警惕,移动设备 成企业信息安全的最大威胁
i企业
谈到企业信息安全的威胁,很多企业的IT管理人员第一时间想到的是病毒、木马或黑客攻击,诚然,这些行为给企业的信息安全带来了严重威胁,其实这些都不是最大的威胁。随着USB闪存、数码存储卡、移动硬盘、NAS存储设备、手机、笔记本电脑、平板电脑等种类繁多的移动设备不断进入工作场所,企业的信息安全受到的威胁也越来越大。
安全事件频发,移动设备成黑手
近年来,信息安全问题日渐凸显,而各类移动设备的广泛使用是导致信息安全事件逐年上升的重要原因。
1.移动设备丢失或被盗的风险
USB闪存、存储卡,移动硬盘方便小巧,在随身携带时,非常容易滑落丢失。在旅行过程中,由于行程匆忙也非常容易造成笔记本电脑被遗忘在机场、出租车或酒店房间内。同时,笔记本电脑、平板电脑、手机等价格不菲,往往也是小偷下手的目标。
2009年12月,山西某煤矿集团老总及秘书乘机飞往大连参加全国煤炭贸易博览会,在从机场乘出租车前往下榻酒店的过程中,不慎将笔记本电脑遗忘在车内,内有参加这次会议的各种文书,包括招投标书、合同样本等。因丢失这些重要文书,在整个会议期间,只能作壁上观,从而给企业造成重大经济损失。
2.移动设备送修维护风险
移动设备送修时间的不可控性,接触人员的不可控性,是移动设备中的信息泄漏的一大途径。最先为大家敲响警钟的是2006年的“艳照门”事件,当事人因为疏于“保密”而声名狼藉,不仅是自己,还株连众多人,一时成为笑谈。
而2010年4月,“维基解密”(Wikileaks)网站陆续公开的数十万份有关伊拉克和阿富汗战争的军事文件,令美国军方惊出了一身冷汗。而最后的调查结果同样是由一个小小的USB闪存引起的,是前美军驻伊情报分析员布拉德利·曼宁的USB闪存在送修过程中泄密所致。后来,由于没有更好的移动设备防泄密技术,美军干脆发布命令,在军队中禁止使用USB闪存、CD光盘等移动存储介质。
3.移动设备的无序使用风险
移动设备在企业中无序使用,内外不分、公私混用的现象时有发生,尤其是在中小企业中非常普遍,IT管理人员也司空见惯,见怪不怪了。殊不知,移动设备的这种无序使用存在着极大的信息安全风险。
社会的浮躁,让更多职场人变得急功近利,越来越多的人期望通过频繁跳槽来获取更多的利益,企图在最短的时间内实现人生财富的积累。据统计,有51%的职场人在跳槽时,为了给自己的下一份工作提供竞争优势,会利用自己在上一份工作离职前尚未被完全收回的权利,访问办公终端或存储有机密信息的服务器,并利用USB闪存或手机等移动设备将这些机密信息带离前公司。有32%的人在以后的工作中会“出卖”这些资料。同时,公私混用,也容易造成交叉感染,给企业信息网络或OA系统带来安全隐患。
小设备引发大问题,为企业带来严重后果
移动设备引发的安全问题不胜枚举,据权威部门统计,目前70%的泄密事件都是通过移动存储设备引起的,36%的用户遭遇过移动设备丢失或被盗的问题,而采取相应保护措施的不到2%。无论是移动设备的丢失、被盗,还是无序使用,无一例外都会给企业带来严重的后果。
1.给企业造成重大经济损失和恶劣的负面影响
一般的USB闪存、存储卡的市场价不足100元,而顶端的笔记本也不过数万元,更不用说普及型的3000元左右的笔记本产品了,因此,丢失、被盗的移动设备的硬件价值对企业来说几乎可以忽略不计。但是设备有价而数据无价,在笔记本电脑、USB闪存等移动设备中存储的数据往往都是无价之宝。
企业的研发信息等核心机密数据通常是一代人甚至是几代人努力的结果,这些数据无论是丢失还是被盗,都会给企业造成无法弥补的损失,甚至是灭顶之灾;企业谈判的价格底线、样本合同等数据一旦丢失,将会给企业造成很大的被动,甚至造成重大的经济损失。移动设备上的数据失控,除了会给企业带来巨额的经济损失外,还有可能给企业带来意想不到的法律诉讼,让企业声誉扫地,从而产生极为恶劣的负面影响,还可能会令合作伙伴和客户对企业的安全度、可信度产生怀疑,从而转投他处,让企业失去战略合作伙伴和客户,造成难以弥补的损失。
2.使企业丧失品牌效应和竞争优势
企业的竞争优势往往是该企业在某一领域掌握的独一无二的技术,最终垄断了某一产品的生产、销售,从而获得高额利润。如果跳槽员工或别有用心的员工通过移动设备将这些核心技术带到竞争对手那里,或者因移动设备丢失而被扩散,那么市面上很快就会冒出类似的产品,从而使企业丧失竞争优势。此外,企业研发、生产工艺、生产流程这些数据一旦流落到竞争对手手中,那么,对方很快就会生产出样式相同、质量等同、价格低廉的产品,使企业失去品牌影响力。而企业也会由于竞争对手的低价、同质产品的打压而面临破产。
3.使企业破产或倒闭
移动设备丢失、被盗、无序使用的安全风险到底有多严重?存储在移动设备上的数据,设计图纸、财会报表、销售报表、工艺流程、产品配方、制作工艺、制作方法、管理诀窍、客户资料、货源情报、产销策略、招投标的标的及标书内容、合同样本这些几乎都是企业的命根子,一旦出现问题,后果的严重性可想而知。Gartner Group的数据可谓触目惊心:在经历了数据完全丢失而导致系统停运的企业中,有2/5的企业再也没能恢复运营,剩下的企业也有1/3在两年内宣告破产,也就是说,六成企业因数据完全丢失而倒闭。
阻击移动设备威胁的管理手段
移动设备的丢失、被盗,或者使用不当造成企业机密数据泄漏、企业内网被交叉感染,员工利用移动设备窃取企业重要的核心机密的案例不胜枚举。在移动设备逐渐成为企业信息安全最大威胁的今天,正视移动设备在使用管理中存在的突出问题,加强对移动设备使用的管理,并辅以必要的技术手段,消灭移动设备所带来的安全威胁,确保企业信息安全无疑是明智之举。
1.通过行政手段对移动设备的使用加以规范
没有规矩不成方圆。企业应以行政管理的手段对移动设备的使用进行明确规定,严令禁止USB闪存、移动硬盘等移动设备公私混用;严格禁止将私人的USB闪存、移动硬盘等移动设备带到办公场所使用;严格禁止将手机等移动设备带入到会议室等机密要害部门。同时要建立健全企业机密数据从产生到使用、存储、管理和维护的一整套管理措施,对企业数字文档实行全过程、全寿命的管理;进一步规范员工的使用,相应层次的员工才能够使用相应密级的文件;明确哪些事项是可行的,哪些是严令禁止的,明确网络安全管理部门的职责,从而让员工和网络管理人员有章可循。
在此基础上,一定要与企业员工签订保密协议,明确离职后多长时间不能从事与现有岗位类似的工作,发生“携密”离职的情况应负什么样的责任,使员工在离职前就能够警醒。
2.通过技术手段对移动设备的使用加以限制
必要的技术手段是防范移动设备威胁的强力支撑。部署一款网络版的安全防御软件能够较好地阻击USB闪存病毒的肆虐;进行全盘加密,即便是移动设备丢失、被盗也能最大限度保证其中的数据不被泄漏。
同时,对于核心机密,还可以配以远程自毁手段(如Office文档倒计时自毁)或远程擦除手段(如智能手机的远程擦除功能)进行防护。最后,有条件的企业应当部署数据泄漏防护解决方案(DLP),这样不但可以方便地杜绝移动设备出现的公私混用现象,还可以进行移动设备自身的深层加密,自动监视机密数据,可以创建策略进行防护。不具备条件部署DLP的企业,则应该利用一些免费的磁盘加密软件和USB端口防护软件完成对移动设备进行初级防范,最大程度为企业正常的生产经营提供一个安全、健康的网络信息环境。
编辑点评
移动设备越来越成为企业发展中的信息安全威胁,千成不要小看了这些司空见惯的小物件,因这些小物件导致满盘皆输的案例比比皆是,因此,对移动设备的管理,企业高层和IT管理部门应该重视起来,未雨绸缪,防患于未然!接下来我们还会为大家介绍企业用户如何从技术手段上来防范员工使用移动设备为企业的信息安全带来的威胁,敬请关注。