温莎食品公司IT副总裁Stephan Henze不得不走到{zx1}IT发展趋势的前端。这也是他为什么要花大量的时间考虑保护和部署智能手机的企业内的使用。不久前,公司只有几十部智能手机,然而在很短的时间内,IT部门管理的智能手机就已经到达了100余部。Henze预测在不久的未来,智能手机的数量还会大幅增长。
Henze称,公司对移动通信的需求增长迅速,即使车间情况也不例外,一旦出了问题,维护工程师们会很快在他们手机上自动收到短信报警,但是保护智能手机的安全却是一件非常棘手的事。
如今,Henze无法确信自己能够继续强化仅对Windows Mobile系统手机的政策支持,因为非标准设备正在让他的安全努力变得越来越复杂。他已经清楚的意识到,对于一些人而言,智能手机只是流行时尚而已。
致力于解决智能手机所带来的安全挑战的IT和安全主管的人数正在增长,Henze也是他们中的一员。主要的疑虑提敏感数据的泄露风险,例如手机或移动存储卡丢失或被盗等情况。如果手机在出售或送修前没有xx手机机存储的数据,那么这些数据也会面临外泄的危险。
与VPN连接的设备也有将企业网络暴露在黑客和恶意软件入侵的威胁之中。与此同时,攻击手机的病毒也日趋增多,这些病毒可以通过短信或其它方式进行传播。对此,Strategy Analytics咨询公司分析师Philippe Winthrop称:“如果我拿到了你的手机,或者是把玩它,而你的手机里安装了VPN怎么办?这是一个目前我们还没有充分应对的巨大风险。”
更复杂的事情在于,使用者将智能手机作为自己的私有财产,而不认为它们应当受到IT部门的管理。Gartner公司分析师John Girard称:“他们根深蒂固的认为这是‘我自己的移动设备’。”使用者经常将他们的智能手机当作一台娱乐设备,而并不认为智能手机是需要保护的资产。
Girard指出,智能手机的多媒体功能也引发了其它的一些担忧。比如说,公司的规定明令禁止将公司的文件考到外部设备上,但是还没有哪条规定涉及到禁止使用智能手机在办公室里拍照或为会议录音。
Burton集团分析师Paul DeBeasi称,许多公司试图通过为雇员们购买标准手机的方式进行控制。但是即使如此,手机用户也是会设法进行规避。他称:“我看到有些雇员将公司配发的手机装在自己的左边口袋里,把自己购买的手机放在右边口袋里。”
实际上,据移动安全和管理工具厂商Good Technology对欧美300公司的研究显示,近80%的受调查公司称,在自己公司内,希望使用自购手机的雇员数量在过去6至12个月里呈增长趋势。20%的受调查公司称,由于非授权的设备导致数据出现破坏。
Winthrop称:“尽管存在着这么多的安全风险,但是有三分之二公司正在试图通过出台明文规定以及强化关于移动设备的IT和业务规定来应对这些风险。”
Girard认为,这些公司已经开始慢慢的意识到与手机有关的数据破坏危险。他称:“如果有客户打电话过来咨询关于手机方面的事情,他们一般都是让我提供关于如何减少他们对使用智能手机雇员所负责任的意见。这些公司很少询问如何采取措施提高安全性。我认为,今后对手机的担心将会提升至与对PC担心相同的一个水平。”
Winthrop称,无论公司是否为雇员统一购买智能手机还是允许他们使用智能手机,一旦出现数据泄露,那么公司同样还是要承担责任。
无论是通过第三方平台还是智能手机厂商自身,集中防护和管理智能手机的技术是存在的。许多分析师认为,在智能手机厂商中,黑莓手机制造商RIM以及微软都提供了一个{zj0}管理平台。
对于不同的手机以及对于那些支持从不同厂商那里购买手机的公司来说,我们提出了以下几点建设,其中包括从Credant技术、Good技术、Sybase、Trust 数据、Trend Micro和MobileIron等厂商那里购买管理软件。这些平台可以提供以下重要功能:
密码管理
·认证授权
·强大的加密功能
·闲置断开。当用户将手机闲置一段时间后,用户将会与应用断开,并重新提示输入密码进行重新连接。
·远程xx存储功能。如果手机遗失或被盗,或者用户输入的认证证书次数超过规定次数,该功能将启动。
集中控制
纽约Robinson Lerer & Montgomery公司首席信息官Jeff Saper通过对黑莓手机的标准化来解决所面临的安全挑战。Saper向所有的员工配发了标准化的黑莓手机。他使用了由黑莓企业服务器提供的450条无线IT规定和指令中的一部分。与此同时,公司还曾经使用过Good技术公司的平台以应对Palm和Treo设备,不过在Saper为保持事情的连续性决定使用单一平台后,Saper决定只允许使用黑莓手机。
安全措施包括手机闲置十分钟后自动断开连接,为防止因智能手机遗失或被盗而危及数据安全的远程遥控手机数据xx功能,或者是在密码未能正确输入十次后,手机内数据自动销毁功能。Saper称:“即使有人能够xx密码,数据仍然是安全的。”他指出,最重要的是,手机用户不能没有任何安全防范功能。
Saper称,在远程遥控xx数据方面,将数据备份至黑莓服务器上是非常重要的,因为这样能够恢复被xx的数据。由于服务器与Microsoft Exchange连接在一起,Saper还可以恢复历史信息。Girard称,这种备份可以明确显示手机上的存储的数据,在手机被盗后可以知道有哪些重要数据。
尽管其它的平台也具备有远程遥控xx功能,但是黑莓服务器还具有数据xx完成后的确认回执。在涉及智能手机数据遗失的案件中,这种功能将会让公司在法庭上占据上风。Girard称:“如果你无法提供数据已经xx的证据,那么这听起来可不妙啊!”
Girard认为,手机闲置自动断开功能的闲置时间设置对手机十分重要。他指出,对于高价值数据,闲置时间设置应当在一分钟至五分钟之间,中等价值数据的闲置时间最长不要超过10分钟,低价值数据的闲置时间最长不要超过15分钟。重新连接的话,雇员应当重新输入高强度密码进行重新验证。
Girard称:“说的比做的轻松。由于智能手机是移动设备,人们认为手机是让人们生活变得更轻松。他们拒绝输入7位或12位的密码。但是你不能仅仅设置4位数密码,因这种长度的密码太容易被别人偷窥到。”
此外,Girard称他还认识一些客户,这些客户允许他们的手机输入十次以上的密码。他指出:“这是一个非常危险的漏洞。即使你喝高了,你也能够通过反复重试密码进入手机。”
加州美国西部企业xx信用社(Wescorp)首席信息官Christopher Barber支持两种智能手机,一种是黑莓,另一种是苹果的iPhone 3G。iPhone被营销人员用来收发电子邮件和运行关系管理应用。为了保护iPhone的安全,Barber设置了一套标准安全配置文件,通过Microsoft Exchange服务器发送至所有的智能手机上,这其中包括他所希望的所有安全措施。
Barber通过RIM企业服务器保护黑莓手机。这些安全措施包括高强度的密码保护、加密和远程数据xx功能。
数据流出公司
Barber称:“对于智能手机,我们{zd0}的担忧是它被作为存储设备使用。手机用户可以通过USB下载公司的文件,并将这些文件带出公司。”目前Barber正在加大密码强度和提高加密手段,即使用户将数据敏感数据储存在移动设备上也不例外,如果手机遗失或被盗,这将会降低这些数据被非法访问的机率。
Girard称,进行集中加密非常关键。所有xx的厂商在他们的手机上都设置了加密功能。他称:“除非公司采取企业控制,否则这种功能可有可无。”
Barber指出,保护智能手机的安全是管理风险问题。他称,他近期在YouTube上看到有人使用xx程序突破了受密码保护和加密程序保护的iPhone手机。为此,他表示,iPhone手机的可拆卸的SIM卡是一个弱点。如果小偷取下了SIM卡,那么被盗的手机就无法收到远程发送的数据xx指令,因为这时手机已经无法与公司的网络进行连接。
为了抵消这种风险,Barber认为应当在完善规章制度和教育雇员方面双管齐下。
他称:“我们教育每一名雇员不要将敏感数据储存在iPhone上。” Barber希望未来加强数据损失保护技术,通过这种技术监视被粘贴在电子邮件附件上或发送至USB设备上的数据。他称:“我们总是在尽量堵塞各种漏洞,但是还是会有风险存在。”
在温莎食品公司,Henze已经开始通过MobileIron的虚拟智能手机平台集中管理路由。Henze之所以做出这一决定是因为他希望不仅仅从一个平台上得到安全防护,还能够从运营商合同和部署中得到安全防护。此外,虽然他已经标准化了Windows Mobile移动设备,但是他不希望自己被这一决定所禁锢。MobileIron目前支持黑莓和iPhone,它们还计划支持Symbian 和Android智能手机。
除了最基本的密码管理、自动失效和远程遥控数据xx外,Henze还增加了集中加密措施。平台能够备份智能手机上的应用和数据,为了能够快速解决出现的问题,该平台还能报告配置和存储应用。此外,它还能够列出手机上的存储的应用列表并让任何没有得到批准的应用失效。
Henze还注意到,与高级网络工程师相比,帮助台还可以更好管理智能手机。实际上,入口可以让使用者查检他们的手机使用情况,甚至可以执行远程数据xx和重新配置任务。他称:“从IT的角度上讲, MobileIron应用可以让工作更为轻松。”
对于Henze来说,智能手机的安全工作才刚刚开始。比如,他正在考虑在智能手机管理平台上整合数据权限管理。
“比如说,我们中的一个同事有一台储存有机密信息的智能手机,现在这位同事离职了。通过数据权限管理,手机将与服务器相连检查这同事是否还是合法用户,如果他不是,那么他将无法再读出存储的任何文件。这种功能比远程xx要好很多。因为如果文件被存储在一张可以拆卸的卡上,那么将没有办法删除它们。”
对于部分用户来说,他们担心公司对他们的手机进行IT监控。Henze称,通过配发新手机,IT部门可以提供更好的服务已经让这种担心被冲淡。他表示:“在购买手机后,IT部门可以立即进行配置,而无需花上三到四天时间。当有问题发生,他们可以立即采取应对措施,到时他们将会感谢当初的决定。”
{zh1},需要指出的是,由于越来越多的智能手机开始进入到企业当中,无论这些手机是企业配发还是个人购买,没有任何一种单一的措施可以确保安全。Winthrop表示,可以肯定的是,你无法给予雇员自由使用的权力。让个人对他们自己的设备负责对于IT部门来说很普遍,甚至是鼓励这种想法。不过,Winthrop在{zh1}也指出,如果数据被泄露,那么雇主也难以免除责任。
Winthrop称:“这里有一个很棘手的问题。许多雇员并不会花时间考虑他们应当使用什么样的智能手机。相反,他们会反问‘为什么不让我们使用黑莓手机?’;‘为什么我就不能买一台我自己的iPhone?’或是‘我想知道我是否能够买一台Pre手机?’”他表示,即使公司满足了每个人的要求,公司也需要考虑到对这些智能手机以及手机中存储信息进行管理的需求。
Winthrop指出,实际上,智能手机不应当被视为手机,它们应当被视为带有手机功能的电脑。
Henze表示,如今世界已经发生了天翻地覆的变化。他称:“过去,有互联网、专用网和公司内部网络。它们之间有着明显的区别。但是现在功能强大的小型移动设备可以将数据带来任何人类可以到达的地方。数据无处不在,要想控制这些数据已经变得越来越困难了。”
智能手机的xx安全风险
以下是Gartner公司分析师John Girard总结归纳的目前智能手机普遍存在的xx安全风险以及应对措施:
1.没有制订管理计划
应对措施:管理智能手机的责任应当交给那些负责管理PC的雇员身上。
2.没有开机密码,密码强度不够
应对措施:许多厂商的手机管理平台允许设置复杂的密码,以及密码重置提示问题和答案。
3.没有闲置断开或自动上锁功能
应对措施:闲置断开规定应当通过设备管理平台进行强化,这样公司就能够进行一个近实时控制。
4.没有自动xx或数据xx计划
应对措施:应当使用两种方式:远程遥控指令和本地初始化xx。当密码在规定的次数内没有被正确输入后,或者是当设备断开网络一定时间后,后者将会自动启动。
5. 没有内存加密
应对措施:许多公司的智能手机操作系统都提供了功能强大的密码设置。
6.对于备份和同步没有总体计划
应对措施:使用安全的,远程遥控备份和存储工具,这些工具可以定期进行后台同步。
7. 没有电子邮件软件检查
应对措施:在公司电子邮件系统的服务器端设置转发电子邮件和附件检查,通过商业数据防损过滤软件进行进一步过滤。
8. 没有应用验证规定
应对措施:使用私钥限制应用的安装或执行。
9.没有默认的浏览器许可规定
应对措施:选择符合公司规定的默认浏览器设置,防止智能手机为恶意代码提供进入点。
10.没有应对智能手机差异的方案
应对措施:制订规定明确对不同智能手机的支持等级。
对本文中的事件或人物打分