企业应用3G智能手机 充分考虑安全因素

　　2009年元月中国发放了3G牌照，这是近来众多企业和媒体喧哗的热点。的确，借助3G移动高速网络和Wi-Fi功能，我们不必随身携带笔记本电脑也可以保持在线，也可以检查我们的电子邮件，访问我们的业务系统等，在经济的冬天里这无疑是众多企业增强竞争力的一把利器。

　　现在的3G智能手机功能越来越强大，其性能可以等同于前几年的台式计算机。目前，企业移动应用中几乎所有的电话业务、数据管理、电子邮件和其他各种应用全都可以以3G智能手机作为载体，或使用3G智能手机进行管理。因此随着3G牌照的发放，可以预测2009年移动业务的使用将会大幅增长，而且很可能3G智能手机的移动应用会日渐成为许多公司未来业务应用的重要工具。

　　但3G智能手机广泛应用在企业各业务层面的同时，却不能不让人担心一个问题，就是CIO怎样才能有效管理在3G智能手机上企业数据的安全。例如包括：如何管理复杂的3G智能手机的应用环境?如何将3G智能手机与现有企业系统进行整合?如何管理3G智能手机的数据安全问题?简单的说就是:如何管理3G智能手机使用的安全问题。

　　一、3G智能手机危机四伏的应用风险

　　3G智能手机无疑将会取代普通电脑的地位，成为人们生活中最重要的生活、学习、谋生的工具之一。但日渐普及的3G智能手机也正成为企业信息安全的新威胁，大家手中的那个越来越智能、越来越好玩的3G手机也正成为让企业IT安全主管心惊肉跳的“潘多拉盒子”。的确，当3G智能手机成为新型计算平台后，当越来越多的用户开始依赖它处理企业事务与商业交易时，安全隐患也就随之出现。

　　(1)缺乏对智能手机安全认识的风险

　　虽然随着3G牌照发放后的加速进程，人们开始关注3G智能手机的安全威胁，但还是远远不足够的。近日，有IT安全机构发出警告，3G智能手机是唯一没有纳入企业信息安全防护系统的计算设备。企业IT安全人员能够对网关、服务器、台式电脑进行安全检测，但对3G智能手机却无能为力。报告上指出，目前许多企业还缺乏或没有采取措施，让3G智能手机在接受足够的安全检查后才能访问企业网络，尤其是有些企业还允许员工个人的设备连接到公司网络上。当在没有任何限制的情况下，企业可能会发现由于没有对不同类型的3G智能手机提供安全访问机制的话，3G智能手机对于IT部门来说会是一场噩梦。

　　(2)缺乏监管3G智能手机将潜在滥用风险

　　随着3G应用的发展，我们可以预测会有越来越多的公司用户使用3G智能手机来访问公司各个层面的应用和数据，例如比以往更多的公司主管开始依赖手里的3G智能手机，或各个级别的员工也在日益走移动化道路。而在许多情况下，当企业没有为员工提供3G智能手机时，他们就会干脆使用个人的3G智能手机来处理公司业务或运行公司应用软件，而不管IT部门对此知不知情。

　　因此，访问公司应用和数据的3G智能手机数量将会激增，这会给CIO出了一道大难题。因为CIO不但要尽量减小越来越多的3G智能手机在处理业务时的滥用风险，还要想方设法管理及审查各种各样的3G智能手机是否合乎安全标准。例如，员工的3G智能手机里面常常含有众多的应用和数据文件，有些是公司的重要资料，也有些是纯属个人的。如果没有策略阻止员工把数据和应用程序安装到自己的3G智能手机上，就可能会给公司带来诸多问题，如不知不觉的传播病毒，或没有正确对待公司业务系统，或没有遵守公司的IT安全政策等，不一而足。

　　(3)3G智能手机丢失或被盗的物理安全风险

　　很多时候,当一个3G智能手机丢失时，其数据的价值远远超过了智能手机本身。对个人来说，智能手机的丢失意味着别人将会看到电话上的数字证书，以及其他一些重要数据。更严重的是拿到智能手机的人利用存储的数据就可以访问企业内部网络，包括Email服务器和文件系统。

　　因此，CIO需要清楚认识丢失或被盗的3G智能手机已经不再只是物理设备的损失问题，而是数据外泄的问题。智能手机如果落入盗贼手中，上面的信息就会伤害到用户。减少3G智能手机数据外泄风险也就成为CIO一个新的责任。而其中的关键是采取预防式的手段管理和保护敏感信息，以防止非法访问或信息泄露。所以，防患于未然，对3G智能手机上的敏感数据进行有效管理是CIO必须面对的问题，也是一个非常头痛的问题。

　　(4)3G无线网络本身的威胁风险

　　无线通信网络的特点是可以不像有线网络那样受地理环境和通信电缆的限制就可以实现开放性的通信。无线信道是一个开放性的信道，它给无线用户带来通信自由和灵活性的同时，也带来了诸多不安全因素：如通信内容容易被窃听、通信双方的身份容易被假冒，以及通信内容容易被篡改等。在无线通信过程中，所有通信内容都是通过无线信道开放传送的，任何拥有一定频率接收设备的人均可以获取无线信道上传输的内容，这对于无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。

　　(5)层出不穷的3G智能手机病毒

　　随着3G智能手机应用越来越广泛，当然也带来了更加诱人的攻击目标，越来越狡猾的安全威胁也会随之出现。虽然到目前为止，基于互联网的安全威胁感染3G智能手机这种情况还不大常见，但针对3G智能手机的新威胁却肯定会层出不穷，包括各种恶意程序、病毒、蠕虫和特洛伊木马等，这也不能不让企业CIO担心。

　　二、制订3G智能手机安全策略刻不容缓

　　企业的CIO通常对自己内部的网络应用和网络安全管理有着相当成熟的技术和经验。但现在的问题是，IT部门的这些技术和经验还适用吗?大多数人们在应用3G智能手机的时候都没有考虑可能会丢失的后果，也就没有特别考虑3G智能手机数据安全的问题。简单地说，人们还没有足够认真地评估3G智能手机可能受到的威胁和安全漏洞。更糟糕和令人担忧的是，企业许多员工都还不知道广泛使用的智能手机也会带来新的安全威胁，而且形成了比单纯的电脑环境复杂得多的安全环境。

　　对CIO而言，管理移动的3G智能手机上的业务应用是要比管理笔记本电脑和台式机更为艰巨的挑战。因此，CIO不能对日益广泛应用的3G智能手机围追堵截，而必须面对这个新的现实，及时调整IT安全流程和技术策略。

　　(1)制定策略和流程

　　做好基本功并不难。目前，3G网络的两种主要保护机制是: 验证与加密，这是已经实践证明、广泛部署的安全标准。如此看来，问题不是在于有没有技术，而是在于企业本身如何重视及考虑3G智能手机的安全问题。现在我们经常看到的一个共同点是：流程和策略管理的缺失，目前仍有许多公司还没有为3G智能手机等移动设备制订IT安全策略。

　　另一方面，也许有员工认为只要加密后就万事大吉了。但实际并非如此，为了与3G智能手机应用风险进行有成效的斗争，企业必须制订一个3G智能手机的IT安全策略，以指导公司进行评估、制订与潜在影响相符的规划，并将3G智能手机的安全解决方案在技术上、步骤上作为头等安全大事来抓，从而降低风险。安全措施包括：确定保护3G智能手机上的企业数据的策略，对3G智能手机和用户进行认证，监控执行情况并撰写安全报告。

　　(2)只使用安全与合规的3G智能手机

　　不管选用哪种安全策略，有一个方法是必须要做的，那就是规定允许连接至公司网络及其他系统的任何3G智能手机都必须支持一套特定的安全方法，比如VPN、WPA2、远程删除和全磁盘加密技术等。但问题在于大多数3G智能手机并不支持这些安全技术(如加密、强密码、VPN及其他方法)，或者至少不全部支持。因此，有专家提醒在评估和选用需要处理企业业务的3G智能手机时，考虑可能存在的安全漏洞非常重要。为此建议企业应对两种或几种3G智能手机进行标准化处理，最大限度减少技术支持、安全和管理的难题。所以，安全与合规是3G智能手机迈入企业应用的两道必不可少的门槛。

　　(3)建立加密许可认证，防止数据泄露

　　数据保护可分为静态数据和使用中的数据。当3G智能手机丢失时，实际上大多数情况下数据的价值大大高于设备本身。因此3G智能手机应采用与笔记本电脑同样的安全标准，也应该要支持数据加密。那样，即便3G智能手机丢失或者被偷，里面的数据也不容易被人访问。因此使用强大的认证和加密功能、定期更换密匙、在一定次数的连续登录失败后锁定用户是必不可少的步骤。

　　如果单是对智能手机进行加密还不能解决安全问题，用户还需要管理及控制各种具有数据存取功能的周边设备，如智能手机使用的各种便携式存储媒介。当然，这些仅仅靠口头上的政策是不够的，必要时应通过许可认证控制方案来支持并强制执行，许可认证控制解决方案可以自动拒绝不合乎安全政策的访问，或者阻止传输或打开某些文件或某些类型的文件。例如，安全政策可以允许授权用户使用已经加密的3G智能手机，但没有经过加密许可的智能手机则不可以访问，一旦数据在一个授权的智能手机上被加密，就只能被有权限的人通过合法途径来访问。

　　(4)教育每一个3G智能手机用户

　　很少的企业会采取适当的程序和政策对3G智能手机用户进行数据保护的安全教育。所以，有一句大实话是：最大的安全漏洞是人。例如，如果一个陌生人向你借笔记本电脑用5分钟来查看他的股票，你会说“不”。因为你已经接受了这种风险教育。同样道理，不要让陌生人使用你的3G智能手机的想法也同样适用。