移动计算及云计算时代的安全问题探讨

您所在的工作机构是否允许员工使用私人平板电脑或智能手机工作,以便其可以随时随地与办公室保持联系呢?如果答案是确定的,则说明是在顺应大势,紧随潮流。当然,如果答案是否定的,必定是对安全、保密及合规有深深的顾虑,也是可以获得理解和认可的。

私人设备允许员工在家中或路上灵活工作,从而使工作单位受益。虽然一些企业通过发放用于工作的移动设备来实现这一目标,但我相信这种做法将会减弱。千禧一代的年轻人对携带两台移动设备的概念不太能够接受或容忍,并且在使用单个设备进行个人和商业通信时更加舒适和高效。对此,昆明亭长朗然科技有限公司网络安全观察员董志军表示:移动计算与云计算的替代性越来越完善,当计算终端越来越普及,直到无处不在,随时随地可以连接到云服务之时,组织机构已经没有必要分发终端计算设备了,这些计算设备资产本身不值钱。因此,精明的公司将满足员工使用自己私有设备工作的愿望,包括允许他们使用安卓、iOS、Windows或其他任何移动平台或操作系统。

不过,世事都有两面,毫无疑问,从各种私人设备访问工作单位的数据,都会增加安全漏洞的风险,无论是来自黑客攻击,还是员工在不知不觉中下载的恶意软件和病毒。该如何兴利除弊呢?制定关于正当使用移动设备的政策,并向员工强调说明该如何保护驻留在员工的平板电脑或智能手机上的工作信息。

总之,允许员工在世界任何地方工作,可以带来很多好处,也有一些安全泄密隐患。通过一些安全管控方面的作为,可以使远程工作的体验变得既高效又安全。当然,所有的作为,都需要获得员工们的理解和支持。毕竟,员工们是移动工作的主体,移动计算设备是移动工具,端点安全是组织中普遍关心的问题,安全团队应该更广泛地考虑如何保护好终端的信息数据。

诚然,私有计算设备属于员工的资产,如果不关注终端设备保护,终端设备可能成为黑客或病毒等网络威胁进入企业网络、窃取关键信息的跳板;如果只关注设备保护而不是信息数据保护,那么工作单位就面临着巨大的人为因素造成信息失窃的风险。

当下,随着越来越多的设备上线,企业及其信息面临的风险不断增加。估计每年有百亿台配备微控制器的设备被部署在电器、设备和玩具中,这个数字还会不断增长,“高度安全”的物联网设备需要许多设备不具备的属性:基于证书的身份验证、自动安全更新、硬件信任根、防止代码错误的计算基础等等。

同时,云计算正在加速公司收集、处理、存储和使用信息的方式。随着公司过渡到混合基础架构,公司的数据在基于云的系统和本地系统中移动,无疑应该评估他们的端点安全策略,以确保数据在其所在的位置受到保护。身份保护是防范威胁的关键组成部分,企业级组织应通过启用双因素身份验证以减少攻击面、监控和处理安全警报以及使用基于风险的条件访问等解决方案自动修复威胁来增强用户的身份核验。

企业级组织机构必须保护数据在使用、传输和存储等多个生命周期状态下的安全,必须在敏感数据进入环境时对其进行发现和分类,根据策略应用保护,监控和修复威胁,并在数据在整个组织中传输时保持合规性,然后再报废和删除。这些安全控制过程有的可能由信息安全部门独自完成,然而,亦有很大部分需要得到终端用户的理解和支持。毕竟,员工们是信息系统的使用者,是信息数据的创建者和使用者。也就是说,组织机构应通过跨身份、设备、应用程序和数据以及基础设施的可见性、控制和指导来建立其安全态势,以管理其整个组织的安全策略并随着时间的推移改进安全实践。职工们有责任正当使用移动设备,无论是单位派发的,还是私人所有的。这就需要组织机构加强与职员们之间的安全沟通与培训。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

防病毒理念并非深入人心

自从厉害的黑客制造出电脑病毒的那一天起,防病毒产业就没有消停过,在计算终端方面,不仅适用于各类操作系统的单机版产品不断问世,越来越多的附加安全功能使防病毒软件变身为互联网安全套件。企业用户更是钟爱有强大管理功能的网络版软件,针对各类服务器和网络应用系统的特别版本也深受喜爱,因为它们能够携手终端防病毒,共同建立更为全面的防毒体系。移动互联网和云计算时代,面向移动设备的防病毒产品更是在进行信息安全界市场重新洗牌,基于云杀毒的创新技术和应用可以节约终端的宝贵计算资源……

不过,人们早已经不在关注某款防病毒的功效如何,以及有什么神奇的领先技术,如今厂商再夸夸其谈防病毒软件整合了多少个核心杀毒引擎,有何种神奇的识别未知病毒的能力,人们只会笑而不答,心中暗想:吹牛吹破天有什么意义?防病毒就防病毒,几亿国人都在用免费的绿色产品,网络版也都开始不要钱了……

安装了防病毒之后的故事则更为悲摧,让机器越跑越慢不说,最麻烦的是查杀不了电脑中的病毒,却造成了机密资料外泄甚至招致黑客诈骗。更有许多用户报怨防病毒程序毁坏了不少辛辛苦苦制作的文档,使之无法恢复,而安装了防病毒软件之后一些主要的应用软件失灵或无法正常使用更是家常便饭。

还有一项和国情密切相关的是大量的家庭和个人用户并不愿在操作系统和主流应用软件上面花钱,他们宁可随大众去观看一些充斥着广告的免费视频、或通过傻瓜式的导航网站去凑凑热闹,也不愿有独立的思维和行动去探索互联网,更不会使用简单的操作来收藏钟爱的站点,可以说这是一群又懒惰又蠢笨的网民。黑客不断挖掘着软件系统的安全漏洞,安装安全补丁超越防病毒软件成为保障终端安全的必备工作,利欲熏心的软件厂商才不愿保护盗版软件使用者,他们在软件更新过程中设置正版校验,让这些网民的最基本的安全需求无法得到满足,企图来逼迫他们购买正版。在正常的商业环境之下,消费者可以选择花钱买正版,或转而使用具有竞争性的替代产品,然而这是一片未开化的世外桃园,几个没有正面思维的程序员想借助拯救世人的契机发大财,他们开发出了一种升级功能,可以帮助盗版用户越过微软更新时的正版校验而实现补丁的顺利安装,最终让纯朴的网民上了他们的当,并且帮助软件程序员们组建了巨大的僵尸网络,并且由屌丝华丽变身为高富帅。

软件程序员们想让这些纯朴的网民们永远沉迷其中而便永久免费利用他们的计算资源为自己生财,所以不会告诉他们真相,便让这些网民一直不舍得丢弃用了近十年的XP系统,进一步造成IT消费萎缩,严重影响了信息产业的健康发展,国际大型IT厂商纷纷裁员便是例证。

不过,尽管水火两重天,劣币驱赶良币,那一批软件程序员们不断扩大着自己的队伍,他们要建立一个强大的产业链条,以便能巩固和强化自己的利益,抢占互联网入口是保障广告收入来源的第一战略,于是接二连三的出现了各种网络浏览器,有不少软件程序员们也看到了移动互联网的来临,甚至打起了做手机的主意,他们并不是想真心做手机,而是想通过软件控制手机终端。

再回到防病毒,实际上安全行业内的人都知道,多数防病毒软件就是个界面,核心技术如引擎和病毒代码都由世界上少数几家所维护和控制。未掌握核心技术的厂家有两条关键战略:一是加强市场宣传,二是加强技术服务,实施这两条战略的结果就是吸引和绑住用户。

太多悲摧的防病毒故事使稍有些安全意识的人们开始觉醒,他们果断放弃了各类防病毒软件,而让电脑“裸奔”,“裸奔”总比被人挟持要好吧!不过“裸奔”的代价是隐私没有保护,人们已经不在乎什么隐私了,他们情愿把电脑当成游戏机,心想电脑上的东西都来自互联网,也应该归属于互联网,如果黑客足够厉害,都可以来玩儿,只要我不用电脑来跑钱,谁能偷走我的帐户?

安全专家可能对此不赞同,在他们眼中,无论如何防病毒是最基本的安全保障,除非你是技术极客。这些安全专家没有经历过被“挟持”的灾难,也没有太多悲摧的故事,所以理解不了这些行为也罢了。安全专家的想法也有些道理:上网的过程实际上是各类文件流向终端电脑的过程,这些文件中可能有些是不安全的,需要被过滤,不管是邮件附件还是网页插件。

的确,防病毒虽然有其不足之外,会产生漏网之鱼,也可能会错杀误杀,更可能有假冒的防病毒软件——真正的电脑“挟持”者,但是无论如何防病毒软件能够提供最基本的安全保障,它的不足是否能成为禁用或卸载防病毒软件的借口呢?相信不少组织内的信息安全管理人员会遇到这类事情。员工们对防病毒的理解和认识可能大相径庭,安全管理人员需要做的是无非是提高认识,统一思想,而要实现这点,唯有通过有效的安全意识培训。

相信通过适当的安全意识培训之后,安全管理人员在应对员工企图卸载防病毒软件等不安全行为时,也更能更加胸有成竹;而防病毒理念并非深入人心,那些屡教不改的员工,无非是信息安全思想认识没有达到组织统一要求,自然需要更多的关于信息安全基础知识理论的学习和安全意识思想上的帮助。

“看你这安全认识水平,要不要参加一下安全意识培训班啊?”员工们在实际工作中碰到安全问题时经常说着。而负责安全管理的总监经理们见了面总是寒喧:“你那边病毒还泛滥么?员工安全培训最近搞得怎么样啦?”“最近玩什么哪?有什么安全管理方面的创新吗?”“海报那玩艺儿我们几年前就用腻味了,现在已经用了电子学习课件了呢。”