美國零售業巨頭TJX公司的信用卡支付系統在年初被黑客入侵，共有465万個信用卡號碼被盜，從而使這起事件成為迄今為止最大的一起數据泄密事件。雖然目前許多公司在竭力保護自己、避免發生下一次TJX那樣的重大數据泄露事件，但它們忽視了另一种風險：社交網路。几乎每家公司內部都有人在寫博客——無論這是不是官方博客。

　　不是說只有"迷你微軟"（Mini-Microsoft，常常抨擊微軟的內部博客）才會帶來問題。熱情高漲卻對公司政策不是很熟悉的員工、公開留言板上的開發人員，甚至是員工偶爾談論一下工作的私人博客，它們都會帶來風險。

　　弗雷斯特咨詢公司近期的一項調查研究了諸如此類的內容安全問題。委托弗雷斯特公司作這項調查的是Proofpoint，這家公司提供電子郵件安全与數据泄露預防解決方案。

　　2007年7月進行的這項調查收到了員工數量不少于1000人的美國公司返回的308份答卷。弗雷斯特公司發現，20%以上的調查對象事后發現"在過去的12個月通過發布在博客或者留言板上的內容泄露了机密、敏感或者私密的信息。"

　　Proofpoint公司的市場開發主管Keith Crosley說："安全与IT從業人士剛剛開始對博客和留言板有一清醒認識。主要擔心的還是從公司發出去的電子郵件，但其他這几种消息傳送及網路聯系方式也不容忽視。" 粗心員工与惡意員工一樣危險

　　公司員工通常并不是心怀叵測，只是粗心大意而已。AOL在去年發生的數据泄露事件就是一個典例。AOL曾在現已停辦的研究網站上發布了与搜索查詢有關的信息，此舉侵犯了658000名用戶的隱私。雖然AOL用數字取代用戶姓名，試圖以此保護用戶的身份，但弄清楚許多這些用戶的身份還是比較容易，因為用戶常常在AOL上查找自己、親朋好友以及所在小區的信息。

　　AOL肯定沒有惡意，只是太粗心罷了。AOL以為，這些信息有助于研究人員，他們的本意肯定也不是想侵犯顧客的隱私。他們就是沒有把問題考慮全面，從而導致了重大丑聞、在公眾跟前顏面全無、失去了許多顧客、纏身官司，最后開除了三名員工，其中包括首席技術官。 据弗雷斯特研究公司的分析師G. Oliver Young聲稱，甚至早在員工進來之前，公司就要開始為內容控制而操心了。他說："如果求職者把有問題的內容放在MySpace或者Facebook頁面上，這就要引起警惕。"如今，公司在為求職者提供面試机會之前就審查這些網站的做法司空見慣。

　　据Proofpoint公司的Crosley聲稱，這個問題要比大多數人認為的來得嚴重。他說："每發生一起重大的數据泄露事件，恐怕就有數百起比較小的同類事件。"只是這些事件沒有公之于眾。事件在公司內部得到了處理，結果常常以解雇相關人員收場。

　　Crosley說："人力資源部門開始審查某個員工的網上行為時，事態其實很嚴重了。"在過去，員工很擔心公司對自己的上網瀏覽習慣吹毛求疵。畢竟，隨著工作融入到知識員工的個人生活當中，許多人認為，在工作時間偶爾處理些私事是完全合情合理的。同樣，知識工作的壓力使得員工休息十分鐘、查看體育比賽得分同樣是可以接受的。

　　Proofpoint公司發現，絕大多數雇主并不擔心浪費時間。"如果人力資源部門在監控員工的網上行為，那么這种行為几乎總是与數据泄露或者机密信息被偷有關——而不是浪費時間的行為。擔心工作效率是否受到影響是次要得多的問題。畢竟，單單浪費些時間不會讓你的股東价值損失數百万美元之巨。" 不過，數据泄露和數据被偷未必与網上行為有關。美國退伍軍人管理局（VA）傳出重大的數据泄露丑聞后，事后查明原來是一名IT員工把筆記本電腦給丟了。隨著与便攜式存儲設備有關的費用越來越低，發生類似事件的可能性卻越來越大。

　　由于如今市面上出現了數GB容量的USB驅動器，而且价位很低，每天晚上都會出現類似VA的風險，因為你的員工有可能怀揣數GB的信息离開辦公樓。

　　SkyRecon Systems公司的首席運營官兼美國業務部總裁Philippe Honigman說："要像管理敏感應用軟體那樣來認真管理外部存儲設備及外設。公司提供的大多數USB驅動器沒有內置的驗證或者加密机制，大多數公司完全忽視了這些設備帶來的風險。"

預防數据泄露需要多管齊下

　　數据泄露問題非常嚴重、复雜，甚至足以讓精明的IT專業人士都束手無策。不過，現在市面上出現了能夠助你一臂之力的工具。

　　据專家們聲稱，第一步就是制訂政策、培訓員工。Young說："我們告訴客戶的其中一點就是，如果你沒有針對博客、維基和社交網路等方面制訂政策，那么你到頭來會面臨風險。"他說，員工談論工作是很自然不過的事情，談論內容常常會出現在博客上。說白了，博客与街頭角落的酒吧或者教友聯誼會沒什么兩樣。

　　他說："問題在于，網際網路是非常公開的環境。我只要抽出點時間在網上搜索調查一下，就能對大公司內部發生的情況了解得一清二楚。"

　　政策加培訓通常只是一种權宜之計。IT安全供應商利用這老套的辦法來堵住它們的技術所無法堵住的漏洞。畢竟，依賴最終用戶行為的任何安全做法都是有風險的。

　　不過，由于數据泄露很容易進入到法律領域，特別是如果這种泄露涉及知識產權竊取這一類，那么這种情況下，政策加培訓這种做法具有可以量化的优點。一旦數据受到危及，重視數据的公司就能夠要求獲得比較高的賠償金。如果粗心大意的員工把不該公布的信息公之于眾，公司就能夠以正當理由開除這些員工。如果某人被追究泄露敏感信息的責任，內容清楚的政策和定期進行的培訓足以反駁員工聲稱"我不知情"的辯護。 　　話雖如此，政策与培訓的作用還是非常有限。技術仍然必不可少，不過有助于遏制數据泄露問題的許多工具甚至不是安全工具。

　　据Young聲稱，与社交網路和消息傳送應用程序有關的風險常常表明公司存在其他內部問題。他說："風險源常常是試圖解決某個問題的員工。如果企業解決了這個問題，那么這种風險也就不复存在。"

　　Crosley補充說，許多公司常常對風險估算不當，通訊工具方面過于保守。它們把注意力放在了錯誤的方面，沒有准确估計与采用技術及忽視技術有關的實際成本。生產力与效率的提高抵消得了部署成本嗎？內部控制抵消得了任由員工通過公司后門帶入技術的風險嗎？

　　他說："如果員工迫切需要好一點的基于万維網的電子郵件系統，就提供給他們。不要讓他們使用Gmail，Gmail不是非常安全可靠。"

　　除了基于万維網的電子郵箱、虛擬專用網（VPN）和安全無線網路之類的工具外，Young著重提到了電子郵件安全与內容監控是對付數据泄露的下一道防線。他說："在某些行業、尤其是金融業，電子郵件安全与內容監控必不可少。"

　　Crosley建議，如果公司還沒有制訂政策，或者對新的安全技術不熟悉，應當請供應商過來幫忙。當然，供應商的代表可能會對你說這樣的話："除非你知道与貴公司有關的方方面面，否則很難制訂政策。大多數供應商首先會進行審查，這是合理的起步工作"，不過這番話不無道理。 對于不僅僅滿足于安全政策与戰略的公司而言，它們可以開始評估數据泄露預防解決方案。新興公司是這個行業的領頭羊，Proofpoint、Provilla、Clearswift和PortAuthority（2007年1月被Websense公司收購）都能适合需要。