警惕最棘手安全问题移动技术的安全风险

来源：pcdog 作者：佚名出处：巧巧读书 2007-10-23 进入讨论组

　　制订战略

　　为了与这些风险进行有成效的斗争，我们推荐制订一个全公司范围的移动技术风险战略，以指导公司进行问题评估，制订与潜在商业影响相符的预算，并将任何技术上、步骤上和组织结构上的解决方案作为头等大事来抓，从而降低风险。

在制订这一方案的过程中，CIO必须动员公司全体部门，调动市场部、法律部和客户关系部，还要与首席信息安全官(CISO)和其他风险经理们通力合作。在制订移动技术风险战略时，应先按照以下步骤确定公司的安全需求：

　　* 在全公司范围盘点移动技术。对大公司的库存进行评估是件非常困难的事情，因此可以选取有代表性的员工组合作为样本，并在移动主机上安装多种工具。

　　可以考虑从以下问题入手："公司里哪些人在使用移动技术，目的是什么?他们使用着哪些类型的移动技术?使用频率和地点如何?"

　　然后检查存储的数据性质和安全措施。哪些类型的信息在该设备和公司系统之间传输?该设备得到哪些认证机制的保护?存储了哪些信息?有多少数据被加密?

　　最后，考虑当前和未来的技术需求。什么类型的技术有可能被使用?同步或备份移动设备时使用的什么软件?替换或处理旧设备的现有办法是什么?

　　* 对数据侵害的影响进行评估，确定风险管理的预算。CIO需要评估数据侵害的威胁并理解其对公司业务的影响，必须让所有业务部门的高级管理人员了解分析结果。

　　一家《财富》100强公司的首席安全官通过监测100天时间段内受到多少次攻击来解决这个问题。关于数据丢失带来的成本，他的IT团队在几周后给出了一个实际的估计值--这一数字帮助这位首席安全官说服了其他高级主管。这个估计值不但促使这家公司对移动安全战略进行全面调整，还将丢失数据带来的成本、安全运营的附加成本及安全侵害对公司品牌和信誉造成的影响一一量化。

　　波耐蒙研究所于2006年8月发布的一份报告显示，数据侵害造成的直接增量成本可以被量化：即平均每条丢失记录的损失为54美元。如果数据侵害是小规模的，这一成本甚至更高，因为法律、通信和人力成本的分摊费用增大了。

　　高级管理层需要认识到成本之外的其它后果。数据侵害还可能导致集体诉讼、市场价值受损、业务关系中断、甚至公司破产。如果上升到法律的高度，侵入事件还可能导致罚款和处罚--公司管理层甚至可能因为在保护客户个人信息方面犯有失职罪而面临牢狱之灾。

　　执行战略

　　根据公司的具体需求勾勒出战略轮廓后，下一个问题是确定实施办法。在为移动技术风险战略制订路线图时，请考虑以下几个方面的内容。

　　标准化是管理移动设备的办法之一，但如果公司拥有大量不同的移动设备和多种操作系统，标准化就比较困难了。针对这个问题，可以通过制订一套标准程序来有效管理移动设备的采购、分配、替换、更新，以及管理丢失和锁定的设备，并加强IT帮助中心的能力，集中管理各种设备。

　　移动平台管理解决方案会提供一个集中控制面板，让全部移动设备的安全设置保持一致。

　　定期审查和汇报也非常重要。最基本的一点，公司需要随时掌握各台设备是否遵守规定。CIO们还应了解每台移动设备上存储的商业信息类型。

　　移动数据安全战略的执行措施包括：确定策略，保护移动设备上的数据，对设备和用户进行认证，监控策略执行情况并撰写报告。

　　为了预防移动设备丢失或被盗，执行方案通常提供数据加密的功能。公司应确保即使丢失密匙也能够恢复数据。一个强大的管理方案应能集中管理和代管密匙。

　　大多数新推出的移动设备具有内置的加密功能，例如某些安全USB驱动，现在已经在市场上有售。最新的笔记本上安装了可靠的平台模块计算芯片，使硬盘加密成为可能。Vista操作系统的BitLocker功能与此类似，可以让用户对硬盘加密。

URL查看 http://www.qqread.com/net-saft/i361193.html