| (1)移动设备磁盘和数据加密 显而易见依靠用户来判断信息的敏感和重要程度,然后再自动自觉采取适当的安全保护方法是有漏洞的,只要有部分用户的工作做得不到位,整个公司的数据加密努力便会白废。此外,Outlook和网络浏览器等一类流行软件会把附件分散到磁盘的各个角落,通常是很不起眼的地方。因此,就算是最严谨细心的用户也难免会有百密一疏的时候。有鉴于此,公司制定强制性的对移动设备上的资料进行加密是较可行的方法,例如采用硬件或软件方式自动加密磁盘和数据,并涵盖整个移动设备的磁盘,这样移动设备用户就可以放心使用。 (2)建立移动设备许可认证:防止数据泄露 单是对移动设备的磁盘加密还不能解决移动设备的安全问题,用户还需要管理及控制各种具有数据存取功能的周边设备,如智能手机、U盘、各种便携式存储媒介如MP3播放器和数码相机等。当然,这些仅仅靠口头上的政策是不够的,还需要通过端口控制方案来支持并强制执行,端口控制解决方案可以自动拒绝不合乎安全政策的USB设备,或者阻止传输某些文件或某些类型的文件。例如,安全政策可以允许授权用户使用已经加密了的移动设备,但没有经过加密许可的PDA或智能手机则不可以,一旦数据在一个授权的移动设备上被加密,就只能被有权限的人通过合法途径来访问。 三.层出不穷的移动病毒攻击 技术是一把双刃剑。当手机、PDA等移动设备成为新型计算平台后,越来越多的用户开始依赖它们处理个人事务与商业交易时,安全隐患也随之出现。据预测,新的移动终端造成的安全损害远比PC高,以智能手机为目标的新一代移动病毒能够威胁和感染市场上正流行的多种智能手机,而这些手机大多都没有安装移动安全防护。 更令CIO担忧的是许多病毒现正向移动设备发起攻击。去年,反病毒厂商发现了200多种手机病毒。间谍软件、网络钓鱼软件、域名欺骗软件、恶意软件、零时差浏览器攻击、以及僵尸网络等攻击软件正在迅速蔓延。据调查显示,仅仅针对Windows智能手机设备,就已经发现了约30种恶意软件。 什么是移动设备病毒?就是和固定设备的病毒一样,移动病毒是侵袭移动设备的小型程序。主要是针对智能电话和无线PDA。它们攻击着移动设备和平台,例如近期的病毒攻击运行Symbian OS或者WIN CE/Windows Mobile的移动设备,我们可以肯定的是广泛使用的智能电话操作系统将会被越来越多的病毒攻击。 企业IT管理员能够对网关、服务器、台式电脑进行安全检测,但对手机却无能为力,智能手机是现在唯一没有纳入企业信息安全防护系统的计算设备。更令人担忧的是,新的安全威胁不仅仅来自手机,由于手机、PDA等移动设备出现在人们生活中的机率越来越高,它们在技术上彼此互联、相互交叉,形成了比单纯的电脑环境复杂得多的安全管理环境。移动病毒更看中移动无线网络的脆弱性,传播路径的多样化使大范围的传播更成为可能,例如木马隐藏在从无线网络下载的游戏中,或通过蓝牙传播。 四.制订数据安全策略刻不容缓 大多数人们在应用移动设备的时候都没有考虑可能会丢失的后果,也就没有特别考虑移动设备数据安全的问题。简单地说,人们还没有足够认真地评估移动设备可能受到的威胁和安全漏洞。更糟糕的是,企业的许多员工都不知道他们拥有什么信息,或者不知道这些信息的价值。 另一方面,也许有员工认为只要加密无线网络和笔记本电脑硬盘,然后就万事大吉了。但实际并非如此,为了与这些风险进行有成效的斗争,公司必须制订一个移动设备安全策略,以指导公司进行评估,制订与潜在商业影响相符的预算,并将移动设备安全解决方案在技术上、步骤上和组织结构上的作为头等大事来抓,从而降低风险。移动设备安全措施包括:确定策略,保护移动设备上的数据,对设备和用户进行认证,监控策略执行情况并撰写报告。 (1)对移动设备上的数据重要性进行评估,并评估数据外泄对公司业务的影响,确定移动设备风险管理的预算和措施。 (2)检查和落实移动设备的数据安全措施。为了预防移动设备丢失或被盗,应认真检查方案是否已经落实和执行,例如任何存储有重要数据的移动设备是否已按要求进行加密。 (3)定期审查和汇报也非常重要。最基本的一点,公司需要随时掌握各台移动设备是否遵守规定。同时,CIO不能只依靠用户来保护移动设备上的数据,而应该和不同的职能部门合作,定期审查和检讨移动设备安全风险策略。8 S- N- J- ?3 h, m4 [! B8 @2 ]
|
发表于 2012-1-6 09:09:36
