2009年元月中国发放了3G牌照,这是近来众多企业和媒体喧哗的热点。的确,借助3G移动高速网络和Wi-Fi功能,我们不必随身携带笔记本电脑也可以保持在线,也可以检查我们的电子邮件,访问我们的业务系统等,在经济的冬天里这无疑是众多企业增强竞争力的一把利器。
现在的3G智能手机功能越来越强大,其性能可以等同于前几年的台式计算机。目前,企业移动应用中几乎所有的电话业务、数据管理、电子邮件和其他各种应用全都可以以3G智能手机作为载体,或使用3G智能手机进行管理。因此随着3G牌照的发放,可以预测2009年移动业务的使用将会大幅增长,而且很可能3G智能手机的移动应用会日渐成为许多公司未来业务应用的重要工具。
但3G智能手机广泛应用在企业各业务层面的同时,却不能不让人担心一个问题,就是CIO怎样才能有效管理在3G智能手机上企业数据的安全。例如包括:如何管理复杂的3G智能手机的应用环境?如何将3G智能手机与现有企业系统进行整合?如何管理3G智能手机的数据安全问题?简单的说就是:如何管理 3G智能手机使用的安全问题。
一、3G智能手机危机四伏的应用风险
3G智能手机无疑将会取代普通电脑的地位,成为人们生活中最重要的生活、学习、谋生的工具之一。但日渐普及的3G智能手机也正成为企业信息安全的新威胁,大家手中的那个越来越智能、越来越好玩的3G手机也正成为让企业IT安全主管心惊肉跳的“潘多拉盒子”。的确,当3G智能手机成为新型计算平台后,当越来越多的用户开始依赖它处理企业事务与商业交易时,安全隐患也就随之出现。
(1)缺乏对智能手机安全认识的风险
虽然随着3G牌照发放后的加速进程,人们开始关注3G智能手机的安全威胁,但还是远远不足够的。近日,有IT安全机构发出警告,3G智能手机是唯一没有纳入企业信息安全防护系统的计算设备。企业IT安全人员能够对网关、服务器、台式电脑进行安全检测,但对3G智能手机却无能为力。报告上指出,目前许多企业还缺乏或没有采取措施,让3G智能手机在接受足够的安全检查后才能访问企业网络,尤其是有些企业还允许员工个人的设备连接到公司网络上。当在没有任何限制的情况下,企业可能会发现由于没有对不同类型的3G智能手机提供安全访问机制的话,3G智能手机对于IT部门来说会是一场噩梦。
(2)缺乏监管3G智能手机将潜在滥用风险
随着3G应用的发展,我们可以预测会有越来越多的公司用户使用3G智能手机来访问公司各个层面的应用和数据,例如比以往更多的公司主管开始依赖手里的3G智能手机,或各个级别的员工也在日益走移动化道路。而在许多情况下,当企业没有为员工提供3G智能手机时,他们就会干脆使用个人的3G智能手机来处理公司业务或运行公司应用软件,而不管IT部门对此知不知情。
因此,访问公司应用和数据的3G智能手机数量将会激增,这会给CIO出了一道大难题。因为CIO不但要尽量减小越来越多的3G智能手机在处理业务时的滥用风险,还要想方设法管理及审查各种各样的3G智能手机是否合乎安全标准。例如,员工的3G智能手机里面常常含有众多的应用和数据文件,有些是公司的重要资料,也有些是纯属个人的。如果没有策略阻止员工把数据和应用程序安装到自己的3G智能手机上,就可能会给公司带来诸多问题,如不知不觉的传播病毒,或没有正确对待公司业务系统,或没有遵守公司的IT安全政策等,不一而足。
(3)3G智能手机丢失或被盗的物理安全风险
很多时候,当一个3G智能手机丢失时,其数据的价值远远超过了智能手机本身。对个人来说,智能手机的丢失意味着别人将会看到电话上的数字证书,以及其他一些重要数据。更严重的是拿到智能手机的人利用存储的数据就可以访问企业内部网络,包括email服务器和文件系统。
因此,CIO需要清楚认识丢失或被盗的3G智能手机已经不再只是物理设备的损失问题,而是数据外泄的问题。智能手机如果落入盗贼手中,上面的信息就会伤害到用户。减少3G智能手机数据外泄风险也就成为CIO一个新的责任。而其中的关键是采取预防式的手段管理和保护敏感信息,以防止非法访问或信息泄露。所以,防患于未然,对3G智能手机上的敏感数据进行有效管理是CIO必须面对的问题,也是一个非常头痛的问题。
(4)3G无线网络本身的威胁风险
无线通信网络的特点是可以不像有线网络那样受地理环境和通信电缆的限制就可以实现开放性的通信。无线信道是一个开放性的信道,它给无线用户带来通信自由和灵活性的同时,也带来了诸多不安全因素:如通信内容容易被窃听、通信双方的身份容易被假冒,以及通信内容容易被篡改等。在无线通信过程中,所有通信内容都是通过无线信道开放传送的,任何拥有一定频率接收设备的人均可以获取无线信道上传输的内容,这对于无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。
