“艳照门事件”再次引发了人们对移动数据安全的关注。在此之前,英国皇家税务及海关总署在邮寄过程中丢失了两张重要数据光盘,其中包括约2,500万人的个人资料和银行信息,掀起了轩然大波。据称,这些光盘只有最简单的保护措施,犯罪分子很容易破解。目前,这一事件已经导致英国皇家税务及海关总署署长保罗·格雷(Paul Gray)引咎辞职。
频繁暴发的安全事件让我们看到了数据保密性是如此之脆弱。“过去我们只考虑针对基础架构的风险威胁,现在我们更要专注于对企业数据的威胁。一旦数据泄露,对企业的品牌和声誉带来的影响是十分巨大的。”赛门铁克公司(Symantec,下称赛门铁克)产品管理部门副总裁布赖恩·福斯特(Brian Foster)在最近召开的数据丢失防护技术媒体座谈会上表示。
用户控制
“‘艳照门’事件给企业敲响了一记警钟。”均瑶(集团)有限公司(下称均瑶)信息管理部总监吴大为表示。“艳照门”事件的疑因是当事人的个人电脑在拿往维修时被盗取其中资料。这种他人故意盗窃一旦发生在企业内部,尤其是至关重要的研发、财务等部门时,带来的影响可能是致命的。吴大为表示,通常董事长、总裁等重要高层的笔记本送修时,都会提前卸掉硬盘,并尽可能当场处理,以防止涉及公司核心机密的数据被外泄。
“关键岗位部门尽量不允许配备笔记本”,已经成为均瑶的一条硬性规定。如果员工出差需要携带笔记本,可以使用公司的备用笔记本,笔记本退回之后,硬盘都将被重新格式化。这样做虽然会加快硬盘折旧,但是和数据泄露带来的影响相比是微乎其微的。据悉,在华为技术有限公司等企业,研发部门的台式机都没有安装USB接口,以防止员工用闪存盘等移动设备拷贝文件,员工也无法自由登录外网或是使用即时通讯软件。而且,公司配备的笔记本电脑受到严格限制,不允许安装与工作无关的软件。
除了关键岗位部门,笔记本、U盘、手机等移动设备在企业内部也越来越多地被大面积采用,由此带来的安全隐患与日俱增。针对这种情况,企业通常都会采取预控管理措施,从源头上保障数据安全。和大多数企业一样,均瑶较早就采用了Windows系统提供的域管理功能,通过域控制服务器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。
域管理是最基本的手段,由于用户携带的移动设备经常会从外部连接到公司内网,国泰基金管理有限公司(下称国泰基金)信息技术部副总监管勇建议企业采用SSL VPN技术。和企业常用的IPSec VPN相比,SSL VPN主要用于移动用户的远程接入、内网资源的加密等环境,用户只需登陆浏览器即可通过虚拟VPN通道与内网安全联络。SSL VPN 对网址(URL)级别进行了权限划分,有效控制了用户的访问行为,而且用户的所有访问行为日志也将被详细记录,方便查询审计。
当然,最关键的还是移动用户的身份认证。64位或128位的密钥是行之有效的方法之一,比密钥更保险的是令牌。众多厂商正在开发各种各样的令牌,他们生成的密码是动态的,比如系统管理员将认证后的动态密码发送到移动用户的手机上,这个动态口令只能使用一次,2分钟后就将自动失效(详见3月刊《“令牌”把关,安全无患》一文)。不过,令牌也有操作繁琐、价格昂贵等顾虑,首席信息官(CIO)们还担心令牌能否真正解决在线欺诈等问题。
内容把关
目前来看,移动用户的安全威胁主要来自两个方面,一个是端点,另一个是网络。各大安全厂商推出的解决方案也是从这两点入手,在端点解决方案方面帮助企业防止机密数据被复制到USB设备,刻录成DVD,或下载到本地硬盘中。网络防护方案则防止机密数据通过电子邮件、即时通讯,以及其他互联网协议向外部输出,从而帮助企业确保数据安全和遵从隐私政策。
对国泰基金来说,客户基本信息和交易行为,以及投资分析是公司最机密的数据。为了防止这些数据外泄,国泰基金通常会监控用户的网上行为和使用电脑的情况。但是,对企业来说,最希望敏感信息一旦未经许可发布,马上就能被截获。也就是说,当信息经过交换机服务器,到达网关时,就能根据公司的安全策略判断敏感信息是否未经允许就被发送,如果确实违反了公司策略,任何私密信息都将无法通过电子邮件或是即时通讯等手段发布出去。
赛门铁克推出的Enterprise Vault 7.0是针对邮件安全的一种有效手段,它除了可帮助电子邮件归档、压缩、保存,更重要的是,能够根据业务策略保留电子邮件,或降低未经授权员工通信的风险。用户也可以采用该产品实现即时信息的归档。赛门铁克产品管理部门副总裁布赖恩·福斯特表示,去年年底收购防泄密技术的领先公司Vontu公司后,赛门铁克在信息安全管理方面的能力实现了全方面的提升,既可以通过Enterprise Vault 监控并防止不良信息进入,同时可以准确地监控组织内部不良信息的流出。由于信息数据泄露已经成为导致企业安全支出的主要因素之一,为了提高数据防护功能,赛门铁克极有可能在今年展开一系列新的收购。
