DoSECU 安全分析 5月25日消息:iPhone,黑莓和其他手持工具等高级移动设备都为企业,个人通讯和娱乐营造了更加便捷的无限移动环境。然而这些移动设备普及率的上升也在导致移动安全风险从深度和广度上的快速蔓延。使用移动设备来访问企业信息系统如果没有得到正确的保护和利用,就会带来企业安全漏洞的隐患。从来自CSI的最新报告来看,由移动设备导致的企业知识产权和用户信息的丢失或者被盗事件几乎占到所有来源的一半之多。数据泄露在各种规模的企业中都真实的存在着,从大型跨国集团到中小型企业都在遭受数据泄露的困扰,包括设备丢失,被盗,滥用,数据泄露以及对企业网络未经授权的使用等。
企业在享受生产力,效率和灵活性带来的诸多优势的同时,企业目前所应用的许多安全措施都存在滞后和风险隐患。很多企业即没有完全意识到企业所面临的安全风险,又将对待这些风险的责任简单的看做是IT部门自己的任务。同样,这些风险还经常让IT管理者要考虑大量的技术或者软件工具,诸如防火墙,反病毒软件,文件加密等等。意料之中的是这些措施经常是不足或者无效的。仅仅关注技术本身是不可能解决企业在员工行为监管上的弱势以及在协议和管理流程上存在的差距的。
移动技术和应用软件的快速发展逐渐改变了企业经营的方式和他们的风险管理环境。要想有效的将企业安全风险降低到最小化,需要企业在安全战略,协议制定,员工培训和修改IT基础架构等多方面共同的努力。以下是如何实现对移动安全有效监管的5个步骤:
了解你的移动环境的风险
使用移动设备来实现随时随地的办公对于许多企业来说都有非常大的好处。但是事实是企业同时也要面对各种难以预测的风险。这些风险就是技术,企业和员工本身存在的弱点被暴露而导致的。每年都有数百万移动设备丢失和被盗,或者在设备内存中仍然保留有私人信息的设备被丢弃。包含私人验证和网络访问权限等内容的移动设备的丢失无疑会为未经授权的攻击者使用企业网络大开方便之门。移动数据会暴露企业机密信息和私人记录,将企业置于法律和法规遵从的高风险之中。
为了研究出有效的移动安全战略,首先要了解企业的移动安全风险意识。要问的基本问题如下:
需要保护的企业移动数据资产是什么?
可以被使用移动设备的员工访问的企业数据系统是什么,如何访问,在何处可以访问?
移动设备应该如何被使用,保护和管理?
员工了解对事故做出反应的步骤吗?
为了全面判断企业对移动安全的态度,需要一个针对企业特殊业务环境的综合性安全评估。
制定有效的移动安全方针
缺乏有效的移动安全方针是许多安全措施失效的根本原因。方针必须是以风险为基础的,涵盖移动设备的所有已知风险,适用范围必须包括长期员工和临时雇员。
方针研发的流程应该判断那种应用软件可以提供给那类移动设备用户使用,那种类型的设备可以访问企业网络。代表性的移动应用软件可能包括电子邮件,销售人员自动化,现场服务应用软件,派遣,外部客户关系管理系统等等。这些应用软件如果得到了安全的配置和管理,可以有助于提高生产力和销售额。
有效的安全方针必须清晰的将法规遵从需求转化为企业的风险管理流程和步骤来保护数据不受损失或威胁。还必须清楚的阐明用户对设备配置,使用,数据备份和保护方面的职责。存储在移动设备上的信息应该仅限于在移动过程所所需的那些信息。
除此之外,安全方针必须通过实时的IT监管和软件工具来保证执行。企业应该定期对安全方针进行审核,将任何随着企业环境改变而关系到得最新安全风险都考虑进去。
确保员工的安全意识和职责
员工是影响移动安全的巨大因素,可谓让人欢喜让人忧。在CSO最新的调研中,有28%的移动用户使用他们的移动设备来访问互联网,有86%的受访者承认没有注意过移动安全。粗心或者对安全无意识的用户很容易将企业的机密信息置于风险之中。
移动员工缺乏必要的培训和安全意识是导致许多用户错误和事故的主要原因。缺乏培训的员工甚至不知道安全保护的措施。在某些情况下,移动用户可能为了完成工作,会简单的绕过那些设置好的安全措施。
员工培训和安全意识应该成为有价值的企业文化。经过良好培训的员工能帮助企业将移动安全风险降低到最小化。所有的安全方针应该得到企业领导者,最终用户和整个支持团队的认可和遵循。
企业要实现有效的安全监管,就应该把员工放在驾驶员的位置上,这样他们就成为任何风险缓解战略中最关键的安全防范参与者,
建立基础安全配置
随着移动技术在企业中的应用逐渐增多,越来越多的关键业务和敏感私人信息是通过共享无线网络被收集,处理和传递的。移动设备必须被配置了足够的保护措施来保护设备和数据不受未经授权的使用,数据泄露和恶意攻击等。
在移动设备配置的计划阶段,所有的设备都应该考虑满足符合企业安全方针的基本需求。基本的安全配置应该包括:
开机时的密码保护
文件或者目录加密
用于电子邮件和内部网络访问的VPN
基于服务的防火墙
AV软件
最新的安全补丁
对所有的设备都执行基本的安全配置有助于企业建立保护每个设备的底线。同互联网所面对的设备多样化,基于服务的资源,无线界面等类似,WiFi,蓝牙,RFID,无线打印机和应用软件功能都应该被最小化,以此来减少无线攻击的可能性。
建立移动意识IT基础架构
企业应该配置适当的IT工具来管理企业系统(比如服务器,网络和存储)。随着高级移动设备越来越多的使用企业应用软件,他们的角色也从电子邮件访问快速的转化为以企业为导向的后端数据库系统处理(比如ERP,CRM和SFA)。同时业务不断增长的移动性能也将传统的IT分界线延长出了企业的范围。
企业必须执行强有力的验证及用户基于角色的数据访问和分配。强大的密码设置,包括用于特殊用户的双因数验证码(比如软件令牌网)。现有的网络隔离或者分区应该被修改为以数据为中心,并延伸到移动用户和设备。
为了避免增加集成的成本和随后在软件支持和升级方面面临的挑战,企业应该在设备配置的同时计划一个统一设备管理解决方案,最好直接与现有的网络,应用软件,服务器和设备等IT系统结合在一起。目前已有的一些高级解决方案能在统一的企业控制台上支持多种平台。IT管理者可以在设备使用,配置设置,软件升级和安全补丁等方面实现集中控制。特别是,远程密码重设,设备锁定和清除在很多情况下都是必要的特性。这种解决方案的配置一般不涉及用户或者涉及的很少,因此很容易就能和现有的目录结构结合在一起,并且对于使用多种设备和不同无线网络的大量用户都有着很好的可扩展性。
结论
移动设备使用率的上升为企业带来了难以置信的进步,它可以让企业随时随地都能开展业务。然后,移动设备的使用也伴随着安全风险的增加,这些安全风险会将移动设备的优势转化为令人不满的安全问题。采取正确的步骤和设置风险控制流程来防范这些安全风险还有很长的路要走。但是需要谨记的重要一点是它不会随着企业而终结。企业和员工都必须做出各自的努力来确保采取了最佳的措施来提高安全预防。如果企业中的每个人都承担起管理这项任务的职责,企业就会实现移动安全有效监管的目标。