随着企业CIO需要不断解决法规要求以及笔记本电脑和其他移动设备的丢失和被窃的后果，移动数据保护是件重要的事情。CIO需要有一些解决方案，可以保护他们的移动设备和数据不受内部和外部的威胁。

　　在这次采访中， Principle Logic LLC的Kevin Beaver谈到了移动数据保护的各种选择，包括数据加密、端点威胁检测和保护以及网络访问控制。

　　Kevin Beaver是一位信息安全咨询专家，他见证了这个行业中20年的发展。在信息安全方面他著有七本著作，包括《傻瓜式移动企业保护（Securing the Mobile Enterprise for Dummies）》和《傻瓜式笔记本保护（Laptop Encryption for Dummies）》。他还是车轮上的安全的电台节目和博客的创作者。

点击下载采访原声：

企业CIO如何选择移动数据保护

　　对于那些丢失了笔记本电脑或者其他移动设备的员工来说，公司应该设置哪些类型的内部策略或会导致什么后果？

　　Beaver：移动设备和数据保护的整个领域变得越来越有趣了。我们在过去几年中不断谈到这个问题，而且最终也产生了一些效果。实际上，我为客户做内部安全评估所花费的时间正在从传统的网络设备，比如操作系统和数据库转移到每个拥有笔记本电脑和智能手机的企业中的巨大漏洞。

　　当说到移动策略和约束力的时候，我可以很诚实很坚定地说，讨论的很少，行动更少。我的意思是移动安全的策略和程序上有很多漏洞。在国外也是如此，包括财富500强的公司、非盈利机构、政府部门和服务器信息块中都是如此。我在很多地方都看到过。很多企业都有涵盖了谁拥有这些设备、可接受使用和谁应该支持等的移动设备策略。但是很少看到涵盖了安全或者实际的被窃和丢失措施的策略。

　　实际上，有些策略需要在事故响应计划中，列出当事故发生时采取的实际步骤和程序。我不是只谈到技术方面的事情，而且也会提到泄露通知方面的问题——也就是和法律顾问、客户服务和按照程序需要在信息被攻击或者怀疑被攻击的时候负责通知工作的人一起工作。

　　在美国，目前有46个州都有这方面的发布，尽管我看到很多企业都没有提前准备，在事故发生前就有合适的措施。有趣的是，很多业务都没有事故响应计划。只要有认可和事故的发生，我都没有看到或者听到企业在替补自己的设备之外又让他们的员工为窃取和丢失负责的。所以再说一次，虽然有提到，但是还没有本质的东西出现。

　　那么企业应该使用哪些功能来执行移动数据保护策略呢？

　　Beaver：我用我不久前作的一次安全评估中的遇到的事情来回答这个问题吧，它总结了我在移动安全方面的经验：

　　我查看了新员工入职培训材料中的内部文件。有一个小测试问题是这样的“当你走开的时候怎么保护你的笔记本电脑呢？”，其中可以选择的“正确”的答案是“按下Control-Alt-Delete键，选择‘锁定工作站’”。这是很多人的对移动安全的固定思维模式，甚至技术人员也是这样。假设按下Control-Alt-Delete锁定屏幕，就可以保护笔记本电脑，那简直就是疯了。

　　我认为对风险的普遍感知还不够。我听到大家在说“我们要求用户登录到Windows，这样我们的笔记本就会受到保护了”以及“我们的智能手机上没有敏感数据，所以我们也没有在上面采取安全控制”，这对我来说太震惊了。我看到一些企业在笔记本上使用开机密码，但是都很容易破解。我已经看到企业企业的加密文件和设置文件夹，但是仍然不能保护所有的敏感信息，例如磁盘上加密范围外的文件和密码。

　　当我进行这些评估的时候，我做的一件事情是查看一台样本笔记本的安全状态，然后看看能够得到什么，通常只需要几分钟就能使用全面的管理权限攻入笔记本电脑——你不会相信我所发现的东西的。这是每个可以连接到笔记本的人都可以得到的，而且不需要任何狂人的黑客技巧就可以做到。

　　假设大部分的公司都对员工笔记本上丢失的数据很关心。但是其它移动设备呢，比如BlackBerry？从这些设备上被窃和丢失的数据也在上升吗？

　　Beaver：恩，在评估的时候我做的另一件事情就是查看任意的智能手机和BlackBerry以及类似的设备，查看我能找到什么，怎么进入。对于笔记本电脑来说，通常需要一两分钟就可以进入浏览——甚至可以和这种设备进行数据同步，获取到没有保护的电子邮件、Word文档，电子表格等等。

　　对我，以及很多人，特别是经理来说以像鸵鸟一样把头埋在沙子里一样的态度对待笔记本电脑的安全非常可笑，他们在提到智能手机或者Blackberry的时候会把自己深深地埋进去。实际上，最近有人告诉我，著名企业中的C级别的经理没有在他们的设备上设置控制，因为用户不喜欢他们呢。没有开机密码、没有加密、没有杀毒软件、没有远程删除、什么也没有。当然，也是因为他们的智能手机上没有什么有价值的东西。这是我看到企业中的移动安全的现实，而这种状况很不好。我不是在抱怨——正是这些事情让我很忙，给我工作。但是这是很大的问题。

　　我认为被窃和丢失的数量在上升，最可能的是越来越多的人在使用这些设备。我记得去年看到一项调查，在伦敦和纽约每六个月有超过一万两千的手持设备被遗忘在出租车的后座上。需要记住的一件事是人们不是总会只为了找到移动设备中的敏感数据尔窃取和访问这些设备的。只是因为移动设备丢失或者被窃或者其他，那不表示会发生数据泄露。但是实际上，你不是总是了解你没有合适的控制。

　　保护笔记本上数据的选择和保护其他移动设备，例如智能手机上的方法有差别吗？

　　Beaver：是的，一样。智能手机、BlackBerry等类似设备没有多少选择。但是有些专业的厂商都很不错，中央控制产品可以帮助进项加密、远程删除、杀毒、备份等事情。

　　我看到的下降的趋势是它仍然是需要自己管理另一种软件，所以还没有可以购买到的软件可以配置来管理你的笔记本电脑，你的智能手机、你的BlackBerry和其他设备。我认为这对推迟采用这些类型的控制起了作用。但是另一种障碍是，其他的系统也要每天进行管理，才能不产生延迟。

　　最后，你认为目前的移动数据保护的最佳选择是什么？数据加密、端点威胁检测、网络访问控制，还是其他？

　　Beaver：每个企业在保护移动系统的时候都有不同的风险和不同的考虑。这就是说，有些常见的严重影响公司每个人的缺陷——其他最大的是敏感数据泄露。而这是执行良好、管理良好的的加密控制可以解决的。还有备份解决方案，它很重要，因为我看到的大部分的笔记本电脑和很多智能手机都没有恰当地备份。还有远程跟踪、远程删除、杀毒保护等等。

　　再说一次，这都取决于企业的需求是什么，预算有多少，有什么样的文化，以及管理层通常认为的重点在哪里。问题是，使用现在大部分的设备，实际上有些内置的控制都被忽略了——比如智能手机的开机密码和Windows笔记本上内置的加密软件。这是你可以使用明摆着的控制，在你在每个移动设备上采用了这些控制之前，你会把你的业务暴露给我见到过的最大风险。互联网上不只有不安全的Web应用，不只有脆弱的数据库，也不只有不安全的无线网络，甚至不只是没有打补丁的服务器。