移动信息安全的难题
很多商务人士已经习惯了在机场、酒店、咖啡厅享受无处不在的网络连接,他们通过Wi-Fi收发公司的电子邮件以及与客户进行在线交流。然而,这些数据通常没有经过加密就在移动设备和酒店房间附近的AP(无线接入设备)之间进行连接和通信,带给一些别有用心的黑客可乘之机。这些没有安全意识的“移动飞人”就这样在不经意间泄露了公司的机密。因此,对于企业来说,建立灵活的移动安全解决方案势在必行。
随着移动用户数量的增多,设备类型的多样性和接入位置的复杂性在攀升,企业管理及控制移动数据安全的能力却捉襟见肘——这不再是要不要保护数据的问题,而是如何保护数据的问题。
摆在企业面前的难题是: 如何最有效地保护移动设备(笔记本电脑、PDA、智能电话或者可移动介质)上存储的敏感信息; 如何在获得工作效率和竞争优势的同时,确保数据安全,并且要鉴别出是哪一种用户(员工、附属公司甚至是客户)、使用哪一种移动设备、在哪个接入位置(不管是员工家里、芝加哥的一家酒店还是北京的一家咖啡馆)进行内网连接。
如今的静态数据安全解决方案大多是基于比较老的加密技术,而这些技术当初根本不是针对移动的复杂环境设计的,于是其结果可能导致: IT部门里的现有流程复杂化,使技术支持部门工作难度加大; 支持人员在日常的IT恢复、维修期间容易暴露数据; 现有流程阻碍了最终用户接受安全技术; 企业无法满足许多新出现的关键数据安全需求。
实施移动安全策略需要针对企业里所有的移动设备,而不只是便携式电脑。企业必须对它们实施一致的移动数据安全规则,还要确保用户体验和工作效率不受影响。此外,根据企业环境的需要,移动数据安全政策既可以很简单,也可以很复杂,这要根据企业的基础设施、员工队伍或者业务流程来决定。
简言之,为了在如今的动态环境下确保数据安全,必须针对所有移动平台、用户种类及位置,以一致的方式控制及管理信息安全。企业的解决方案应能够把移动数据保护当成企业整体安全流程的一个必要组成部分,并且适用于所有移动设备和数据。这种移动安全解决方案既要简单,又要功能强大、灵活,而且在处理移动数据安全时能够满足战略目标。
移动信息安全不是一个静态过程,因为设备类型、用户和位置具有多样性,并且经常变化。企业的移动安全基础设施必须能够不断地轻松应对这种动态变化和发展。数据安全应该确保安全链的每一环( 人员、流程、操作、执行及管理)能够协同工作,从而提供没有薄弱环节的全面解决方案。(下一页)
鉴别移动安全方案是否合格
鉴别一个企业移动安全方案是否合格,要经过四关。
第一关
安全解决方案应当能够不断识别及控制新的设备。
● 系统能检测、审查及控制连接到网络上的所有移动端点——包括未经许可的端点。
● 系统能通过单一控制台生成详细报告,表明环境中存在哪些移动端点。
● 系统能检测、审查及控制桌面上的同步软件和第三方应用软件,譬如ActiveSync、HotSync、PC Suite、邮件重定向程序。
● 系统应支持简易、全面的移动安全部署:首先是检测使用的移动端点,然后针对整个环境,有选择地自动执行保护机制。
第二关
安全解决方案应能自动地执行安全政策和数据保护。
系统必须针对所有移动端点,执行强有力的接入控制、验证和加密机制,从而保护敏感信息、满足监管/审查要求。 更重要的是,一旦移动数据或设备丢失、失窃或者受到攻击,这套方案能限制数据泄密带来的风险。
为满足上述需求,移动安全解决方案应当:
● 能够从单一管理控制台无缝、自动地加密所有移动端点和外部介质上的敏感数据。
● 执行集中定义的政策、控制加密信息,并控制如何生成、管理及托管加密密钥。
● 防范有人未经授权就访问多用户操作系统; 数据恢复要既快速又可靠。
● 防止最终用户控制、更改或者移除安全策略。
● 系统启动时不需要第二种个人身份识别号(PIN)/口令; 能够与第三方的验证方法协同工作。解决方案应当支持安全政策需要的各种硬件令牌、智能卡或者生物特征识别设备。
● 能控制特定的设备应用程序及通信端口的使用。
● 能执行通过无线及在现场的故障安全保护,从而暂时停止接入或者清除数据。
● 要是用户忘记口令或者离开公司,应确保管理员易于恢复加密数据。
● 提供环境中移动数据保护的实时状态。
● 确保数据安全得到执行(政策部署及更新和验证等等),而不影响用户的工作效率。(下一页)
鉴别移动安全方案是否合格
第三关
安全解决方案应使用单一控制台来管理各种类型的设备。
为了尽量降低复杂性、减少处理移动安全所需的工作量,企业级解决方案最好利用现有的基础设施,同时利用单一管理控制台实现集中管理。
● 系统应为移动安全的控制、审查及报告提供单一管理控制台,并可在各种类型的移动和外部存储设备上使用; 管理员能针对所有移动端点控制、自动执行及更新安全政策。
● 系统能从现有的LDAP目录(如微软活动目录)继承角色(群组)和用户,这样就不需要管理员重新输入、单独维护这些信息。
● 系统能提供不同的管理角色(从技术支持部门到安全管理员),以控制管理员权限。
● 系统能提供详细的移动端点报告和审查信息。
● 系统能够生成详细报告,表明移动端点的使用情况(包括同步软件)、保护和安全状态。
第四关
安全解决方案应迅速、可靠地支持最终用户,能及时恢复加密数据。
企业在选择合适的移动安全解决方案时,往往会忽视日常支持、维护和数据恢复带来的影响。许多解决方案保护数据的方法似乎异常简单,一旦到了需要它的时候,就会发现局限性变得如此地明显。合理的移动安全解决方案应确保系统一旦出了问题,能够迅速可靠地支持最终用户、能够重新设置口令及恢复加密数据等,在这一过程中几乎不用改变现有的支持基础设施,也几乎不会影响最终用户。
● 该方案要适用于IT部门既有的维护和恢复流程,而不需要改变或者延长处理或恢复时间。
● 方案需提供密钥生成和托管功能,以便立即、全面地恢复数据。许多解决方案要求在目标设备上生成密钥,然后交给集中服务器进行托管。要是托管过程出现延误,或者完全失效,而用户需要恢复密钥时,会出现严重后果。密钥应当在数据加密之前进行托管,不需要最终用户采取任何措施。
● 系统应防范内部威胁——有人未经授权就访问多用户操作系统,所以应把针对加密数据的访问与针对操作系统的访问隔离开来。
● 系统允许通过自助服务来重置口令以及通过电话重置口令; PIN/口令恢复不需要网络连接。
● 系统允许手持设备的用户不必为设备开锁,即可拨打及接听呼叫。不过解决方案应当足够灵活,要是用户想从机密的公司“全局地址列表”向外拨打呼叫,就需要验证。
● 管理员在操作系统升级、修复和打补丁时,不用担心操作系统是否经过加密、不用“虚假”登录,也不用担心随之而来的数据受损问题。
● 系统必须提供与现有的IT恢复流程和工具协同工作的数据恢复选项。
● 系统必须提供让安全管理员可以访问加密数据、不需要最终用户任何帮助或者协作的数据恢复选项。
● 在实时性方面,系统应提供自动、实时的安全政策和软件更新,确保迅速堵住安全漏洞、继续符合法规以及保证移动员工的工作效率。
● 该方案要能够实现无线部署及激活。
● 方案部署完毕之后,能与第三方设备管理及同步提供商协同工作。
总之,移动数据安全解决方案的初始设置不需要最终用户的任何操作,它应当是自动化、可执行的,能够立即提供安装进度方面的反馈,并提供随后的数据保护措施。一旦设置完成,安全解决方案应当不需要任何最终用户的日常操作,而是尽可能地在后台运行。(下一页)
移动数据安全生命周期
链接:移动数据安全生命周期
移动数据安全必须是具有战略性的、涵盖整个公司的计划,以便针对多种设备类型审查和执行多个安全政策。解决方案必须处理移动数据安全的所有部分,同时让用户能够随时随地工作,并尽量减小企业面临的风险、降低总体拥有成本。
移动数据安全生命周期包括检测、保护、管理、支持四大部分。
1. 检测及执行:系统应自动识别使用的设备和数据;控制数据从PC直接同步到未授权移动设备的过程,或控制电子邮件从微软Exchange Server无线同步到未授权移动设备的过程。IT管理部门要利用预先设定的IT政策来执行规则。
2. 执行及保护:确保敏感数据安全地进行加密,同时提供用户验证、受控制的端口访问及应用限制措施。
3. 管理及审查:从单一控制台集中管理所有桌面电脑、笔记本电脑、手持设备和U盘的安全政策。审查跟踪记录确保公司数据安全规则针对所有移动设备执行。
4. 支持现有操作:方案应利用现有的IT基础设施,尽量减小安全政策执行的复杂性;有效地支持移动用户,同时针对丢失或者失窃的设备执行数据控制。有效的方案还应尽量减小日常维护及数据恢复带来的影响。
网友评论