随着在线存储和共享信息量的不断增长，社交媒体安全性比以往任何时候都显得更加重要。

毫无疑问，社会网络使世界的联系更加更加。在大多数情况下，这是一件好事。但所有这些联系也创造了对人们和企业信息的前所未有的访问。当黑客和诈骗者卷入其中时，这可能变成一件非常糟糕的事情。

因噎废食，放弃社交媒体使用并不是一个合理的选择。昆明亭长朗然科技有限公司互联网安全分析师董志军表示：尽管社交网络并不总是安全可靠，但是通过采取一些保护措施，可以您和所在单位免受一些最常见的社交媒体安全威胁。

常见的社交媒体威胁

用户信息数据泄露风险

即使您不打算立即使用它们，也可以在所有社交媒体渠道上保留您的品牌。多数社交网站要求用户使用真实资料注册，因此身份资料、信用卡账号、联系方式、生活动态等大量隐私信息很容易被别有用心的人或组织掌握，对用户的人身或财产安全造成极大的威胁。

不要忽略您尚未使用的帐户、您已停止使用的帐户或不经常使用的帐户。闲置的社交帐户可能成为黑客的目标，黑客可能会以您的名义开始发布欺诈性邮件。

对于那些不受监控的帐户，一旦被不法分子获得控制权，他们就可以将有损贵司的业务的有害的虚假信息或受病毒感染的链接发送给关注者，这些链接会对关注者造成严重问题。

熟人社交造成欺骗隐患

当今的社交网络，虽然建立了相对安全和信任的熟人社交圈，但犯罪分子可利用社会工程学和技术入侵等手段，使用身份诈骗、发布虚假消息等方式，欺骗用户的好友、同事和家人，使之造成经济损失。微信朋友圈的售假也属于此类。

哪里人多哪里就有诈骗，传统的电信诈骗分子通过网络钓鱼诈骗，使用社交媒体诱骗人们披露更多个人信息（如银行详细信息，密码或商业信息等等）。

谣言及恶意软件的传播

社交网络以其聚合人群、传递信息的特质，使得网络谣言和不良文化插上了传播的翅膀。普通民众很多情况下无法辨别其中消息的真伪，致使谣言严重扰乱社会秩序，导致民众恐慌，影响社会和谐与稳定。

每个人都会犯错误。在当今繁忙的世界中，员工很容易意外地将公司暴露在线威胁中。事实上，由蓝盾、天融信、安恒、启明星辰、奇虎360等国内一众网络安全公司联合发布的一项信息安全调查表明，77％的受访者表示，粗心的员工是网络安全威胁的最大来源。

像点击错误链接或下载错误文件这样简单的事情可能会造成严重的破坏。

网络成瘾和网络孤独症

过度沉迷于社交网络会造成网络成瘾和网络孤独症。网络成瘾与吸烟、酗酒甚至吸毒等上瘾行为有着惊人的相似之处，这部分人群整天沉溺于网络，严重者走火入魔，甚至精神异常。网络孤独症者沉溺于网络，脱离现实，寡言少语，情绪抑郁，社交面狭窄，人际关系冷漠。

更多相关的零星的威胁

社交媒体的第三方应用往往会在人们不觉察的不意味着下访问您的社交账户，黑客可以通过与大型社交网络集成的第三方应用程序中的漏洞获取访问权限。

假冒账户可以针对您的客户，诱使他们交出机密信息并在此过程中玷污您所在的工作单位的声誉。

社交媒体安全使用的最佳实践

• 加强社交网络自我保护意识，设定复杂密码，不上传私密信息。
• 熟悉社交网站的隐私权设定与安全政策，了解网站对用户上传信息是否有保密义务。
• 网站提示填写个人信息时，能不填的尽量不填，且不填写真实信息。
• 需要注意的是凡是在网络上发表的言论，都有可能被公开。
• 重设密码要留心“安全提示问题”，避免他人猜出问题的答案。
• 切勿在不同网站使用相同的密码，防止撞库攻击。
• 将朋友进行分组，分享消息时挑选特定组的朋友。
• 了解和遵循网络社交礼仪。

更多关于企业用户的社交媒体安全指南

• 设定社交媒体使用准则，让其指导您及单位员工应如何负责任地使用社交媒体。这不仅可以保护您免受安全威胁，还可以保护您处理公关或法律问题。
• 培训员工了解社交媒体安全最佳实践。如果员工不遵守该政策，再好的社交媒体政策也不会保护您的组织。培训将使员工有机会参与、提出问题并了解其遵循的重要性。这些培训课程也是展示社交媒体上最新威胁的好机会。
• 监控社交媒体帐户防止冒充。密切关注您的所有社交渠道，从您每天使用的渠道到您已注册但从未使用过的渠道。检查您帐户中的所有帖子是否合法。跟进任何意想不到的事情，防止员工（或与公司相关的任何其他人）对单位品牌的不恰当提及，以及有关该品牌的负面对话。

总结

社交网络是个好东西，但是也会被坏人利用。要用好社交媒体，需要了解相关的安全威胁，并严格遵守使用规范，保持良好的使用习惯。对于职场用户，特别是企业员工来讲，社交媒体的使用应该尽量避免影响到品牌形象，这就需要安全管理者强化对使用者们的社交媒体安全使用教育培训。

昆明亭长朗然科技有限公司创作了包括社交媒体安全在内的数百部网络安全教育视频课程以及宣传图片，数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识，不仅保护好了自己，也给所在工作单位带来了安全收益。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系，洽谈业务合作。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

每个行业都有一些行业“黑话”，搞得外行人听起来“一头雾水”。其中在网络安全行业，就有这么两个词——“拖库”及“撞库”。对于这些两个行业词语，昆明亭长朗然科技有限公司网络安全研究员董志军解释说：“库”简单说就是“用户资料数据库、账号信息数据库”。“拖”和“撞”是两个动词，是“打包、窃走、下载”和“撞击、对比、匹配”的意思。

什么叫“拖库”

所谓“拖库”，是指黑客入侵有价值的网络站点，盗走用户资料数据库的行为，资料主要指注册用户的用户名和密码，因为谐音，也经常被称作“脱裤”。

被拖库的网站一般是小网站，这些网站的后台服务器通常存在漏洞，安全措施也不到位，容易遭受黑客入侵，拖出数据库。

什么叫“撞库”

黑客通过拖库得到小网站的用户名和密码后，并不会就此打住，因为小网站没有太大价值。于是黑客使用拖库得到的用户名和密码，尝试登录一些大网站，如果碰巧试出了用户在大网站注册的用户名和密码，相当于在大网站的用户信息也泄露了。也由于这种攻击方式像“撞”大运一样，因此被称为“撞库”。

撞库所需的小网站用户名/密码在网络上便可以买到，价格也非常便宜。普通用户为了图省事、方便记忆，在许多网站设置了同样的用户名和密码，黑客使用购得的用户名/密码数据库，利用撞库手段，顺藤摸瓜，便得到用户在大网站的用户名和密码。

如何防范“拖库”及“撞库”呢？

防“拖库”的关键在于修复可能被黑客甚至管理员利用的安全弱点或漏洞，比如操作系统、应用平台或作业管理流程存在漏洞的话，黑客可能执行远程数据库读取命令，数据库管理员可能私自转存数据库。

一方面，需要在技术层面下功夫，加强漏洞管理，及时安装安全补丁修复已知漏洞，对于软件开发人员，则需加强安全编码意识，让程序对用户输入的信息进行多方面的限制和验证，以防黑客使用恶意的输入。

另一方面，需要在管理层面下功夫，强化系统管理员、数据库管理员、开发运维人员的工作规范化管理，加强职业道德与法规意识教育，杜绝内部隐患如私自下载和出售用户数据信息的隐忧。

防“撞库”主要还是得从账号安全策略入手，配之以账号安全监控和审计，以及对用户进行安全意识教育。比如在安全事故发生后强制修改密码、定期过期密码、禁止使用历史密码等策略可以在很大程度上降低“撞库”的成功率；账号安全监控可以发现“撞库”攻击并采取及时的应对措施，比如阻断可疑的登录源地址，锁定可疑的成功“撞库”账号等；用户的安全意识教育必不可少，原因在于用户必须参与到对自己使用的账户的安全保护中，用户如果随意使用已经泄露的账号密码或者经不起社工诱骗提供密码，再强的技术也是无效的，需知“道高一尺魔高一丈”，有些云端的用户账号和密码资料库如“彩虹表”服务等，也在不断地更新之中。

总之，应对“拖库”及“撞库”攻击，不管是技术层面还是管理层面，都少不了对相关人员进行安全与合规意识教育。

如果您觉得在进行用户方面的安全意识教育方面缺乏足够的时间和资源，可以找外部专业的援助。昆明亭长朗然科技有限公司创作了数百部网络安全教育视频课程以及宣传图片，数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识，不仅保护好了自己，也给所在工作单位带来了安全收益。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系，洽谈业务合作。

昆明亭长朗然科技有限公司

电话：0871-67122372
手机：18206751343
微信：18206751343
邮箱：[email protected]
QQ：1767022898