在當今世界上,高技術產品充斥於人們工作的各個角落。這些產品從智能手機,基於語音的IP電話系統,閃存,到各種虛擬的在線世界,不一而足。並且隨着越來越多的消費者開始習慣個性化的技術,使得各種新技術被很快的採用。
在最近由Yankee調查機構針對企業用戶的一項調查中,500名受訪者中的86%承認在工作場所的時候他們使用了不止一種這些設備和技術,既是爲了創新也是爲了生產效率。
然而,這一潮流給IT組織帶來了很大的麻煩。首先,使用這些技術會增加安全漏洞的可能性。除此之外,用戶還會期待IT產業提供相應的配件和服務,特別是他們在一個共同的環境下使用設備的時候。
但是在許多公司,如果單純的禁止員工使用這些設備或是連接這些服務,那將有違公司文化。與此同時,公司也不能完全依靠相應的規章制度來約束員工保證公司的安全。
"對於IT部門來說IT消費品簡直就是一個噩夢,要維護和解決這些問題將會迅速消耗IT資源,除非他們能夠找出新的解決方案來控制僱員的使用"Yankee的分析師Josh Holbrook說。Holbrook將禁止大衆化技術( consumer technologies )在工作地點的使用等同於"一個永恆的打鼴鼠的遊戲"。與此同時,他建議使用內部服務合作的模式來終止對終端用戶的控制。
爲了幫助企業如何做出相應,以下我們列出了8種在工作中比較流行的大衆化技術,以及探討企業如何在安全,生產效率以及良好的企業氛圍中找到平衡點。
1. 即時通訊
員工幾乎在所有的日常生活中都使用即時通訊,例如與同事及商業合作伙伴之間的通訊。據調查40%的受訪者稱他們在工作中經常使用即時通訊技術。實際上,即時通訊會導致一系列的安全問題。此外,惡意軟件也會借外部即時通訊程序侵入企業內部網絡,即時通訊用戶也可能在不知情的情況下就通過不安全的網絡將公司的敏感信息泄露出去。
對付這一威脅的一個方法就是逐步停止使用即時通訊服務而代之以內部即時通訊服務器。在2005年末的時候,Global Crossing公司就採用這一辦法,他們在公司內部部署了微軟的企業實時通訊服務器(LCS)。在2006年8月,他們就完全禁止了公司員工直接使用外部的即時通訊服務,包括,AOL,MSN 和Yahoo現在,所有的內部即時通訊的交換都經過了加密,並且外部的即時通訊交換也受到了保護,因爲這些信息都要經過LCS服務器和微軟的公共即時通訊服務器的過濾。
2. 網絡郵件
在受訪者中,50%的人說他們經常使用電子郵件用作商業目的。對於使用這些電子郵件應用程序的客戶來說,問題就是,諸如Google, Microsoft, AOL 和Yahoo之類程序的安全問題他們並沒有意識到,因爲這些信息的傳輸是經過網絡,並且是存儲在服務提供商的服務器和電子郵件服務提供商的服務器上的。如果沒有意識到這一問題,許多人在不作判斷的情況下就使用電子郵件發送敏感帳號,密碼,機密的商業數據或是交易祕密。
一個提高網絡郵件安全的方法就是使用關鍵詞過濾工具來監控電子郵件以及其它的監控技術,還有在發現潛在的漏洞的時候發出警告或是直接禁止電子郵件的發送。
3. 可移動存儲設備
IT管理人員最怕的一件事就是日益增長的各式各樣的移動存儲設備,從蘋果公司的iPhone到各種移動存儲設備。人們可以使用這些設備下載任何數量的機密信息和敏感數據然後將其大走,這不是IT管理人員所願看到的信息的存在方式。
"僅在過去的三個星期,我就聽了關於閃存和其它移動存儲設備風險的6個不同的報告。"Mark Rhodes-Ousley,他是一名信息安全結構師,也是Network Security: The Complete Reference(網絡安全:完全的參考)一書的作者。
儘管關閉員工的計算機上的USB接口是輕而易舉的事情,許多安全管理人員認爲這並不是一個值得推崇的解決方案。那麼你應該在哪些地方畫上界線呢?如果你限制了USB端口,進入公司的移動電話上面也有數據存儲的端口,那麼你不得不考慮限制設備上的紅外端口和CD刻盤機,這樣限制就會越來越多。
處理這一問題的最好方法是教育僱員怎麼樣對待敏感數據的存儲。實際上,大多數安全事故的發生都是無意的而不是惡意的,這就是爲什麼選擇教育的原因,主要是關於適當操作及其重要性。
安全專家表示,最好的方案就是在員工在使用USB或是其它的未經加密的存儲媒介複製文件的時候,管理員發送一條信息告知這是違反公司規定的。同時,密歇根州的大峽谷州立大學(Grand Valley State University)和其它一些大學的有丟失過帶有敏感數據閃存的慘痛經歷的教授和學生們也正努力研究密碼的標準化問題--還有加密保護USB驅動在將來來保護他們自己。
4.掌上電腦和智能手機
越來越多的僱員開始在工作中使用各式各樣的智能手機或是個人數據助理,可能是BlackBerry, Treo 或是 iPhone。但是當他們同步顯示他們設備的日曆的或是使用他們的個人電腦用電子郵件發送應用程序的時候,產生的問題可能包括程序短路以及藍屏死機現象。
除此以外,要是員工辭職或是被解僱,他可以帶走他想要的任何信息,只要他隨身攜帶了掌上電腦或是智能手機。
一個規範化公司的IT部門將只會支持某一個品牌和型號的掌上電腦,從而將危險可能性降到最低限度。一些公司甚至在筆記本的使用上也建立了類似的標準,不得不承認筆記本的威脅比掌上電腦的威脅更大,因爲它們可以存儲更多的數據。
5.視頻電話
一名醫院的員工站在育嬰室的門口,隨意的與護士聊天。沒有人注意在她的手上有一個小的掌上設備,她時不時的按下一個小按鍵。這不是經常在間諜電影裏出現的情形嗎?不,DeKalb's Finney領導的一個安全調查證實了這點。
"我做的一個實驗就是把我的手機帶到育嬰室然後開始拍照,他們都不知道"她說。"我想下載這些照片,提高像素然後看一看我得到的照片--然後關於病人的信息展現在我的電腦屏幕上或是出現在我 辦公室的桌子上。"
最後證明,她並沒有得到任何關於個人的有效信息,但是從電腦屏幕中的信息她得到了關於電腦名稱的信息(注意不是IP信息)。
"這類信息與從其它渠道得到的信息彙編在一起就可以形成一個攻擊計劃,"他警告說。
6.Skype或其他的基於語音的IP通話技術
另外一個大衆化的技術就是Skype,是一種基於下載軟件的免費英特網通話服務技術。實際上,有20%的受訪者將這種技術運用於商業活動中。
在商業環境中,由於Skype或是類似技術導致的危險與下載到受到威脅的計算機上的大衆化軟件的風險是一樣的。企業用應用程序升級很快並且很安全,而大衆化的應用程序升級很少也不安全。因此在你每次下載Skype或是其它軟件的時候,你實際上就是引狼入室。例如,這些軟件會與計算機或網絡上的任何應用程序綁定,潛在的就會影響應用程序的性能。
Skype最近就發佈了安全漏洞的4個補丁,用戶在下載最新版本的時候就可以安裝。但是IT部門根本就不知道有多少用戶安裝了Skype,更不要說有多少人做了蠢事,根本就無法有效監管。
Gartner調查公司建議最安全的辦法就是阻斷所有Skype流量。Gartner還說,如果企業不這樣做的話,他們可以使用相應的監管工具對Skype程序有選擇性的控制並且保證只授權給相應的員工。
7.下載窗口小部件
根據Yankee調查,用戶使用諸如Nokia E62的設備下載窗口小部件,這些小部件可以快速訪問Web應用程序。根據Holbrook調查,這些窗口小部件很容易就進入了個人電腦,這樣很快就侵入了IT部門苦心控制的系統環境。
除此之外,沒有經過檢查的軟件下載也會存在潛在的風險,感染病毒的可能性不是很大,但是你有可能下載一些你不是太信任的軟件。
8.虛擬化環境
商業用戶開始在工作中使用虛擬環境。他們這樣做,所以IT部門要開始關注與之相應的安全問題。Holbrook說,簡單的關閉使用虛擬環境看起來似乎是不足的。
與此同時,在使用Second Life的時候,人們會下載大量的可執行代碼然後就會在企業防火牆內部生根,這是Gartner公司最近的一份調查報告中公佈的。此外,要想知道使用虛擬世界的人的真實身份很難。
Gartner的一個建議就是,在員工通過企業的無線網絡使用虛擬世界或是在家裏使用。第三個選擇就是就是公司建立自己的虛擬網絡世界並且就部署在企業內網的防火牆中。