Facebook推出了一個專門針對企業用戶的在線聯網應用的版本，而這給企業所帶來的風險誰都無法預估。研究人員認為，黑客們經歷了惡意軟件、廣告軟件和垃圾郵件，體驗了網絡犯罪所能帶來的非法暴利之后，他們開始瞄準了當前火的一塌糊涂的Web 2.0。這些現象表明Web2.0時代的誕生與發展，正孕育著機密數據泄露的嚴重隱患。

大量的數字和統計結果顯示Web2.0時代，企業的數據泄露問題已愈發嚴重，對于業務流程、信息處理均嚴重依賴于IT設施的當今企業而言，數據泄露事件一旦發生，將使企業面臨巨大的資產損失和聲譽損失風險。

數據泄露給企業帶來的負面影響

過去，網站的內容大多是靜態的且可以預測的。專業的網站管理員對合法網站上的內容進行管理，安全解決方案供應商則能夠分辨出‘可信’站點和‘不可信’站點。但如今，Web 內容逐漸趨于動態化，最終用戶持續不斷的更新現有內容、共享應用程序，并通過多種渠道進行即時通訊。即使采用最佳的策略制定方法，某些不良內容或惡意軟件也會隨時彈出（甚至在可信站點也是如此），使公司的重要信息和網絡暴露于極為危險的環境之下。

根據某安全廠商的調查結果顯示：遭受攻擊或者數據被惡意竊取的公司中，員工登陸論壇網站和博客的比例遠遠高于其他公司。與此同時，Frost & Sullivan公司的調查顯示：數據泄露防護的市場份額將達到21億美元，并以每年41.1%的復合增長率進行增長。與之相對應的一組數據是：2007年有大約86%的中小企業發生了數據丟失事件，而Mimecast的一項最新研究也顯示，大約有近94%的公司承認，他們在防止公司機密通過郵件外泄方面顯得力不從心。Identity Theft Resource Center (ITRC)跟蹤的數據表明：2008年截止目前，數據泄露已超過2007年466個……

2007年在美國TJX零售公司發生的4500多萬客戶的信息卡及保密資料丟失，進而導致其客戶和銀行業對其提起訴訟，最終TJX公司需要向客戶賠付1.01億美元，并承受嚴重的企業聲譽損失。因此，客戶資料、研發成果、企劃方案、產品資料、財務信息等這些資料對于企業來說是至關重要的，這些與企業業務甚至存亡密切相關的信息一旦被竊取、破壞或丟失，企業不僅要承擔數據泄露價值的損失，更有可能面臨企業形象的巨大損失和法律風險。

數據泄露的主要形式

互聯網如今正處于迅猛發展的階段。以協同工作環境、社會性網絡服務以及托管應用程序為代表的Web 2.0 技術，將在很大程度上改變人們溝通交流的方式和工作方式。但這些新的技術在給商業活動的發展帶來便利的同時，也帶來了前所未有的巨大安全風險。具體到數據泄露的形式而言，分為無意泄露、故意泄露和惡意竊取這三種主要形式。

無意泄露是指企業員工在使用郵件、即時通訊、登陸BBS、博客或社區網站或其他Web2.0應用時，不經意將公司的客戶信息或財務信息等機密信息泄露的現象。IDC的研究也顯示：企業目前最關注的安全威脅是員工無意中將企業的核心信息泄露。因為這個無法預防，也非常難控制。
故意泄露即企業的內部員工通過U盤等移動存儲、打印機、文件共享等方式進行核心機密資料的竊取或向外傳輸，并將其用于要挾、變賣或其他惡意用途，此類現象也防不勝防。而且這種目的性強、破壞性大的資料竊取對企業的影響頗為深遠。

惡意竊取則主要集中于客戶資料、金融財政信息等，攻擊者利用病毒、惡意代碼或其他網絡打印機來竊取核心數據資料，用于非法獲利。這種類型的數據泄露往往攻擊面大，破壞性非常嚴重，給企業所造成的打擊和損失也十分巨大。

如何輕松化解危機

如何確保企業在當前Web應用異常深入且Web2.0技術越來越廣泛的時刻擁有核心機密數據的高度可信賴的安全保障，將是企業迫切需要處理的問題。針對核心數據泄露的防護，企業應該從以下幾點著手：

首先，充分了解企業的IT架構，即了解企業的內部網絡與Internet的連接狀況，如果企業的內部網與Internet完全連接，則應注重網絡訪問權限的設定、端口的設置等，選取基于網絡的數據泄露防御解決方案，如果企業的內部網與Internet完全隔離，則應選擇基于主機的數據泄露防護解決方案，借助可對終端數據傳輸、轉移等操作進行監控、阻止的策略來進行數據泄露防護。

其次，對企業內部的核心數據進行分門別類，并對此類數據選擇加密措施和訪問權限的策略設定。對企業而言，類似源代碼、產品設計圖、財務信息、客戶資料等核心數據應被列為高度機密資料，該類數據丟失的風險也為最高。

第三，明確設置策略和工作流程。當企業的核心數據重要性等級被清楚評定之后，企業需要設計出流程來對這些核心機密數據的動向、使用和訪問行為進行嚴密監控。一旦發生數據使用的異常狀況，該流程可在第一時間內對異常行為做出反應，并生成詳細的日志報告。避免數據的最終泄露。優秀的數據泄露防護解決方案將能夠幫助企業準確判斷核心數據向外傳輸的詳細狀況，包括通過哪個網關、使用哪臺終端電腦等。

圖1 Websense Web Security快速生成的日志報告截屏

最后，加強企業內部員工的安全意識教育，通過不斷強化員工的風險意識，實際操作培訓等使員工自覺遵守相關的策略，幫助企業避免核心數據從內部泄露。

在當前開放的世界里，企業需要確保核心數據的發送、存儲和使用都在嚴密監控的狀態下進行以確保數據的安全。Websense也一直致力于向提供實時、功能強大、高度可信賴的數據泄露防護解決方案，幫助企業化解因數據泄露而帶來的各種風險和損失。