身為休斯敦溫莎食品公司的IT副總裁，Stephan Henze面對最新的IT趨勢，必須保持領(lǐng)先一步。這就是他為什么要花大量時間考慮部署及保護(hù)整個企業(yè)的智能手機(jī)安全。就在前不久，該公司還只有幾十部智能手機(jī)，而現(xiàn)在IT部門管理的智能手機(jī)多達(dá)100部。Henze預(yù)測，在不久的未來，公司智能手機(jī)的數(shù)量還會大幅增長。

企業(yè)對移動通信的需求越來越大，連生產(chǎn)車間都需要移動通信——要是出了問題，維護(hù)工程師很快就可以在手機(jī)上收到機(jī)器自動發(fā)來的警報短信。因而，確保智能手機(jī)的安全也變得越來越棘手。Henze所在公司目前的政策是，只支持員工使用基于Windows Mobile的智能手機(jī)，因為非標(biāo)準(zhǔn)設(shè)備無疑會使手機(jī)的安全工作更復(fù)雜。不過，對有些人來說，手機(jī)就是自己的時尚宣言。如果員工使用個人電腦，可以明確規(guī)定本企業(yè)環(huán)境不支持Mac機(jī);但如果員工使用手機(jī)，是否能始終明確禁止使用某種手機(jī)呢?

智能手機(jī)的多種威脅

越來越多的IT和安全主管正在竭力應(yīng)對企業(yè)員工智能手機(jī)面臨的安全問題。

最主要的問題還是:一旦手機(jī)或可拆卸存儲卡丟失或被盜，里面的敏感數(shù)據(jù)很可能泄露出去。員工要是沒有刪除手機(jī)里面存儲的數(shù)據(jù)，就將手機(jī)賣掉或送修，數(shù)據(jù)也有可能外泄。

此外還存在這樣的風(fēng)險:與虛擬專用網(wǎng)(VPN)連接的設(shè)備可能將企業(yè)網(wǎng)絡(luò)暴露在黑客和惡意軟件入侵威脅面前。各種病毒通過短信后門及其他漏洞攻擊手機(jī)本身的可能性也越來越大。Strategy Analytics咨詢公司的分析師Philippe Winthrop曾經(jīng)這樣發(fā)問:“要是我拿到了你的手機(jī)，搗鼓一番，導(dǎo)致手機(jī)連接到了企業(yè)的VPN怎么辦?這是企業(yè)面臨的一大風(fēng)險，但目前人們還沒有予以認(rèn)真對待?！?/p>

更為復(fù)雜的問題是，用戶們傾向于把智能手機(jī)看作自己的個人裝置，認(rèn)為企業(yè)的IT部門管不著。Gartner公司的分析師John Girard說:“一種根深蒂固的觀點是‘這是我自己的移動設(shè)備’?！彼硎荆脩舫３０哑渲悄苁謾C(jī)看作一種娛樂設(shè)備，而不是需要保護(hù)的一種資產(chǎn)。

Girard表示，智能手機(jī)的多媒體功能帶來了其他問題。比如說，公司政策可能明文禁止將公司文件拷貝到外部存儲介質(zhì)上，但有沒有一項政策禁止在辦公室用智能手機(jī)拍照或錄音會議內(nèi)容呢?

許多公司試圖通過為員工購買標(biāo)準(zhǔn)手機(jī)來進(jìn)行控制——此舉至少可以讓這些公司只需支持一種操作系統(tǒng)。伯頓集團(tuán)的分析師Paul DeBeasi認(rèn)為，即便那樣，用戶還是不太會嚴(yán)格遵循標(biāo)準(zhǔn)。他說:“我看到有些員工將公司發(fā)放的手機(jī)放在左邊口袋里，而將個人的手機(jī)放在右邊口袋里?！?/p>

的確，據(jù)移動安全和管理工具廠商Good Technology公司最近對歐美300家公司開展的一項調(diào)查顯示，近80%的調(diào)查對象聲稱:希望把個人設(shè)備帶到工作場所的員工數(shù)量在過去6～12個月里有所增長;28%的調(diào)查對象稱，曾經(jīng)由于非授權(quán)設(shè)備導(dǎo)致數(shù)據(jù)泄密。

盡管存在種種安全風(fēng)險，“仍有三分之二的公司未能制定及執(zhí)行移動設(shè)備方面的IT和業(yè)務(wù)安全政策?！盬inthrop說。

Girard也認(rèn)為，許多公司遲遲沒有認(rèn)識到與手機(jī)有關(guān)的數(shù)據(jù)泄漏可能帶來的后果。他說:“等到智能手機(jī)的安全問題嚴(yán)重到一定程度，人們才會像重視電腦安全那樣重視它?！?/p>

重視智能手機(jī)安全

無論是通過第三方平臺，還是通過智能手機(jī)廠商本身，集中保護(hù)及管理智能手機(jī)的技術(shù)的確存在。許多分析師一致認(rèn)為，在諸多智能手機(jī)廠商當(dāng)中，黑莓手機(jī)生產(chǎn)商RIM和微軟公司提供的管理平臺最佳，微軟擁有最新版本的Windows Mobile。

至于其他智能手機(jī)設(shè)備或者支持多家廠商手機(jī)的那些企業(yè)，有多種方案可供選擇，其中包括:Credant Technologies、Good Technology、Sybase、Trust Digital、趨勢科技和MobileIron等廠商提供的管理軟件。這類平臺提供諸多關(guān)鍵功能，包括集中管理以下方面的功能:

密碼管理

認(rèn)證授權(quán)

強(qiáng)加密

閑置斷開:即閑置一段時間后，用戶被迫退出應(yīng)用會話，并提示輸入密碼、重新建立會話。

遠(yuǎn)程清除存儲內(nèi)容:如果設(shè)備丟失或被盜，或者用戶輸錯驗證證書次數(shù)超過規(guī)定次數(shù)，就啟用該功能。

在總部設(shè)在紐約的戰(zhàn)略傳播公司Robinson Lerer Montgomery，首席信息官Jeff Saper通過向所有員工發(fā)放黑莓手機(jī)、供員工統(tǒng)一使用，克服了安全難題。Saper使用了黑莓企業(yè)服務(wù)器提供的450項無線IT政策和命令中的若干項。該公司還采用Good Technology的平臺來處理Palm和Treo設(shè)備，但是，當(dāng)Saper決定用單一平臺進(jìn)行集中管理時，它把目光完全投向了黑莓。黑莓的安全措施包括:設(shè)備閑置十分鐘后，自動斷開;如果設(shè)備丟失或被盜后擔(dān)心數(shù)據(jù)安全受到危及，或者密碼輸錯次數(shù)超過十次，就自動遠(yuǎn)程清除設(shè)備里面的數(shù)據(jù)。Saper說:“就算有人破解得了密碼，數(shù)據(jù)仍是安全的?！弊钪匾氖?，用戶自己無法禁用任何安全功能。

Saper表示，就遠(yuǎn)程清除而言，數(shù)據(jù)備份到黑莓服務(wù)器上很重要，那樣數(shù)據(jù)還可以恢復(fù)。由于服務(wù)器與微軟Exchange連接在一起，他還能恢復(fù)消息歷史。Girard指出，這種備份讓人清楚手機(jī)上有哪些數(shù)據(jù)，從而清楚要是手機(jī)被盜，哪些數(shù)據(jù)將岌岌可危。

Girard表示，盡管其他平臺也能執(zhí)行遠(yuǎn)程清除，但黑莓服務(wù)器還提供確認(rèn)功能，表明確已清除完畢;要是涉及智能手機(jī)數(shù)據(jù)泄密的案子最終上了法庭，這種功能可以讓公司處于比較有利的地位。他補(bǔ)充說:“要是你無法證明已清除數(shù)據(jù)，聽起來可不妙。”

Girard還認(rèn)為，對設(shè)備進(jìn)行設(shè)置，以便閑置一段時間后自動斷開很重要。他的建議是，對于所含信息很重要的設(shè)備，設(shè)置成閑置1~5分鐘后斷開;對于信息較重要的設(shè)備，設(shè)置成閑置10分鐘后斷開;對于信息不太重要的設(shè)備，可設(shè)置成閑置15分鐘后斷開。員工若要繼續(xù)使用設(shè)備，就應(yīng)當(dāng)輸入強(qiáng)密碼，重新進(jìn)行驗證。

說起來容易做起來難。Girard說:“由于是移動設(shè)備，人們覺得應(yīng)該很容易使用，于是不愿輸入7位數(shù)或12位數(shù)的密碼。但4位數(shù)密碼根本不行，因為別人很有可能看到你輸入的是哪幾位。”

Girard還認(rèn)識一些客戶，他們允許密碼可以輸錯十多次，之后才禁用設(shè)備。這項政策大有問題。他說:“就算你喝醉了，試了這么多次密碼后，應(yīng)該也能進(jìn)入設(shè)備。”

Christopher Barber是總部設(shè)在加利福尼亞州圣迪馬斯的西部企業(yè)聯(lián)邦合作信用社(Wescorp)的首席信息官，他的企業(yè)信息系統(tǒng)支持黑莓和蘋果公司的iPhone 3G這兩種設(shè)備，其中iPhone上運行銷售人員所使用的電子郵件和關(guān)系管理應(yīng)用軟件。為了保護(hù)iPhone的安全，Barber設(shè)置了一套標(biāo)準(zhǔn)安全配置文件(包含他希望的所有防范措施)，微軟Exchange服務(wù)器則把該配置文件發(fā)送到移動設(shè)備上。

防止數(shù)據(jù)外泄

智能手機(jī)最讓我們擔(dān)心的是，它可以作為一種存儲設(shè)備來使用。用戶把智能手機(jī)接到USB端口后，即可下載公司文件，并把這些文件帶到外面。不過借助全局安全配置文件，可以執(zhí)行密碼強(qiáng)度和加密功能，那樣即使用戶真的把敏感數(shù)據(jù)存儲在便攜式設(shè)備上，也可以降低萬一手機(jī)丟失或被盜時別人讀取里面數(shù)據(jù)的可能性。

Girard表示，采取集中加密方法很重要。所有知名廠商都為各自生產(chǎn)的手機(jī)提供了加密功能，但除非企業(yè)采取集中加密的控制手段，否則加密功能只是可選的?！?/p>

保護(hù)智能手機(jī)的安全是風(fēng)險管理問題，而不是要面面俱到。Barber表示，近期在YouTube視頻上看到有人用破解程序，闖入了受密碼保護(hù)、經(jīng)過加密的iPhone。他還說，iPhone可拆卸的SIM卡是個安全隱患，因為要是小偷取下SIM卡，手機(jī)就收不到遠(yuǎn)程銷毀命令，因為手機(jī)無法連接到公司網(wǎng)絡(luò)。

為了抵消這種風(fēng)險，Barber采取了政策與教育相結(jié)合的辦法。

他說:“我們培訓(xùn)每個員工，不要把敏感數(shù)據(jù)存儲在iPhone上?！彼Ｍ?，將來可以用數(shù)據(jù)丟失防護(hù)技術(shù)作為輔助手段，該技術(shù)可以監(jiān)控轉(zhuǎn)移到電子郵件附件或USB驅(qū)動器上的數(shù)據(jù)?！拔覀儽M量確保安全，但風(fēng)險總是存在?！?/p>

在溫莎食品公司，Henze也利用MobileIron公司的虛擬智能手機(jī)平臺，采取了集中管理的方法。之所以作出這個決定，是因為他希望利用單一平臺不僅可以管理安全，還能管理運營商合同和部署。此外，盡管統(tǒng)一使用Windows Mobile設(shè)備，他還是希望確信自己沒有被該決定所禁錮。MobileIron支持黑莓和iPhone，還計劃支持Symbian和Android設(shè)備。

Henze從基本方面入手，比如密碼管理、自動禁用和遠(yuǎn)程清除，如今還在增加集中加密措施。虛擬智能手機(jī)平臺還能備份手機(jī)上的應(yīng)用程序和數(shù)據(jù)，并報告配置和內(nèi)存利用率方面的情況，這就加快了診斷及排除故障的速度。此外，它還能清點存儲在手機(jī)上的應(yīng)用程序，禁用沒有得到批準(zhǔn)的應(yīng)用程序。

Henze說:“從IT的角度來看，MobileIron的平臺讓一切變得更容易?！?/p>

對Henze來說，確保智能手機(jī)安全的工作才剛剛開始。比如說，他正考慮將數(shù)字權(quán)限管理與智能手機(jī)管理平臺集成起來。

Henze說:“假設(shè)我們公司有個員工的筆記本電腦里面裝滿了機(jī)密信息，但他被解雇了。如果有數(shù)字權(quán)限管理，其電腦就會與服務(wù)器取得聯(lián)系，查看他還是不是合法用戶。如果不是，他就再也無法讀取那些文件?！彼硎荆@么做的效果好于遠(yuǎn)程清除，因為要是文件存儲在可拆卸卡上，就無法刪除文件了。

有些用戶一直擔(dān)心:要是IT部門監(jiān)控自己的手機(jī)，就毫無自由可言了。不過，考慮到IT部門能在部署新手機(jī)、更換手機(jī)及遠(yuǎn)程排除故障等方面提供更好的服務(wù)，這種擔(dān)心就不大重要了。比方說，IT部門買來新手機(jī)后就能立即進(jìn)行配置，不需要花上三四天的時間，員工就可以使用新手機(jī)了，這樣的方便往往會讓員工心存感激。

最后，隨著越來越多的智能手機(jī)進(jìn)入企業(yè)，無論它們由公司發(fā)放，還是由員工自己帶入，沒有哪一種手段可以確保絕對安全。但有一點可以肯定，絕對不能對員工放任自由。目前讓員工對自己的設(shè)備負(fù)責(zé)的企業(yè)IT部門其實并不罕見。但到頭來，倘若數(shù)據(jù)泄露，負(fù)相應(yīng)責(zé)任的會是雇主。

鏈接:

智能手機(jī)十大風(fēng)險及對策

1、沒有配置管理計劃

對策:應(yīng)將負(fù)責(zé)管理智能手機(jī)的任務(wù)交給配置及管理電腦的同一批員工。

2、沒有開機(jī)密碼，或使用弱密碼策略

對策:好幾家廠商的設(shè)備管理控制臺都可以設(shè)置密碼復(fù)雜性規(guī)則和密碼重置提問與答案。

3、沒有閑置斷開或自動上鎖功能

對策:應(yīng)借助設(shè)備管理控制臺，遠(yuǎn)程執(zhí)行斷開政策，那樣企業(yè)就能保持近乎實時的控制。

4、沒有自動銷毀或數(shù)據(jù)清除計劃

對策:應(yīng)使用遠(yuǎn)程銷毀命令和本地清除兩種方法。密碼輸錯次數(shù)超過規(guī)定次數(shù)后，或者設(shè)備斷開網(wǎng)絡(luò)達(dá)到預(yù)定時間后，應(yīng)采用后一種方法。

5、沒有內(nèi)存加密規(guī)則

對策:幾種主要的企業(yè)智能手機(jī)操作系統(tǒng)都提供執(zhí)行加密機(jī)制的設(shè)置。

6、備份和同步方面沒有總體計劃

對策:使用安全的遠(yuǎn)程備份和存儲工具，定期執(zhí)行后臺同步操作。

7、電子郵件轉(zhuǎn)發(fā)方面沒有障礙

對策:可以通過企業(yè)電子郵件系統(tǒng)的服務(wù)器端設(shè)置，對電子郵件和附件的轉(zhuǎn)發(fā)進(jìn)行管理控制;還可以通過商用數(shù)據(jù)丟失防護(hù)過濾軟件進(jìn)行進(jìn)一步過濾。

8、沒有應(yīng)用程序驗證規(guī)則

對策:可以利用私鑰來限制允許安裝或執(zhí)行哪些應(yīng)用程序。

9、沒有默認(rèn)的瀏覽器許可規(guī)則

對策:配置手機(jī)時，選擇符合公司政策的默認(rèn)瀏覽器設(shè)置，以免為惡意代號提供入口點。

10、沒有應(yīng)對智能手機(jī)多樣性的計劃

對策:制訂不同設(shè)備會得到哪種支持的政策，把支持智能手機(jī)的任務(wù)交給某個IT部門。