截至温莎食品休斯顿IT的副总裁斯蒂芬·亨策有保持领先的最新IT发展趋势的一个步骤。这就是为什么他花了很多时间思考如何保护和部署企业级的智能手机。该公司只有几个打的智能手机只有很短的时间前,但现在管理着大约其中的100个,和亨策预见在不久的将来大幅增长。
亨泽表示,保护智能手机安全的任务越来越艰巨,而公司对移动通信的需求也在不断增强,甚至在车间里也是如此。在车间里,维修工程师的手机很快就会收到自动短信提醒。
他不知道他能继续执行的仅支持基于Windows Mobile的手机公司的政策,但非标准的设备将变得复杂了安全努力。他清楚地知道,对于某些人来说,智能手机是一种时尚。“有了电脑,我可以告诉他们,我们是不是Mac的环境,但我不知道我能做到这一点与手机的道路,”他说。
越来越多的IT和安全领袖正在努力应对保护这些日益流行的设备的挑战,Henze就是其中之一。当然,最主要的担忧是,如果手机或可移动存储卡丢失或被盗,可能会暴露敏感数据。如果手机被出售或送去维修而没有先清除内存,数据也会被暴露。
vpn连接的设备也有可能使公司网络暴露于黑客和恶意软件的入侵之下。而且,病毒通过短信攻击和其他利用手段攻击手机本身的可能性也在不断增长。咨询公司Strategy Analytics的分析师菲利普•温斯洛普(Philippe Winthrop)问道:“如果我拿着你的设备瞎玩,如果上面安装了VPN怎么办?”“这是一个巨大的风险,目前没有得到充分处理。”
智能手机的十大安全隐患
以下是Gartner分析师约翰•吉拉德(John Girard)给出的10个常见的智能手机安全隐患及应对技巧:
1.没有配置管理计划。
提示:责任管理的智能手机应该给谁提供和管理电脑相同的员工。
2.不开机密码或弱密码策略。
提示:一些供应商的设备管理控制台允许您配置密码复杂性规则和密码重置问题和答案。
3.没有不活动超时/ auto-lock。
提示:超时政策应该通过设备管理控制台执行在空中,使企业能够维持近实时控制。
4.没有auto-destruct / data-wiping计划。
提示:两种方法应使用:在空中命令和本地发起的湿巾。密码后应该发生后者已经输入了一个错误一定次数或当设备已经脱离网络的时间预定量。
5.无内存加密规则。
提示:主要企业智能手机操作系统提供了实施加密设置。
(续下页)
更复杂的是,用户倾向于将智能手机视为自己的个人设备,而不是它应该控制的东西。Gartner Inc的分析师约翰•吉拉德(John Girard)表示:“有一种根深蒂固的潜在潮流是,‘这是我的移动设备’。”他说,用户通常会把智能手机看作是“蓝色的、播放音乐的”东西,而不是需要保护的资产。
智能手机多媒体能力提高的其他问题,吉拉德说。例如,公司政策可能禁止移动公司文件到外部存储介质,但有一项政策,使用智能手机共治模式拍照在办公室或会议记录?
许多公司试图通过购买标准的手机,让员工采取控制 - 此举至少使他们能够支持只是一个单一的操作系统。但即便如此,用户可能会坚持的标准只是笼统地Burton集团的分析师Paul DeBeasi说。“我看到谁拥有该公司的手机在他们的左口袋和他们的个人手机在他们合适的员工,”他说。
事实上,在最近的一项研究对300家公司在美国和欧洲通过良好的技术公司,供应商的移动安全与管理工具,近80%的受访者表示数量的增加员工想把自己的设备进入工作场所在过去的6到12个月,28%报告数据泄露,因为未经授权的设备。
尽管存在所有的安全风险,“三分之二的组织在定义和执行IT和移动业务政策方面都在苦苦挣扎,”温斯洛普说。
吉拉德也认为,各公司在意识到电话相关数据泄露的影响方面进展缓慢。他表示:“如果客户确实打电话询问有关手机的情况,他们是在要求我提出意见,减轻他们对使用智能手机的员工的责任,而不是试图采取措施提高安全性。”“我在等待人们的关注程度提高,赶上pc的现有水平。”
它应该。温斯洛普表示,无论公司是为员工购买智能手机,还是仅仅允许员工使用智能手机,如果数据被泄露,公司都要承担责任。
无论是通过第三方平台还是通过智能手机供应商本身,集中保护和管理智能手机的技术确实存在。多数分析师都认为,在智能手机厂商中,黑莓(BlackBerry)生产商Research In Motion Ltd.和微软(Microsoft Corp.)提供了最好的管理平台。微软推出了最新版的Windows Mobile操作系统。
对于其他设备——或者支持多家厂商手机的公司——有多种选择,包括Credant Technologies、Good Technology、Sybase、Trust Digital、Trend Micro和MobileIron等厂商提供的管理软件。这些平台提供的关键功能包括对以下内容的集中控制:
*密码管理。
*认证授权。
*强大的加密。
*闲置超时,用户在其中被闲置在指定时间内登录应用程序会话并提示输入密码才能重新启动。
*远程或擦拭的存储器如果设备丢失或被盗,如果用户不正确地输入其验证凭证的给定次数。
中央控制
在Robinson Lerer & Montgomery有限责任公司,CIO Jeff Saper通过标准化的黑莓这是发给这家总部位于纽约的战略沟通公司所有员工的。Saper使用了由黑莓企业服务器提供的450个无线IT策略和命令中的几个。该公司还使用了Good Technology的平台来处理Palm和Treo设备,但Saper决定在单一平台上保持一致,于是他就专门使用了黑莓。
智能手机的十大安全隐患
(接上页)
6.无总计划用于备份和同步。
提示:使用安全,在空中备份和恢复工具,定期进行后台同步。
7.没有e-mail-forwarding壁垒。
提示:电子邮件和附件转发可与企业电子邮件系统的服务器端设置进行调节,并且额外的过滤是通过商业的数据丢失防护过滤器。
8.无申请认证规则。
提示:私有密钥可用于限制允许安装或执行哪些应用程序。
9.没有默认浏览器的权限规则。
提示:在提供手机时,选择符合公司政策的浏览器默认设置,以避免提供恶意代码的入口点。
10.没有应对智能手机多样性的计划。
提示:设置一个策略,它定义了支持不同设备的等级会收到。到一个IT小组分配的智能手机的支持。
安全措施包括在停用10分钟后暂停活动,如果担心数据丢失或被盗,或者密码输入错误超过10次,则远程清除设备。“即使有人能破解密码,它也是安全的,”萨帕说。
最重要的是,他说,用户无法禁用任何安全功能。
Saper说,在进行远程清理时,重要的是要将数据备份到黑莓服务器上,这样数据才能被恢复。他还可以恢复消息历史记录,因为服务器与Microsoft Exchange绑定。吉拉德指出,这样的备份可以明确设备上有哪些数据,因此如果手机被盗,哪些数据会受到攻击。
他表示,尽管其他平台可以执行远程清除操作,但黑莓服务器还可以确认清除操作已经完成,如果涉及智能手机数据泄露的案件最终在法庭上败诉,这将使公司处于更有利的地位。他补充道:“如果你不能证明自己擦干了,那听起来就不妙了。”
吉拉德还认为,在一段时间不活动之后,设置设备的时间间隔很重要。他建议,对于拥有高价值信息的设备,将不活动超时设置为1至5分钟,对于拥有中等价值数据的设备,将不超过10分钟,对于拥有低价值信息的设备,将不超过15分钟。要恢复使用该设备,员工必须输入一个强密码进行重新验证。
这是说起来容易做起来难。“因为这是移动的,人们认为它应该是很容易,和他们抵制具有在七或12位代码输入,”吉拉德说。“但你不能只是有一个四位数字代码,因为有一个很现实的人观察你键入它的机会。”
吉拉德也有客户允许在关闭设备前重试10多次密码。这是一项非常值得怀疑的政策。他说:“即使你喝醉了,试了很多次之后,你也应该能够进去。”
西部企业联邦信贷联盟(Western Corporate Federal Credit Union, Wescorp)的CIO巴伯(Christopher Barber)支持黑莓和苹果公司(Apple Inc.)的两种设备iPhone3G。在iPhone上运行电子邮件和销售人员使用的关系管理应用。为了确保iPhone手机,理发建立包括所有他想要的,与Microsoft Exchange Server推出到设备保障标准的安全配置文件。
他使用RIM的企业服务器的黑莓手机。安全功能包括强大的密码保护,加密和远程杀伤能力。
数据输出
巴伯说:“我们对智能手机最大的担忧是,它扮演着存储设备的角色。”“用户可以把它插入USB接口,下载公司文件,然后带着文件出门。”然而,有了全球配置文件,他可以加强密码强度和加密,因此,即使用户确实将敏感数据放在便携式设备上,如果手机被放错地方或被盗,其他人访问这些数据的几率也会降低。
宽松的智能手机安全
只有23%的智能手机用户使用安装在手机上的安全软件。(资料来源:趋势科技公司2009年6月对1016名美国智能手机用户的调查)
采取集中加密方法是关键,吉拉德说。所有的知名厂商都为自己的手机加密功能,“但除非公司采取企业控制,这是严格可选的,”他说。
但巴伯表示,保护智能手机安全是一个管理风险的问题,而不是覆盖每个基地。他说,他最近在YouTube上看到一段视频,视频中有人使用黑客程序侵入了一部有密码保护和加密的iPhone。他还说,iPhone的可移动SIM卡是一个漏洞,因为如果小偷取走了SIM卡,手机将无法接收远程杀死命令,因为它将无法连接到公司网络。
为了抵消这种风险,巴伯依靠政策和教育的结合。
“我们训练每个人不要把敏感数据放在iPhone上,”他说。在未来,他希望用防止数据丢失的技术来支持这一点,这种技术可以监控数据被转移到电子邮件附件或USB驱动器中。“我们尽可能地舒适,但风险总是存在的。”
在温莎食品,亨策,也经历了集中管理的路线,使用MobileIron的的虚拟智能手机平台。该决定是基于他的愿望来管理从一个平台不仅安全,而且运营商合同和部署。此外,虽然他已经在Windows Mobile设备标准化的,他想确定他没有锁定这一决定。MobileIron的支持黑莓和iPhone,并计划支持Symbian和Android的设备。
Henze从最基本的开始,比如密码管理,自动禁用和远程擦除,但是增加了集中加密。该平台还对手机上的应用程序和数据进行备份,并报告配置和内存使用情况,从而加速故障排除。它还会清点手机上存储的应用程序清单,并禁用任何未经批准的应用程序。
Henze还指出,管理智能手机的是帮助台,而不是高级网络工程师。实际上,门户允许用户检查他们的电话使用情况,甚至允许他们自己执行远程擦除和配置等任务。他表示:“从it的角度来看,(MobileIron)设备让事情变得更容易了。”
对于Henze来说,智能手机安全的工作才刚刚开始。例如,他正在考虑将数字版权管理与智能手机管理平台整合在一起。