浅谈社交媒介防范遭受黑客攻击

　　黑客攻击手段

    可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。下面为大家介绍4种黑客常用的攻击手段。

　　1、后门程序

　　由于程序员设计一些功能复杂的程序时，一般采用模块化的程序设计思想，将整个项目分割为多个功能模块，分别进行设计、调试，这时的后门就是一个模块的秘密入口。在程序开发阶段，后门便于测试、更改和增强模块功能。正常情况下，完成设计之后需要去掉各个模块的后门，不过有时由于疏忽或者其他原因（如将其留在程序中，便于日后访问、测试或维护）后门没有去掉，一些别有用心的人会利用穷举搜索法发现并利用这些后门，然后进入系统并发动攻击。

　　2、信息炸弹

　　信息炸弹是指使用一些特殊工具软件，短时间内向目标服务器发送大量超出系统负荷的信息，造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。比如向未打补丁的 Windows 95系统发送特定组合的 UDP 数据包，会导致目标系统死机或重启；向某型号的路由器发送特定数据包致使路由器死机；向某人的电子邮件发送大量的垃圾邮件将此邮箱“撑爆”等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。

　　3、拒绝服务

　　拒绝服务又叫分布式D.O.S攻击，它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源，致使网络服务瘫痪的一种攻击手段。作为攻击者，首先需要通过常规的黑客手段侵入并控制某个网站，然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程，攻击者把攻击对象的IP地址作为指令下达给进程的时候，这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网络服务器带宽，对某个特定目标实施攻击，因而威力巨大，顷刻之间就可以使被攻击目标带宽资源耗尽，导致服务器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。

　　4、网络监听

　　网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具，它可以将网络接口设置在监听模式，并且可以截获网上传输的信息，也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其他主机，使用网络监听可以有效地截获网上的数据，这是黑客使用多的方法，但是，网络监听只能应用于物理上连接于同一网段的主机，通常被用做获取用户口令。

　　5、密码破解当然也是黑客常用的攻击手段之一。

　　一种新型的钓鱼式攻击给Twitter网站造成重创，这导致一些用户无意中将敏感数据暴露在恶意黑客的视野里。同时也导致一些人开始质疑他们该如何使用社交网络并迫使许多公司再次猜测是否该对这种服务提供支持。

　　来自社交网络的威胁是真实存在的。如果没有部署适当的企业协议和保障措施，敏感数据就可能通过社会网络泄露出去。出于这种原因，企业需要采取适当措施来确保企业数据的安全，在保障内部敏感数据安全性的同时，也能让员工有机会访问社交网络。

　　方法如下：

　　1.制定企业内部的社会媒体管理协议

　　社交网络所采取的任何措施的步都是从制定社会媒体管理协议开始的。员工如何才能有权访问他们的社交网络？他们该对自己的网友如何描述他们的工作？是否对他们可以访问的内容加以限制？所有这些问题店铺需要由企业自己进行答复。详细的协议能让员工保持在正确的轨道范围内行使权利，并在必要时提供破坏规则的资源。

　　2.鼓励社交网络的使用

　　虽制定了必须设置的一套规则，但这只是重要的考虑因素之一，要确保社会媒体的安全还是鼓励其使用。是的，禁止对社交网络的适应能够乍一看似乎能限制安全隐患的爆发，但负面效果也是显而易见的。员工会想方设法绕过公司的封锁措施去访问社交网络，在没有企业正确指导的情况下依然我行我素。因此堵不如疏，鼓励社交网络的使用能让一切光明磊落，也让企业有机会去指导员工正确行事。

　　3.培训是关键

　　在鼓励社交网络的使用后，企业还必须培训员工。IT经理可以检查实践中的做法并指导员工什么该做和什么不该做。步就是告知员工他们不应该点击不熟悉的链接。这也是一个好时机让他们了解不要点击钓鱼电子邮件中自称来自某个社交网络的链接。这看起来似乎比较简单，但通过这些简单的教训，大部分社交网络对企业造成的安全隐患都能被剔除。

　　4.准备好安全工具

　　如果企业将允许员工使用社交网络，那么他应该使用的重要的工具之一就是TinyURLPreview。简单的工具能允许员工在实际到达网站之前就查明伪装的TinyURL链接的真正目的地。

　　公司还应该考虑使用其他提供相同功能的类似链接缩写工具。像这样的简单工具和对员工的培训在减少安全问题上还有很长的路要走。

　　5.可限制社交网络

　　虽然这听起来可能和企业鼓励员工使用社交网站有些自相矛盾，实际上我们真正的意思是限制员工使用社交的数量，这也是一种必要。员工没必要去更新在Identi.ca和开源Twitter上的朋友。他们也没必要使用FriendBinder。保持简单，只允许员工访问诸如Facebook，Twitter和MySpace这样的主要社交网络就够了。如果员工要访问其他网络，他们可以在家里去做。这样的政策也让社交网络对于警察的工作变得简单了。

　　6.培训IT人员

　　任何公司要做的重要事情之一就是确保其IT人员事先了解可能影响社交网络的所有问题。公司内部的IT人员每周应花费一些时间来了解与主要社交网络有关的一些新闻话题，以确保万一出现安全问题时，该公司知道这些问题的来龙去脉并提醒他们的员工。

　　7.确保电脑打好补丁

　　近的一项研究发现，用户在给存在安全隐患的软件打补丁的数量仅为操作系统补丁的一半。这可能是企业无力承担的缘故。通过确保操作系统和软件都同时打好补丁，影响安全的漏洞爆发对诸如Twitter和Facebook等网站所造成的影响就能得到控制。

　　8.共享隐私惯例

　　确保社交网络用户更加安全的一种有效方法是更改隐私设置。举例来说，Twitter网站能允许用户阻止发送垃圾邮件的发件人。通过提醒员工这种选择，企业在限制可能利用企业网络的恶意用户上会取得效果。

　　9.开放通信线路

　　企业用户所做的糟糕的事情就是对员工关于社交网络存在的问题置之不理。当员工和他们的经理或IT职员联系询问他们关心的问题时，这些问题应该更快更有效的得到解决。倾听问题并解决这个问题，才能让它更加安全。

　　10.不要害怕它

　　虽然安全问题令人担忧，但企业没必要害怕社交网络。也没有理由害怕它。社交网络是企业非常有用的营销工具，即使存在安全问题也是如此。如果员工在他们的工作中能感到快乐，他们就会告诉他们的朋友。而终该公司就可能从中获得回报。