最近IDC研究發現,移動終端設備已經廣泛應用在企業各業務(wù)層麵,CIO的新挑戰是怎樣有效管理企業的移動設備上的數據(jù)安(ān)全。例如包括:如何管理複雜的移動設備的應用環境?如何將這些移動設備與(yǔ)現有企業係統進(jìn)行整合(hé)?如何管理這些移動(dòng)設備的數據安全問題?簡單的說就是:如何管理移動設備(bèi)和其使用(yòng)之間的問題,由此(cǐ)涉及到的是係統安全、服務(wù)整合、互操(cāo)作性和組織成本控製等(děng)一係列問題。 重慶立信
一般來說,移動終端設備除(chú)了筆記本電腦外,包括(kuò)掌上電腦、智能手機(jī)、USB設備和(hé)GPS設(shè)備等。因為其移動(dòng)方便的特性,對數據(jù)的安全性提出了(le)更高的要(yào)求。而(ér)事實上,我(wǒ)們常常看到的是許多(duō)公司對其移動(dòng)設備在安全和策略管理上的(de)缺失。
一.危機四伏的(de)移動設備數據管理
近(jìn)來,人們對筆記本電腦、智能手機、便攜(xié)式多媒體等移動設備的使用大大增加,特別是那些被CEO、公(gōng)司高管、銷售和顧問使用的移動設備(bèi),往往涉及銷售(shòu)經營數據(jù)和電子郵件等極為敏感的公司資料。最新(xīn)的移動設備具有更大(dà)的儲存容量和更強的互聯(lián)網訪問功能,也使移動設備上的數(shù)據信息麵臨更大的風險。
“我們(men)丟了一台筆記本電腦”這是CIO最(zuì)不想聽(tīng)到的一句(jù)話。除了設備成本損失之外,一般會造成重要數據的外泄(xiè),更嚴重的甚至會(huì)造成公司經營的風險,因為丟失一台保存著敏感信息的筆記本電腦會毀掉一家蓬(péng)勃(bó)發展的企業。而事情上,筆記本電腦(nǎo)丟失或者被盜是很普遍的事情,而設備越小丟(diū)失的次數越多。據一份調查顯示,現在(zài)許多公司的用戶每個星期都會丟失或者損壞相當多的移動(dòng)設備,正是由於這個原因,移動設備丟(diū)失造成的數據風(fēng)險已經(jīng)足以讓(ràng)CIO睡不著覺了。
移動設備存儲量增大的後果是更多數據(jù)處於被盜、丟失或使用不當的(de)風險之下,CIO們為此深感擔憂,現在CIO必須找(zhǎo)到一種新的管理方法來管理公司(sī)的(de)移動設備。同樣讓CIO更擔心的是,多數移動設備(bèi)用戶沒有在非安全的環(huán)境中采取適當的安全措施。例如(rú),據媒體報道(dào)發生的一次令人擔憂的(de)事件:一台從(cóng)淘寶網拍賣購得的筆記本電(diàn)腦被發現存儲著(zhe)許多重要的商業機密資料,以及200多封公司內部機密郵件。出售這台(tái)筆(bǐ)記(jì)本(běn)的(de)人(rén)想當然地認為(wéi),刪(shān)除數據(jù)後就(jiù)可以了,結果卻出乎他的意料,拍賣得主在(zài)一次無意複原磁盤操作中把這些重要數據全都複原出來了。
CIO需要清(qīng)楚認識丟失或被盜的移動設備已經不再隻是物理設備的損失問題(tí),而是數據外泄的問題。移動設備如果落入盜賊手中(zhōng),上麵的信息就會傷害到用戶。因(yīn)此,減少移動設備數據外泄風險的關鍵,是采取預防式的手段管理和保(bǎo)護敏感信息,以防止非(fēi)法訪(fǎng)問或信息泄露(lù)。所以,防患(huàn)於未然,對敏感數據進行有效管理是CIO必須麵對的問題。
二.安全解決方案:加密數據
很多(duō)時候,當一個移動設備丟(diū)失,其數據的價值遠遠超過了移動設備(bèi)本身。在有關調查中顯示,所(suǒ)有提及移動設(shè)備(bèi)管理的CIO都有一個共同的關注點安全。隨著移動設備應用數量(liàng)的增多,移動設備類型的多樣性也在攀升,企業管(guǎn)理及控製(zhì)移動數據安全的能力卻捉襟見肘這不再是要不要保護數(shù)據的問題,而是如何(hé)保護數據的問題。因此,擺在CIO麵前的難題是(shì): 如何最有效地保(bǎo)護移動設備(筆記本電腦(nǎo)、PDA、智能電話或者(zhě)可(kě)移動介(jiè)質)上存儲的敏感信息。
如今的靜態數據安全解決方(fāng)案大多是基於比較老的加密技術,而這些技術當初根本不是(shì)針對(duì)移動設備的複雜環境設計的(de),於是其結果可能導(dǎo)致: IT部門裏的現有流程複雜化,支持(chí)人員在日常的IT恢(huī)複、維修期間也會使到(dào)移動設備更容(róng)易暴露和(hé)外泄數據,現有的移動設備管理流程根本無法(fǎ)滿足關鍵數據對安全的需求。
對CIO而言,新的工作目標必須從對日益廣泛應用的移動(dòng)設備(筆記本電腦、手機、U盤(pán)及光盤甚至藍莓或PDA等)圍追(zhuī)堵截式的被動式安全保障,轉移到主動保證移動數據的安全(quán)上來。因此,CIO必須麵對這個新現實,及時調整移動設備安(ān)全流程和技術策略,確定移動設備數據風險等級和優先分配資源。
一般來說,保(bǎo)護移動設備數(shù)據安全需要雙管(guǎn)齊(qí)下:①對移動設備磁盤和數據加密,②對移動(dòng)設備進(jìn)行監管和認證許可。例如周(zhōu)期性地生成新的加密(mì)密鎖,以及(jí)一定次(cì)數的登陸失敗後鎖定並清除數據等手段。
(1)移動設備磁盤和數據(jù)加密
顯而易見依靠用(yòng)戶來判斷信(xìn)息的敏感和重要程度,然後再自動自覺采取適當的安全保護方法是有漏洞的,隻要(yào)有(yǒu)部(bù)分用戶(hù)的工作做得不到位,整個公司的數據加密努力便會白廢。此外,Outlook和網絡瀏覽器等一類流行軟件(jiàn)會把附件(jiàn)分(fèn)散到磁盤的各個角落,通常是很不起眼的地方。因此,就算是最嚴謹細心的用戶也難(nán)免會有百密一疏的時候。有鑒於此,公司製定強製(zhì)性的對移動設(shè)備(bèi)上的資料進行加密是較可行的方法,例如采用硬件或軟件(jiàn)方式自動加密磁盤和數(shù)據,並涵蓋整個移動設備的(de)磁盤,這樣移(yí)動設備用戶就可以放心使用。
(2)建立移動設(shè)備許可認證:防止(zhǐ)數據泄露
單是對移動設備的磁盤加密還不能解決移動設備的安全問題(tí),用(yòng)戶還(hái)需要管理及控製各種具有數據存取功能的周邊設備,如智能手機、U盤、各種便攜式存儲(chǔ)媒介如(rú)MP3播放器和數碼相機等。當然,這些僅(jǐn)僅靠口頭上的政策是不夠的,還需(xū)要通過端口控製方案來支持並強製執行,端(duān)口控製解決(jué)方案可以自動拒絕不合乎(hū)安(ān)全(quán)政策的USB設(shè)備,或者阻止傳輸(shū)某些文件或某(mǒu)些類型的文件(jiàn)。例如,安全政策可以(yǐ)允許授權用戶使(shǐ)用已(yǐ)經加密了的移動設備,但沒有經過加密許可的PDA或智能手機則不可以,一旦數據在一個授權的移動設備上被加密,就隻能被有權限的人通過合法途徑來訪問。
三.層出不窮的移動病毒攻擊
技術是一把(bǎ)雙(shuāng)刃劍。當(dāng)手機、PDA等移動設備成為新型計算平台後,越來越多的用戶開始依賴它們處理個人事務與商業交易時,安全隱(yǐn)患也隨之出現。據預測,新(xīn)的移動(dòng)終端造成的安(ān)全損害遠比PC高,以智能手機為目標(biāo)的新一代移動病毒能(néng)夠威脅和(hé)感染市場上正流行的多(duō)種智能手機,而這些手機大(dà)多都沒有安裝移動安全防護。
更令CIO擔憂的是許多病毒現正向移動設備發起攻擊。去年,反(fǎn)病毒廠商發現了200多種手機病毒。間諜軟件、網絡釣魚軟件、域名欺(qī)騙軟件、惡意(yì)軟件(jiàn)、零(líng)時差瀏覽(lǎn)器攻擊、以及僵(jiāng)屍網絡等攻擊軟件正在迅速蔓延。據調查顯示,僅僅(jǐn)針對Windows智能手(shǒu)機設備,就已經(jīng)發現了約30種惡意軟件。
什麽是移動設(shè)備病毒?就是和固定設備的病毒一樣,移動病毒是侵襲移動設備的小型程序。主要(yào)是針對智能電話和無線PDA。它們攻擊著移動設備和平台,例如近期的病毒攻擊運行(háng)Symbian OS或(huò)者WIN CE/Windows mobiles的(de)移動設備,我們可(kě)以肯定的是廣泛使用的智能電話操作係統將會被越來越多的病毒攻擊。
企業IT管理員能夠對網關、服務器、台式電腦(nǎo)進行安全檢測,但對(duì)手機卻無能為力,智能手機是現(xiàn)在唯一沒有(yǒu)納入企業信息安全防護係統的計算設備。更令人擔憂的是,新的安全威脅不僅僅來自手機,由於手機、PDA等移(yí)動設備出現在人們生活中的機率越(yuè)來越高,它們在技術上彼此互聯、相互交叉,形成了比單純的電腦環境複雜得多的安全管理環境。移動(dòng)病毒更看中移動無線網絡的脆弱性,傳播路徑的多樣化使大範圍的傳播(bō)更成為可能,例(lì)如木馬隱藏在(zài)從無線網絡下載的(de)遊戲中,或通過藍牙傳播。
四.製訂數據安全策略刻不容緩
大多數人們在應(yīng)用(yòng)移動設備(bèi)的時候都沒有考慮可能會丟失的後果,也就(jiù)沒有特別考慮移動設備數據安全的問題。簡(jiǎn)單(dān)地說(shuō),人們還沒有足夠認真地評估(gū)移動設備可能受到的威脅和安全漏洞。更糟糕的是,企業的許(xǔ)多員工都(dōu)不知道他們擁有什麽信息,或者不知道這些信息的價(jià)值。
另一方麵,也(yě)許有員工認為隻要加密無線網絡和筆記(jì)本電腦硬盤,然後就萬事大吉(jí)了。但實際並非如此,為了(le)與這些風險進行(háng)有成效的鬥爭,公司必須製訂一個移動設備(bèi)安全策略,以指導公(gōng)司進行評估,製訂與潛在商業(yè)影響相符的預算,並將移動設備安全解決方案在技(jì)術上、步驟上和組織結構上的作為頭(tóu)等大事來抓,從而降低風險。移動設備安全措施包括:確定(dìng)策略,保護移動設備上(shàng)的數據,對設備和用戶進行認證,監控策略執行情況並撰寫報告。
(1)對移動設備(bèi)上的數(shù)據重要(yào)性進行評估,並評估數(shù)據外(wài)泄對公司業(yè)務的影(yǐng)響(xiǎng),確定移動設(shè)備(bèi)風險(xiǎn)管(guǎn)理的預算和措施。
(2)檢(jiǎn)查和落實移動設備的數據(jù)安(ān)全措施。為了預防移動設備丟失或(huò)被盜,應認真檢查方案是否已經(jīng)落(luò)實和執行,例如任何存(cún)儲有重要數(shù)據(jù)的移動(dòng)設(shè)備是否已按要求進行加密。
(3)定期(qī)審查和匯報也(yě)非常重要。最(zuì)基本的一點,公司需要隨(suí)時掌握各台移(yí)動設備是否遵守規定(dìng)。同時,CIO不能隻依靠用戶來保護移動設備上的數據,而應(yīng)該和不同的職能部門合(hé)作,定期審查和檢討移動設備(bèi)安全風險策略。重慶立信會計師事(shì)務所
重慶天蠶網絡科技有限公司製作與維護