保护移动设备数据的五个步骤

　本文介绍的五个基本步骤可以确保移动数据的安全 性。

　Integris 保健中心的一名护士去俄克拉何马城为病人提 供上门保健服务时，遭到了坏人的持枪抢劫。虽然她最后安 全脱身，但公司配给她的笔记本电脑和移动电话被抢去了。

　这两个设备里面都有敏感的病人数据，但 Integris 并不担心。

　该公司的高级 IT 顾问 Randy Maib 说：“ 所有敏感文件都已经 过加密。”

　的确，保护移动设备上的数据如今成了特别棘手的问 题，特别是由于存储设备的容量越来越大、 尺寸却越来越小。

　一些厂商已开始着手解决这一问题，但很少提供集中管理、 一应俱全的安全。本文介绍了确保移动数据安全时应当采取 的五个基本步骤。

　步骤一 知道要保护哪些数据

　咨询公司 J. Gold Associates 的创办人兼首席分析师 Jack Gold 说：“你一定要知道员工会访问哪种数据以及与这些数 据相关的风险。要是有关三只小猫领养事情的一封电子邮件

　丢失了，你不会担心。但如果这封邮件涉及客户或者财务问 题，里面还有社会保障号码及银行账户，你确实会担心。

　” 康涅狄格州诺格塔克储蓄银行的 CIO Roy Balkus 将这则 忠告铭记在心。他确定了哪些用户需要外设、光盘驱动器和 USB 设备后，使用 Centennial Software 公司的 DeviceWall 来 控制他们获得多大的访问权、能获得哪种访问权：只读还是 读写。另外，他为移动笔记本电脑提供了全硬盘加密，但对 PDA 或者移动电话并不加密。

　这家银行的政策明确规定： 未 经 IT 部门的许可， 任何敏感或者机密的客户信息不得存放在 任何便携式手持设备上。他说： “大家使用 PDA 主要用于联 系簿和日历。我们的业务模式要求我们有针对性地关注安

　步骤二 觉得怀疑就加密

　其他 IT 主管根本不会考虑功能弱于全盘加密的任何加 密措施。

　Battelle 的技术支持经理 Troy Juntunen 就是这样。

　Battelle 是一家非营利组织， 为美国能源部负责太平洋西北国 立实验室的日常运作。该实验室经常解决能源、国家安全和 环境方面的问题。因为实验室的工作性质很敏感， Juntunen

　使用 Pointsec Mobile 科技公司（现在是 Check Point 科技公司） 的 Pointsec 软件，对笔记本电脑及 PDA 和智能电话等其他移 动设备上的所有数据都进行加密。他说： “我们需要确保我 们的科学家和研究人员携带的数据、程序及知识产权都是安 全的。要是笔记本电脑被偷，窃贼到手的无非是一个硬件， 而不是我们的知识产权。

　”

　该实验室提供两层保护。首先，用户在启动操作系统之 前，必须通过 Pointsec 的验证。要是没有通过验证，系统就 会把他们挡在外面。其次，硬盘进行了加密，进一步阻挡未 授权的访问。

　Juntunen 说：“ Pointsec 采用了 256 位的高级加 密标准（ AES ）加密技术。要是有人偷走了设备，发现通过 蛮力登录工具无法进入系统，他们甚至不会取出硬盘、看看 里面有什么东西。

　”

　Gold 说，实现加密从技术不是很难， “但有许多公司根 本没有这么做，这才是主要问题。

　”他说，单单口令不足以 保护敏感数据。

　步骤三 完善政策

　除了对数据加密外，公司需要制订正式的移动安全策 略，那样用户才会认识到保护数据安全的责任以及不保护数 据带来的风险。

　Gold 解释：“公司要正式规定，哪些用户拥 有设备、 他们使用这些设备能做什么， 我们支持哪几种设备。

　要是有人没在使用采用相应安全措施的相应设备，他们就无

　法访问网络。就这么简单

　遗憾的是，理论上简单的事情实际上往往并不简单。在 Integris ，Maib 说自己经常要为买来最新装置和电话后、 就想 用来访问应用程序的医生做工作。

　Maib 说：“告诉医生他们 不能使用全新设备，这很难开口，可是我们必须坚持立场、 确保整个公司采用统一标准。

　”

　为了处理支持难题， Integris 派了一名全职的 IT 员工， 他的任务就是专门测试新设备，确保它们可以由 Credant Mobile Guardian 来管理； 并确保用户认识到公司制订的安全 政策。

　Maib 说：要是一则个人健康信息被泄密， 我们的损失 就有可能多达 25 万美元。我们每年付给一名员工的薪水才 65000 美元，加上 Credant 产品的费用，所以非常划算。

　” 有些工具让用户可以在集中控制台制订政策，然后分发 到移动设备上，确保设备是标准化的、符合安全标准。譬如 说，费城的一家多元化化学公司 FMC 使用 GuardianEdge Technologies 公司的软件，对移动笔记本电脑全盘加密，并 且阻止不符合标准的 PDA 和智能电话访问网络上的敏感数 据。

　FMC 对 PDA 和智能电话并不加密，但确实使用 GuardianEdge 的政策来控制它们如何访问网络数据。每个设 备都有客户软件， 与 GuardianEdge 集中服务器上的软件进行 通信。

　Kolodziej 说：“政策迫使用户随时使用个人身份识别

　号（ PIN ），哪怕使用 PDA 也是这样。要是移动设备与网络 实现了同步，上面有我们的数据，它会得到政策，迫使它在 启动时使用 PIN 。你要是没有 PIN ，就无法使用电话。如果 它没有客户软件，也会被完全阻挡在外面。

　”

　步骤四 培训用户

　即使公司制订了可靠的移动安全政策，要是没有提供全 面的安全培训，仍可能会遇到问题。

　Kolodziej 说：“我们大 家有时犯的一个错误就是，试图利用技术来解决用户教育问 题。我们要有教育用户如何最有效地保护自己的方法。

　”

　为此，大多数公司提供了现场或者网上移动安全培训， 许多公司还要求用户在移动设备方面签署可接受的使用协 议。

　Battelle 的 Juntunen 举办了自愿性的午间讨论会，探讨 移动设备将遇到的各种问题，作为强制性网上培训的一种补 充。他说：“这种培训涉及许多方面，譬如你在飞机上去洗 手间时，不要把笔记本电脑留在座位上，许多人其实并不注 意这些细节。”

　良好的培训注重安全措施背后的关键原因：保护数据。

　他说：“要让用户知道，我们这么做不只是为了保护笔记本 电脑；这么做是为了保护数据。这种区别很重要。一旦他们

　知道了这不仅仅是 IT 部门的事情，就更有可能接受政策。

　”

　步骤五 尽量简单

　专家们认为，移动安全最重要的方面恐怕就是易用性。

　Gold 说：“用户感兴趣的是方便与否。

　要是 IT 部门制订的政 策给用户带来麻烦，他们自然就会抵制。

　”

　FMC 的 Kolodziej 对此可是深有体会。

　GuardianEdge 的 第一个版本软件用起来不太方便。她说： “在文件层面，该 软件需要两个口令， 一个用于 Windows 域，另一个用于加密 软件。这给工作效率带来了负面影响。

　” Kolodziej 很快采用 了新版本，它可以提供全盘加密以及传递登录信息的功能。

　一旦用户通过验证进入 Windows 域，登录信息就会传递到 GuardianEdge,然后它对要使用加密软件的用户进行验证。

　此后，用户不再抵制这个安全工具了。

　（编译自美国《网络 世界》）