最近F-Secure公司的一份调查表明,只有三分之一的用户对智能手机有安全方面的应对。尽管如此,几乎所有的用户都将智能手机用于工作用途,尤其是同步电子邮件、通讯录和工作日程。这种危险的组合使在移动设备上无防护措施的企业数据处在丢失或被窃的高风险之下。 随着预算缩减和移动办公需求的上升,许多中型企业进退维谷:既无法继续忽略这种风险的存在,又难于应对企业专用的移动设备管理系统带来的种种问题和所需的较大投入。
那么小企业该如何在这方面实现投资的最大收益呢? 第1步:设立智能手机的个人识别号(PIN)或密码 访问控制是对移动设备最简单的保护措施。当前所有的移动操作系统都支持加电(power-……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
最近F-Secure公司的一份调查表明,只有三分之一的用户对智能手机有安全方面的应对。尽管如此,几乎所有的用户都将智能手机用于工作用途,尤其是同步电子邮件、通讯录和工作日程。这种危险的组合使在移动设备上无防护措施的企业数据处在丢失或被窃的高风险之下。
随着预算缩减和移动办公需求的上升,许多中型企业进退维谷:既无法继续忽略这种风险的存在,又难于应对企业专用的移动设备管理系统带来的种种问题和所需的较大投入。那么小企业该如何在这方面实现投资的最大收益呢?
第1步:设立智能手机的个人识别号(PIN)或密码
访问控制是对移动设备最简单的保护措施。当前所有的移动操作系统都支持加电(power-on)PIN/密码,但是很多用户从不使用它们。当然,在查收邮件前输入PIN码确实有点麻烦,尤其是一天要重复多次时,但是这样做可以在不过多影响工作的前提下防止对遗失或被窃手机的非法使用。
对于无法控制员工智能手机的企业,可以设立规范来要求加电PIN码或密码。为了达成最大的共识,可以为设置PIN码或密码创建简单易行的指导,同时提供合理的解释来引导员工,比如每年在出租车上丢失的手机数量,以及由此导致的对工作生活的负面影响。
依赖个人对设备进行设置是危险的,必须有相应 机制使管理员能够设置智能手机的PIN码和密码。比如向员工发放预先设置好的手机,或者让员工上交手机以设置对诸如电子邮件等企业应用的访问模式。这种方式对大企业来说不实用,但是对小型企业是很有效的。如果可能的话,还要对未配置的设备进行访问阻止,比如基于设备ID号对Exchange ActiveSync服务的访问进行限制。
第2步:对丢失的智能手机进行系统重置或者数据擦除
对于遗失的智能手机来说,加电PIN码和密码是阻止非法访问的第一道防线,但是无法真正阻止蓄意的入侵。比如iPhone的PIN码就很容易被猜测出来,因为其通常是类似“0000”的简单形式。
根据智能手机的具体类型以及其与网络交互的接口方式,第二种安全防护的简单方法是:在遗失手机上触发系统重置或数据擦除的动作,由此将设备置于高技术的防护之下。
在某些设备上,数据擦除动作能够以异步方式在两种情况下被触发:认证失败(类似棒球中的“三振出局”规则)或者长时间的待机状态。比如在配置一个员工的黑莓手机时,如果要想在手机遗失或者持续一段时间未使用的情况下自动删除其上所有数据,可以设置“电力不足时擦除数据”和“锁死后擦除数据”的功能。
在某些情况下还可以在设备遗失之后用服务器同步的方法来远程触发数据擦除功能,比如黑莓的“远程擦除并重置为出厂模式”功能和微软的“Exchange 2003/2007远程擦除”功能。
除了上述方法,还可以通过服务形式来追踪遗失的移动设备并进行数据擦除。比如Absolute Software公司提供的Computrace Mobile服务(相当于该公司颇受欢迎的LoJack服务的智能手机版,LoJack用来对失窃笔记本电脑进行擦除和重置),对每个设备收取13.95美元/年的费用,能够追踪黑莓(v4.2.1+)和Windows Mobile 5/6智能手机,用户可以登录该服务专有的Web门户来向失去掌控的设备发送数据删除命令。
第3步:对智能手机数据进行加密
虽然数据擦除可以达成阻止敏感数据外泄的目的,但是这毕竟是一种最后才不得已而为之的破坏性方法,你未必会想永久地删除用户数据,也可能对远程擦除所需的同步过程感到厌烦。
现在就轮到数据加密发挥作用了。操作系统自带的工具(比如BitLocker)和开源工具(TrueCrypt)对于中型企业来说是很合适的。但是这些针对笔记本电脑的加密工具不能用于智能手机,后者所具有的数据加密功能千差万别,依赖于具体操作系统类型和版本,要么相当完美,要么就完全没有。
黑莓的“内容保护(content protection)”功能可以对用户数据加密,包括日历条目、地址簿、备忘录、工作日程和电子邮件。对于Windows Mobile 6.1手机,可以通过Active Directory组策略来对文件/文件夹加密。如果员工使用的是上述二者之一,那么企业数据的加密是相当容易实现的,否则的话可以考虑由服务提供商来完成 – 比如有许多针对小企业量身定制的黑莓托管服务。
最后,即便员工的智能手机上没有操作系统自带的加密功能,仍然可以通过其他途径来实现数据加密。比如,可以鼓励员工购买并安装单独的PDA加密产品,包括AirScanner Mobile Encrypter或者Softwinter Sentry 2020 for WM。如果为员工购买智能手机的话,需要确认无线运营商是否提供移动安全方面的服务。你可能会发现企业级的移动设备管理(MDM)不是完全没有可能的,因为业界已经在这方面做了大量的工作。
单靠这三种方法无法解决所有移动设备面临的安全问题,但是如果想在可承受的范围内来降低智能手机的安全风险,它们都是基本的实用策略。
作者
Lisa Phifer owns Core Competence Inc., a consultancy specializing in safe business use of emerging Internet technologies.
相关推荐
-
Apperian首席执行官:移动应用的普及取决于易用性
Apperian首席执行官Brian Day表示,在部署移动应用时,用户体验和安全性同等重要。同时,Day认为MDM(移动设备管理)并未过时。
-
云端安全软件推动IT创新
把安全性看作为一个企业的资产,而不仅是一项支出,这一想法显然更加合理。数据泄露可以给企业带来严重的损失。尽管如此,考虑到企业级安全工具的成本和复杂性,这一建议对于预算紧张,且员工的IT专业知识有限的小型企业而言,似乎不怎么现实。
-
BYOD的安全问题:概念与现实
Matt Kosht是位于密歇根州SEMCO 能源公司的IT经理,在接下来的访谈中,他将介绍人们对BYOD安全问题的看法和实际情况,同时也将谈到数据保护在BYOD政策中的重要作用。
-
案例:社交整合业务促使企业发展(二)
之前介绍了语言培训机构Rosetta Stone的社交整合尝试。接下来我们看看在线音乐服务提供商Pandora的做法。