诸如智能手机等移动计算设备很“便携贴身”，所以它们是如此的受欢迎。随着移动设备功能的增强，可用功能也不断有所增加，处理更多与工作有关的任务的能力也得到了提高。借助更大的处理能力，可以通过移动设备访问越来越多的数据，当然也包括工作数据。无论雇主还是雇员都可以通过移动计算设备访问数据。效率的提高包括跟踪员工的工时、与员工共享文档、跟踪库存等等。一份移动工作调查报告显示：由于使用了移动计算设备，接受调查的组织机构中有68％改善了与不同位置的同事们之间的沟通。此外，有57％的被调查者认为员工的生产率获得了提高，有53％的被调查者表示移动计算设备的使用还可以改善客户服务。

对于所有组织机构来说，尽管提高通信效率、提高生产率和提高客户服务水平都是很好的事情，但是也不能忽视移动访问敏感数据所存在的危险。对此，昆明亭长朗然科技有限公司移动安全研究员James Dong举例说：通过移动方式访问数据意味着新增加一个可能遭受攻击的访问点。无论移动设备是由员工、承包商还是雇主所有，其访问的数据都有落入错误人员之手的风险。时常有新闻报道称员工弄丢了移动计算设备，它们中包含了诸如移动支付钱包、通信内容等个人或工作单位的大量财产和敏感信息。

那么，如何搞好移动计算安全，保护好信息资产的安全呢？让我们继续看看业界的实践情况。调查显示：23％的受访机构制定了移动安全管理政策，35％的受访机构部署了移动设备管理系统，而67％的受访机构制定了员工安全培训计划，尽管如此，有75％的受访人员表示安全性仍然是实施移动计算的最大障碍。

没错，安全管理从政策的制定开始，允许使用移动设备访问数据，需要制定移动安全策略，并制定相应的程序和监管措施，以确保数据安全。那么，为什么有的组织机构并不积极参与移动计算呢？在党和政府看来，安全和保密是主要因素。在公司企业看来，尽管沟通效率和生产率及客服水平可以提高，但是安全威胁却没有减小，要保障移动计算安全的成本投入却高到难以接受。但是，移动计算的到来已势不可挡，并由个人消费市场逐渐渗透和蔓延至政企市场。因此，忽视和躲避移动计算的到来将无济于事，要么伤害数据安全与信息保密、要么伤害通信效率与生产力。只有行动起来，积极推进移动安全，制定适当的移动计算安全政策，有条件地开放移动设备的使用，认识到这一点至关重要。

政府和企业都不愿意黑客、竞争对手或其他任何人访问其敏感数据。领先的企业已经制定了确保数据安全的政策和程序，工信部等政府机构也不断加强移动设备的安全监管。当然，大型组织仍然面临着大规模的安全挑战，为应对挑战，适当的监视和跟踪工具被部署实施。以下是大型组织经常使用的移动安全管理工具功能分布：

• 45％多重身份验证
• 56％加密
• 59％安全的远程连接
• 38％远程锁定和擦除

关于数据安全性的要求和执行，依赖管理和监视应用程序的安全程序，更需要所有用户的理解认可和行动支持。因此，公司的移动安全成功，取决于移动设备的使用者，也就是员工们，所以与用户和管理员们的安全意识沟通非常重要。首先，向所有用户和管理员提供移动安全相关的培训和教育，使他们知道如何正确访问和保护数据。其次，万一发生数据泄露或安全违规情况，用户需要及时报告，数据所有者需要知道如何处理。

总结来说，在移动计算不可避免地越来越多进入工作场所之时，我们要使用正确的战略应对方法，记住：要管理控制是数据的安全性，而不是计算设备。各类型的雇主都需要制定政策来控制和保护敏感的移动数据。适当的移动设备安全管理程序和技术可以使雇主享受到员工移动化工作的好处，从而提高客户满意度和工作效率。当然，所有这一些的实现，都少不了对雇员们进行移动设备安全使用的教育和培训，雇员们是移动设备的使用者，他们需要理解移动计算风险的应对措施，并保持谨慎小心的保护敏感数据。昆明亭长朗然科技有限公司专注于帮助各类型的客户向职员们提供安全、保密与合规等方面的培训与教育，如果您需要我们帮忙策划安全意识宣传活动，或者需要高质量的安全保密宣教内容，请不要客气地联系我们。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

近年来，针对各类型机构，不法分子实施了大量的网络攻击，包括身份盗窃和传播破坏性恶意软件，这些攻击带来了严重的风险。犯罪分子通过窃取用户名、密码和电子邮箱，并使用该用户身份标识对系统进行身份验证或窃取系统访问权限。每种系统权限的失窃都会带来不同的风险，从利用账户信息进行进一步的商业财务欺诈、知识产权等敏感信息盗窃，到使用员工身份访问内部系统进行系统破坏或修改、或对机构的内部数据进行篡改或损毁。对此，昆明亭长朗然科技有限公司网络安全研究员董志军称：其实，我们从大量安全事件的调查响应情况来看，追查到底，类似机密信息失窃、钱财被骗走等等的根本原因往往都是账户被黑客入侵了，或者系统由于感染了病毒、木马等恶意软件而被黑客远程操控了。当然，我们不排除某些系统在设计和开发方面存在安全弱点，被技艺高超的黑客发现而利用。不过，由于所谓的“零日漏洞”所造成的安全事故其实非常少，大部分由于系统软件或应用程序的安全弱点所造成的安全事故，还是由于管理员或用户们没有及时安装安全更新（补丁）的原因。

因此，各类型的组织机构需要使用科学的技术方法，从而减轻各种信息技术风险，这些技术包括持续的信息安全风险评估、安全监控、定期对关键系统的控制措施实施测试、以及为员工提供安全意识和培训计划。

传统上，组织机构依靠IT专家来专门处理网络安全问题，不过这个“技术保障安全”的时代已经结束，在新时期，网络安全上升到管理层面，管理层必须采取必要的措施，以确保在网络攻击后迅速恢复、重启和维护机构的运营。

那么，该如何减轻风险？董志军表示：组织机构应设计多层安全控制措施，以建立多道安全防线，并考虑诸如下列的行动步骤：

信息安全风险评估。组织机构应该持续进行安全性的评估，以应对新出现的和不断发展的威胁。识别、确定、分级并评估关键系统的风险，重点在于识别出包括对各种控制系统以及其他安全和防欺诈措施的应用程序的威胁。第三方服务提供商也应接受对其安全控制措施的定期测试，并有责任和义务在出现安全问题时提交安全事件报告。

安全监控、预防和风险处置。组织机构应首先建立基准环境，以使其能够检测异常行为，并监视防护和检测系统，以及随后的防火墙访问控制系统。同时，还应根据需要进行渗透测试和漏洞扫描，并迅速管理漏洞。

访问权限管理控制。为了降低风险，组织机构应限制特权用户账号的数量，并定期进行审核以确保访问权限适合工作职能的需要。同时，应该为不活动的账号建立严格的到期期限，并为基于Web的网络应用设立多因素协议身份验证规则。此外，提供用于远程访问系统的安全连接并设置默认密码的修改策略和密码的使用期限策略也将有所帮助。

关键系统的控制。组织机构应定期检查和测试关键系统的适当控制措施（例如访问控制、职责分离和欺诈检测系统），并在必要时将结果报告给高级管理层和董事会。传输和存储中的数据都应进行加密，并且在超过尝试次数阈值后限制并锁定对关键系统的登录。

安全意识和培训。在整个组织机构范围内，进行定期的和强制性的信息安全意识培训，包括如何识别和防止成功的网络钓鱼企图。要让员工们理解并接受信息安全要求，需确保安全意识培训能够反映员工们的安全角色和职责。

参与安全情报信息共享。由于威胁和手法可能会快速变化，因此参加诸如安全前线之类的博客、论坛、公众号等威胁情报发布渠道，组织机构可以提高识别攻击手法并成功缓解新型网络攻击的能力。

在此要补充声明，组织机构应特别注意破坏性恶意软件的危害，员工下载附件、连接外部驱动器或访问受感染的网站都可能会将破坏性恶意软件引入系统。组织机构的管理人员应维持足够的业务连续性计划流程，以确保在涉及破坏性恶意软件的网络攻击后，组织机构的业务能够快速恢复、重启和维护。

如果组织机构或其关键服务提供商成为此类网络攻击的受害者，则组织机构应制定适当的流程来恢复数据和业务运营，并解决网络功能重建和数据恢复的问题。这应该包括保护离线数据备份不受破坏性恶意软件攻击的能力。

总之，数十年来，尽管信息技术自身不断演变并带来了各种新的变化，但是信息安全管理手法无甚新招。尽管如此，仍然有不少信息安全人员以及管理层对这些知之甚少，所以有必要再次回顾这些信息安全管理的科学方法，从风险管理的角度实施关键的安全管控措施。话说回来，对于很多网络安全专业人员来讲，动动嘴皮容易，道理也很容易懂，然而，真正能做好安全管理工作落实的，却总是那么的稀少。如果您对本文所倡导的信息安全科学管理方法有意见或建议，欢迎不要客气地联系我们。如果您有安全意识和培训方面的需求或想法，更欢迎您联系我们，洽谈业务合作机会。

• 电话：0871-67122372
• 微信：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898