评论员文章

据来自安全软件公司Webroot的一份最新调查显示，社交网站用户更容易遭遇财务信息丢失、身份信息被盗和恶意软件感染等安全威胁，而且其严重性可能超乎用户自己的想象。
该调查发现，三分之二的受访者并没有对自己的社交网站个人信息采取严密保护措施，其它人可以通过Google\Baidu等搜索引擎查看这些敏感信息，另外有半数以上受访者不知道谁能查看他们的个人资料。大约三分之一受访者表示，其社交网站个人资料中至少包含三种个人身份识别信息，而且超过三分之一的人在多个网站上使用同一个密码。另外，三分之一的人接受来自陌生人的好友请求。

而从上周开始，“勒索病毒”席卷全球，超过150个国家30万台电脑设备受到影响。这款名为WannaCry的病毒将加密锁定中毒电脑的用户文档、资料，要想恢复则需交纳300美元等价的比特币。

病毒汹涌，WannaCry已经出现Uiwix等多个变种，腾讯安全反病毒实验室发现，该病毒已经开始利用捆绑正常软件进行传播，非官方正规渠道下载软件均存在安全风险，并且部分勒索病毒样本已经从“WannaCry”变为 “WannaSister”。

事实上，这并非网络病毒第一次造成全球性恐慌，在我们谈论信息安全时，如果将目光投向传媒界——我们的资讯安全吗？将会得到怎样的答案？全媒派（qq_qmp）聚焦媒体信息安全，从信息平台、媒体机构以及操作者等层面出发，为应对病毒渗透提供参考。

作为资讯分享重阵的社交平台，分享门槛低，常给恶意信息以可乘之机。在国外，以Facebook为首的社交平台是用户感染恶意链接的重灾区。研究发现，即便是陌生人社交，人们对社交平台的信息要比电子邮件、短信等方式更加信任。BitDefender调查数据显示，大约20%的Facebook网站链接中包含恶意软件，22%恶意软件声称可以告诉用户谁在浏览他们的个人信息；15%的恶意软件称可为用户在农场等社交游戏中加分；另有11%的应用提供虚假广告。

安全合作：海量信息如何甄别恶意链接

为保障用户账号与系统安全，早在两年前Facebook就开始了与知名反病毒软件卡巴斯基的合作，在Facebook的防毒安全服务中加入了重量级武器“卡巴斯基反恶意软件扫描器”。

扫描目标是那些已被Facebook团队检测出行为可疑，并可能已经感染上恶意软件的账户，用户登陆后会看到安全扫描的提示信息，若设备存在安全隐患，系统就会进入自动查杀的解决程序。

双方的合作也取得了明显成效，在推出后的3个月里，这项扫描服务就成功保护了超过26万名Facebook用户免于恶意软件侵扰。Facebook的软件工程师Trevor Pottinger表示，与专业反病毒厂商合作是Facebook的重大安全战略之一，除卡巴斯基以外之前的合作方还有ESET、F-Secure等安全公司。

风险规避：物理秘钥加密账号验证

大众被教导要提防电子邮件的附件链接，要警惕社交平台的网页跳转，但是却往往忽略了平台的用户登录这一环。Facebook安全工程师Brad Hill表示，社交媒体的安全性对千万用户而言至关重要，公司今后也会把登录安全和帐户恢复提上安全防护措施的重要位置。

今年1月，Facebook 宣布推出物理密钥身份验证技术。这项技术基于FIDO U2F安全标准，用户可以将密钥注册到个人Facebook帐户，当他们登录时需要点击一个插入电脑USB端口的设备。这项技术同时也适用于其他主流网站，用户可以为Google，Salesforce，Dropbox和GitHub等多个帐户使用相同的密钥。

Brad Hill解释道，通过这种方式用户不必再输入字符，硬件本身就提供了加密证据，所以在安全性上有大幅提高，能够使账户对钓鱼链接“免疫”，对于企业用户而言，物理秘钥的安全优势将更为显著。

在宣布U2F安全密钥后不久，Facebook 还与GitHub 合作推出了一个双向帐户恢复项目，以规避传统的邮箱验证、手机验证过程中的不确定风险。GitHub用户可以使用他们的Facebook帐户进行认证，作为GitHub帐户恢复过程的一部分。用户可以通过使用他们的Facebook帐户保存加密的恢复令牌来进行设置，如果他们需要恢复GitHub帐户，他们可以将令牌发送回GitHub进行验证。

Twitter：对“潜在敏感内容”的隐藏与隔离

今年2月，Twitter工程项目副总裁Ed Ho在博客中公布了Twitter解决语言暴力信息扩散的新举措，即通过征求用户意见后的数据收集，来识别可能含有语言暴力的推文，并对相关的“潜在敏感内容”进行自动隐藏。

当然这些潜在危险信息并没有被完全删除掉，如果用户通过搜索准确的关键词，仍然可以看到这些信息，但对于绝大部分阅读自动化信息推荐的用户而言，敏感信息的过滤效果仍然非常强。

对于敏感账户的内容，Twitter还设立了自动折叠的软性的隔离墙，起到提示用户“内容有风险，阅读需谨慎”的作用。用户界面将对风险信息进行遮蔽，用户需要点击同意阅读的按钮后才能继续查看，比起直接屏蔽，这种妥协式的处理措施则避免了将敏感内容一棒子打死，给予了用户更多的自主浏览空间。

值得关注的一点是，数据收集的不透明性仍引起了用户的忧虑，Twitter没有公布具体会获取用户的那些数据，但告知用户可以在个人数据（Your Twitter Data）的页面看到平台获取用户数据的总体情况。

BBC模式：员工进行“信息安全检疫”

BBC作为老牌传统媒体，对员工的信息安全十分重视，从入职到离职，BBC有一整套针对员工个体的安全检疫措施。

在正式进入工作岗位之前，BBC有权对员工进行法律法规范围内的个人背景调查，并且告知员工BBC内部信息安全政策，与信息安全事故的责任风险。在就职期间，全体员工需要参加定期的安全意识和技能培训，帮助每位员工在独立的工作过程中规避一切可能带来风险的操作。而离职时，员工也需要签署明确的协议，不得泄露公司有关机要信息。

对于有合作关系的第三方外包员工、云服务商而言，BBC的信息安全的条例则更为严密。

首先在合作之前双方需签署严格的合约披露条款，在此过程中的信息泄露事故会规定责任方需承担的明确后果；其次在设备安全方面，每一位员工需接受BCB的设备管理办法，如安装特定的反恶意软件、iOS设备的越狱规范、个人终端的数据托管、设备数据同步、设备锁、加密规则等具体设置等；在系统安全方面，BBC开发了内部安全应用商店、拥有自己的邮件加密机制，也有较为成熟的内部自动监控的系统。