.jpg)
最近IDC研究發現,移動終端設備已經廣泛應用在企業各業務層面,CIO的新挑戰是怎樣有效管理(lǐ)企業的移動設備上的數據安全。例如(rú)包括:如(rú)何管理(lǐ)複雜的移動設備的應用環境?如(rú)何将這些移動設備與現有企業系統進行整合?如(rú)何管理(lǐ)這些移動設備的數據安全問(wèn)題?簡單的說(shuō)就(jiù)是:如(rú)何管理(lǐ)移動設備和其使用之間的問(wèn)題,由此涉及到的是系統安全、服務整合、互操作(zuò)性和組織成本控制等一系列問(wèn)題。 重慶立信
一般來(lái)說(shuō),移動終端設備除了筆記本電腦外,包括掌上電腦、智能手機(jī)、USB設備和GPS設備等。因爲其移動方便的特性,對數據的安全性提出了更高的要求。而事(shì)實上,我們常常看(kàn)到的是許多公司對其移動設備在安全和策略管理(lǐ)上的缺失。
一.危機(jī)四伏的移動設備數據管理(lǐ)
近來(lái),人們對筆記本電腦、智能手機(jī)、便攜式多媒體(tǐ)等移動設備的使用大(dà)大(dà)增加,特别是那些被CEO、公司高管、銷售和顧問(wèn)使用的移動設備,往往涉及銷售經營數據和電子郵件(jiàn)等極爲敏感的公司資料。最新的移動設備具有更大(dà)的儲存容量和更強的互聯網訪問(wèn)功能,也使移動設備上的數據信息面臨更大(dà)的風(fēng)險。
“我們丢了一台筆記本電腦”這是CIO最不想聽到的一句話(huà)。除了設備成本損失之外,一般會造成重要數據的外洩,更嚴重的甚至會造成公司經營的風(fēng)險,因爲丢失一台保存着敏感信息的筆記本電腦會毀掉一家蓬勃發展的企業。而事(shì)情上,筆記本電腦丢失或者被盜是很普遍的事(shì)情,而設備越小丢失的次數越多。據一份調查顯示,現在許多公司的用戶每個星期都(dōu)會丢失或者損壞相(xiàng)當多的移動設備,正是由于這個原因,移動設備丢失造成的數據風(fēng)險已經足以讓CIO睡不着覺了。
移動設備存儲量增大(dà)的後果是更多數據處于被盜、丢失或使用不當的風(fēng)險之下,CIO們爲此深感擔憂,現在CIO必須找到一種新的管理(lǐ)方法來(lái)管理(lǐ)公司的移動設備。同樣讓CIO更擔心的是,多數移動設備用戶沒有在非安全的環境中采取适當的安全措施。例如(rú),據媒體(tǐ)報道發生(shēng)的一次令人擔憂的事(shì)件(jiàn):一台從(cóng)淘寶網拍(pāi)賣購(gòu)得(de)的筆記本電腦被發現存儲着許多重要的商業機(jī)密資料,以及200多封公司内部機(jī)密郵件(jiàn)。出售這台筆記本的人想當然地認爲,删除數據後就(jiù)可(kě)以了,結果卻出乎他(tā)的意料,拍(pāi)賣得(de)主在一次無意複原磁盤操作(zuò)中把這些重要數據全都(dōu)複原出來(lái)了。
CIO需要清楚認識丢失或被盜的移動設備已經不再隻是物理(lǐ)設備的損失問(wèn)題,而是數據外洩的問(wèn)題。移動設備如(rú)果落入盜賊手中,上面的信息就(jiù)會傷害到用戶。因此,減少移動設備數據外洩風(fēng)險的關鍵,是采取預防式的手段管理(lǐ)和保護敏感信息,以防止非法訪問(wèn)或信息洩露。所以,防患于未然,對敏感數據進行有效管理(lǐ)是CIO必須面對的問(wèn)題。
二.安全解決方案:加密數據
很多時候,當一個移動設備丢失,其數據的價值遠(yuǎn)遠(yuǎn)超過了移動設備本身(shēn)。在有關調查中顯示,所有提及移動設備管理(lǐ)的CIO都(dōu)有一個共同的關注點安全。随着移動設備應用數量的增多,移動設備類型的多樣性也在攀升,企業管理(lǐ)及控制移動數據安全的能力卻捉襟見(jiàn)肘這不再是要不要保護數據的問(wèn)題,而是如(rú)何保護數據的問(wèn)題。因此,擺在CIO面前的難題是: 如(rú)何最有效地保護移動設備(筆記本電腦、PDA、智能電話(huà)或者可(kě)移動介質)上存儲的敏感信息。
如(rú)今的靜(jìng)态數據安全解決方案大(dà)多是基于比較老的加密技術(shù),而這些技術(shù)當初根本不是針對移動設備的複雜環境設計(jì)的,于是其結果可(kě)能導緻: IT部門(mén)裡(lǐ)的現有流程複雜化,支持人員(yuán)在日(rì)常的IT恢複、維修期間也會使到移動設備更容易暴露和外洩數據,現有的移動設備管理(lǐ)流程根本無法滿足關鍵數據對安全的需求。
對CIO而言,新的工(gōng)作(zuò)目标必須從(cóng)對日(rì)益廣泛應用的移動設備(筆記本電腦、手機(jī)、U盤及光(guāng)盤甚至藍莓或PDA等)圍追堵截式的被動式安全保障,轉移到主動保證移動數據的安全上來(lái)。因此,CIO必須面對這個新現實,及時調整移動設備安全流程和技術(shù)策略,确定移動設備數據風(fēng)險等級和優先分(fēn)配資源。
一般來(lái)說(shuō),保護移動設備數據安全需要雙管齊下:①對移動設備磁盤和數據加密,②對移動設備進行監管和認證許可(kě)。例如(rú)周期性地生(shēng)成新的加密密鎖,以及一定次數的登陸失敗後鎖定并清除數據等手段。
(1)移動設備磁盤和數據加密
顯而易見(jiàn)依靠用戶來(lái)判斷信息的敏感和重要程度,然後再自(zì)動自(zì)覺采取适當的安全保護方法是有漏洞的,隻要有部分(fēn)用戶的工(gōng)作(zuò)做得(de)不到位,整個公司的數據加密努力便會白(bái)廢。此外,Outlook和網絡浏覽器等一類流行軟件(jiàn)會把附件(jiàn)分(fēn)散到磁盤的各個角落,通常是很不起眼的地方。因此,就(jiù)算是最嚴謹細心的用戶也難免會有百密一疏的時候。有鑒于此,公司制定強制性的對移動設備上的資料進行加密是較可(kě)行的方法,例如(rú)采用硬件(jiàn)或軟件(jiàn)方式自(zì)動加密磁盤和數據,并涵蓋整個移動設備的磁盤,這樣移動設備用戶就(jiù)可(kě)以放(fàng)心使用。
(2)建立移動設備許可(kě)認證:防止數據洩露
單是對移動設備的磁盤加密還(hái)不能解決移動設備的安全問(wèn)題,用戶還(hái)需要管理(lǐ)及控制各種具有數據存取功能的周邊設備,如(rú)智能手機(jī)、U盤、各種便攜式存儲媒介如(rú)MP3播放(fàng)器和數碼相(xiàng)機(jī)等。當然,這些僅僅靠口頭上的政策是不夠的,還(hái)需要通過端口控制方案來(lái)支持并強制執行,端口控制解決方案可(kě)以自(zì)動拒絕不合乎安全政策的USB設備,或者阻止傳輸某些文件(jiàn)或某些類型的文件(jiàn)。例如(rú),安全政策可(kě)以允許授權用戶使用已經加密了的移動設備,但(dàn)沒有經過加密許可(kě)的PDA或智能手機(jī)則不可(kě)以,一旦數據在一個授權的移動設備上被加密,就(jiù)隻能被有權限的人通過合法途徑來(lái)訪問(wèn)。
三.層出不窮的移動病毒攻擊
技術(shù)是一把雙刃劍。當手機(jī)、PDA等移動設備成爲新型計(jì)算平台後,越來(lái)越多的用戶開始依賴它們處理(lǐ)個人事(shì)務與商業交易時,安全隐患也随之出現。據預測,新的移動終端造成的安全損害遠(yuǎn)比PC高,以智能手機(jī)爲目标的新一代移動病毒能夠威脅和感染市場上正流行的多種智能手機(jī),而這些手機(jī)大(dà)多都(dōu)沒有安裝移動安全防護。
更令CIO擔憂的是許多病毒現正向移動設備發起攻擊。去(qù)年(nián),反病毒廠(chǎng)商發現了200多種手機(jī)病毒。間諜軟件(jiàn)、網絡釣魚軟件(jiàn)、域名欺騙軟件(jiàn)、惡意軟件(jiàn)、零時差浏覽器攻擊、以及僵屍網絡等攻擊軟件(jiàn)正在迅速蔓延。據調查顯示,僅僅針對Windows智能手機(jī)設備,就(jiù)已經發現了約30種惡意軟件(jiàn)。
什麽是移動設備病毒?就(jiù)是和固定設備的病毒一樣,移動病毒是侵襲移動設備的小型程序。主要是針對智能電話(huà)和無線PDA。它們攻擊着移動設備和平台,例如(rú)近期的病毒攻擊運行Symbian OS或者WIN CE/Windows Mobile的移動設備,我們可(kě)以肯定的是廣泛使用的智能電話(huà)操作(zuò)系統将會被越來(lái)越多的病毒攻擊。
企業IT管理(lǐ)員(yuán)能夠對網關、服務器、台式電腦進行安全檢測,但(dàn)對手機(jī)卻無能爲力,智能手機(jī)是現在唯一沒有納入企業信息安全防護系統的計(jì)算設備。更令人擔憂的是,新的安全威脅不僅僅來(lái)自(zì)手機(jī),由于手機(jī)、PDA等移動設備出現在人們生(shēng)活中的機(jī)率越來(lái)越高,它們在技術(shù)上彼此互聯、相(xiàng)互交叉,形成了比單純的電腦環境複雜得(de)多的安全管理(lǐ)環境。移動病毒更看(kàn)中移動無線網絡的脆弱性,傳播路(lù)徑的多樣化使大(dà)範圍的傳播更成爲可(kě)能,例如(rú)木馬隐藏在從(cóng)無線網絡下載的遊戲中,或通過藍牙傳播。
四.制訂數據安全策略刻不容緩
大(dà)多數人們在應用移動設備的時候都(dōu)沒有考慮可(kě)能會丢失的後果,也就(jiù)沒有特别考慮移動設備數據安全的問(wèn)題。簡單地說(shuō),人們還(hái)沒有足夠認真地評估移動設備可(kě)能受到的威脅和安全漏洞。更糟糕的是,企業的許多員(yuán)工(gōng)都(dōu)不知道他(tā)們擁有什麽信息,或者不知道這些信息的價值。
另一方面,也許有員(yuán)工(gōng)認爲隻要加密無線網絡和筆記本電腦硬盤,然後就(jiù)萬事(shì)大(dà)吉了。但(dàn)實際并非如(rú)此,爲了與這些風(fēng)險進行有成效的鬥争,公司必須制訂一個移動設備安全策略,以指導公司進行評估,制訂與潛在商業影(yǐng)響相(xiàng)符的預算,并将移動設備安全解決方案在技術(shù)上、步驟上和組織結構上的作(zuò)爲頭等大(dà)事(shì)來(lái)抓,從(cóng)而降低風(fēng)險。移動設備安全措施包括:确定策略,保護移動設備上的數據,對設備和用戶進行認證,監控策略執行情況并撰寫報告。
(1)對移動設備上的數據重要性進行評估,并評估數據外洩對公司業務的影(yǐng)響,确定移動設備風(fēng)險管理(lǐ)的預算和措施。
(2)檢查和落實移動設備的數據安全措施。爲了預防移動設備丢失或被盜,應認真檢查方案是否已經落實和執行,例如(rú)任何存儲有重要數據的移動設備是否已按要求進行加密。
(3)定期審查和彙報也非常重要。最基本的一點,公司需要随時掌握各台移動設備是否遵守規定。同時,CIO不能隻依靠用戶來(lái)保護移動設備上的數據,而應該和不同的職能部門(mén)合作(zuò),定期審查和檢討(tǎo)移動設備安全風(fēng)險策略。重慶勤業會計師事務所有限公司
重慶天蠶網絡科(kē)技有限公司制作(zuò)與維護