正如英国全国建屋互助会(Nationwide Building Society)在去年初发现的那样,丢失笔记本电脑会带来巨大损失,伍斯特郡郡政会(Worcestershire County Council)可能很快也会发现这一点。 5 o' ]8 O* A& ~8 i8 }/ h' D& G- z$ Y9 {9 y4 l& R' C
而最大的损失未必来自更换丢失系统所花费的成本。事实上,就拿全英建屋互助会来说,最后被金融服务管理局处以罚款98万英镑才是主要费用,理由是这家监管部门认定该组存在严重的信息安全过失。该组织还花费了大量的时间和资金来通知客户,要留意这起失窃事件可能带来的潜在风险——早些时候,一名员工在家里丢失了笔记本电脑。 7 X2 n3 c1 c, }% W' A5 t( T f& f" f( ~6 l- n8 m& X
因而,虽然全英建屋互助会的首席执行官Philip Williamson表示“此次事件没有给客户的账户带来任何经济损失”;如果客户确实蒙受了损失,他们无论如何会得到补偿的。不过这起事件还是促使该组织委托另一家组织“为其全面审查了信息安全程序和控制措施。”5 h: \+ c S; A7 Y7 \4 f
1 p0 |; C7 v' n
移动设备带来便捷性的同时也存在风险# v$ e6 I% h0 |$ U
" ?2 F8 b/ s% t2 S S" L 而与此同时,伍斯特郡郡政会接到了其IT供应商Serco公司的通知,声称该公司的一名员工在周末逛街时遭遇抢劫,结果一台笔记本电脑被抢。电脑里面含有郡政会16239名员工以及前员工的个人资料,包括银行和全国保险信息,这些信息有可能被暴露在身份窃贼面前。 + Z) `3 q) e! W3 G ) |2 x- b+ E' n) W* V 于是,伍斯特郡郡政会通过信件的方式紧急通知了受到影响的人员,还为他们开设了一条热线,以便提供更多的信息,从而知道如何保护自己避免可能出现的欺诈。+ G$ L( w0 `/ }0 ?6 ?- l
% L5 c/ X2 ^4 r: P 但并不是单单只有这两家组织才遇到丢失笔记本电脑的事件。据英国科技新闻网站silicon.com在2006年8月开展的信息自由调查显示,许多政府部门都遇到过丢失笔记本电脑的事件。 h% ?, @& |7 e2 K r' b
! } c, u$ H) w0 N
其中受影响最严重的英国国防部声称,从2005年7月到2006年7月,21台笔记本电脑被偷。内政部有19台被偷;卫生部被偷18台;贸易和工业部有16台失窃;皇家监狱总局被偷8台;英国身份及护照服务处被偷4台。( O; ?/ {! _' d! L# k
4 l! L6 [2 J: t3 t3 [% u3 ~- D4 G
但失窃并非导致笔记本电脑下落明白的惟一原因。2005年,英国执业出租车司机协会创办的《出租车》杂志对伦敦的出租车司机作了一项调查,这项调查得到了移动安全技术供应商Pointsec公司的赞助。调查发现,在短短半年内时间,乘客遗忘在出租车上的笔记本电脑数量多达4973台——不过其中有96%物归原主,这还得归功于司机们不遗余力地寻找失主。 9 O! N9 e. W' M& N # v$ H" p6 \1 l 遗忘在出租车上的个人数字助理(PDA)也有5838部,而手机更是多达63135部——平均每辆出租车上会落下三部手机;不过在后面这种情况下,司机们设法归还了其中约80%的手机。 |; ]! j2 V- ]5 [6 v
" [1 p. r& {: g; O: b# w 这一切似乎都表明,尽管移动设备给日益分散的员工队伍带来了便利和灵活性,不过同时也带来了一系列信息安全风险。: J$ @+ {, x+ T5 T
: T( e. s4 T a! O0 M& h% t5 b
人们在这方面主要担心的问题之一与数据泄露有关;而事实上,一旦笔记本电脑丢失或者被偷,没有授权的人就有可能获得敏感的公司信息。' u- @9 o9 @' W3 n) u1 C
. A1 m- Y% k' }( z9 y( \ 尽管如此,据英国贸易和工业部在2006年开展的信息安全泄密调查(普华永道会计事务所负责每两年调查一次)显示,五分之四的英国公司仍然单单依靠密码来保护各自的系统。 0 j3 |% X8 ~* n' b: o% y: \2 Z8 ~. ~$ w/ ^
研究公司Freeform Dynamics的首席分析师David Perry指出,这方面存在的问题是,谁都知道,密码是不安全的。他说:“人们常常使用老一套的密码,或者人家运用社会工程学伎俩,打个电话,就会把密码透露给对方。还有为数不少的人养成了把密码记到纸上的习惯,而窃贼总是知道在何处找到密码。比方说,如果窃贼连笔记本电脑包一道偷走,很可能在包里面找到密码。” q! v$ G9 L" S% v E' o 4 r$ W5 {* M3 F7 x' Z% Y' V7 A 不过,目前的情况显得更加复杂,这是由于无线网络日益普及:员工在外出时会接入无线网络;日益普遍的是,员工在家办公时也会接入无线网络。 2 c& R+ q- A9 ^ 8 w0 L% G7 X4 u& m% E2 q' h 这里难就难在,就目前而言,用户想知道自己连接的是合法网络还是非法热点(rogue hotspot)几乎是不可能的——如果人们所用的笔记本电脑采用了英特尔迅驰芯片,这个问题就显得尤为突出;因为一旦这些笔记本电脑启动上去,就会自动寻找信号。 * [3 l- ?* i* U; p% ]- k/ s- K" d& o3 l& O
由于无线安全技术仍处于发展初期,所以这无助于缓解这个麻烦的事态。不过如今开始出现了像AirTight Networks入侵预防软件这样的产品,试图解决这个问题。 & [4 x# k5 l+ g! F& k6 K- ]; o2 y- K9 k2 w# B6 G! F3 V, q
经销商Wick Hill公司的总经理Ian Kilpatrick表示,另一个可能危险的情形是,有人在策划所谓的中间人攻击(man-in-the-middle attack)。 $ l2 H s+ ~8 a Q. B1 S* Z% D / V, f$ H' |) T" \; P 他解释道:“用户可能以为自己成功连接到了无线网络,但是黑客之前也许已经连接到这个网络上面,因而用户可能是通过黑客连接到网络。这就意味着,黑客可以盗用用户的信息来登录,查看来回传输的数据。不过最严重的问题是,一旦黑客窃取了用户的身份,就可以随时登录网络。”8 j; e: _3 `: X3 a' \: Y$ I' j+ N! m
' n# t! H4 O- ~7 H5 _) T 因而,Kilpatrick建议公司应当确保员工通过自己的机器连接到互联网时要使用SSL或者IPsec虚拟专用网(VPN);另外确保笔记本电脑安装了双因子验证产品,如令牌或者数字证书,从而确保试图登录到公司网络的用户确实拥有有效身份。 6 {! ^( t2 y4 V/ S5 D) k8 i$ u' T
另一个重要的工具就是加密软件,可用来保护存放在笔记本电脑中的任何敏感数据。Kilpatrick表示,如果批量采购,目前每台电脑使用的加密软件大约只要70英镑,“这与数据丢失可能导致的罚款及名誉受损相比微不足道。”. L5 N ^ J4 E y
6 Q+ w' E$ Y% j5 M% R6 P! Q. [! ` 移动终端安全还需更多的防护工具) T" X& |; x n$ o0 R
; F7 x% Y* K3 Y( ^2 H" w 与此同时,更令人担心的是,哪些笔记本电脑会导致公司网络面临恶意软件引起的感染。据赛门铁克公司企业安全小组在2005年开展的一项调查显示,导致蠕虫自动攻击的最常见根源就是员工的笔记本电脑;43%的公司声称,安全事件是因此而引起的。另有34%的公司表示,感染蠕虫是由非公司员工的人员带来的笔记本电脑引起的。 5 ? P( j7 b4 B: ]5 f5 a7 g, q5 j' {
信息风险管理安全咨询公司的首席技术官Phil Huggins表示,不过遗憾的是,公司还没有习惯使用反病毒软件和反垃圾邮件软件之外的软件来保护客户端设备。 3 s$ l! i5 X' m% S! L% r2 \ / j5 W3 w1 V: `, r 他说:“端点安全往往是一种非常基本的概念,已深入人心。如今在所有笔记本电脑上安装反病毒软件或者某种反垃圾邮件软件,这种做法已被相当多的公司所接受。但是说到部署入侵预防、个人防火墙或者加密软件之类的技术,却好坏不一。”' w. A. v& [7 D& }
f# ]0 F! C. |5 D
更糟糕的是,虽然一些公司可能积极确保自己的内部系统打上了补丁、安全软件是最新版本,但它们往往很随意,不加区别地对所有笔记本电脑给予同样程度的关注。这时候,远程管理软件就能发挥作用。这类系统经过配置后,可以确保电脑上的应用软件版本最新、确保安全补丁自动打上;并确保正确的连接设置已落实到位。另外,要是被偷或者失窃的笔记本电脑下一次试图连接到公司网络上,远程管理软件还可以用来远程禁用电脑,并且清除里面的数据。 ; f% }5 X2 {6 ^ ) o; r& ~+ I5 C3 s U: t% x 另一种实用的工具是网络访问控制(NAC)软件,思科和Juniper Networks等厂商销售此类软件。这种软件的作用是,如果笔记本电脑不符合公司内部设定的安全策略,就拒绝电脑访问公司网络;并隔离开来,直到电脑清理干净,或者软件得到更新,才可以正常访问。( ]7 p" I" S& J9 }4 t$ a
$ ?* E) U/ }9 F 不过正如Kilpatrick指出的那样,单单部署比较巧妙的技术还不够。他说:“技术只是你确定了存在哪些问题以及公司可能面临多大的风险后部署到后端的东西。” : y) U: l' ?2 a. o7 J# O3 [% M! H4 { g0 M# I1 \( {3 S- C8 z6 y
这就意味着,想在这方面尽可能提高信息安全效果,公司完全有必要正式评估自己希望怎样利用移动技术、为什么利用这项技术,然后在此基础上评估风险,之后,风险评估以及任何随后的缺口分析(gap analysis)成为移动安全策略的基础,并且告知员工哪些是公司可以接受的使用。 ) e/ S p1 s; J# y T * d( X7 ]$ [) B# M) y! @0 e" v d Perry解释:“你要明白自己在哪些方面安全很薄弱,能承受多大的风险。在此基础上开展其他各项工作——用户培训、推行的策略以及部署的技术都应当以这种自上而下的视野为准绳。这是开展各项工作的基础。” 9 m+ J0 p/ q" P8 Z1 a : H I9 I7 G" r1 ~" ]" C) Z$ U 就用户培训而言——Perry认为这项工作至关重要,有必要事先了解一下潜在的风险情况,并且了解如何应对风险,从而增强员工的安全意识。另外有必要鼓励员工要抱着这样的想法“东西总是可能会丢失的”;并提醒他们:他们的笔记本电脑是公司财产,而不是个人财产。 8 f$ z4 K. u% {" V. Y& T$ L: h% Y : r; v% B8 g! K8 x 这么做的目的是帮助员工首先充分认识到需要安全机制,不然,这些安全机制可能会被禁用,或者他们觉得过于麻烦而绕开了这些机制。# N. ^/ y! a) p2 B+ K
+ \& @3 H6 _7 t, r' [6 E 这是一个重要问题。如果移动设备采用的安全措施过于严格,当初使移动设备大行其道的易用性和便利性就会受到影响。因此处理好两者之间的平衡关系非常重要。, I* S# n {! o! C, b8 ]4 T
% n3 a9 d) r% s: G4 H9 G Kilpatrick说,要牢记的另一点就是,一开始就把安全融入到组织行为当中总是比以后试图加强安全来得更省钱、更有效。8 b( B" {/ u1 T' W) e
( a) Y! z. A; w1 h
他说:“如果没有把安全作为业务计划的一部分来处理,它往往被认为是成本昂贵的附加部分,而且会让人觉得有点讨厌。但要是公司一开始就承认安全是必不可少的,就算任何一台新机器的费用可能会因而增加250美元,也会准备好把安全考虑进来。” 6 I4 _ q" N1 b; m( t- i+ E# F0 Q0 A2 S9 K% ^' O1 F! V1 v+ R
这就意味着,公司明白面临的安全风险、并准备好为此承担责任显得至关重要。正如Kilpatrick指出的那样,如果当天最后一名下班的员工没有关上所有的门窗,而且让保安回家,他就要为发生的任何事件负责;可能会因为行为不端而被开除。/ U B0 ~8 I2 D1 Y* E& n/ g