24周年

財稅實務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

企業(yè)信息化建設(shè)中七大觀點

來源: 比特網(wǎng) 編輯: 2011/07/25 16:04:51  字體:

  最近IDC研究發(fā)現(xiàn),移動終端設(shè)備已經(jīng)廣泛應(yīng)用在企業(yè)各業(yè)務(wù)層面,CIO的新挑戰(zhàn)是怎樣有效管理企業(yè)的移動設(shè)備上的數(shù)據(jù)安全。例如包括:如何管理復(fù)雜的移動設(shè)備的應(yīng)用環(huán)境?如何將這些移動設(shè)備與現(xiàn)有企業(yè)系統(tǒng)進行整合?如何管理這些移動設(shè)備的數(shù)據(jù)安全問題?簡單的說就是:如何管理移動設(shè)備和其使用之間的問題,由此涉及到的是系統(tǒng)安全、服務(wù)整合、互操作性和組織成本控制等一系列問題。

  一般來說,移動終端設(shè)備除了筆記本電腦外,包括掌上電腦、智能手機、USB設(shè)備和GPS設(shè)備等。因為其移動方便的特性,對數(shù)據(jù)的安全性提出了更高的要求。而事實上,我們常??吹降氖窃S多公司對其移動設(shè)備在安全和策略管理上的缺失。

  一.危機四伏的移動設(shè)備數(shù)據(jù)管理

  近來,人們對筆記本電腦、智能手機、便攜式多媒體等移動設(shè)備的使用大大增加,特別是那些被CEO、公司高管、銷售和顧問使用的移動設(shè)備,往往涉及銷售經(jīng)營數(shù)據(jù)和電子郵件等極為敏感的公司資料。最新的移動設(shè)備具有更大的儲存容量和更強的互聯(lián)網(wǎng)訪問功能,也使移動設(shè)備上的數(shù)據(jù)信息面臨更大的風(fēng)險。

  “我們丟了一臺筆記本電腦”這是CIO最不想聽到的一句話。除了設(shè)備成本損失之外,一般會造成重要數(shù)據(jù)的外泄,更嚴重的甚至?xí)斐晒窘?jīng)營的風(fēng)險,因為丟失一臺保存著敏感信息的筆記本電腦會毀掉一家蓬勃發(fā)展的企業(yè)。而事情上,筆記本電腦丟失或者被盜是很普遍的事情,而設(shè)備越小丟失的次數(shù)越多。據(jù)一份調(diào)查顯示,現(xiàn)在許多公司的用戶每個星期都會丟失或者損壞相當(dāng)多的移動設(shè)備,正是由于這個原因,移動設(shè)備丟失造成的數(shù)據(jù)風(fēng)險已經(jīng)足以讓CIO睡不著覺了。

  移動設(shè)備存儲量增大的后果是更多數(shù)據(jù)處于被盜、丟失或使用不當(dāng)?shù)娘L(fēng)險之下,CIO們?yōu)榇松罡袚?dān)憂,現(xiàn)在CIO必須找到一種新的管理方法來管理公司的移動設(shè)備。同樣讓CIO更擔(dān)心的是,多數(shù)移動設(shè)備用戶沒有在非安全的環(huán)境中采取適當(dāng)?shù)陌踩胧@?,?jù)媒體報道發(fā)生的一次令人擔(dān)憂的事件:一臺從淘寶網(wǎng)拍賣購得的筆記本電腦被發(fā)現(xiàn)存儲著許多重要的商業(yè)機密資料,以及200多封公司內(nèi)部機密郵件。出售這臺筆記本的人想當(dāng)然地認為,刪除數(shù)據(jù)后就可以了,結(jié)果卻出乎他的意料,拍賣得主在一次無意復(fù)原磁盤操作中把這些重要數(shù)據(jù)全都復(fù)原出來了。

  CIO需要清楚認識丟失或被盜的移動設(shè)備已經(jīng)不再只是物理設(shè)備的損失問題,而是數(shù)據(jù)外泄的問題。移動設(shè)備如果落入盜賊手中,上面的信息就會傷害到用戶。因此,減少移動設(shè)備數(shù)據(jù)外泄風(fēng)險的關(guān)鍵,是采取預(yù)防式的手段管理和保護敏感信息,以防止非法訪問或信息泄露。所以,防患于未然,對敏感數(shù)據(jù)進行有效管理是CIO必須面對的問題。

  二.安全解決方案:加密數(shù)據(jù)

  很多時候,當(dāng)一個移動設(shè)備丟失,其數(shù)據(jù)的價值遠遠超過了移動設(shè)備本身。在有關(guān)調(diào)查中顯示,所有提及移動設(shè)備管理的CIO都有一個共同的關(guān)注點安全。隨著移動設(shè)備應(yīng)用數(shù)量的增多,移動設(shè)備類型的多樣性也在攀升,企業(yè)管理及控制移動數(shù)據(jù)安全的能力卻捉襟見肘這不再是要不要保護數(shù)據(jù)的問題,而是如何保護數(shù)據(jù)的問題。因此,擺在CIO面前的難題是: 如何最有效地保護移動設(shè)備(筆記本電腦、PDA、智能電話或者可移動介質(zhì))上存儲的敏感信息。

  如今的靜態(tài)數(shù)據(jù)安全解決方案大多是基于比較老的加密技術(shù),而這些技術(shù)當(dāng)初根本不是針對移動設(shè)備的復(fù)雜環(huán)境設(shè)計的,于是其結(jié)果可能導(dǎo)致: IT部門里的現(xiàn)有流程復(fù)雜化,支持人員在日常的IT恢復(fù)、維修期間也會使到移動設(shè)備更容易暴露和外泄數(shù)據(jù),現(xiàn)有的移動設(shè)備管理流程根本無法滿足關(guān)鍵數(shù)據(jù)對安全的需求。

  對CIO而言,新的工作目標必須從對日益廣泛應(yīng)用的移動設(shè)備(筆記本電腦、手機、U盤及光盤甚至藍莓或PDA等)圍追堵截式的被動式安全保障,轉(zhuǎn)移到主動保證移動數(shù)據(jù)的安全上來。因此,CIO必須面對這個新現(xiàn)實,及時調(diào)整移動設(shè)備安全流程和技術(shù)策略,確定移動設(shè)備數(shù)據(jù)風(fēng)險等級和優(yōu)先分配資源。

  一般來說,保護移動設(shè)備數(shù)據(jù)安全需要雙管齊下:①對移動設(shè)備磁盤和數(shù)據(jù)加密,②對移動設(shè)備進行監(jiān)管和認證許可。例如周期性地生成新的加密密鎖,以及一定次數(shù)的登陸失敗后鎖定并清除數(shù)據(jù)等手段。

 ?。?)移動設(shè)備磁盤和數(shù)據(jù)加密

  顯而易見依靠用戶來判斷信息的敏感和重要程度,然后再自動自覺采取適當(dāng)?shù)陌踩Wo方法是有漏洞的,只要有部分用戶的工作做得不到位,整個公司的數(shù)據(jù)加密努力便會白廢。此外,Outlook和網(wǎng)絡(luò)瀏覽器等一類流行軟件會把附件分散到磁盤的各個角落,通常是很不起眼的地方。因此,就算是最嚴謹細心的用戶也難免會有百密一疏的時候。有鑒于此,公司制定強制性的對移動設(shè)備上的資料進行加密是較可行的方法,例如采用硬件或軟件方式自動加密磁盤和數(shù)據(jù),并涵蓋整個移動設(shè)備的磁盤,這樣移動設(shè)備用戶就可以放心使用。

 ?。?)建立移動設(shè)備許可認證:防止數(shù)據(jù)泄露

  單是對移動設(shè)備的磁盤加密還不能解決移動設(shè)備的安全問題,用戶還需要管理及控制各種具有數(shù)據(jù)存取功能的周邊設(shè)備,如智能手機、U盤、各種便攜式存儲媒介如MP3播放器和數(shù)碼相機等。當(dāng)然,這些僅僅靠口頭上的政策是不夠的,還需要通過端口控制方案來支持并強制執(zhí)行,端口控制解決方案可以自動拒絕不合乎安全政策的USB設(shè)備,或者阻止傳輸某些文件或某些類型的文件。例如,安全政策可以允許授權(quán)用戶使用已經(jīng)加密了的移動設(shè)備,但沒有經(jīng)過加密許可的PDA或智能手機則不可以,一旦數(shù)據(jù)在一個授權(quán)的移動設(shè)備上被加密,就只能被有權(quán)限的人通過合法途徑來訪問。

  三.層出不窮的移動病毒攻擊

  技術(shù)是一把雙刃劍。當(dāng)手機、PDA等移動設(shè)備成為新型計算平臺后,越來越多的用戶開始依賴它們處理個人事務(wù)與商業(yè)交易時,安全隱患也隨之出現(xiàn)。據(jù)預(yù)測,新的移動終端造成的安全損害遠比PC高,以智能手機為目標的新一代移動病毒能夠威脅和感染市場上正流行的多種智能手機,而這些手機大多都沒有安裝移動安全防護。

  更令CIO擔(dān)憂的是許多病毒現(xiàn)正向移動設(shè)備發(fā)起攻擊。去年,反病毒廠商發(fā)現(xiàn)了200多種手機病毒。間諜軟件、網(wǎng)絡(luò)釣魚軟件、域名欺騙軟件、惡意軟件、零時差瀏覽器攻擊、以及僵尸網(wǎng)絡(luò)等攻擊軟件正在迅速蔓延。據(jù)調(diào)查顯示,僅僅針對Windows智能手機設(shè)備,就已經(jīng)發(fā)現(xiàn)了約30種惡意軟件。

  什么是移動設(shè)備病毒?就是和固定設(shè)備的病毒一樣,移動病毒是侵襲移動設(shè)備的小型程序。主要是針對智能電話和無線PDA。它們攻擊著移動設(shè)備和平臺,例如近期的病毒攻擊運行Symbian OS或者WIN CE/Windows Mobile的移動設(shè)備,我們可以肯定的是廣泛使用的智能電話操作系統(tǒng)將會被越來越多的病毒攻擊。

  企業(yè)IT管理員能夠?qū)W(wǎng)關(guān)、服務(wù)器、臺式電腦進行安全檢測,但對手機卻無能為力,智能手機是現(xiàn)在唯一沒有納入企業(yè)信息安全防護系統(tǒng)的計算設(shè)備。更令人擔(dān)憂的是,新的安全威脅不僅僅來自手機,由于手機、PDA等移動設(shè)備出現(xiàn)在人們生活中的機率越來越高,它們在技術(shù)上彼此互聯(lián)、相互交叉,形成了比單純的電腦環(huán)境復(fù)雜得多的安全管理環(huán)境。移動病毒更看中移動無線網(wǎng)絡(luò)的脆弱性,傳播路徑的多樣化使大范圍的傳播更成為可能,例如木馬隱藏在從無線網(wǎng)絡(luò)下載的游戲中,或通過藍牙傳播。

  四.制訂數(shù)據(jù)安全策略刻不容緩

  大多數(shù)人們在應(yīng)用移動設(shè)備的時候都沒有考慮可能會丟失的后果,也就沒有特別考慮移動設(shè)備數(shù)據(jù)安全的問題。簡單地說,人們還沒有足夠認真地評估移動設(shè)備可能受到的威脅和安全漏洞。更糟糕的是,企業(yè)的許多員工都不知道他們擁有什么信息,或者不知道這些信息的價值。

  另一方面,也許有員工認為只要加密無線網(wǎng)絡(luò)和筆記本電腦硬盤,然后就萬事大吉了。但實際并非如此,為了與這些風(fēng)險進行有成效的斗爭,公司必須制訂一個移動設(shè)備安全策略,以指導(dǎo)公司進行評估,制訂與潛在商業(yè)影響相符的預(yù)算,并將移動設(shè)備安全解決方案在技術(shù)上、步驟上和組織結(jié)構(gòu)上的作為頭等大事來抓,從而降低風(fēng)險。移動設(shè)備安全措施包括:確定策略,保護移動設(shè)備上的數(shù)據(jù),對設(shè)備和用戶進行認證,監(jiān)控策略執(zhí)行情況并撰寫報告。

 ?。?)對移動設(shè)備上的數(shù)據(jù)重要性進行評估,并評估數(shù)據(jù)外泄對公司業(yè)務(wù)的影響,確定移動設(shè)備風(fēng)險管理的預(yù)算和措施。

  (2)檢查和落實移動設(shè)備的數(shù)據(jù)安全措施。為了預(yù)防移動設(shè)備丟失或被盜,應(yīng)認真檢查方案是否已經(jīng)落實和執(zhí)行,例如任何存儲有重要數(shù)據(jù)的移動設(shè)備是否已按要求進行加密。

 ?。?)定期審查和匯報也非常重要。最基本的一點,公司需要隨時掌握各臺移動設(shè)備是否遵守規(guī)定。同時,CIO不能只依靠用戶來保護移動設(shè)備上的數(shù)據(jù),而應(yīng)該和不同的職能部門合作,定期審查和檢討移動設(shè)備安全風(fēng)險策略。

我要糾錯】 責(zé)任編輯:cheery

實務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - galtzs.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號