现在整天呆在办公室工作的商务人员可谓绝无仅有,出外公干人员的必备随身法宝是笔记本电脑、手机、移动存储设备如U盘及光盘等,甚至蓝莓或PDA,确切的说,他们没有了移动数据基本上便丧失了大部分的工作能力,因此企业IT系统管理部门的工作目标不是禁止人员使用此等设备,而是如何令移动数据不致变成脱缰之马。
互联网安全解决方案厂商Check Point 软件技术有限公司安全顾问程智力表示,使用加密技术、监管移动媒介的访问及其数据传输,以及为端点设备执行严谨的安全政策,才是保障移动数据安全的有效方法。
磁盘加密:选择全盘还是文件加密?
笔记本电脑的加密有两种选择:对整个磁盘加密(FDE)或者基于文件的加密,而后一选择看来很具吸引力,因为Windows XP带有基于文件的加密功能,这意味着存储在特定文件夹或目录下的文件都会自动加密,但是这里存在一个很大的安全漏洞–它是依靠用户自己把文件放入加密的文件夹或目录中的。
显而易见,这种依靠个别用户来判断信息的敏感程度,然后再自动自觉放入适当的文件夹的方法是有漏洞的,只要有部分用户的工作做得不到位,整个系统的加密努力便会白废。此外,Outlook和网络浏览器等一类流行软件会把附件分散到磁盘的各个角落,通常是很不起眼的地方,因此就算是最严谨细心的用户也难免会有百密一疏的时候。
有鉴于此,对整个磁盘进行加密是较可取的方法,整个加密程序会自动化进行,同时涵盖整个磁盘,所以移动用户大可放心。
数据泄露:审核及控制移动媒介
然而单是对整合磁盘加密还不能解决移动设备的所有安全问题,用户还需要管理及控制各种具有数据存取功能的周边设备,这包括CD、DVD、U盘、各种便携式存储媒介如MP3播放器和数码相机等。
要有效防止上述USB设备泄露数据的第一步工作是把它们归入信任或授权的可接受使用政策(AUP)内,同时教育用户遵从AUP的重要性,以及违反它所带来的风险。
当然,仅仅靠政策是不够的,还需要通过端口控制解决方案来支持并强制执行,端口控制解决方案可以自动拒绝不合乎安全政策的USB设备,或者阻止传输某些文件或某些类型的文件类型。
举个例子,安全政策可以允许授权用户使用已经加密了的UBS设备,但iPod或手机则不可以,一旦数据在一个授权的设备上被加密,如果有必要,它便必需能被公司有关人员通过中央管理系统来访问。
防止来自应用层的威胁
全面保护移动数据的最后一个手段,是协助有关设备抵御来自应用层的软件攻击或恶意代码。
有效的端点安全首先是要每台设备在被允许连接到中央网络之前,运行一个实时升级的防火墙和防病毒保护。端点安全客户还应该确保在笔记本电脑上运行了适当的软件补丁程序,还要包括一个虚拟专用网络(VPN)功能,保证公司信息能安全地传输到公司基本设施,这些举措必须是由中央管理。
端点安全计划还包括以下几个关键部分:
客户机锁定:防止移动用户或攻击者把端点安全保护变成无效,同时容许强制执行网络访问政策。
- 围堵威胁:笔记本电脑端口只对获授权的网络流量开放,而且阻止网络入侵的举动。
- 阻止未经授权的程序和恶意代码取得敏感数据及传送给黑客。
- 邮件保护:隔离可疑的邮件附件和不适当的邮件–不管是通过软件还是In-the-cloud服务(通过互联网平台提供的服务)。