|
|
转帖:虽然本文有广告软文嫌疑,但是讲得还是比较全面的
防范企业“艳照门” | |
|
|
|
|
频发的移动数据安全事件提醒企业IT部门加强移动终端的安全防护。 |
|
|
|
|
《信息周刊》网络版 |
|
|
| |
|
|
|
|
|
|
“艳照门事件”再次引发了对移动数据安全的关注。在此之前,英国皇家税务及海关总署在邮寄过程中丢失两张重要数据光盘,其中包括约2500万人的个人资料和银行信息,就已经掀起了轩然大波。据称,这些光盘只有最简单的保护措施,犯罪分子很容易就能破解,这一事件已经导致英国皇家税务及海关总署署长Paul Gray引咎辞职。
频繁暴发的安全事件让我们看到了数据保密性是如此脆弱。“过去我们只考虑针对基础架构的风险威胁,现在我们更要专注于对企业数据的威胁,一旦数据泄露,对企业的品牌和声誉带来的影响是十分巨大的”,赛门铁克产品管理部门副总裁Brian Foster在最近召开的数据丢失防护技术媒体座谈会上表示。
用户控制
“‘艳照门’事件给企业敲响了一记警钟。”均瑶信息管理部总监吴大为说。“艳照门”事件的疑因是当事人的个人电脑在拿往维修时被盗取其中资料。这种他人故意盗窃一旦发生在企业内部,尤其是至关重要的研发、财务部门等,带来的影响可能是致命的。吴大为表示,通常董事长、总裁等重要高层的笔记本送修时,都会提前卸掉硬盘,并尽可能当场处理,以防止涉及公司核心机密的数据外泄。
“关键岗位部门尽量不允许配备笔记本,”已经成为均瑶的一条硬性规定,如果出差需要携带笔记本,可以使用公司的备用笔记本,笔记本退回之后,硬盘都将被重新格式化。这样做虽然会加快硬盘折旧,但是和数据泄露带来的影响相比是微乎其微的。据悉,在华为等企业,研发部门的台式机都没有安装USB接口,以防止员工用闪存盘等移动设备拷贝文件,员工也无法自由登录外网或是使用即时通讯软件。而且,公司配备的笔记本电脑受到严格限制,不允许安装与工作无关的软件。
除了关键岗位部门,笔记本、优盘、手机等移动设备在企业内部也越来越多地被大面积采用,由此带来的安全隐患与日俱增。针对这种情况,企业通常都会采取预控管理措施,从源头上保障数据安全。和大多数企业一样,均瑶较早就采用了Windows系统提供的域管理功能,通过域控制服务器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。
域管理是最基本的手段,由于用户携带的移动设备经常会从外部连接到公司内网,国泰基金信息技术部副总监管勇建议企业采用SSL VPN技术。和企业常用的IPSec VPN相比,SSL VPN主要用于移动用户的远程接入、内网资源的加密等环境,用户只需登陆浏览器即可通过虚拟VPN通道与内网安全联络。SSL VPN 对URL级别进行了权限划分,有效控制了用户的访问行为,而且用户的所有访问行为日志也将被详细记录,方便查询审计。
当然,最关键的还是移动用户的身份认证。64位或128位的密钥是行之有效的方法之一,比密钥更保险的是令牌。许多厂商在开发各种各样的令牌,它生成的密码是动态的,比如系统管理员将认证后的动态密码发送到移动用户的手机上,这个动态口令只能使用一次,2分钟后就将自动失效。(可参见3月刊,“‘令牌’把关,安全无患”一文)。不过,令牌也有操作繁琐、价格昂贵等顾虑,CIO们还担心令牌能否真正解决在线欺诈等问题。
内容把关
目前来看,移动用户的安全威胁主要来自两个方面,一个是端点,另一个是网络。各大安全厂商推出的解决方案也是从这两点来手,在端点解决方案方面帮助企业防止机密数据被复制到USB设备,刻录成DVD,或下载到本地硬盘中。 | |
网络防护方案防止机密数据通过电子邮件、即时通讯以及其他互联网协议向外部输出,从而帮助企业确保数据安全和遵从***政策。
对国泰基金来说,客户基本信息和交易行为,以及投资分析是公司最机密的数据。为了防止这些数据外泄,国泰基金通常会监控用户的网上行为和使用电脑的情况。但是,对企业来说,最希望敏感信息一旦未经许可发布时,马上被截获。也就是说,当信息经过交换机服务器,到达网关时,就能根据公司的安全策略判断敏感信息是否未经允许就被发送,如果确实违反了公司策略,任何私密信息都将无法通过电子邮件或是即时通讯等手段发布出去。
赛门铁克推出的Enterprise Vault 7.0是针对邮件安全的一种有效手段,它除了可帮助电子邮件归档,压缩,保存,更重要的是能根据业务策略保留电子邮件,或降低未经授权员工通信的风险。用户也可以采用该产品实现即时信息的归档。赛门铁克产品管理部门副总裁Brian Foster表示,去年年底收购防泄密技术的领先公司Vontu公司后,赛门铁克在信息安全管理方面的能力实现了全方面的提升,既可以通过Enterprise Vault 监控并防止不良信息进入同时可以准确的监控组织内部不良信息的流出。由于信息数据泄露已经成为导致企业安全支出的主要因素之一,为了提高数据防护功能,赛门铁克极有可能在今年开展一系列新的收购。
不过,严格的数据加密和解密过程,必然会占用企业的系统资源。“飞机要飞得高,就要耗更多的油,企业需要作出一种权衡。”吴大为说。一方面要通过加密提高安全性,另一方面又要尽可能地把性能影响降到最低。理想中是只针对敏感数据重点防护,但是这样做不太现实,大多数机构都不知道移动设备上保存着什么信息,也很难去一一寻找这些信息。Check Point安全顾问刘刚建议,最好的方法是全面加密,整个加密程序将涵盖整个磁盘。为了帮助用户杜绝各种隐患,Check Point在3月份推出了Check Point Endpoint Security产品,这是一款全新的结合了最高安全级别防火墙、网络访问控制(NAC)、程序控制、防病毒、反间谍软件、数据安全和远程访问功能的全方位端点安全解决方案,提供有效的安全保护。
企业和安全供应商在移动数据安全方面是不谓余力,但企业也表示,要想堵上所有的漏洞是不现实的,重要的还是提高安全防范意识,加强安全管理,而且,“亡羊补牢,不嫌迟也”。 | 
收藏
分享
有用
无用