的要求以作为回报。
◆ 不断与你分享信息和技术而不要求任何回报(至少开始时是这样的),而当黑客们向你提出一些要求的时候,你会觉得必须告诉他们。
◆ 假装与你拥有同样的爱好和兴趣,借机混入你所在的兴趣小组;
◆ 谎称你可以帮助某个同事完成一项重要的任务;
◆ 与你建立一种看上去十分友好而且毫无利益纠葛的关系,然后一点一点从你口中套出公司的常用术语、关键雇员的姓名、服务器以及应用程序类型。
你还需要注意,有很大比例的安全问题是出在那些心怀不满的雇员或者非雇员(比如公司的客户或合作伙伴)身上,他们往往会泄露不该泄露的信息。人们总是容易忽略来自内部的危险。
当然,社交工程学并不仅仅局限于骗取公司的保密资料。黑客们也常常利用这种技术从个人用户那里骗取可用来进行网上购物的信用卡号、用户名和密码。他们常用的伎俩是通过e-mail和伪造的Web网站让用户相信他们正在访问一个着名的大公司的网站。
如果你仍然对社交工程学的作用心存疑问,至少也应该提高警惕、小心防范。Kevin Mitnick是20世纪最臭名昭着的黑客之一,他曾经多次向媒体表示,他攻破网络更多地是利用人的弱点而不是依靠技术。
另一方面,大多数公司更舍得在安全防护技术上投入大量的金钱,但却忽视了对雇员的管理。而绝大多数的安全产品和安全技术都没有考虑社交工程学的因素。那么,你究竟应该如何应对呢?
你应该从两个方面来解决这个问题:首先你应该对容易泄露公司信息的物理场所(包括办公桌、文件柜和Web网站)进行必要的保护;其次,你应该对公司的员工进行安全防范方面的教育,并制定出清晰的规章制度。
物理空间的安全可能是相对比较简单的部分。下面我们列出了一些比较重要的提示,大多数都覆盖了上述的两个方面(物理保护和规章制度)。
◆ 让所有的公司雇员和来访人员都佩戴能够表明身份的胸卡或其他标识。 对于来访的人员,一定要有专人护送他们到达目的地。
◆ 检查一下哪些文档是必须随时锁好的,哪些是可以扔进碎纸机被处理掉的。
◆ 应当把文件柜锁好并放在安全的、可监控的地方。
◆ 确保所有的系统(包括所有的客户端PC)都使用密码进行保护,应当使用强壮的口令并定期进行更改。
每台机器还应该设置为几分钟空闲后就进入屏幕保护程序,而且要设置屏幕保护口令。
◆ 如果硬盘上的文件包含有保密信息,应当使用加密的办法进行保存。
◆ 不要在公共Web网站上透露太多有关公司的信息。 建立一套良好的安全制度以及对员工进行相应的培训要更困难一些。公司员工通常意识不到他们所散布出去的信息有非常重要的价值。必须经常教育他们在面对陌生人的信息咨询时保持警惕,这样才不会轻易上当受骗。
培训员工的最好方式是让老师在培训之前先利用社交工程学技术从他们嘴里套出一些有价值的信息,然后老师再把这些例子作为反面教材进行分析和讲解。
你需要制定一套清晰的规章制度,让大家知道哪一类信息是任何情况下都不能泄露给他人的。很多表面上看上去没什么用的信息(比如服务器名称、公司组织结构、常用术语等)对黑客们来说都是有价值的。你的规章制度中应当详细说明各种信息的访问规则,而且对于应当采取的安全防范措施也应加以详细说明。对于违反这些规定的行为要有明确的惩罚措施。如果你制定的规章制度比较详细而清晰,员工就不那么容易泄漏公司信息。
目前专门用于对付社交工程学的工具还很少见,不过有些内容过滤工具和反垃圾邮件产品(比如MailFrontier Matador)可以用来防止员工通过电子邮件向外泄露信息或者防止外来的欺诈邮件。Matador采用了一系列专利技术来识别可疑的电子邮件。
与社交工程学进行斗争是一项长期而艰苦的工作,因为攻击者也会不断改进他们的战术以突破现有的防范措施。因此一旦出现了新的欺诈方式,你就需要尽快制定出新的规章制度来进行防范。而且应当不断提醒你的雇员,他们才是公司真正的防火墙。
黑客经常使用的5种诡计
①很多人都曾经收到过这样的电子邮件:许诺你有机会获得很高的奖金,而你所需要做的只是填写一张注册表单(写下你的用户名和密码)。令人吃惊的是,有相当多的人都会对这类邮件进行回复,而其中又有相当比例的人所填写的用户名和口令与他们在公司网络登录时使用的用户名和口令一模一样。黑客们只需要给一家公司的10多个员工发一封这样的电子邮件,就能轻松获得两三个网络登录口令。
②有时候在你的电脑上会突然弹出一个对话框,告诉你网络连接被中断,然后要求你重新输入用户名和口令以恢复网络连接。还有些时候你可能会收到一封看上去来自Microsoft公司的电子邮件,提醒你应当运行附件中的安全升级程序。你对这个对话框和电子邮件的合法性产生过怀疑吗?
③当你跑出去抽支烟并加入到聊天的行列时,也许会谈起最近公司邮件服务器发生的故障,对于一家大公司而言,你可能并不认识所有的员工,而这些闲聊的人中很可能混杂着一两个不明身份的黑客。
④忽然跑来一个人要看一下你老板的电脑(碰巧老板可能外出了),说是老板的Outlook出了问题,让他帮忙修复一下。这个理由听起来很有道理。Outlook软件的确经常会出问题,但为什么偏要在老板不在的时候来修理呢?
⑤有时你会接到一个自称是总裁助理的女子打来的电话,让你告诉她某些个人或者公司的信息。她会叫出公司领导的名字或者不经意透露一点只有公司内部员工才知道的信息来打消你的怀疑。
2.网络存在的社会性问题的解决方案
http://www.caoc.com.cn/DownLoad/%BC%C6%CB%E3%BB%FA%C9%F3%BC%C6%B4%F3%BD%B2%CC%B3/%BC%C6%CB%E3%BB%FA%C9%F3%BC%C6%B4%F3%BD%B2%CC%B3-4-%BC%C6%CB%E3%BB%FA%CD%F8%C2%E7%D0%C5%CF%A2%B0%B2%C8%AB.ppt#292,
在社会性网络中,由于人与人之间的交流通常是在防火墙外进行,对于交流的内容,雇主无法控制,因此社会性网络有可能成为安全和法规遵从的梦魇。举个例子,员工在日常交流中谈及彼此的工作时,就可能将公司尚未公开的项目泄露出去。
“这可能会为未来埋下隐患。”威尔斯·费高公司(Wells Fargo)高级副总裁兼首席系统架构师弗兰克·李说。让他感到担忧的是,对于员工可能将敏感资料放到不受公司控制的外部社会性网络这一事实,公司几乎无能为力。
企业社会性网络的出现消除了这种顾虑。“我们需要企业级数据和应用安全。”SelectMinds公司的伯克维奇(Berkwitch)说,“我们需要在足够自由的沟通与相对保守的企业之间谋求平衡,从而向他们确保这种沟通并不是随心所欲的脱口秀。”这一谨慎的做法,帮助SelectMinds与多家大规模的会计和财务公司建立了合作关系。
然而,SelectMinds仅仅在小范围内获得了成功。某些公司仍然回避使用无法向管理者提供绝对控制权的应用程序。
美国国家情报署A区(National Intelligence Department's A-Space)所面临的安全挑战令人瞠目结舌。这在一定程度上归咎于它选择了一个基于网络的社会性网络,而非一个需要通过16道不同的安全关卡,跨越16个不同防火墙的桌面客户端。然而,即便它选择的是后一种方式,那些保存在浏览器甚至安全内联网内的敏感数据,也必然会引起高度"关注"。
事实上,该区可以通过观察流量模式的方法确保安全,比如寻找可疑的异常搜索。“我们绝不能对此掉以轻心,”韦特默(Wertheimer)强调,“这是一场窃取情报的梦魇。你得问问自己,如果有一只坏虫子爬进来,它能偷走多少东西?尽管如此,回报仍然大于风险。”他说。
与此同时,来自社交网络的风险显然还不足以让企业安全厂商涉足其中。电子邮件过滤厂商MessageGate公司本可将其业务平台拓展到社会性网络,但他们认为并没有这个必要,MessageGate的营销副总裁罗伯特·佩兹(Robert Pease)说。
当然,并不是所有的社会性网络工具都遵循Facebook和Linkedin以社区为核心的做法,Visible Path公司就是其中之一。利用20年前发展起来的统计技术,Visible Path公司的软件产品可以通过多种途径辨别关系的强弱,比如检查信息来源,收集并分析日历,通话,电子邮件所记录的个人活动,接收和发送信息的比率,以及用于私人交流的时间长短等。
“我们非常注重商人们所从事的各种交易”,Visible PathCEO安东尼·布莱顿(Antony Brydon)称。Visible Path与商业研究机构Hoover公司旗下的Hoover's Connect网站合作,让用户了解到他们是怎样与Hoover公司数据库内的公司和个人联系在一起的。这就是通常所说的六度分割理论(Six Degrees Of Separation Concept)。Linkedin网站的做法与此相仿,也将朋友的朋友视作一种潜在的联系。
诺思罗普·格鲁曼公司(Northrop Grumman)用将近10年的时间营建了一个类似于社会性网络的系统,将其遍及美国各州以及其他几个国家的120,000名员工联系在一起。
诺思罗普公司将其称为“实践社区”,员工们围绕某个主题或技术组成不同的团队,从系统工程精英小组到新职员社区,几乎覆盖了公司的所有成员。这些社区包含与社区相关的一些文件,以及资料详尽的团队成员名单。真正的协作还需要一份电子邮件分发名单,不过,那是促进这类沟通的社区的任务了。诺思罗普公司的知识管理主任Scott Shaffar说。
“实践社区”发挥了重要的作用。比如,系统工程小组如今正致力于将工程程序以及职业发展和招聘流程规范化;通过该系统,找到了一名为日本客人提供翻译的译员;对工作感到困惑甚至茫然的新员工也有了聚集和交流经验之所。最振奋人心的是,诺思罗普公司甚至通过其社区找到了一名熟悉常用于国防部门应用程序的Ada代码的程序员,从而节省了每年50,000美元的招聘成本。
过去,年轻人推动了社会性网络的发展趋势;如今,商业人士和IT精英们也在加快步伐。诚然,社会性网络的弊端显而易见且难以回避,但对于绝大多数公司来说,其巨大价值仍有待发掘。