你好,歡迎來(lái)到川北在線
微信
騰訊微博
新浪微博
從員工私人場(chǎng)景看移動(dòng)設(shè)備安全隱患
時(shí)間:2012-07-10 10:04   來(lái)源:四川在線   責(zé)任編輯:毛青青

  邁克菲 2011 年一份題為《移動(dòng)與安全:誘人商機(jī),巨大挑戰(zhàn)》(Mobility and Security: Dazzling Opportunities, Profound Challenges)的調(diào)查報(bào)告顯示,63% 訪問(wèn)企業(yè)網(wǎng)絡(luò)的移動(dòng)設(shè)備還用于個(gè)人活動(dòng)。32% 的受訪者表示,將與工作有關(guān)的通訊簿、報(bào)告、提案、合約、保密協(xié)議以及業(yè)務(wù)計(jì)劃存儲(chǔ)在其個(gè)人智能機(jī)中?紤]到這些信息資產(chǎn)對(duì)您的業(yè)務(wù)至關(guān)重要,您的員工在個(gè)人時(shí)間使用移動(dòng)設(shè)備的行為很顯然也是您的業(yè)務(wù)的一部分!

  如果員工的行為為企業(yè)招致攻擊、盜竊、法律責(zé)任、監(jiān)管罰款或企業(yè)間諜,則更是如此。雖然安全對(duì)于“IT 消費(fèi)化”已不是什么新鮮事物,但過(guò)去幾年的經(jīng)驗(yàn)已經(jīng)讓我們充分了解到了員工如何在個(gè)人和企業(yè)兩個(gè)世界“跨界”。我們深知,哪些行為模式會(huì)帶來(lái)最大威脅,企業(yè) IT 安全團(tuán)隊(duì)需要哪些管理能力來(lái)管理員工。如果這些團(tuán)隊(duì)缺乏能夠輕松控制設(shè)備和漏洞的移動(dòng)安全框架,移動(dòng)員工的行為和網(wǎng)絡(luò)犯罪分子的惡行會(huì)使移動(dòng)企業(yè)置身于潛在的巨大威脅中。

  下面列舉的 Gina、Ted 和 Doug 的私人生活是導(dǎo)致企業(yè)面臨潛在攻擊的突出行為模式。

  Gina 的私人生活:娛樂(lè)和游戲,危險(xiǎn)下載  Gina 大量下載各種來(lái)源的個(gè)人移動(dòng)應(yīng)用程序。她還養(yǎng)成了一個(gè)不良習(xí)慣:?jiǎn)螕羧魏瓮ㄟ^(guò)電子郵件和短信發(fā)送的鏈接。更糟的是,為避開有關(guān)不信任網(wǎng)站和異常應(yīng)用行為的安全警告,她禁用了機(jī)的安全功能(這一做法稱為“越獄”)。當(dāng)需要在同一設(shè)備上兼顧個(gè)人與工作應(yīng)用時(shí),這種不計(jì)后果的行為會(huì)使其公司陷于危險(xiǎn)境地。如果她的手機(jī)感染了惡意軟件,攻擊者就會(huì)竊取與業(yè)務(wù)會(huì)議有關(guān)的敏感信息,訪問(wèn)她的工作郵箱,或傳播設(shè)備上存儲(chǔ)的任何公司文檔。

  專門針對(duì)手機(jī)的威脅日益復(fù)雜,因此,Gina 的大意行為更加危險(xiǎn)。例如,最近發(fā)現(xiàn)的 Android/Stiniter.A 就是使用 root 漏洞攻擊來(lái)控制設(shè)備、下載更多的惡意軟件、發(fā)送欺詐短信以增加話費(fèi),并且發(fā)送潛在敏感信息給攻擊者。邁克菲實(shí)驗(yàn)室的一項(xiàng)研究表明,2011 年7 月至 12 月,這類 Android 威脅增長(zhǎng)了 600%。僅在 2012 年第一季度,Android威脅數(shù)量就接近 7000,邁克菲實(shí)驗(yàn)室數(shù)據(jù)庫(kù)統(tǒng)計(jì)的總數(shù)已超過(guò) 8000。

  Ted 的私人生活:將工作信息存儲(chǔ)在個(gè)人設(shè)備中  Ted 的個(gè)人平板電腦既用于工作,也用來(lái)娛樂(lè)。下班后,他會(huì)訪問(wèn)高流量、半合法的內(nèi)容網(wǎng)站,并下載盜版內(nèi)容。由于頻繁光顧這類網(wǎng)站,他和 Gina 一樣也面臨著類似的惡意軟件威脅。上班期間,Ted 使用同一部平板電腦通過(guò) Dropbox 服務(wù)訪問(wèn)公司合同和產(chǎn)品上市計(jì)劃。如果 Ted 使用筆記本電腦訪問(wèn)公司文檔,他的 IT 團(tuán)隊(duì)可以通過(guò)執(zhí)行禁止和預(yù)防危險(xiǎn)行為的安全策略來(lái)應(yīng)對(duì)公司信息資產(chǎn)外泄問(wèn)題。還可以實(shí)施強(qiáng)大的用戶身份驗(yàn)證和加密解決方案,以確保安全地訪問(wèn)和傳輸敏感資料。

  但是,當(dāng) Ted 通過(guò)平板電腦訪問(wèn)公司文檔時(shí),IT 團(tuán)隊(duì)就無(wú)法執(zhí)行這些安全措施,也無(wú)力阻止任何這樣不計(jì)后果的行為。他的“工作”文件存放在設(shè)備存儲(chǔ)器的個(gè)人空間-緊鄰他的周末Happy 照片、生日視頻和喜愛(ài)的音樂(lè)。如果他的平板電腦感染惡意軟件,或者他試圖通過(guò)惡意網(wǎng)絡(luò)連接訪問(wèn)或發(fā)送文檔,這些文檔很容易被盜。

  Doug 的私人生活:丟失和解鎖  Doug 的 IT 紀(jì)錄不佳-他出差時(shí)總是丟手機(jī)。如果他在行業(yè)展會(huì)上丟失手機(jī),設(shè)備以及其中存儲(chǔ)的公司數(shù)據(jù)可能會(huì)落入競(jìng)爭(zhēng)對(duì)手手中。而如果在其他地方丟失,員工、客戶或合作伙伴信息的泄露可能導(dǎo)致其公司違反諸多法規(guī)、隱私合同或者保密協(xié)議。就目前的技術(shù)而言,多數(shù)情況下,IT 團(tuán)隊(duì)還無(wú)法知道丟失設(shè)備中的內(nèi)容,也無(wú)法擦除其中的信息。

  根據(jù)邁克菲《移動(dòng)與安全:誘人商機(jī),巨大挑戰(zhàn)》報(bào)告,IT 經(jīng)理面臨的最大移動(dòng)安全問(wèn)題確實(shí)是丟失和被盜,這一點(diǎn)也不奇怪。調(diào)查還發(fā)現(xiàn),每年有 1/5 的設(shè)備丟失。更糟糕的是,在調(diào)查的所有用戶中,超過(guò)半數(shù)受訪者承認(rèn)沒(méi)有鎖定設(shè)備。簡(jiǎn)而言之,除了安全以外,這些因素也是 IT 和風(fēng)險(xiǎn)經(jīng)理的“合規(guī)噩夢(mèng)”。

  構(gòu)建移動(dòng)安全管理框架  企業(yè)可以實(shí)施諸多安全策略來(lái)告知和教育員工。除策略和教育外,企業(yè)還應(yīng)該部署可提供以下保護(hù)措施的移動(dòng)安全管理框架:

  惡意軟件防護(hù)。由于提供下載的位置很廣泛,因此阻止和刪除惡意應(yīng)用程序是保護(hù)移動(dòng)設(shè)備遠(yuǎn)離危險(xiǎn)下載的關(guān)鍵措施。

  數(shù)據(jù)保護(hù)。用戶及其 IT 團(tuán)隊(duì)?wèi)?yīng)當(dāng)了解應(yīng)用程序正在訪問(wèn)的數(shù)據(jù)、應(yīng)用程序使用數(shù)據(jù)的目的,以及應(yīng)用程序可能會(huì)把數(shù)據(jù)發(fā)送給企業(yè)以外的哪些人。必須部署合適的解決方案,才能確保企業(yè)有效監(jiān)控和限制此類活動(dòng)。基于策略的移動(dòng)安全能夠保護(hù)存儲(chǔ)的企業(yè)數(shù)據(jù),而雙因素身份驗(yàn)證和公鑰基礎(chǔ)設(shè)施可確保安全地訪問(wèn)、傳輸和存儲(chǔ)敏感信息。

  設(shè)備保護(hù)。鎖定和擦拭之類的功能可以減少?gòu)膩G失或被盜設(shè)備中采集到重要信息的風(fēng)險(xiǎn)。這樣就可以解決丟失的手機(jī)和平板電腦引起的安全與合規(guī)問(wèn)題。

  自動(dòng)化和簡(jiǎn)化。理想情況下,企業(yè)應(yīng)該讓用戶能夠?qū)崿F(xiàn)自助配置,并提供可供用戶輕松下載批準(zhǔn)和推薦應(yīng)用程序的企業(yè)應(yīng)用程序店。

  策略執(zhí)行。執(zhí)行適當(dāng)?shù)钠髽I(yè)安全策略,允許 IT 部門阻止未經(jīng)授權(quán)、未受保護(hù)和已修改的設(shè)備(如 Gina 的越獄智能手機(jī)),從而滿足審核和報(bào)告要求。

  移動(dòng)員工對(duì)工作和個(gè)人移動(dòng)生活的要求只會(huì)越來(lái)越高,而設(shè)備也依舊會(huì)存在眾多漏洞和大量被攻擊的風(fēng)險(xiǎn)。IT 安全專業(yè)人員需要借助移動(dòng)安全管理框架,從源頭控制實(shí)際和潛在的混亂局面。這類框架應(yīng)該完美地與現(xiàn)有的管理框架整合,支持企業(yè)最大限度地提高員工效率,同時(shí)盡可能地降低員工造成的風(fēng)險(xiǎn)。要避免陷入安全威脅困境,您的 IT 人員必須花費(fèi)更多時(shí)間來(lái)思考移動(dòng)企業(yè)需要實(shí)施哪些措施才能真正保護(hù)業(yè)務(wù)。

   投稿郵箱:chuanbeiol@163.com   詳情請(qǐng)?jiān)L問(wèn)川北在線:http://dstuf.com/

川北在線-川北全搜索版權(quán)與免責(zé)聲明
①凡注明"來(lái)源:XXX(非在線)"的作品,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé),本網(wǎng)不承擔(dān)此類稿件侵權(quán)行為的連帶責(zé)任。
②本站所載之信息僅為網(wǎng)民提供參考之用,不構(gòu)成任何投資建議,文章觀點(diǎn)不代表本站立場(chǎng),其真實(shí)性由作者或稿源方負(fù)責(zé),本站信息接受廣大網(wǎng)民的監(jiān)督、投訴、批評(píng)。
③本站轉(zhuǎn)載純粹出于為網(wǎng)民傳遞更多信息之目的,本站不原創(chuàng)、不存儲(chǔ)視頻,所有視頻均分享自其他視頻分享網(wǎng)站,如涉及到您的版權(quán)問(wèn)題,請(qǐng)與本網(wǎng)聯(lián)系,我站將及時(shí)進(jìn)行刪除處理。



圖庫(kù)
合作媒體
金寵物 綠植迷
法律顧問(wèn):ITLAW-莊毅雄律師