一、智能电话带来越来越大的风险
还没有谁因为使用“黑莓”智能电话而被炒鱿鱼。
这是空洞无物的安慰人的想法。你可能不会因选择“稳妥的”智能电话被炒鱿鱼,但没有哪款智能电话满足得了每个专业人员的要求,所以抱怨声不绝于耳也就可想而知了。即使你谨慎行事,也要注意智能电话的三个隐藏问题以及相应的规避方法。
1、产品周期与消费类电子产品一样快。提供移动设备管理服务的Movero科技公司的首席执行官(CEO)Bruce Friedman说:“有些公司在项目实施到一半时才发现,那款产品已停止供应了,这样的例子我见过很多。”高端移动电话和智能电话更新速度很快,所以习惯了三到五年技术更新周期的公司发现在测试、采购及部署新设备方面老赶不上步伐。办法很简单,但做起来不容易:设法加快产品采购审批及测试过程,比如确保新的应用程序和升级不影响智能电话、操作系统和网络连接。规划好6到12个月的产品周期,并按照这个周期来更新。
2. 应用程序泛滥。智能电话的优点在于能够运行多种应用程序,于是有些员工觉得自行下载应用程序是理所当然的。禁止所有未授权的应用程序,但人的本性决定了公司用户会设法违反这样的规定。比较好的办法是:使用为应用程序分配“信任级别”、并且只允许事先批准的应用程序访问操作系统的一种安全协议,比如基于Symbian操作系统的平台安全(Platform Security)协议,或者Windows Mobile的应用安全(Application Security)协议。
3. 出租车因素。智能电话比笔记本电脑更容易丢失、失窃及受损。应作好规划,以便实时修复、清除关键数据及更换设备。这时候,Movero或者Mformation等公司的“托管移动服务”公司可以发挥作用:如果你要部署大量设备,他们几乎总是能够为你节省费用二、虚拟化威胁近在眼前
如果公司一味扩大服务器虚拟化,而不考虑虚拟机有别于物理机器的地方,就无异于为入侵者敞开了进入数据中心的新大门。我们还无法确认这类威胁的具体性质,因为它们还没有切实出现过。因此而高枕无忧的任何人在过去两年里肯定没有注意过信息安全。
VMware和开源厂商XenSource提供的虚拟机管理程序(hypervisor)软件是数据中心中一层新的特权软件,类似操作系统,可以全权访问其他软件资源;但与操作系统不同,它没有经过多年的测试与评估。Gartner公司估计,直到2009年,60%的虚拟机不如物理机器来得安全。如果存在安全漏洞,入侵者只要能访问虚拟化服务器的虚拟机管理程序,就能控制该虚拟机管理程序管理的所有虚拟机。
许多公司保护虚拟服务器的方法与保护物理服务器的方法一样。如今只出现了少数几款专门的工具可以监控及保护VMware的ESX虚拟机管理程序,如Reflex Security公司的VSA和Blue Lane科技公司的VirtualShield.针对Xen的安全工具则比较粗糙、简单。
VMware指出,银行和军队使用ESX Server,这证明这是个安全的平台。但是虚拟机管理程序的运行有别于操作系统在物理服务器上的运行。
Blue Lane公司的高级副总裁Allwyn Sequeira说,VMware的VMotion工具能够找到虚拟机管理程序,然后转移到另一台物理服务器上来运行,但失去了原来的安全环境。Sequeira说:“采用虚拟化之前,防火墙、路由器和服务器都有一个相对静态的架构以确保安全。”安全策略针对某个特定的TCP/IP地址,这很常见。他说,当VMotion把虚拟机转移到新的服务器和新的TCP/IP地址时,新旧两套安全策略应该保持同步,但常常并不同步。
想跟踪所有虚拟机、控制在视野范围之内也很难。Blue Lane公司的一个客户曾忽视了一台虚拟机,直到后来检查时才发现它在6个月前就启用了。要是入侵者偶尔发现了这台虚拟机,危险就更大,因为没有哪位管理员在跟踪这台虚拟机。
虽然BMC、冠群和惠普等系统管理厂商正在添加更多的虚拟机管理功能,但现在还是轻而易举就能离开管理员的视线。
三、企业搜索关键在于掌握合适的度
企业搜索听上去完美无缺:员工不用没完没了地搜索众多FTP站点和奇怪的文件名,就能轻松找到所需的文件和文档,从而提高了工作效率。但一旦人们开始搜到不该搜到的东西,搜索就成了安全和合规人员的噩梦。
搜索技术厂商Autonomy公司的美国区CEO Stouffer Egan说,有家国防承包商把机密信息网络与绝密信息网络“隔离”开来,但机密网络上的员工仍能搜索到绝密网络上的信息。真是糟透了。
标准做法是,如果你无法以其他方式访问网络上的信息,那么也无法通过搜索来找到这些信息。富国银行在尝试让公司主管通过博客与客户和员工进行交流,它甚至建立了自己的虚拟世界。不过该公司对企业搜索有所限制,限制了员工搜索数据存储库的能力,因为授权机制很复杂。富国银行把应用开发和部署时间的80%用于授权和验证等安全措施上。
即使各类信息和特定应用都受口令保护,也并不意味着它们保密起来。弗雷斯特研究公司的分析师Matt Brown说,有家公司发现,其搜索系统能在很少被访问的一部分文件系统中发现敏感的工资单信息。所谓的“通过隐匿来实现安全”(security by obscurity)迟早会出问题。
最后一个风险是,如果编入索引的资料不足,因而没有价值;或者搜索关键词要极其精确,员工会放弃使用搜索工具。针对250名商业技术专业人士的一项调查发现,大约四分之一的公司部署了集成搜索系统,却很少使用。
四、迷失于NAC缩略语
最近炙手可热的安全缩略语就是NAC――它对不同的厂商来说有着不同的含义。尽管吹得天花乱坠,但没有哪家NAC厂商完全说到做到,概念的混淆让安全效果大打折扣。
网络准入控制(NAC)是思科的产物,它旨在控制哪些设备可以连接到网络上:设备是否没有病毒?安全设置是不是最新?如果不是,就加以隔离。网络访问控制(或者用微软的话来说,网络访问保护)着力解决的是,一旦设备连接到网络上,可以进行哪些操作――对照目录服务器或者访问控制服务器,检查个人电脑或打印机的安全状况,查看具体权限。目前还没有哪家厂商同时提供网络访问控制和网络准入控制;而厂商之间的合作也刚刚起步。
所以你说要部署完整的网络准入和访问控制系统,好比你说要为孩子的下一次生日聚会弄一头独角兽来庆贺。除非思科、微软和可信计算组织(TCG)以及最近互联网工程任务组下设的一个工作组就大大简化NAC部署的标准达成一致,否则这项IT技术不会露出庐山真面目。
对愿意等待的人来说,很快能得到厂商的帮助。弗雷斯特研究公司的分析师Robert Whiteley说,思科、迈克菲、微软和赛门铁克都正在把端点风险管理功能集成到即将推出的产品中,但至少一年后才能准备就绪。
作为一种概念,NAC值得人们积极采用――因为它结合
2018年上半年校务公开评分公示