“艳照门”事件不只给个人,更给企业敲响了一记警钟。到底该如何保护脆弱的移动数据安全?CIO和安全专家认为,重要的是提高安全防范意识。正所谓,“亡羊补牢,犹未晚也”。
“艳照门事件”再次引发了人们对移动数据安全的关注。在此之前,英国皇家税务及海关总署在邮寄过程中丢失了两张重要数据光盘,其中包括约2,500万人的个人资料和银行信息,掀起了轩然大波。据称,这些光盘只有最简单的保护措施,犯罪分子很容易破解。目前,这一事件已经导致英国皇家税务及海关总署署长保罗·格雷(Paul Gray)引咎辞职。
频繁暴发的安全事件让我们看到了数据保密性是如此之脆弱。“过去我们只考虑针对基础架构的风险威胁,现在我们更要专注于对企业数据的威胁。一旦数据泄露,对企业的品牌和声誉带来的影响是十分巨大的。”赛门铁克公司(Symantec,下称赛门铁克)产品管理部门副总裁布赖恩·福斯特(Brian Foster)在最近召开的数据丢失防护技术媒体座谈会上表示。
用户控制
“‘艳照门’事件给企业敲响了一记警钟。”均瑶(集团)有限公司(下称均瑶)信息管理部总监吴大为表示。“艳照门”事件的疑因是当事人的个人电脑在拿往维修时被盗取其中资料。这种他人故意盗窃一旦发生在企业内部,尤其是至关重要的研发、财务等部门时,带来的影响可能是致命的。吴大为表示,通常董事长、总裁等重要高层的笔记本送修时,都会提前卸掉硬盘,并尽可能当场处理,以防止涉及公司核心机密的数据被外泄。
“关键岗位部门尽量不允许配备笔记本”,已经成为均瑶的一条硬性规定。如果员工出差需要携带笔记本,可以使用公司的备用笔记本,笔记本退回之后,硬盘都将被重新格式化。这样做虽然会加快硬盘折旧,但是和数据泄露带来的影响相比是微乎其微的。据悉,在华为技术有限公司等企业,研发部门的台式机都没有安装USB接口,以防止员工用闪存盘等移动设备拷贝文件,员工也无法自由登录外网或是使用即时通讯软件。而且,公司配备的笔记本电脑受到严格限制,不允许安装与工作无关的软件。
除了关键岗位部门,笔记本、U盘、手机等移动设备在企业内部也越来越多地被大面积采用,由此带来的安全隐患与日俱增。针对这种情况,企业通常都会采取预控管理措施,从源头上保障数据安全。和大多数企业一样,均瑶较早就采用了Windows系统提供的域管理功能,通过域控制服务器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。
域管理是最基本的手段,由于用户携带的移动设备经常会从外部连接到公司内网,国泰基金管理有限公司(下称国泰基金)信息技术部副总监管勇建议企业采用SSL VPN技术。和企业常用的IPSec VPN相比,SSL VPN主要用于移动用户的远程接入、内网资源的加密等环境,用户只需登陆浏览器即可通过虚拟VPN通道与内网安全联络。SSL VPN 对网址(URL)级别进行了权限划分,有效控制了用户的访问行为,而且用户的所有访问行为日志也将被详细记录,方便查询审计。
当然,最关键的还是移动用户的身份认证。64位或128位的密钥是行之有效的方法之一,比密钥更保险的是令牌。众多厂商正在开发各种各样的令牌,他们生成的密码是动态的,比如系统管理员将认证后的动态密码发送到移动用户的手机上,这个动态口令只能使用一次,2分钟后就将自动失效(详见3月刊《“令牌”把关,安全无患》一文)。不过,令牌也有操作繁琐、价格昂贵等顾虑,首席信息官(CIO)们还担心令牌能否真正解决在线欺诈等问题。
