移动计算及云计算时代的安全问题探讨

您所在的工作机构是否允许员工使用私人平板电脑或智能手机工作,以便其可以随时随地与办公室保持联系呢?如果答案是确定的,则说明是在顺应大势,紧随潮流。当然,如果答案是否定的,必定是对安全、保密及合规有深深的顾虑,也是可以获得理解和认可的。

私人设备允许员工在家中或路上灵活工作,从而使工作单位受益。虽然一些企业通过发放用于工作的移动设备来实现这一目标,但我相信这种做法将会减弱。千禧一代的年轻人对携带两台移动设备的概念不太能够接受或容忍,并且在使用单个设备进行个人和商业通信时更加舒适和高效。对此,昆明亭长朗然科技有限公司网络安全观察员董志军表示:移动计算与云计算的替代性越来越完善,当计算终端越来越普及,直到无处不在,随时随地可以连接到云服务之时,组织机构已经没有必要分发终端计算设备了,这些计算设备资产本身不值钱。因此,精明的公司将满足员工使用自己私有设备工作的愿望,包括允许他们使用安卓、iOS、Windows或其他任何移动平台或操作系统。

不过,世事都有两面,毫无疑问,从各种私人设备访问工作单位的数据,都会增加安全漏洞的风险,无论是来自黑客攻击,还是员工在不知不觉中下载的恶意软件和病毒。该如何兴利除弊呢?制定关于正当使用移动设备的政策,并向员工强调说明该如何保护驻留在员工的平板电脑或智能手机上的工作信息。

总之,允许员工在世界任何地方工作,可以带来很多好处,也有一些安全泄密隐患。通过一些安全管控方面的作为,可以使远程工作的体验变得既高效又安全。当然,所有的作为,都需要获得员工们的理解和支持。毕竟,员工们是移动工作的主体,移动计算设备是移动工具,端点安全是组织中普遍关心的问题,安全团队应该更广泛地考虑如何保护好终端的信息数据。

诚然,私有计算设备属于员工的资产,如果不关注终端设备保护,终端设备可能成为黑客或病毒等网络威胁进入企业网络、窃取关键信息的跳板;如果只关注设备保护而不是信息数据保护,那么工作单位就面临着巨大的人为因素造成信息失窃的风险。

当下,随着越来越多的设备上线,企业及其信息面临的风险不断增加。估计每年有百亿台配备微控制器的设备被部署在电器、设备和玩具中,这个数字还会不断增长,“高度安全”的物联网设备需要许多设备不具备的属性:基于证书的身份验证、自动安全更新、硬件信任根、防止代码错误的计算基础等等。

同时,云计算正在加速公司收集、处理、存储和使用信息的方式。随着公司过渡到混合基础架构,公司的数据在基于云的系统和本地系统中移动,无疑应该评估他们的端点安全策略,以确保数据在其所在的位置受到保护。身份保护是防范威胁的关键组成部分,企业级组织应通过启用双因素身份验证以减少攻击面、监控和处理安全警报以及使用基于风险的条件访问等解决方案自动修复威胁来增强用户的身份核验。

企业级组织机构必须保护数据在使用、传输和存储等多个生命周期状态下的安全,必须在敏感数据进入环境时对其进行发现和分类,根据策略应用保护,监控和修复威胁,并在数据在整个组织中传输时保持合规性,然后再报废和删除。这些安全控制过程有的可能由信息安全部门独自完成,然而,亦有很大部分需要得到终端用户的理解和支持。毕竟,员工们是信息系统的使用者,是信息数据的创建者和使用者。也就是说,组织机构应通过跨身份、设备、应用程序和数据以及基础设施的可见性、控制和指导来建立其安全态势,以管理其整个组织的安全策略并随着时间的推移改进安全实践。职工们有责任正当使用移动设备,无论是单位派发的,还是私人所有的。这就需要组织机构加强与职员们之间的安全沟通与培训。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

互联网时代的移动工作威胁与安全

移动互联网时代,各个地方的员工都在使用商业网络来连接、协作和访问公司数据。员工们被鼓励使用无线网络和热点等技术。疫情时,会议沟通也是远程完成的。安全加密系统越来越成熟,合同文件可以通过网络进行电子签名,电子邮件几乎可以从任何地方得到回复。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:尽管这可能对员工和用人单位都有好处,但是同时,基于网络的协作必将使工作数据进入了一个多样且难以保护的移动化计算环境中。无疑,移动化的工作安全必成为未来的安全保密工作难点和重点。

尽管IT专业人员在每一步都有考虑数据安全性,并尽最大努力保护我们的网络和设备,但是其他员工也必须谨慎,并意识到我们将数据放置在哪里、如何使用和上传敏感数据。如下,让我们通过一个简单的场景,来认识移动工作要面对的安全威胁,和可能存在的安全隐患。

李莎入职已经三年了,她刚刚得到了一个职位晋升,在结束了一个部门会议后,她回到了自己的办公桌上。她打开笔记本电脑,登录并开始查看工作邮件。这时,旁边座位的一位同事说:“李莎,很高兴您回来了。您能帮我解决这个问题吗?”

乐于助人的李莎立即回答到:“当然可以!”李莎从桌子站上起来。李莎急于帮助同事,却忘了锁上笔记本电脑。她离开自己的小隔间,让笔记本电脑处于视线之外。这使得李莎的电脑对过路人员的攻击敞开了大门。

对此,很多人觉得不就是暂时忘记锁屏幕了吗?需知:仅仅因为您的设备处于打开状态,当未经授权的用户能够访问您的会话时,就会发生过路人员攻击。一旦有人进入您的会话,带来破坏的可能性是无限大的。

此外,我们需要能够识别常见工作场所的安全风险,包括但不限于网络嗅探、社会工程、钓鱼诈骗和数据盗窃。当然,我们还需要一些关键的安全控制措施,这些措施可用于缓解现代工作场所中最常见的一些攻击。

有一些安全保密措施,可以应对这些威胁,然而,人员的安全意识始终不可或缺,毕竟,用户是信息的创建者、使用者,同时用户也是信息,用户的认知和行为安全与信息安全必不可分。而要实现这一切,只有不断强化用户的信息安全意识教育。员工们拥有越充分的网络安全及信息保密意识,潜在的内部危险将越来越少。昆明亭长朗然科技有限公司设计了大量的信息安全与保密意识宣传教育课程内容,欢迎有兴趣和需求的客户联系我们,预览作品和进行选择使用。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898