智能手機需要智能安全

身為休斯敦溫莎食品公司的IT副總裁，Stephan Henze面對最新的IT趨勢，必須保持領先一步。這就是他為什么要花大量時間考慮部署及保護整個企業的智能手機安全。就在前不久，該公司還只有幾十部智能手機，而現在IT部門管理的智能手機多達100部。Henze預測，在不久的未來，公司智能手機的數量還會大幅增長。

企業對移動通信的需求越來越大，連生產車間都需要移動通信——要是出了問題，維護工程師很快就可以在手機上收到機器自動發來的警報短信。因而，確保智能手機的安全也變得越來越棘手。Henze所在公司目前的政策是，只支持員工使用基于Windows Mobile的智能手機，因為非標準設備無疑會使手機的安全工作更復雜。不過，對有些人來說，手機就是自己的時尚宣言。如果員工使用個人電腦，可以明確規定本企業環境不支持Mac機;但如果員工使用手機，是否能始終明確禁止使用某種手機呢?

智能手機的多種威脅

越來越多的IT和安全主管正在竭力應對企業員工智能手機面臨的安全問題。

最主要的問題還是:一旦手機或可拆卸存儲卡丟失或被盜，里面的敏感數據很可能泄露出去。員工要是沒有刪除手機里面存儲的數據，就將手機賣掉或送修，數據也有可能外泄。

此外還存在這樣的風險:與虛擬專用網(VPN)連接的設備可能將企業網絡暴露在黑客和惡意軟件入侵威脅面前。各種病毒通過短信后門及其他漏洞攻擊手機本身的可能性也越來越大。Strategy Analytics咨詢公司的分析師Philippe Winthrop曾經這樣發問:“要是我拿到了你的手機，搗鼓一番，導致手機連接到了企業的VPN怎么辦?這是企業面臨的一大風險，但目前人們還沒有予以認真對待。”

更為復雜的問題是，用戶們傾向于把智能手機看作自己的個人裝置，認為企業的IT部門管不著。Gartner公司的分析師John Girard說:“一種根深蒂固的觀點是‘這是我自己的移動設備’。”他表示，用戶常常把其智能手機看作一種娛樂設備，而不是需要保護的一種資產。

Girard表示，智能手機的多媒體功能帶來了其他問題。比如說，公司政策可能明文禁止將公司文件拷貝到外部存儲介質上，但有沒有一項政策禁止在辦公室用智能手機拍照或錄音會議內容呢?

許多公司試圖通過為員工購買標準手機來進行控制——此舉至少可以讓這些公司只需支持一種操作系統。伯頓集團的分析師Paul DeBeasi認為，即便那樣，用戶還是不太會嚴格遵循標準。他說:“我看到有些員工將公司發放的手機放在左邊口袋里，而將個人的手機放在右邊口袋里。”

的確，據移動安全和管理工具廠商Good Technology公司最近對歐美300家公司開展的一項調查顯示，近80%的調查對象聲稱:希望把個人設備帶到工作場所的員工數量在過去6～12個月里有所增長;28%的調查對象稱，曾經由于非授權設備導致數據泄密。

盡管存在種種安全風險，“仍有三分之二的公司未能制定及執行移動設備方面的IT和業務安全政策。”Winthrop說。

Girard也認為，許多公司遲遲沒有認識到與手機有關的數據泄漏可能帶來的后果。他說:“等到智能手機的安全問題嚴重到一定程度，人們才會像重視電腦安全那樣重視它。”

重視智能手機安全

無論是通過第三方平臺，還是通過智能手機廠商本身，集中保護及管理智能手機的技術的確存在。許多分析師一致認為，在諸多智能手機廠商當中，黑莓手機生產商RIM和微軟公司提供的管理平臺最佳，微軟擁有最新版本的Windows Mobile。

至于其他智能手機設備或者支持多家廠商手機的那些企業，有多種方案可供選擇，其中包括:Credant Technologies、Good Technology、Sybase、Trust Digital、趨勢科技和MobileIron等廠商提供的管理軟件。這類平臺提供諸多關鍵功能，包括集中管理以下方面的功能:

密碼管理

認證授權

強加密

閑置斷開:即閑置一段時間后，用戶被迫退出應用會話，并提示輸入密碼、重新建立會話。

遠程清除存儲內容:如果設備丟失或被盜，或者用戶輸錯驗證證書次數超過規定次數，就啟用該功能。

在總部設在紐約的戰略傳播公司Robinson Lerer Montgomery，首席信息官Jeff Saper通過向所有員工發放黑莓手機、供員工統一使用，克服了安全難題。Saper使用了黑莓企業服務器提供的450項無線IT政策和命令中的若干項。該公司還采用Good Technology的平臺來處理Palm和Treo設備，但是，當Saper決定用單一平臺進行集中管理時，它把目光完全投向了黑莓。黑莓的安全措施包括:設備閑置十分鐘后，自動斷開;如果設備丟失或被盜后擔心數據安全受到危及，或者密碼輸錯次數超過十次，就自動遠程清除設備里面的數據。Saper說:“就算有人破解得了密碼，數據仍是安全的。”最重要的是，用戶自己無法禁用任何安全功能。

Saper表示，就遠程清除而言，數據備份到黑莓服務器上很重要，那樣數據還可以恢復。由于服務器與微軟Exchange連接在一起，他還能恢復消息歷史。Girard指出，這種備份讓人清楚手機上有哪些數據，從而清楚要是手機被盜，哪些數據將岌岌可危。

Girard表示，盡管其他平臺也能執行遠程清除，但黑莓服務器還提供確認功能，表明確已清除完畢;要是涉及智能手機數據泄密的案子最終上了法庭，這種功能可以讓公司處于比較有利的地位。他補充說:“要是你無法證明已清除數據，聽起來可不妙。”

Girard還認為，對設備進行設置，以便閑置一段時間后自動斷開很重要。他的建議是，對于所含信息很重要的設備，設置成閑置1~5分鐘后斷開;對于信息較重要的設備，設置成閑置10分鐘后斷開;對于信息不太重要的設備，可設置成閑置15分鐘后斷開。員工若要繼續使用設備，就應當輸入強密碼，重新進行驗證。

說起來容易做起來難。Girard說:“由于是移動設備，人們覺得應該很容易使用，于是不愿輸入7位數或12位數的密碼。但4位數密碼根本不行，因為別人很有可能看到你輸入的是哪幾位。”

Girard還認識一些客戶，他們允許密碼可以輸錯十多次，之后才禁用設備。這項政策大有問題。他說:“就算你喝醉了，試了這么多次密碼后，應該也能進入設備。”

Christopher Barber是總部設在加利福尼亞州圣迪馬斯的西部企業聯邦合作信用社(Wescorp)的首席信息官，他的企業信息系統支持黑莓和蘋果公司的iPhone 3G這兩種設備，其中iPhone上運行銷售人員所使用的電子郵件和關系管理應用軟件。為了保護iPhone的安全，Barber設置了一套標準安全配置文件(包含他希望的所有防范措施)，微軟Exchange服務器則把該配置文件發送到移動設備上。

防止數據外泄

智能手機最讓我們擔心的是，它可以作為一種存儲設備來使用。用戶把智能手機接到USB端口后，即可下載公司文件，并把這些文件帶到外面。不過借助全局安全配置文件，可以執行密碼強度和加密功能，那樣即使用戶真的把敏感數據存儲在便攜式設備上，也可以降低萬一手機丟失或被盜時別人讀取里面數據的可能性。

Girard表示，采取集中加密方法很重要。所有知名廠商都為各自生產的手機提供了加密功能，但除非企業采取集中加密的控制手段，否則加密功能只是可選的。”

保護智能手機的安全是風險管理問題，而不是要面面俱到。Barber表示，近期在YouTube視頻上看到有人用破解程序，闖入了受密碼保護、經過加密的iPhone。他還說，iPhone可拆卸的SIM卡是個安全隱患，因為要是小偷取下SIM卡，手機就收不到遠程銷毀命令，因為手機無法連接到公司網絡。

為了抵消這種風險，Barber采取了政策與教育相結合的辦法。

他說:“我們培訓每個員工，不要把敏感數據存儲在iPhone上。”他希望，將來可以用數據丟失防護技術作為輔助手段，該技術可以監控轉移到電子郵件附件或USB驅動器上的數據。“我們盡量確保安全，但風險總是存在。”

在溫莎食品公司，Henze也利用MobileIron公司的虛擬智能手機平臺，采取了集中管理的方法。之所以作出這個決定，是因為他希望利用單一平臺不僅可以管理安全，還能管理運營商合同和部署。此外，盡管統一使用Windows Mobile設備，他還是希望確信自己沒有被該決定所禁錮。MobileIron支持黑莓和iPhone，還計劃支持Symbian和Android設備。

Henze從基本方面入手，比如密碼管理、自動禁用和遠程清除，如今還在增加集中加密措施。虛擬智能手機平臺還能備份手機上的應用程序和數據，并報告配置和內存利用率方面的情況，這就加快了診斷及排除故障的速度。此外，它還能清點存儲在手機上的應用程序，禁用沒有得到批準的應用程序。

Henze說:“從IT的角度來看，MobileIron的平臺讓一切變得更容易。”

對Henze來說，確保智能手機安全的工作才剛剛開始。比如說，他正考慮將數字權限管理與智能手機管理平臺集成起來。

Henze說:“假設我們公司有個員工的筆記本電腦里面裝滿了機密信息，但他被解雇了。如果有數字權限管理，其電腦就會與服務器取得聯系，查看他還是不是合法用戶。如果不是，他就再也無法讀取那些文件。”他表示，這么做的效果好于遠程清除，因為要是文件存儲在可拆卸卡上，就無法刪除文件了。

有些用戶一直擔心:要是IT部門監控自己的手機，就毫無自由可言了。不過，考慮到IT部門能在部署新手機、更換手機及遠程排除故障等方面提供更好的服務，這種擔心就不大重要了。比方說，IT部門買來新手機后就能立即進行配置，不需要花上三四天的時間，員工就可以使用新手機了，這樣的方便往往會讓員工心存感激。

最后，隨著越來越多的智能手機進入企業，無論它們由公司發放，還是由員工自己帶入，沒有哪一種手段可以確保絕對安全。但有一點可以肯定，絕對不能對員工放任自由。目前讓員工對自己的設備負責的企業IT部門其實并不罕見。但到頭來，倘若數據泄露，負相應責任的會是雇主。

鏈接:

智能手機十大風險及對策

1、沒有配置管理計劃

對策:應將負責管理智能手機的任務交給配置及管理電腦的同一批員工。

2、沒有開機密碼，或使用弱密碼策略

對策:好幾家廠商的設備管理控制臺都可以設置密碼復雜性規則和密碼重置提問與答案。

3、沒有閑置斷開或自動上鎖功能

對策:應借助設備管理控制臺，遠程執行斷開政策，那樣企業就能保持近乎實時的控制。

4、沒有自動銷毀或數據清除計劃

對策:應使用遠程銷毀命令和本地清除兩種方法。密碼輸錯次數超過規定次數后，或者設備斷開網絡達到預定時間后，應采用后一種方法。

5、沒有內存加密規則

對策:幾種主要的企業智能手機操作系統都提供執行加密機制的設置。

6、備份和同步方面沒有總體計劃

對策:使用安全的遠程備份和存儲工具，定期執行后臺同步操作。

7、電子郵件轉發方面沒有障礙

對策:可以通過企業電子郵件系統的服務器端設置，對電子郵件和附件的轉發進行管理控制;還可以通過商用數據丟失防護過濾軟件進行進一步過濾。

8、沒有應用程序驗證規則

對策:可以利用私鑰來限制允許安裝或執行哪些應用程序。

9、沒有默認的瀏覽器許可規則

對策:配置手機時，選擇符合公司政策的默認瀏覽器設置，以免為惡意代號提供入口點。

10、沒有應對智能手機多樣性的計劃

對策:制訂不同設備會得到哪種支持的政策，把支持智能手機的任務交給某個IT部門。