最近IDC研究发现,移动终端设备已经广泛应用在企业各业务层面,CIO的新挑战是怎样有效管理企业的移动设备上的数据安全。例如包括:如何管理复杂的移动设备的应用环境?如何将这些移动设备与现有企业系统进行整合?如何管理这些移动设备的数据安全问题?简单的说就是:如何管理移动设备和其使用之间的问题,由此涉及到的是系统安全、服务整合、互操作性和组织成本控制等一系列问题。
一般来说,移动终端设备除了笔记本电脑外,包括掌上电脑、智能手机、USB设备和GPS设备等。因为其移动方便的特性,对数据的安全性提出了更高的要求。而事实上,我们常常看到的是许多公司对其移动设备在安全和策略管理上的缺失。
一.危机四伏的移动设备数据管理
近来,人们对笔记本电脑、智能手机、便携式多媒体等移动设备的使用大大增加,特别是那些被CEO、公司高管、销售和顾问使用的移动设备,往往涉及销售经营数据和电子邮件等极为敏感的公司资料。最新的移动设备具有更大的储存容量和更强的互联网访问功能,也使移动设备上的数据信息面临更大的风险。
“我们丢了一台笔记本电脑”这是CIO最不想听到的一句话。除了设备成本损失之外,一般会造成重要数据的外泄,更严重的甚至会造成公司经营的风险,因为丢失一台保存着敏感信息的笔记本电脑会毁掉一家蓬勃发展的企业。而事情上,笔记本电脑丢失或者被盗是很普遍的事情,而设备越小丢失的次数越多。据一份调查显示,现在许多公司的用户每个星期都会丢失或者损坏相当多的移动设备,正是由于这个原因,移动设备丢失造成的数据风险已经足以让CIO睡不着觉了。
移动设备存储量增大的后果是更多数据处于被盗、丢失或使用不当的风险之下,CIO们为此深感担忧,现在CIO必须找到一种新的管理方法来管理公司的移动设备。同样让CIO更担心的是,多数移动设备用户没有在非安全的环境中采取适当的安全措施。例如,据媒体报道发生的一次令人担忧的事件:一台从淘宝网拍卖购得的笔记本电脑被发现存储着许多重要的商业机密资料,以及200多封公司内部机密邮件。出售这台笔记本的人想当然地认为,删除数据后就可以了,结果却出乎他的意料,拍卖得主在一次无意复原磁盘操作中把这些重要数据全都复原出来了。
CIO需要清楚认识丢失或被盗的移动设备已经不再只是物理设备的损失问题,而是数据外泄的问题。移动设备如果落入盗贼手中,上面的信息就会伤害到用户。因此,减少移动设备数据外泄风险的关键,是采取预防式的手段管理和保护敏感信息,以防止非法访问或信息泄露。所以,防患于未然,对敏感数据进行有效管理是CIO必须面对的问题。
二.安全解决方案:加密数据
很多时候,当一个移动设备丢失,其数据的价值远远超过了移动设备本身。在有关调查中显示,所有提及移动设备管理的CIO都有一个共同的关注点——安全。随着移动设备应用数量的增多,移动设备类型的多样性也在攀升,企业管理及控制移动数据安全的能力却捉襟见肘——这不再是要不要保护数据的问题,而是如何保护数据的问题。因此,摆在CIO面前的难题是: 如何最有效地保护移动设备(笔记本电脑、PDA、智能电话或者可移动介质)上存储的敏感信息。
如今的静态数据安全解决方案大多是基于比较老的加密技术,而这些技术当初根本不是针对移动设备的复杂环境设计的,于是其结果可能导致: IT部门里的现有流程复杂化,支持人员在日常的IT恢复、维修期间也会使到移动设备更容易暴露和外泄数据,现有的移动设备管理流程根本无法满足关键数据对安全的需求。
对CIO而言,新的工作目标必须从对日益广泛应用的移动设备(笔记本电脑、手机、U盘及光盘甚至蓝莓或PDA等)围追堵截式的被动式安全保障,转移到主动保证移动数据的安全上来。因此,CIO必须面对这个新现实,及时调整移动设备安全流程和技术策略,确定移动设备数据风险等级和优先分配资源。
一般来说,保护移动设备数据安全需要双管齐下:①对移动设备磁盘和数据加密,②对移动设备进行监管和认证许可。例如周期性地生成新的加密密锁,以及一定次数的登陆失败后锁定并清除数据等手段。
(1)移动设备磁盘和数据加密
显而易见依靠用户来判断信息的敏感和重要程度,然后再自动自觉采取适当的安全保护方法是有漏洞的,只要有部分用户的工作做得不到位,整个公司的数据加密努力便会白废。此外,Outlook和网络浏览器等一类流行软件会把附件分散到磁盘的各个角落,通常是很不起眼的地方。因此,就算是最严谨细心的用户也难免会有百密一疏的时候。有鉴于此,公司制定强制性的对移动设备上的资料进行加密是较可行的方法,例如采用硬件或软件方式自动加密磁盘和数据,并涵盖整个移动设备的磁盘,这样移动设备用户就可以放心使用。
(2)建立移动设备许可认证:防止数据泄露
单是对移动设备的磁盘加密还不能解决移动设备的安全问题,用户还需要管理及控制各种具有数据存取功能的周边设备,如智能手机、U盘、各种便携式存储媒介如MP3播放器和数码相机等。当然,这些仅仅靠口头上的政策是不够的,还需要通过端口控制方案来支持并强制执行,端口控制解决方案可以自动拒绝不合乎安全政策的USB设备,或者阻止传输某些文件或某些类型的文件。例如,安全政策可以允许授权用户使用已经加密了的移动设备,但没有经过加密许可的PDA或智能手机则不可以,一旦数据在一个授权的移动设备上被加密,就只能被有权限的人通过合法途径来访问。
|
