如今，很多企业不得不接受的技术也带来了严重的安全风险。例如像Twitter、Facebook和LinkedIn等社交网站，一方面提高了协作效率，可以帮助企业与客户进行更密切的沟通，但另一方面，它们也更容易导致客户数据与企业秘密的外泄。

　　虚拟化和云计算也一样，一方面可以简化企业的IT基础设施，降低成本，但另一方面又在引入无尽的安全风险。把更多的基础设施放入云中，这就意味着你把更多的漏洞暴露给了黑客，他们可以通过发起针对Google、Yahoo和其他互联网服务商的DoS攻击而轻松地击垮你的企业网络服务。今年初，Google的大面积崩溃已经说明，破坏云服务，就可以达到让依靠云服务的企业受损的目的。

　　当然，好消息也不是没有。尽管数十年来最严重的经济衰退迫使企业缩减外包安全服务预算，自己得做更多的事情，但是企业的整体安全预算并未出现大幅缩减，有的甚至出现了增加。而且很多企业开始招聘首席安全官（CSO）。

　　这些好消息来自IDG集团下属CIO和CSO委托普华永道所做的年度《全球信息安全报告》。该报告调查了全球各行各业大约7300位组织机构、商业企业与技术企业的高管，涉及政府、医疗、金融服务与零售业等。

　　报告所显示的一些趋势对于企业制定信息安全规划会有所帮助。“所有的企业都在担忧如何保护他们的数据，尤其是客户的数据。”科学应用国际公司（SAIC）的CIO Charles Beard说。“按照传统的业务模式，所有人都得聚在同一地理区域内的同一间办公楼内办公。而如今，所有人都在使用互联网和移动设备彼此连接。这正是社交网络大显身手的地方。然而从另一方面看，我们也被暴露在了网络空间的黑暗面中。显然，在采用社交网络之前就必须保障有适当的安全，并能够有效地控制风险。”

　　趋势一

　　社交网络的希望与风险

　　在不到两年的时间里，社交网络已经从一种纯粹好奇的事物变成了很多人的一种生活方式。如果某人想要更新他在Twitter、Facebook或LinkedIn上的状态，一般会在工作时间进行，或者晚上回家用公司的笔记本电脑更新。

　　是什么让IT管理人员感到焦灼呢？是因为用户们在通过社交网络相互告知他们午饭吃什么的时候可能会很容易地就把公司的一些敏感的活动信息透露出去。网络黑客们一旦知道了这些，就会利用社交网络来发布网络钓鱼垃圾邮件。在一种比较流行的攻击方式中，黑客们会给他们选定的牺牲者发送一些似乎是来自其 Facebook朋友的信息。这位所谓的“朋友”可能会发送一个网址，还会要求你点击该网址。该网址乍看好像只是有关某位名人，比如说迈克尔·杰克逊之死的新闻报道，或者推荐一些股票。但实际上，该链接却会将牺牲者带入一个可疑的网站，该网站会自动将恶意软件下载到牺牲者的电脑上。然后，该恶意软件便有可能盗走任何有价值的数据。更有甚者，还可能盗走企业网络中的数据，比如客户的信用卡号或者某种治疗癌症的新药物的配方。

　　于是我们毫不奇怪，为何所有接受调查的IT经理们都承认，他们很担心社交工程学类的攻击。45%的受访者尤其担心针对Web 2.0应用的钓鱼阴谋。

　　然而对于很多企业的管理者来说，封堵社交网络又是不可能的，因为社交网络会带来潜在的商业利益。企业中的大多数人都在极力要求能够让他们通过这些网站进行沟通。因此对于CIO们来说，最大的挑战就在于怎样在安全与可用性之间找到平衡点。

　　“很多人在到底应该与他人分享多少信息这一点上还是极其幼稚的，而我们必须要做的事情就是教育他们怎样分享信息才是适当的。”普渡大学主管信息服务的副校长Frank Cervone说。“我们必须做的事情就是要提高人们的认识，分清楚哪些内部信息是不能与外人分享的。”

　　不过Cervone也指出，在大学环境中，鼓励人们通过社交网络去进行沟通也是非常重要的。即使在商业环境下，他也不认为组织机构应禁止人们使用社交网络。

　　在今年的安全报告中，我们首先询问了人们对于社交媒体的看法，只有23%的受访者称，他们所采取的安全措施中包括了防范Web 2.0技术风险的手段，并且对内部人士在社交网络所发布的内容进行了控制。一个积极的信号是：每年都有越来越多的企业有专人负责监测员工们使用各种在线资源的情况。今年的这一比例为57%，去年为50%，2007年为40%。有36%的受访者会监控其员工们在外部博客及社交网站上所发布的信息。

　　为了避免敏感信息外泄，有65%的企业使用Web内容过滤，以保障企业数据能够不逸出防火墙之外，有62%的企业能够确保他们所使用的浏览器是最安全的版本。40%的企业称，在评估各种安全产品时，对于Web 2.0技术的支持及兼容性是必不可少的。

　　然而不幸的是，社交网络的不安全性并非是一个可以用技术来解决的问题。普华永道负责安全实践的一位合伙人Mark Lobel这样说。

　　“这一问题属于文化层面而非技术层面。问题在于企业应教育员工如何聪明地使用这些网站。”他说。“从传统上看，人们一般都是通过技术路径而非社会学路径来获取安全的。所以要想在这一点上寻找到正确的安全均衡，还有很长的路要走。”

　　华盛顿州社区与技术学院的安全管理负责人Guy Pace称，他的组织就采取了上面提到的多种安全手段。但他也同意Lobel的观点，认为真正的安全阵地在于办公室文化，而非技术领域。“最有效的缓解手段就是教育使用者并创设有效的安全意识程序。”他说。