当员工们开始在办公室中使用移动设备和智能手机的时间,我们应该采取什么样的安全策略?使用不安全的移动设备可能给网络带来潜在的新风险么?
数据安全公司Credant科技进行的一项研究表明,利用移动设备和智能手进行和工作相关活动的情况正变得日益普遍。从某种意义上来说,这是一个好消息,因为这意味着员工可以利用的时间将会越来越多,特别是从智能手机日益上升的普及率来看。
研究报告还得出一些如下所示的统计结果:
· 35%的移动设备被用来接收和发送商业电子邮件
· 30%的移动设备被用来保存商业日程
· 17%的移动设备被用来下载包含文件和试算表在内的企业信息
· 23%的移动设备存储了客户的信息
总之,上面的结果来自对伦敦火车站里六百位市民的随机调查。值得注意的是,尽管百分之九十九的个人电话都被用于和公司业务相关的某种应用,但实际上,有四分之一的被调查者的老板实际上是不允许这样做的。原因也很简单,手机被盗或者不注意保密有可能导致机密数据泄露,给公司业务带来风险。
此外,不象笔记本计算机在通常情况下仅仅只能把信息保存在硬盘驱动器上,移动设备正越来越多地将信息保存在企业网络的信息和数据库中。
使用不安全移动设备面临的问题
我认为在这个随机抽样调查中应该被特别关注的一点是,百分之四十的使用者没有对移动电话设置任何保护,甚至连最基本的密码也没有。从这一点来推测,使用者缺乏最基本的安全意识,因此,包含了信息的存储卡本身也不会有任何保护的。如果进行这样的调查,了解使用者没有进行加密或者采用类似的保护措施的情况,无论结果达到多高的百分比我都不会感到惊讶。
目前面临最突出的问题是,大多数手机和许多智能手机并没有提供内部的安全控制措施来保证企业信息的安全。各种解决方案都取决于移动平台的类型,是采用了RIM公司黑莓手机,还是基于微软Windows Mobile操作系统。当然,即使是黑莓或Windows Mobile智能手机如果没有进行配置或者配置不合理的话,结果也还是不安全的。
而对于Palm操作系统和诺基亚S60操作系统之类的其它移动平台,也确实存在一些第三方应用工具提供了安全控制措施。举例来说,优异科技(Good Technology)就提供了一个非常好的企业级解决方案。该解决方案可以对企业设备进行安全管理,并且可以支持本地用户使用基于了包括Windows Mobile操作系统、Palm操作系统和Symbian S60操作系统等类型在内的的移动设备。其它的类似解决方案包括了赛贝斯公司提供的iAnywhere以及DataViz公司发布的RoadSync。不过,需要注意的是,他们并不负责提供全面的安全保护功能,而是提供某种形式的有限加密( iAnywhere )或远程设备数据清除功能(RoadSync)。
不管怎么样,对于企业网络来说,都需要一个经过详细分析的安全解决方案,以消除使用不安全的移动设备带来的风险。
缺乏移动设备使用策略
尽管对于现代企业来说,制定计算机的使用策略已经是司空见惯的事情了,但是对于移动设备的使用来说,情况就变得迥然不同了。因为移动设备需要首先制定相应的使用策略,并随之进行安全管理。这不是一件简简单单的事情,因为这些控制措施必须涵盖公司的所有位置,才能实现有效的保护。此外,还需要制定灾难恢复策略,并且让大家都了解到,这样才能保证实际效果。
最后,还有一件应该做的事情就是对所有的工作人员进行培训,让大家了解将机密信息下载到公司或者自己的手机上在安全和法律方面将会遇到的风险。一个更严格的办法是禁止员工在公司的商业活动中使用自己的手机,尽管这种措施的效力值得怀疑,除非公司提供了相应的设备。
总而言之,企业网络的扩大已经远远超过了防火墙控制的边界。首席信息官和管理者需要思考,对于日益扩大的企业网络,应该采取什么样的措施来保证安全。并且,为了防止出现问题,他们需要尽快地解决这个潜在的漏洞。
