loadding……
小手机大隐患 解析移动数据安全保障
你别指望企业的管理层看了以上的调查结果后,会出手扑灭这股势头。因为74%的用户都是自付手机话费,65%的人甚至是自掏腰包购买智能手机。公司不花一分钱,却能让他们在业余时间还能上线干活,哪个老板不乐翻了天?
没错,移动设备确实提高了员工的生产力,但如果没有相关的IT安全人员参与,那就会带来极大的风险。调查中只有31%的读者表示他们的智能手机和PDA有公司IT部门的支持。这是我们意料之中的,因为要为五花八门的手机系统提供支持,无疑会耗费大量的人力和财力。企业不是设备的所有者,也无权干涉员工选购什么产品。但是,企业却拥有许多终端用户储存的数据,一旦这些有关公司的信息下载到个人的手机上,那企业就必须引起足够的重视,毫不迟疑地插手进行干预以保证信息的安全。
面对这种情况,企业的首席信息官(CIO)有两种方法可供选择:第一种是禁止安装ActiveSync等同步程序,并切断移动设备与公司服务器之间的连接,然后封死公司电脑上的USB接口。当然,这样一来员工们肯定不会罢休,他们会绞尽脑汁地研究突破这些障碍的方法。第二种办法则要人性化得多:公司继续享受移动带来的好处,但同时也投入相当的技术力量,并制订适当的安全政策来保证数据的安全。
安全政策是关键
移动加密技术已经走过了很长的一段路,不过,要保证安全,仅靠技术是不行的。在目前的电子港湾网站(eBay)上,大约有3,300多部二手黑莓手机出售。如果其中的哪一部手机中存有敏感的数据,那再强大的技术恐怕也无能为力。因此,为保证信息安全,企业首先应当出台相关的政策,对设备的选购、设置、使用、维修以及遗失处理等问题进行详细的规定。不要对高管的手机搞特殊化。一个桶能盛多少水关键取决于组成桶身最短的那块木板,同样,一个系统的安全性如何关键取决于它最薄弱的环节,越是高管,他们手机中的商业信息很可能就越重要,并且,高管丢失手机的几率并不比一般员工低。
当你在制订政策时,注意从基本的数据保护措施入手,如加密、开机密码等,并保证设备遗失或被盗时可以远程删除数据。许多电子邮件推送服务、设备管理技术及安全系统服务都提供这一功能。另外,你还应当设置更细化的政策,包括强制VPN加密,要求用户必须安装杀毒软件、防火墙或其他安全软件等。再者,你必须定期向用户们敲响警钟,告诫他们设备的遗失不仅仅关乎到个人,更涉及到整个公司的安全利益。最后你需要记住的一点是,安全政策不能一成不变,必须时常更新,以便应对不断变化的商业和技术需求。
贯彻设备使用政策是否意味着企业应当为员工代劳,统一采购设备?也许吧。如果企业拥有了设备的所有权,那安全政策的执行和软件的设置也就不会引起太多的纷扰了。当然,由于在这个消费者驱动型的智能手机市场上,硬件的更新换代非常之快,替员工采购手机会为企业增加不小的成本负担,因此许多企业还没有这样做。目前市场上的流行机型都获得了移动安全和管理厂商的大力支持,因此在软件方面问题不大,但是,一些高级的硬件安全功能,如锁定照相机或SD插槽,则不太尽如人意。如果你允许员工在他们自己的手机上储存数据资料,那保证安全的最佳办法,就是向员工派发一组你的移动安全厂商支持的硬件,并保持及时的更新升级。
谈到安全厂商,他们的宣传材料会告诉你,要规避手机配置的缺陷需要相当大的资金投入,因此,在你买单之前,你需要确定企业真正面临的威胁到底有多少。
数据丢失当然是头号大敌。那么,每部手机上一般会储存多少信息数据呢?让我们先来看看。虽然大部分智能手机都有无线上网功能,但许多用户还是会在手机中储存大量的公司数据,这样即使手机不在服务区或是无线信号关闭(如在飞机上)时,也能访问到这些数据。电子邮件在手机中肯定会有的,相关网站的网页也会被保存到本地硬盘,此外,还有公司的全套应用程序,如表现层、数据库访问系统等等。
安全的第一道防线是加密,包括各文件夹加密和整个设备(含SD卡之类的移动存储设备)加密。不过,这道防线有利也有弊:加密整个设备的储存器虽然可以防止数据丢失,但同时也会影响整体的性能;加密文件夹虽然不会影响性能,但却需要你不断地对资料进行分类,以保证在加密数据时不会搞错。人总会有疏忽的时候,有的敏感数据难免会被放入未被加密的文件夹中,考虑到这一点,再加上随着科技的发展手机性能总是不断提高,因此我们建议用户最好采用整体加密。
移动设备上的病毒防护在近年来一直是个焦点问题。卡巴斯基实验室(Kaspersky Lab)、迈克菲公司(McAfee)、赛门铁克公司(Symantec)以及趋势科技公司(Trend Micro,下称趋势科技)这些大型安全厂商的产品体系中都有移动病毒防护产品。到目前为止,大部分漏网的病毒和恶意软件攻击的主要目标都是Symbian操作系统,也有一些瞄准了Windows Mobile平台。不过,苹果公司(Apple,下称苹果)的iPhone可能为未来的战斗打响了第一枪。为了能在iPhone上安装第三方软件,或是在其他运营商的网络上使用iPhone,很多人已经将手机解锁当成了一项乐此不疲的事业,这当然就引发了缓冲溢出攻击等安全威胁。苹果虽然在兢兢业业地为iPhone打上一个又一个的补丁,但这一事件却让我们看到,一些解锁iPhone的方法可以同样移植到其他手机上,冲破这些设备的整套防线。
“最让我担忧的是,移动设备实在是太容易感染恶意软件了。就算是用黑莓手机下载彩铃这样普通的事情,也有可能带来病毒。”福赛思解决方案集团(Forsythe Solutions Group)的技术顾问大卫·布朗(David Brown)表示。他这句话的关键词是“可能”。就目前而言,还没有像他描述的那种安全漏洞,手机平台上也没有出现像Blaster或是Code Red这样有杀伤力的蠕虫病毒。从某种程度上说,手机平台正是由于关注度不高,才免遭病毒的大规模袭击。然而,随着电脑安全性能的不断提升,入侵者们便掉转枪头,把目标对准了与电脑联网的智能手机,以此作为企业网络的突破口。现在你可能还用不到移动病毒防护技术,但一两年之后可就难说了,因此你最好提前做好相应的准备。如果在你的公司中智能手机发挥作用的空间越来越大,那你就更应当有所防范了。
产品考察
目前市场上针对企业移动安全问题的产品有很多,该领域内的多数知名厂商也都有自身的拳头产品。为了初步了解它们的大致功能,我们简单地考察了其中的一些产品。Trust Digital公司是一些政府机关和私人企业的安全服务商,我们考察了该公司最新的智能手机安全客户软件,以及趋势科技的一套即将推出的移动安全产品。
不管是Trust Digital公司的智能手机安全管理软件(SSMS)还是趋势科技的移动安全5.0(TMMS 5.0),都为客户的移动设备提供了各种各样的保护措施。其中最有趣的一个功能是SSMS的可信程序模式。该功能并不是简单地设置一些黑名单来禁止哪些文件在某一程序上运行,它能够对应用程序和数据类型进行匹配。例如,我们可以规定,只有微软的Word可以打开Word文档。这对防止恶意软件入侵非常有效。这两款软件之间的最主要区别是,趋势科技的TMMS 5.0与它的桌面电脑安全产品相同,都是从同一控制台对软件进行管理。
谈到加密模式,这两款软件都不错。企业既能对个人设备单独设置密码,也能对某一团队的设备进行统一加密,后者保证了数据的共享。唯一的问题是,每件设备上只能采取一种加密方式,也就是说,你不能在本地硬盘上使用一套私人密码,而在可以拿给同事的SD卡上使用另一套共享密码。当然,两家公司的产品中还包括锁定硬件和远程删除等必备功能。Trust Digital公司还在SSMS中加入了软件分发功能,但由于这是一款以安全为重点的产品,它便不具备移动设备管理系统中的一些高级目录和报告功能。
保证移动数据安全
1.制订安全政策,对可以带出公司的数据进行严格的规定。不要对高管搞特殊化。
2.加密外带的数据。许多移动安全管理产品都具备这样的加密功能。
3.随时准备加强病毒防护。与企业系统平台相连的移动设备已逐渐成为了病毒攻击的目标。
4.密切关注智能手机的发展。
5.如果你拒绝采取以上措施,那就考虑锁定公司的电脑,让员工无法安装同步软件,这样一来他们也就无法用手机访问敏感数据了。
放眼市场
在保卫智能手机安全体系的战斗中,出现了一些新的问题。其中之一与密码有关:在手机那巴掌大不到的键盘上,按错键输错密码是常有的事。因此,笔记本电脑指纹读取器的领先供应商AuthenTec公司就宣称,它已经看到了智能手机领域对生物测量技术的需求,并认为在未来的18个月内,带有此种技术的手机就将在美国诞生。该公司已被美国政府选中,为2010年美国人口普查中使用的PDA提供安全服务。日本电子公司OKI也瞄上了生物测量技术,但他们选择的不是指纹,而是眼睛。目前他们正在为手机开发眼睛识别功能。该公司的想法是,运用一系列定制软件以及手机中的摄像头来对用户的眼睛进行扫描,以确定用户是否有权使用手机。目前这一想法还在初级的探索阶段,OKI公司预计此类产品要到2010年才能推向市场。
以上措施均是为物理访问把关,除此之外,可信计算组织(Trusted Computing Group)也正在着手开发适用于移动设备的可信平台模块——“移动可信模块”。据了解,可信计算组织开发这一模块的目的,是为了制订移动设备的安全标准,而这一领域一直被各大安全厂商所统治。
上一篇:2008:微波炉行业变局在即
已有
位对此文感兴趣的网友发表了看法
我来评两句
验证码:
