各种各样的高科技消费产品和服务正在进入工作场所。它们包括从智能手机、网络电话系统、闪存棒到虚拟网络世界的所有东西。随着人们越来越习惯于让自己的个人技术随叫随到——事实上,他们无法想象没有它就能工作——他们用于工作和娱乐的界线正在变得模糊。
扬基集团研究公司(Yankee Group Research)最近对企业用户进行的一项调查显示,在500名受访者中,有86%的人表示,他们在工作场所至少使用过一种消费类科技产品,目的既与创新,也与生产率有关。
不幸的是,这种趋势给IT组织带来了问题。一方面,这些技术的使用增加了安全漏洞的风险。此外,用户希望IT支持这些设备和服务,特别是在他们与企业环境中的应用程序交互之后。
但在许多公司,仅仅禁止这些设备或阻止员工访问消费者服务,就违背了企业文化。与此同时,公司不能完全依靠政策来维持他们所需要的安全水平。
佐治亚州迪卡尔布县迪卡尔布医疗中心的信息安全管理员莎伦·芬尼说:“我不知道哪个企业的员工有时间阅读和理解他们工作环境中与电脑相关的每一条政策——他们都在忙于自己的工作。”“我认为我有责任在后台实现无缝、简单和完全的安全。”
电信服务提供商Global Crossing Ltd.负责安全事务的副总裁迈克尔•米勒(Michael Miller)等其他人则会等到设备或服务影响生产率或导致业务问题,比如安全部门与蠕虫病毒作斗争或处理带宽问题。但是,无论公司决定做什么,应对措施总是涉及在提高员工生产力、遵守企业文化、不消耗太多IT自身资源和确保适合公司的安全水平之间取得平衡。
扬基集团(Yankee Group)分析师乔希•霍尔布鲁克(Josh Holbrook)表示:“对IT部门来说,消费化将是一场噩梦,产生的维护和支持问题将迅速淹没IT资源,除非他们采用新的方法来管理流氓员工。”霍尔布鲁克将禁止在工作场所使用消费技术等同于“无休止的打地鼠游戏”。与此同时,他说,忽视这些技术的采用将导致企业内部安全应用程序和不安全应用程序的潜在危险混合。他建议通过内部客户关怀合作模式将控制权交给最终用户。(参见“禅宗和将消费科技的控制权交给最终用户的艺术。“)
为了帮助你决定如何应对,下面我们来看看8种流行的消费技术和服务,它们已经悄悄进入了职场,并提供了一些关于公司如何实现安全、生产力和理智的平衡的见解。
1.即时消息
人们使用即时消息为所有内容确保他们的孩子们从练习中乘坐回家,以与同事和商业伙伴沟通。在Yankee的研究中,40%的受访者表示他们在工作中使用消费者技术。即时消息呈现众多安全挑战。除此之外,恶意软件可以通过外部IM客户端输入公司网络,IM用户可以在不安全的网络中发送敏感公司数据。
对抗威胁的一种方法是逐步淘汰消费者IM服务,使用内部IM服务器。2005年末,Global Crossing部署了微软的Live Communications Server (LCS)。2006年8月,微软禁止员工直接使用美国在线(AOL)、MSN和雅虎(Yahoo)等公司提供的外部即时通讯服务。现在,所有内部IM交换都是加密的,外部IM交换是受保护的,因为它们通过LCS服务器和微软的公共IM云。
采用内部即时通讯服务器也给了Global Crossing的安全团队更多的控制。“通过公共的即时通讯云,我们可以选择限制或开放的程度。我们可以阻止文件传输,限制信息离开我们的网络或限制url进入,”这是蠕虫传播的一种常见方法,米勒说。“这消除了很大一部分恶意活动。”
你也可以采取更强硬的态度。例如,DeKalb的安全政策完全禁止使用即时通讯工具。芬尼说:“这主要是聊天流量,而不是个人健康信息,但这仍然是个问题。”作为限制政策的备份,她屏蔽了大多数可以下载IM客户端的网站,尽管她不能屏蔽MSN、美国在线或雅虎,因为许多医生使用这些网站的电子邮件账户。她的团队还使用了一种网络库存工具,可以检测员工pc上的IM客户端。如果发现,该员工将被提醒DeKalb的无即时通讯政策,并通知即时通讯客户端将被删除。芬尼也在考虑各种方法来阻止出站的即时通讯流量,但目前,她还使用了Vericept Corp.的数据丢失预防工具来监控即时通讯流量,并向安全团队发出任何严重漏洞的警报。为了做到这一点,芬尼的团队需要关闭大部分互联网端口,这就迫使IM流量滚动到80端口进行监控。
DeKalb正在研究实现IBM Lotus Notes的IM插件的想法,甚至是一个内部免费的IM服务,如Jabber,供希望跨校园通信的企业用户使用。“没有什么是100%的,”芬尼说。“无论是从安全还是从效率的角度来看,IM都是一个大问题。”
2.网络邮件
在yankee集团调查的受访者中,50%表示他们利用消费电子邮件申请进行商业目的。诸如谷歌,微软,AOL和雅虎的消费电子邮件服务的问题是用户本身不会意识到他们的电子邮件交换的不安全是如何因为邮件通过Web传输并存储在ISP的服务器上以及电子邮件提供商的服务器。如果没有这种意识,许多人无权酌情发送诸如社会安全号码,密码,机密业务数据或商业秘密等敏感信息。
加强Web邮件安全性的一种方法是使用一种工具,使用关键字过滤器和其他检测技术监视电子邮件内容,要么生成关于潜在泄露的警报,要么直接阻止电子邮件发送。例如,WebEx通信公司IT基础设施总监迈克尔·马查多(Michael Machado)说,该公司正在考虑扩大对Reconnex Inc.的数据丢失预防工具的使用,将电子邮件监控也包括在内。
DeKalb用Vericept的工具解决了这个问题。Vericept会捕捉员工发送的每一封基于网络的电子邮件(包括文件附件)的截图,并扫描这些邮件,以获取公司定义的敏感数据,比如社会安全号码。警告被发送到芬尼的团队,以便他们可以跟踪用户,教育他们通过网络发送敏感数据的危险。
3.便携式存储设备
根据霍尔布鲁克的说法,IT经理最大的担忧之一是各种便携式存储设备的稳步增长,从苹果的iphone和ipod到闪存设备。他表示:“人们可以使用这些软件下载任意数量的企业机密或敏感信息,并将其转移到it部门不希望这些信息出现的地方。”
信息安全架构师、《网络安全:完整参考》(McGraw-Hill Osborne Media, 2003)一书的作者马克•拉霍斯-欧斯利说:“仅在过去的三周里,我就听到了六次关于闪存驱动器和便携式存储设备风险的对话。”
虽然封锁员工电脑上的USB端口很容易,但许多安全管理人员表示,这不是一个推荐的方法。米勒说:“如果人们想要破坏这个过程,他们就会找到办法绕过你设置的任何障碍。”“你的底线在哪里?”如果你限制USB接口和带数据存储接口的手机进入办公室,那么你就必须限制设备和CD刻录机的红外接口,等等。”
他说,最好是通过教育人们如何处理敏感信息的存储来处理这件事。米勒说:“大多数发生的事件都是无意的,而不是恶意的,所以这就是教育的作用所在,如何正确处理,以及为什么这很重要。”
Machado说,他不喜欢在WebEx上屏蔽USB端口,主要是因为这样的策略会很快导致用户要求IT部门对规则进行例外处理,而IT部门则必须对这些例外进行管理。他表示:“每个人都有一个他们认为重要的例外,这占用了IT部门更多的时间。”
他补充说,是什么最佳的,是有一个工具,它向试图将文件复制到USB驱动器或其他未加密的存储媒体的工具,建议他们违反公司政策。“然后他们知道他们有权做出决定,但它将被追踪和监控,”他说。
另一方面,Dekalb的Finney表示她对阻塞技术感兴趣,并正在考虑Vericept工具,以阻止某些类型的数据转移到外部存储设备或者当有人试图将任何东西插入到PC中时提醒她不是本机的计算机。理想情况下,她喜欢一个工具,也会提醒员工,即企业政策禁止敏感数据以存储在外部设备上。
与此同时,密歇根州大谷州立大学和其他一些大学的教授和学生丢失了含有敏感数据的闪存驱动器,这些大学正在研究对密码和加密保护的USB驱动器进行标准化,以在未来保护它们。
4.pda和智能手机
越来越多的员工正在使用某种形式的智能手机或个人数字助理,成为黑莓,Treo或iPhone。但是,当他们尝试使用自己的PC同步设备的日历或电子邮件应用程序时,它可能导致从应用程序故障到蓝屏中的问题。“那些类型的问题并不少见 - 这是一种可以驱动它坚果的平凡的东西,”霍尔布鲁克说。“这不是他们想要花时间的方式。”
此外,如果员工辞职或被解雇,他可以带着任何他想要的信息走出大门,只要PDA或智能手机属于他。
像其他一些公司一样,WebEx通过对PDA的单一品牌和模型进行标准化,并让员工知道IT组织只支持一种设备,从而将这些可能性降到最低。WebEx在笔记本电脑上也做了同样的事情,Machado指出,笔记本电脑比掌上电脑更大的威胁,因为它们可以保存更多的数据。WebEx网络中不允许使用任何未经审批的设备。
5.照相手机
一名医院工作人员站在护理站,与护士们随意地聊天。没人注意到她手里拿着一个小设备,她时不时地按一个小按钮。最新间谍惊悚片中的场景?不,是迪卡布的芬尼公司做的安全测试。
她说:“我做的其中一个测试是,在护士不知情的情况下,把手机拿到护理站,开始点击照片。”“我想下载照片,增强图像,看看我得到了什么——病人的信息显示在电脑屏幕上或桌子上的文件上。”
事实证明,她没有获得任何个人可识别的信息,但她确实从拍摄的计算机屏幕顶部收集电脑名称(不是IP地址)。
她说:“这类信息可以加起来形成线索,这些线索可以被汇编,或与某人可以从该设施的其他来源获得的其他信息结合起来,以制定攻击计划。”
作为后续行动,芬尼在DeKalb的员工培训和安全意识项目中添加了关于这一潜在安全漏洞的信息,因此人们至少意识到,将敏感数据暴露给别人看(可能还会拍照)是多么危险。
6.Skype和其他消费者VoIP服务
另一项快速增长的消费技术是Skype,这是一项基于软件的可下载服务,允许用户拨打免费的互联网电话。事实上,在Yankee Group的调查中,20%的受访者表示,他们使用Skype是出于商业目的。
霍尔布鲁克说,在商业环境中,Skype和类似服务带来的威胁与任何下载到企业个人电脑上的消费者软件带来的威胁是一样的。他说:“企业应用程序具有高度可扩展性和高度安全性,而消费者应用程序的可扩展性和安全性较低。”“因此,无论何时你下载Skype或其他任何东西,你都在引入IT部门感到不舒服的安全风险。”例如,该软件可以与PC或网络上的每个其他应用程序交互,潜在地影响每个应用程序的性能。
Skype本身已经发布了至少四份公告,宣布存在安全漏洞,用户可以在下载最新版本的软件时进行修补。但由于IT部门通常不知道有多少用户安装了Skype,更不用说是谁安装的了,所以他们没有办法监督这些努力。
研究公司Gartner Inc.建议的最安全的选择是完全屏蔽Skype的流量。Gartner表示,如果企业选择不这样做,它应该积极使用配置管理工具对Skype客户进行版本控制,并确保只向授权用户发布。
7.可下载的小部件
Yankee Group称,消费者正在使用Q和诺基亚E62等设备下载小部件,以便快速访问Web应用程序。这些小部件可以很容易地转移到个人电脑上,根据霍尔布鲁克的说法,这是进入IT界难以控制的技术生态系统的另一个切入点。
这里的风险是这些微型程序在PC和网络上使用处理电源。除此之外,任何未被审检的软件都会代表潜在的威胁。“它不太可能被病毒感染,但你正在下载你可能没有很多信任的东西,”霍尔布鲁克说。
WebEx采用了三种方法来降低这种风险。教育用户下载软件的风险;它使用Reconnex来监视用户电脑上安装的内容;它还禁用了一些用户的默认访问权限,限制了他们的下载能力。
8.虚拟世界
业务用户开始尝试虚拟世界,如Second Life,与此同时,IT部门需要更加注意随之而来的安全问题。霍尔布鲁克说,仅仅阻止这些虚拟世界的使用是目光短浅的。他说:“人们现在才发现,这款应用程序在商业环境中如何发挥作用。”
与此同时,Gartner在最近的一份报告中指出,使用Second Life需要下载大量的可执行代码,并将其放入公司防火墙。此外,也没有办法知道虚拟世界中虚拟角色的真实身份。
Gartner建议的一个选择使员工能够通过公司的公共无线网络访问他们的虚拟世界,或者鼓励他们从家里做到这一点。第三个选项是为公司评估工具以创建自己的虚拟环境,这些虚拟环境将在企业防火墙内部托管。