移動(dòng)設(shè)備“私機(jī)公用” 企業(yè)8個(gè)必要須知

    我們將很多信息隨手儲(chǔ)存在個(gè)人或公司的移動(dòng)設(shè)備中,或商業(yè)機(jī)密或私人信息。公司的筆記本、上網(wǎng)本、iPads或便攜閃存驅(qū)動(dòng)器很易于儲(chǔ)存各種各樣的文件,雖然一些商業(yè)文件本來(lái)只應(yīng)暫時(shí)留在上面,但是事實(shí)上它們很可能成為這些移動(dòng)設(shè)備的“永久居民”。
    隨著移動(dòng)設(shè)備變得功能趨于多樣化,變得價(jià)格易于讓人接受,它們的用途也會(huì)更加多樣化并且安全難以保障。這個(gè)slideshow讓我們知道怎樣處理你的設(shè)備中所有信息的混合體。

移動(dòng)設(shè)備“混搭” 辦公無(wú)邊界可言

    隨著個(gè)人移動(dòng)設(shè)備與公司移動(dòng)設(shè)備的混為一談,就再也沒(méi)有“內(nèi)部”、“外部”可言了。Web層面的應(yīng)用讓人們可以直接接入ERP系統(tǒng),這一漏洞將使網(wǎng)絡(luò)犯罪分子進(jìn)入到企業(yè)的內(nèi)部系統(tǒng)。
    一個(gè)巨大的僵尸網(wǎng)絡(luò)Kneber就在這方面給了我們一個(gè)很好的范例。2008到2009年間,該僵尸網(wǎng)絡(luò)影響了全球2500個(gè)企業(yè)和政府機(jī)構(gòu)的約75000臺(tái)計(jì)算機(jī)。Kneber在這18個(gè)月里被用于收集在線(xiàn)財(cái)務(wù)系統(tǒng)、社交網(wǎng)絡(luò)站點(diǎn)和電子郵件系統(tǒng)的登錄信息。

移動(dòng)設(shè)備小小空間構(gòu)成嚴(yán)重威脅

    移動(dòng)電話(huà)、MP3播放器、U盤(pán)、iPad以及其他設(shè)備的便攜性、連接性和存儲(chǔ)容量對(duì)于企業(yè)來(lái)說(shuō)意味著安全風(fēng)險(xiǎn)的存在。這些風(fēng)險(xiǎn)包括數(shù)據(jù)泄漏(數(shù)據(jù)盜竊)和惡意軟件;
    因?yàn)椴灰�小看幾GB的存儲(chǔ)空間,對(duì)于一個(gè)移動(dòng)設(shè)備來(lái)說(shuō)可以存儲(chǔ)的敏感商業(yè)信息簡(jiǎn)直綽綽有余;并且事實(shí)上,這些移動(dòng)設(shè)備十分易于丟失或被盜。  (電信服務(wù)器租用)

云計(jì)算讓安全管理變得復(fù)雜化

    沒(méi)有邊界可言,風(fēng)險(xiǎn)又過(guò)于集中化。一些人已經(jīng)發(fā)現(xiàn),數(shù)據(jù)庫(kù)管理員們已經(jīng)將所有的數(shù)據(jù)放入了云端。所以有必要進(jìn)行明確的職責(zé)分離;
    有特權(quán)的用戶(hù)也需要被實(shí)時(shí)監(jiān)控,網(wǎng)絡(luò)犯罪分子通過(guò)利用SQL注入攻擊可以以迅雷不及掩耳之勢(shì)獲取商業(yè)信息;企業(yè)需要實(shí)時(shí)對(duì)敏感信息的訪(fǎng)問(wèn)進(jìn)行監(jiān)測(cè)。

虛擬現(xiàn)在已經(jīng)成為了現(xiàn)實(shí)

    個(gè)人移動(dòng)設(shè)備上越來(lái)越多的虛擬化應(yīng)用繞過(guò)了很多傳統(tǒng)的防御。最近一項(xiàng)調(diào)查報(bào)告顯示,在300多IT專(zhuān)業(yè)人士中,85%的人表示他們已經(jīng)將一些服務(wù)器進(jìn)行了虛擬化。然而,僅有28%的人對(duì)于虛擬環(huán)境是否與其他TI基礎(chǔ)架構(gòu)一樣安全抱有自信。65%的受訪(fǎng)者暗示,他們?nèi)詻](méi)有在虛擬機(jī)管理員與其他管理員之間設(shè)定有效的職責(zé)分離機(jī)制。
    丟失或被盜的設(shè)備讓不法分子輕易進(jìn)入虛擬系統(tǒng)中,這意味著一個(gè)很?chē)?yán)重的威脅問(wèn)題。

法規(guī)遵從也并非天衣無(wú)縫

    僅僅遵守了現(xiàn)有了法規(guī)或當(dāng)?shù)氐臄?shù)據(jù)存儲(chǔ)規(guī)定并不意味著一個(gè)系統(tǒng)的數(shù)據(jù)保護(hù)就是牢不可破的。HIPAA法案和塞班斯法案等存儲(chǔ)規(guī)定告訴我們哪些應(yīng)該被存儲(chǔ)起來(lái),如何存儲(chǔ)以及存儲(chǔ)多長(zhǎng)時(shí)間,以及一些最基本的安全需求。
    但是黑客總能夠跳到安全供應(yīng)商的前面,即便是最新公布的法規(guī)遵從規(guī)定也會(huì)在很短的時(shí)間內(nèi)過(guò)時(shí)。

防火墻走下幾十年的輝煌舞臺(tái)

    現(xiàn)在,我們面臨的問(wèn)題已經(jīng)不是如何應(yīng)戰(zhàn)外部不法分子那么簡(jiǎn)單了,事實(shí)上他們就在我們周?chē)�。原因很典�?一個(gè)面臨經(jīng)濟(jì)困難并心懷不滿(mǎn)的員工和數(shù)據(jù)竊賊經(jīng)常通過(guò)個(gè)人設(shè)備尋找出路。其他風(fēng)險(xiǎn)還包括不斷推陳出新的惡意軟件、數(shù)據(jù)泄密以及那些看起來(lái)合法實(shí)則非也的網(wǎng)絡(luò)流量。
    安全是需要值得信賴(lài)的人維護(hù)的,防火墻從開(kāi)始到被接受是個(gè)漫長(zhǎng)的過(guò)程,被拋棄同樣也會(huì)漫長(zhǎng)。

加密是必要的手段

    使用智能手機(jī)訪(fǎng)問(wèn)企業(yè)數(shù)據(jù)庫(kù)或存儲(chǔ)機(jī)密信息往往打開(kāi)了威脅因素的大門(mén)。
    在越來(lái)越多的智能手機(jī)和其他移動(dòng)設(shè)備上進(jìn)行加密在一個(gè)企業(yè)中應(yīng)該成為必不可少的一項(xiàng)工作。企業(yè)安全系統(tǒng)應(yīng)該對(duì)所有對(duì)機(jī)密信息的訪(fǎng)問(wèn)進(jìn)行監(jiān)測(cè)。 

企業(yè)需要分層進(jìn)行防御

    同在一家公司供職的人,對(duì)于公司機(jī)密信息的閱讀權(quán)限必須是不同的。 (電信服務(wù)器租用)
    企業(yè)安全應(yīng)該包括對(duì)數(shù)據(jù)中心各層的防御,如監(jiān)測(cè)對(duì)ERP系統(tǒng)和數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)。管理員應(yīng)該始終關(guān)注那些未經(jīng)授權(quán)或異常的活動(dòng)。