随着移动信息化的出现,今天的企业员工可以利用手机、PDA、笔记本这样的移动通讯终端来实现在互联网平台上进行的无线化管理、电子商务交易。人们可以在任何地方、任何时间实现任何事情,实时准确获得单位经营运作信息,而再没有固定线缆的束缚和限制。
应该说,移动信息化为行业客户提供了量身定做的信息化解决方案和“一点接入、全网服务、一点结算”的服务,这将大大降低用户单位的经营管理成本,快速提高用户单位市场响应力,显著增强其综合竞争力。
因此信息化是推进经济社会发展的重要工具,而网络安全又是发挥信息化效用的根本保障。然而勿庸讳言,目前国内移动信息化目前仍存在不少问题与困局,其中最大问题之一就是安全问题。安全问题始终是移动信息化一个难解的心结,移动信息化需要特别关注无线数据通道的安全性问题。
去年9月一个名叫Phage的病毒在欧美爆发肆虐,引起一阵恐慌。Phage将攻击目标设定为Palm OS。Phage专门攻击Palm掌上电脑操作系统并使其感染,导致了许多手机程序均被破坏。更有甚者Phage还会尝试禁用并删除移动设备上的所有数据,使欧美许多手机用户、企业无线网络受损严重。
此后,一个名为Timofoniac的蠕虫通过电子邮件快速蔓延,并进入西班牙的蜂窝电话网络,经常自动拨打恶作剧电话并在电话上留下文本消息。对此专家预测未来会有更多的病毒和蠕虫蔓延到手机等移动设备。
笔者的看法是,在当前环境下,企业无线应用的普及程度逐渐提高,但很多企业的安全防御手段仍然无法跟上,因此仍需练好内功。这主要包括了五个方面的内容。
第一,做好信息安全管理和审查,设定单一控制台集中管理所有桌面电脑、笔记本电脑、手持设备和U盘的安全政策,无缝、自动地加密所有移动端点和外部介质上的敏感数据,确保单位数据安全。同时,企业的网管人员需要提供用户验证、受控制的端口访问及应用限制措施,并针对丢失或者失窃的设备执行数据控制,以防损失进一步扩大。
第二,对无线访问的内部网页进行安全性认证,在实网络环境中加强防火墙、入侵侦测和弱点扫描,使用户单位交易内部的主机得到完全的保护,以确保资料安全以及人员存取合法与保密。此外,企业需要提供对数字证书的加密管理,以准确判断WLAN是否有入侵以及数据包中是否隐藏病毒。另外,针对移动的特性,可通过VPN来解决移动上网中的安全问题。
第三,构建企业的移动数据安全防护系统。系统需要能够自动检测、审查及控制连接到网络上的所有移动端点——包括未经许可的端点。系统应该支持简易、全面的移动安全部署,针对整个环境有选择地自动执行保护机制,防范有人未经授权就访问多用户操作系统,同时数据恢复要既快速又可靠。
第四,移动数据安全系统需要提供自动、实时的安全政策和软件更新,确保迅速堵住安全漏洞、符合法规以及保证移动员工的工作效率,并针对加密数据的访问与针对操作系统的访问应互相隔离。同时,整套系统需要为移动安全的控制、审查及报告提供单一管理控制台,并可在各种类型的移动和外部存储设备上使用,管理员能针对所有移动端点进行控制、自动执行及更新安全政策。
第五,对于移动运营商而言,今后除了对短信SP的资质审查上要加大力度之外,不断升级其信息传输网络的安全性也十分重要。对于移动商务服务商而言,应不断增强保证客户信息安全的责任意识,为用户单位提供成熟的产品及方案,并不断进行安全测试及功能升级,让用户单位能真正用得安心。
当然,在设计无线设备的安全防护时一定要考虑无线网络通信的特点和限制,不能照搬传统桌面电脑的经验和技术。
总的来看,移动信息化安全防护必须是具有战略性的、涵盖整个用户单位,任何安全解决方案必须能处理移动数据安全的所有部分,同时让用户能够随时随地工作,并尽量减小用户单位面临的风险、降低总体拥有成本,提高用户工作效率与竞争力。
【编辑推荐】