扫雷,不让移动设备成企业信息安全死角

i企业

蓝色海洋 · 2011年9月12日 第36期

随着U盘、移动硬盘、笔记本电脑、智能手机等种类繁多的移动设备不断进入工作场所,企业信息安全正面临着一场严峻的挑战。越来越多的用户使用移动设备访问企业服务,查看企业数据,进行业务操作。更为复杂的是作为后起之秀的智能手机具有强大的3G、WiFi网络支持,可以与云服务或远程电脑进行连接,移动设备的广泛使用为企业带来了很大的安全风险。移动设备广泛应用于工作场所,进行移动办公是时代发展的必然要求,“堵”是根本行不通的!那么企业何如才能做到“鱼”与“熊掌”兼得,在尽享移动设备便利性的同时,最大限度地保证企业的信息安全呢?下面从技术角度介绍一下移动设备的安全管理,希望能给大家以启迪。

中小企业移动存储设备安全解决之道

对广泛应用于企业中的移动存储设备,业界的共识是部署数据泄露防护体系(DLP,Data Leakage Prevention),而且可供选择的产品也很多。但是,这些产品的价格往往都比较高,而且需要有相当高的技术水平的IT管理人员进行设置与维护。而中小企业由于财力、IT技术实力和人力有限,往往只能“远观”而不能“近玩”。其实,对于中小企业来说,如果部署DLP有困难,也可以退而求其次,利用网络上的一些免费的工具或采用价格相对低廉的、专门为中小企业量身定制的安全防御工具,来最大程度地将安全隐患消灭于萌芽状态。

1.移动设备安全管理

移动设备的无序使用是造成企业信息泄露,企业网络感染病毒、遭遇黑客木马攻击的主要原因,除了禁止移动设备公私混用、增强员工安全意识等行政管理手段,安装使用移动设备安全管理工具,则是最直接、最有效的途径。

●USB安全存储专家

USB安全存储专家(USSE)(下载地址:http://download.pchome.net/system/sysenhance/detail-20016.html)是一款针对中小企业数据信息安全进行严格控制而开发的集USB端口屏蔽、USB端口控制、实时监控于一体的移动设备安全管控系统。它能够通过相关协议在Windows系统底层对USB存储设备进行读写控制,彻底杜绝信息从USB端口泄露,大大提高了企业信息安全系数,同时也能有效控制病毒通过USB存储设备传播。

1)在企业管理端运行USSE,首先点击左侧工具栏中的“设备注册与管理”,在接下来的页面中,将需要在企业内部使用的存储设备插入,然后点击“注册设备”按钮,如图1所示。

36-a12-1-1.jpg
图1

2)在接下来弹出的窗口中,填写注册信息,这里建议选择“序列号”注册模式,并对U盘进行加密处理。另外,详细填写设备注

36-a12-1-2.jpg
图2

3)注册完毕,接下来就是移动设备的安全管理了。点击“安全设置”选项,在接下来的窗口中,将“未注册的USB设备”、“非标准的USB存储设备权限”、“未注册USB光驱”全部设置为“阻止”,这样员工个人的移动设备就无法在企业内部使用了,如图3所示。

36-a12-1-3.jpg
图3

4)企业还可以通过“文件备份”、“文件复制控制”进一步设置文件的使用,允许哪些文件可以复制,哪些不可以,从而为重要机密文档提供更高的保护。

5)除此之外,该程序还允许企业对IEEE1394、蓝牙、无线网卡等设备进行控制。点击“设备启用与禁用”选项,然后在右侧的窗口中,就可以禁用或启用相关设备了,如图4所示。

36-a12-1-4.jpg
图4

●迅影加密王U盘加密软件1.4+365USB锁

对于一些不具备条件购买商业移动设备管理工具的小企业、微型企业等,可以借助一些简单的工具进行管理,如果组合得当,效果也不错。在这里推荐使用迅影加密王U盘加密软件 1.4(下载地址:http://www.newhua.com/soft/113635.htm)+365USB锁(下载地址:http://www.newhua.com/softdown/101578_2.htm)。

迅影加密王可以在移动设备上生成一个高强度加密区(AES256位),据官方介绍,经过美国军方测试,这种加密方式,全世界所有个人计算机加起来,暴力破解要1万年。

启动软件之初,软件会要求在移动设备上创建一个“保险柜”,按要求进行“保险柜”的创建,可以自行设定空间,也可以直接选择全部空间,同时要设置自己的密码并牢记,如图5所示。

36-a12-1-5.jpg
图5

创建完毕,当要打开加密区时,需要凭预先设置的密码才能打开,然后会自动映射成Windows的Z盘,完全可以无障碍使用。

迅影加密王可以保证移动设备上的信息不被泄露,365USB锁则通过对USB接口单向只读控制,防止电脑上的机密信息被移动设备窃取。同时可以禁止各种方式的上网活动,包括用3G卡上网,这样别有用心之人就无法通过无线网络发送企业机密信息了,如图6所示。

36-a12-1-6.jpg
图6

2.移动设备病毒防范

移动设备现如今已经成为病毒和木马的主要载体和传染源,移动设备在企业内网中的使用,往往会造成企业终端甚至是网络被病毒感染。特别是一些摆渡木马,可以神不知鬼不觉地将企业机密数据偷窃出去,因此对病毒的防范同样是企业移动设备安全管理的重要环节。对于中小企业,我们推荐使用趋势科技中小企业网络版6.0+360安全卫士企业定制版加以防护。

趋势科技中小企业网络版6.0需要购买使用,而360安全卫士企业定制版则是终身免费使用的,对于有需要的中小企业,可以从http://b.360.cn/下载。在服务器端安装完毕后,为保证企业内部的其他计算机终端能够下载客户端,应首先修改一下端口,将默认的“80”端口修改为网络未使用的端口,如“8080”。企业的电脑终端就可以通过IP+端口访问360服务器端,来下载安装客户端程序。

网络安装部署完毕,就可以进行全网杀毒、修复漏洞等安全防范工作。在主界面上点击“内网体检”,可以全网扫描。

点击“修复危险项”按钮,在接下来的页面中可以查看各个终端电脑是否确实存在安全威胁,并进行快速修复;而“修复漏洞”选项则可以修复内网中所有终端上存在的漏洞,这样企业内网才能筑好篱笆,不会因有存在的蚁穴而门户大开。

除此之外,IT管理部门还可以从“工具大全”中,选择安装“数据伞电脑监控软件”工具,这样可以监控企业数据流向,防止外部移动设备非正常访问企业内部数据,从而确保数据安全。终端用户也可以从“工具大全”中选择“木马防火墙”,然后启用“U盘防火墙”,来防止U盘病毒对企业内网的伤害,如图7所示。

36-a12-1-8.jpg
图7

大中型企业移动存储设备安全解决之道

大中型企业不同于小型企业,它们在某一领域往往都有自己的绝对优势和技术知识产权,对于工作于企业内部的移动设备,往往要求绝对的安全,不容出现一丝一毫的差错。因此,普通简单的加密、端口控制等手段以及传统的边界及防火墙等手段都无法满足企业全面防护的要求,而数据泄露防护系统DLP正越来越受到大中型企业用户的青睐,并正发挥着积极的作用。一套完整的DLP方案可从终端防护、存储磁盘、文件全面管理、版权管理以及U盘、外设端口控制、网页信息保护、即时通信拦截等多个方面为企业提供全方位的、贴身的信息安全保护。

专业的DLP数据泄露防护产品,国外有赛门铁克(Symantec)、迈克菲(McAFee)、RSA、Websense、趋势科技等产品品牌,国内有虹安Heimdall DLP防泄密软件系列、亿赛通数据泄露防护系列等产品。下面以亿赛通为例,介绍一下企业信息安全的防护原理及实施过程。

1.文档安全管理系统CDG

CDG是针对企业内部各业务部门差异化的安全管理需求,通过强制加密与主动加密授权相结合的方式,保护文档全生命周期安全,实现重要信息安全流转,防止重要信息泄露和扩散的综合解决方案。可以完美做到事前主动防御、事中灵活控制、事后全面追踪,做到实时、透明加密,既不影响员工工作效率,不改变工作习惯,又可有效防止内部员工通过邮件、MSN、QQ、FTP下载等网络端口发送重要文档,防止非法人员利用复制、拖曳、拷屏、打印、另存为、剪贴板盗取和内存窃取等手段盗取文档内容。

2.磁盘全盘加密系统

DiskSec采用国内最先进的磁盘级动态加解密技术,通过拦截操作系统或应用软件对磁盘数据的读写请求,实现对全盘数据的实时加解密,从而保护磁盘中所有文件的存储和使用安全,避免因便携终端或移动设备丢失、存储设备报废和维修所带来的数据泄密风险,如图8所示。

36-a12-1-10.jpg
图8

3.终端设备管理系统

U盘、移动硬盘、手机、数码相机、摄像机、iPod、MP3/MP4、PDA、CF/MD/SD/Flash Disk等移动存储介质,为企业信息资源带来了相当大的安全隐患。

AniSEC可防止计算机丢失、盗用、失窃等带来的硬盘数据泄密情况发生,是结合用户身份认证、权限控制、端口管理、光盘加密和日志审计等功能的软件产品,可实现涉密终端的安全管控。通过对移动设备的访问控制与注册授权,实现非注册移动设备接入内网计算机上不能使用,内网专用移动设备接入非内网计算机上不能使用。数据始终以密文形式存储在专用移动设备上,非授权用户不能解密,保证涉密移动设备丢失后不会造成泄密事故,如图9所示。

36-a12-1-11.jpg
图9

手持移动设备安全解决之道

时至今日,手持移动应用的浪潮正以不可遏止的趋势席卷全球。各行各业的企业移动员工通过智能手机等移动设备在不同的地点自由移动,他们使用移动设备发送电子邮件、安排会议、访问最及时的客户信息以及获得快速批复,从而推进业务流程。

手持移动设备的广泛应用,使得企业数据广泛散布于移动网络中,包括iOS、Android、Windows Phone以及BlackBerry等平台的智能手机和平板电脑。由于企业数据存在形式的多样化和移动应用的自由性,使得企业的很多敏感信息和专有数据暴露在企业中心的防火墙之外。企业往往只能将这些关键资产的管理和保护留给终端用户来负责,而他们中的绝大多数既非安全高手,也不是管理方面的专家。 越来越多的企业已经深刻认识到手持移动设备的安全性面临极大问题,而能够降低风险、安全可靠的移动管理软件就成为企业的首选。

Sybase推出的移动设备管理和安全解决方案——Afaria,是企业移动领域的公认安全解决方案。借助这一解决方案,员工可通过智能手机或其它移动设备访问企业信息网络,存取数据。IT管理部门能够通过一个统一的控制台全面地管理和控制所有的移动设备、数据和应用程序,满足严格的企业安全标准的同时并确保其安全。

存储于移动设备上的数据和内容经过加密备份,IT管理部门能够锁定并擦除失窃或遗失设备上的数据。即使在设备离线或SIM卡被替换的情况下,也能够确保其中的重要数据继续受到安全保护。Afaria 提供了简单而有效地解决复杂管理任务的工具,IT 管理部门可以对配置的各种设备和应用程序施加完全控制,可以添加、更新或删除应用程序、数据和内容,而不需要用户干预,可确保移动员工在现场获得正确的软件和数据,所有管理活动都在后台进行,不会干扰用户的正常使用,其体系结构图如图10所示。

36-a12-1-12.jpg
图10

企业云存储和云办公平台解析

前几年还在纸上谈兵的云存储、云办公,通过技术的慢慢演进,正在飞入寻常百姓家,并有燎原之势。作为新兴的IT技术,在极大地给企业移动办公带来方便的同时,安全威胁随之出现。

1.走近云存储平台

所谓云存储,是在云计算基础上衍生和发展起来的一个新的概念,它是指由多个存储设备组成,通过集群应用、网格技术或分布式文件系统等功能联合起来协同工作,共同对外提供数据存储和业务访问功能的系统。云存储是一个以数据存储和管理为核心的云计算系统,其网络结构图如图11所示。

36-a12-1-13.jpg
图11

与传统的存储设备相比,云存储不仅仅是一个硬件,更是一个由网络设备、存储设备、服务器、应用软件、公用访问接口、接入网和客户端程序等多个部分组成的复杂系统。各部分以存储设备为核心,通过应用软件来对外提供数据存储和业务访问服务。

●Google云存储

http://code.google.com/intl/zh-CN/apis/storage/docs/signup.html

Google提供最高可达16TB的存储空间和20000首歌曲的存储量,Google没有固定的空间限制,而是通过Gmail、文档、Picasa像册等各个产品来约束空间,提供一个免费配额,一旦超过这个数字用户就要付费。此外用户还可以通过Music Beta存储20000首歌曲文件。在2011年12月31日之前可以免费申请体验5GB的存储空间和25Gbps的带宽。

●Dropbox 云存储

https://www.dropbox.com/

Dropbox提供了2GB的免费云存储空间,如果你向朋友成功推荐了这款服务的话,那存储空间就可以扩充到16GB。

●iCloud云存储

http://www.apple.com.cn/icloud/

苹果公司的云存储平台提供5GB免费空间,可存储邮件、联系人、日历、设备备份。此外苹果还提供了单独存储照片和视频的空间,可存储1000张照片和iOS设备拍摄的视频,时间为30天。

●DBank云存储

http://www.dbank.com/

DBank由华为出品,是目前国内唯一一款由大公司推出的同步云存储服务产品,5GB空间,缺点是只能同步一个文件夹,而不是任由用户选择,这一点还不是很人性化。

●够快云存储

http://www.gokuai.com

它属于分享式云存储服务,8GB空间,永久免费存储。

2.走近云办公平台

用“小荷才露尖尖角”来形容云办公是最贴切的了,上海电信、浙江铁通、中国银行、联想集团等大型企业用户已经在使用云办公平台,但是,还有更多的企业用户对此抱着观望态度。

尽管易度云办公、千脑办公、今目标企业工作平台、网易有道等都在竭力倡导云办公,但是云办公并未在国内得到蓬勃的发展,究其原因是企业用户还存在办公意识的转换问题,对云办公这一新生事物还比较陌生。陌生也好,观望也罢,云办公毕竟来了,而且肯定是未来办公发展的趋势。

●Office 365

http://www.microsoft.com/zh-sg/office365/online-software.aspx

微软新一代的云计算办公软件产品,集成了Microsoft Office、SharePoint Online、Exchange Online和在线Lync等产品,形成了一个实时更新的云服务,可供用户包月订阅使用,企业用户每人每月费用为6美元,如图12所示。

36-a12-1-15.jpg
图12

●Google Apps

http://www.google.com/apps/intl/zh-CN/business/index.html

Google Apps是谷歌推出的云办公平台,可以方便地进行文字处理、使用Gmail、Google 文档以及协同办公,每位用户每年只需要50 美元,现在总共拥有3000万活跃用户。

●易度云办公

http://everydo.com/

易度提出了办公平台DIY的概念,整个平台可由企业按需选配组装而成,整个易度办公平台的应用来源包括基础办公套件、在线应用仓库和自行定制三部分,满足企业日常的办公需求,如图13。

36-a12-1-16.jpg
图13

3.云时代企业所面临的安全问题

企业在逐步漫步云端,尽享云计算带来的方便与快捷的同时,安全问题也不可避免地摆在了企业用户的面前。

企业用户存放于云端的数据安全吗?企业用户在云端办公的过程中会被偷窥吗?存储的文档安全有保障吗?这样的疑问制约着云办公平台的普及。这种担心是有道理的,放眼整个云计算市场,似乎缺少一种统一而又权威的标准来衡量安全问题,也没有具体的措施来约束云平台提供商,万一出现了数据丢失问题,该由谁来承担或者说由谁来评定信息损失的价值呢?云服务商能否保证自己的员工也无法接触高度机密的信息而形成绝对安全呢?托管服务提供商在公司数据中心以外的地方共享基础设施和数据计算时的失误如何避免?如果企业在使用云平台时,遇到网络故障怎么办?数据如何存储和收发?所有这些疑难问题到目前为止依然存在于云计算的应用中,等待着更稳妥的解决方案。

云存储和云办公服务固然方便,可是如果以“命根子”一样的企业数据作为代价,这种方便的服务不享用也罢。因此,在云计算安全问题没有彻底解决的前提下,企业要拥抱云计算还是谨慎一点为好。