您现在的位置是:首页 > IT基础架构 > 网络与安全 >

企业移动安全解决方案(三):制订数据安全策略刻不容缓

2012-03-03 00:43:00作者: 来源:

摘要  大多数人们在应用移动设备的时候都没有考虑可能会丢失的后果,也就没有特别考虑移动设备数据安全的问题。简单地说,人们还没有足够认真地评估移动设备可能受到的威胁和安全漏洞。更糟糕的是,企业的许多员工都不知道他们拥有什么信息,或者不知道这些信息的价值。 ...

众所周知,各种移动设备在提高企业的生产效率上发挥了积极的作用,但如果没有完善的安全控制体系和适当的管理,这些移动设备会暴露出企业的安全漏洞和极大的潜在弊端。

【制定移动设备安全策略有必要吗?】

Meta Group调查表示,由于移动设备的出现,越来越多的企业的数据在不断丢失,这引起了许多企业极度的恐慌,同时也引起了IT界广泛的关注。为企业的移动设备制定一个安全策略已到了刻不容缓的地步。

但让大多数IT企业举棋不定的是,是否有必要让雇员掌握移动设备的工作原理?一方面,雇员掌握了移动装备的原理,能大大提高生产率,对一个企业来说,它能从中获得很高的利益;同时,雇员也能从中得到极大的好处。但另一方面,企业又失去了对数据的控制力,使得它们在以后的变革过程中花费更高。由此所带来的问题是,如何让企业在不失去对数据控制的同时,又能从移动装备中获得最佳商业利益?

像laptops、掌上型电脑、智能电话以及USB储存器这样的移动设备容量在不断增大,价格却在不断下降。但由于系统的不完善和经常在网络周边操作,使得移动设备所储存的信息很自然地就会有丢失和被盗的可能。这时移动设备一旦被入侵,将变得不堪一击。这种情况时有发生,但企业又渴望提高它们的生产效率,同时也渴望在工作和生活之间找到一个平衡点,所以它们会在使用这种移动设备的过程中忽视其潜在的弊端。以至于上述情况一发生,企业将会因为失去对其数据的控制而付出更惨重的代价。

尽管企业因雇员随意使用移动设备而从生产率的提高获得高利益,但我们认为潜在的风险和这种不正规的使用手段在接下来所带来的花费会飞速增长。研究表明,只有不到10%的企业有正式的、综合的移动安全政策。所以企业必须就移动设备制定一个适合其发展的方案和保证其信息安全的政策,同时还必须提供一个政策所能够应允的流程,但前提条件是这个政策必须是在大家都认同的情况下制定的。

为了取得对移动安全的控制权,企业必须做到以下几点:

1. 发挥信息分类方案的杠杆作用,在它的基础上制定政策;

2. 拟定一个安全政策,指出其安全设备对不同级别信息的必要性;

3. 完善和控制安全管理设备的标准;

4. 对雇员进行风险和安全政策的培训;

5. 对不合格雇员制定一个雇员购买方案。

信息必须分类

安全控制必须是让设备适应信息化水平。企业制定政策的第一步是把信息按其特征分为多个档次,例如:公开的、保密的、受限制的、可支配的。安全控制的类型是以其设备所能控制的信息种类为基准的。在大多数企业中,信息分类还不够完善,移动设备还不能用来作为承担扩展分类计划的保障。与此同时,由于缺少系统的信息分类计划,企业决策者不得不尽最大的努力去做到使用户的安全控制与其他的商业风险指数相协调。信息虽说分类了,但如果没有一个好的安全政策,也不过是纸上谈兵。

制定安全政策

这个政策实施的下一步是调整不同的设备去适应不同种类的信息。例如:保密数据需要两个因素:即认证和加密。虽然,公开的数据不需要任何的密码保护系统,但移动安全政策的制定必须通过所有移动设备的认可,包括通过USB存储器、个人数据助理、智能电话、laptops以及kiosks。虽然企业利用信息分类能够为每一个信息级别提供一个总的控制平台,但不容忽视的是,不是所有的控制都是技术性的控制。同样,通过移动设备限制某种数据也是减少风险的一种可行之策。有了安全政策,但由谁来管理,也是一个关键问题。

建立管理设备

要建立一个管理设备,设备类型必须引进一个第三方的载体。一旦这个设备和信息类型的载体被确定,企业就必须评估这个移动设备的防御能力以及其固有的安全控制能力。例如:一种叫做“黑莓”(Blackberry)的移动设备被认为是非常安全的,主要是因为它所限定的容量在一定程度上要比它本身的容量小。与之相对应的是,一些PC设备有很强的防御能力,这说明它所能承受的入侵的能力就会很大。同样,PC设备能从个人防火墙和抗病毒软件中受益。

通常,用户在方便性和安全性上做选择时,更偏爱于方便性。甚至经常忽视最明显的,像密码一样的安全控制。所以政策的制定,最起码要保证这种设备所提供的密码认证措施能有效地预防这种情况发生。对于一些重要的保密数据,我们更应该加以第三方密码来认证和保护。就PC这种对安全性要求很高的设备来说,个人防火墙是必不可少的。

现如今,移动安全设备的安全普遍受到威胁,仅一个PDA就受到不少于十二种病毒的攻击。所以我们必须提高警惕,即使在高度信任的环境下,抗病毒设备也不容忽视。大多数情况下,定期的技术后援、同步检测以及缓和桌面型病毒发作是不可缺少的。

围绕“风险”展开培训

在雇员们看来,安全政策是提高生产率的障碍,除非他们能够真正理解安全的重要性。所以,培训计划应该围绕“风险”展开,制定安全政策的目的是为了减缓风险所带来的不良后果,以及告诉企业怎样对此加以适当的管理和控制。雇员的安全意识提高了,他们才能理解制定安全政策的原因以及在工作中更积极地关注安全性。对一个企业来说,做到没有安全控制也能100%抵抗外界的入侵,特别是社会操纵型的入侵,是一个非常棘手的问题。因此,培训计划应定期交流“冲击波”或其他难以抵抗的病毒入侵这两大问题,从而使这个培训计划不断扩展。

【怎样对移动设备实行管理?】

怎样把安全风险控制在一个最低范围内?对企业而言,这是一个最为头痛的问题。因此,把设备的数量控制在一个易管理的数据库中是非常重要的。同时,管理部门应最大限度地控制雇员拥有企业移动设备。虽说雇员拥有移动设备能提高生产率,使企业获得利益,但是与这样做所带来的风险相比较,这种利益简直微乎其微。

接下来要解决的问题是,企业怎样让雇员拥有设备的同时而又能缓和风险?可以认为,企业应该在一定程度上提供一些雇员所要求的工具和技术上的支持,从而促使雇员和管理政策相融合。为了应对这种特殊的形势,大部分企业都已经部署好了管理设备。

通常,风险是由于在没有一个核心组织、缺乏预算的情况下就去展开部署所造成的。雇员们通常一意孤行,他们抛弃企业的政策,用自己的那一套,结果导致严重的后果。一旦企业给那些目无组织的雇员们提供移动设备,必将会影响到项目预算。我们认为,雇员因为目无组织而造成严重后果,企业不应该姑息养奸,必须要他们为此做出相应的补偿。

通常情况下,企业的利益指除去更换设备的花费以及培训雇员的费用后剩下的。这里的通常情况指的是在安全标准下。在企业获得利益的同时,因为生产率的提高以及在安全模式下进行操作,雇员们也能相应受益。

就实行管理这个问题,IT企业必须创建一个适用不同信息种类、安全控制体系以及移动设备的母体,也就是说使这三者相融合,从而衍生出一个适当的管理标准。但这个管理标准必须是在政策允许的情况下制定。

商业影响

在信息化的今天,移动设备已经普遍存在。但同时带来的安全隐患也在等量增加,特别是对大多数企业来说,信息的丢失和被盗直接影响其发展和存活。因此呼吁所有的企业现在就开始对其移动设备制定一个安全策略。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们