社交网络越来越红火，门户社交网站、行业社交网站、职场社交网站等等导出不穷，不少组织和个人都有在积极利用各类社交网站加强信息沟通，同时也有大量的组织机密信息、个人敏感资料通过这个渠道源源不断地外泄。

不管有心还是无意间之披露的信息，都可能会成为“朋友圈”，“追随者”，竞争对手甚至网络犯罪分子的至宝。

多数社交网站都有要求或鼓励网民实名登记，注册时，网站有要求姓名、性别、出生日期、邮件地址等等，以保证个人信息的真实性，实名制对于互联网的安全有着积极的意义，通常在实名制下，个体的言论会更加的负责任，组织发布的内容也更有可信度。

大型社交网站的默认设置也都有考虑这些数据的安全保护，在默认情况下网民并不容易得到这些敏感信息，但是仍有技术高超的攻击者可以利用各类手段获得它们。

中小型的社交网站在安全控制措施上参差不齐，甚至还有不少仿冒的钓鱼网站、网络诈骗等等，它们可能会对个人信息的泄露大开方便之门。

网站大多都有“免责声明”，“使用条款”，“用户需知”等等，来保护自己的权益，同时简单教育用户社交网络的礼仪和规范。

除了网站方面的因素，交友不慎，博客泄密，微博骂战等等事件的起因，往往源于网友对社交网络上言论和行为的尺度把握不当。

分析其中的动机，网友希望扩大人际关系网络，组织也希望增加影响力，更好地服务网民，所以愿意发布他人希望或者喜欢看到的内容。当然，偶尔，这些个人和组织也可能会担心这些发布的内容被坏人利用。

如果有必要，组织可以像总参总政发文禁止军人网上交友防范泄密一样，但这种做法对大多数组织和个人并不现实。

毕竟，不可能因噎废食，因为社交网络存在安全隐患就粗暴禁止使用社交网络可能对组织和个人并不利。

针对网友个体，毕竟谁都不想被“人肉搜索”，所以要保护个人隐私，在登记注册时要尽量防止输入太多的个人信息，开启社交网络的安全保密设置功能和选项，尽量不要选择公开它们，慎重填写各类经历和经验，并且不要在各种发文中留下私人信息，对于过期不用的联系信息及时删除。

同时，网友个体大都也有组织，网友和其所属的组织一样，都不希望因为社交网络使用不慎而造成损失。但是仅有好的希望并不见得会有好的行动，所以在组织层面，有必要加强组织成员的社交网络使用规范和管理。

相关的内容当然应该包括上述针对网友个体的一些安全招数，除此之外，还有一些建议：

1.强化员工的认识，使其明白社交网络安全对组织以及个人的影响。

2.制定社交网络使用的安全政策及建议并培训员工遵守，有对信息进行分级的组织需设定可公开内容的安全级别，比如禁止在社交网站发布机密级别的信息等等。

3.使用技术控制，对于可能危害到国家安全的内容，社交网站会进行审核，组织也应考虑实施监控和审核技术以及控制流程，比如在提交发布消息之前进行审批，定期搜索和监控与攸关组织的关键词以便及时响应等等。

4. 加强员工的社交网络安全使用技巧培训，毕竟，对于大部分组织，能难设立严格的内容分级标准，进行审核及监控也需要大量人力物力，而简单的技巧则可令员工轻松接受社交网络安全政策，学会把握适当的尺度，进而在享受社交网络乐趣和沟通便利性的同时，保护组织的智慧财产、机密信息及商业信誉。这些技巧比如：不要在心情不好的时候发布内容，发布内容之前想想如果这些内容公开的话会不会违反组织政策，会给组织和自己带来什么影响等等。

昆明亭长朗然科技有限公司制作了几部社交媒体安全使用指南在线教程，以及动画视频，它们更适用于企业级的组织机构用来对员工进行社交网络安全意识培训。

我们也开发制作了数百部安全、保密与合规相关教程及动画视频，员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验，便可了解基础的安全防范理念。欢迎联系我们预览和洽谈采购使用。

电话：0871-67122372

微信：18206751343

邮件：info＠securemymind.com

QQ: 1767022898

近来，互联网安全俨然成为全民的热点话题，安全已经成为商业决策的顾虑，黑客和间谍更是常出现在各类媒体报道中，甚至连安全专家也不在是阳春白雪，以往忽略数据安全的互联网用户更是开始关注他们的隐私和帐户安全。

现在，各类公司都已经认识到业务运作需要安全保障，业务对安全有实实在在的需求，而且为了满足这些需求，世面上已经有成千上万的解决方案，但是多数并不是告诉人们如何真正解决商业面对的安全问题，而是想推销他们的产品，甚至有的会拍胸脯说采用了某些产品或方案后会高枕无忧，这就是人们常说的“忽悠”。

实际上，多数类似的产品不但不会使客户的业务变得更为安全，反而由于其卖点会误导消费者，进而让客户麻痹大意带来更大安全隐患或错过真正的解决方法。

一名中国最具信息安全影响力专家称：要获得真正的安全只需两招：一、主动防御；二、多层防御；

1.进行主动防御是关键，一旦在安全上开始主动，意味着我们在攻击开始之前便有了心理准备，这样我们可以从容不迫地实施安全控制措施、开发和贯彻安全方针政策以及在安全事故发生之前对员工进行安全培训。如果不保持主动，等事故发生之后再去灭火，那样不仅会手忙脚乱，更会令业务损失惨重。

2.实施多层防御很必要，因为这样可以降低攻击成功的可能性，多层防御的目标是让各类安全控管措施互相弥补和交叉作用，并且在不同的安全层面协同工作构建多重安全防线。这样，即便是一条安全防线被攻破，其它的防线仍然会顶住，按照概率算法，假如一层安全防范的效力能达到80％，渗透者成功攻击的概率为20％，部署两层安全防御措施的话，成功的概率为4％，三层则为0.8％，四层则只是0.16％，加了几层防范措施，使成功的攻击变得几乎难以得逞。

相信通过了解上述两招之后，信息安全管理负责人现在应该知道该如何做了。昆明亭长朗然科技有限公司安全服务顾问James Dong说：除了众所周知的道理之外，我们还需要正确的方法，即信息安全管理策略：

1.首先主动防范，当然是加强安全管理体系的规划设计，具体的工作方法可以参考信息安全管理体系ISMS计划阶段的内容，当然，如果抽不出时间了解安全风险评估及控制相关内容，也可以聘请专业的安全人员帮忙，通常有CISSP，CISA或CISM认证资质的信息安全专家在信息安全管理的理论和实践上都值得信任，当然，安全管理负责人员也可以去参加相关的培训或自学以便掌握更多相关领域的知识。

2.实施多层防御意味着不能过度信赖计算机网络信息安全产品原厂商或代理分销商，因为不能指望他们给出公平公正的客观建议，毕竟对他们来说，给客户的安全建议书多数是不要钱的，赚钱还是靠产品，所以不得不在安全方案建议书中推荐能使他们赚取最大利益的产品和服务。要真正的安全建议书，应该找专做安全服务的安全厂商，并且要是那些将安全咨询顾问服务作为产品来销售的，要坚信一点，真正的安全解决方案建议书都花了钱买来的，像市场上的刊物一样，花钱买的和不花钱的比起来，一个是内参，一个是广告。

部分国内的网络信息安全公司喜欢炮制出一个信息安全解决方案示意图，以展示自家对信息安全管理的深奥理解和实施信息安全的方法论，其实这种自作聪明的作法很没有必要。精明的安全管理负责人知晓自己队伍的力量单薄，会主动联系寻找专家外援，他们不想听过多无聊的空洞理论，只是想通过与专业的安全服务机构合作，取长补短，可以花费较低的成本，获得安全管理的真理和科学方法，也只有使用科学的方法，才能使业务获得长久的持续发展。