随着企业开始使用使用移动云服务,它的安全问题也越来越受关注,本文Quocirca移动云安全服务分析师Bob Tarzey解释了保证移动客户安全和实施集中移动云安全策略的重要性。
英国企业是否正在用数据存储和处理的移动云服务?
Bob Tarzey:我可以很公正的说,移动云服务最大的支持者是用户而不是那些出于私人目的而急于使用它的企业,虽然他们开始着手这件事。这些处在潮流前端的企业往往是那些提供客户服务的企业,比如零售商和其他电子商务企业。他们愈来愈多的使用智能手机和客户沟通。
英国移动服务公司必须要做的一件事是解决安全问题。今年,我们看到实施中的应用交付控制器,它就像应用程序前面的代理服务器,可以对流量进行处理,整形和加密。这方面还有很多地方需要投资。
移动云安全最主要的问题是什么?
Tarzey:存在3个主要安全威胁:恶意软件,保密性和访问认证。毫无疑问,黑客会使用恶意软件攻击移动设备。不过现在面临最大的一个挑战是移动平台过于多样化,特别是在系统层面他们需要找到入口。如果你想研究微软产品来攻击电脑,那你很可能成功,因为微软的操作系统占据着市场的绝大部分。但是要找到攻击移动云的位置是很难的。
黑客还可能会使用其他方式攻击。比如,短信服务可以在任何移动设备上使用,黑客会让人们对收到的短信信以为真。当然发送短信需要收费而发送邮件是免费的,不过,黑客们也在尝试。
企业如何应对恶意软件,保护移动云?
Tarzey:防止恶意软件攻击有两种方法。你需要保证你邮件上的安全策略是最新的。黑客们试图通过邮件让你点击该链接,不过这对移动设备更难,因为访问的因特网需要经过移动网络,比起在电脑上操作这要复杂得多,它强迫用户经过代理服务器,因此要确保设备应用了集中化策略和保护措施。
实际上,当我们向前进步,企业将不得不考虑应用主机型安全系统,就像电脑上的一样。
英国企业如何保护移动设备接入云的安全,确保依照数据保护法执行的数据保密?
Tarzey:在移动设备上实行集中化数据保护方案要比在电脑上困难的多。你需要有本地保护策略并且确保用户的移动设备有密码保护。如果在设备上有一些敏感数据,那就得考虑加密。这些设备极有可能丢失,你当然不希望数据泄露。除了加密,你还要确保你可以远程禁用和清除数据。
英国公司会采取什么措施来保护移动云?
Tarzey:有两种做法,一种是主机型(像在电脑上),还有一种是安全集中化,过滤内容是二者的关键,后者在智能手机上部署比在电脑上困难的多。运营商网络要提供这类保护得有大量资金投入。
随着员工要求使用自己的设备,其中一个问题是消费化。首席信息安全官看到这个现实,这里的好处是移动设备可以访问公司资源。但你需要有管理设备工具来管理很多设备的安全问题。同时,当员工离职,确保该访问权限被撤销。
移动设备管理市场快速增长。Sybase和其他做这类产品的企业都在为企业用户提供服务交付模式的工具。