作者: 陈念, 　出处:信息周刊,　责任编辑: 韩博颖,　 2008-06-02 09:52

　　到底该如何保护脆弱的移动数据安全?CIO和安全专家认为，重要的是提高安全防范意识。正所谓，“亡羊补牢，犹未晚也”。

　　“艳照门”事件不只给个人，更给企业敲响了一记警钟。到底该如何保护脆弱的移动数据安全?CIO和安全专家认为，重要的是提高安全防范意识。正所谓，“亡羊补牢，犹未晚也”。

　　“艳照门事件”再次引发了人们对移动数据安全的关注。在此之前，英国皇家税务及海关总署在邮寄过程中丢失了两张重要数据光盘，其中包括约2，500万人的个人资料和银行信息，掀起了轩然大波。据称，这些光盘只有最简单的保护措施，犯罪分子很容易破解。目前，这一事件已经导致英国皇家税务及海关总署署长保罗·格雷(Paul Gray)引咎辞职。

　　频繁暴发的安全事件让我们看到了数据保密性是如此之脆弱。“过去我们只考虑针对基础架构的风险威胁，现在我们更要专注于对企业数据的威胁。一旦数据泄露，对企业的品牌和声誉带来的影响是十分巨大的。”赛门铁克公司(Symantec，下称赛门铁克)产品管理部门副总裁布赖恩·福斯特(Brian Foster)在最近召开的数据丢失防护技术媒体座谈会上表示。

　　用户控制

　　“‘艳照门’事件给企业敲响了一记警钟。”均瑶(集团)有限公司(下称均瑶)信息管理部总监吴大为表示。“艳照门”事件的疑因是当事人的个人电脑在拿往维修时被盗取其中资料。这种他人故意盗窃一旦发生在企业内部，尤其是至关重要的研发、财务等部门时，带来的影响可能是致命的。吴大为表示，通常董事长、总裁等重要高层的笔记本送修时，都会提前卸掉硬盘，并尽可能当场处理，以防止涉及公司核心机密的数据被外泄。

　　“关键岗位部门尽量不允许配备笔记本”，已经成为均瑶的一条硬性规定。如果员工出差需要携带笔记本，可以使用公司的备用笔记本，笔记本退回之后，硬盘都将被重新格式化。这样做虽然会加快硬盘折旧，但是和数据泄露带来的影响相比是微乎其微的。据悉，在华为技术有限公司等企业，研发部门的台式机都没有安装USB接口，以防止员工用闪存盘等移动设备拷贝文件，员工也无法自由登录外网或是使用即时通讯软件。而且，公司配备的笔记本电脑受到严格限制，不允许安装与工作无关的软件。

　　除了关键岗位部门，笔记本、U盘、手机等移动设备在企业内部也越来越多地被大面积采用，由此带来的安全隐患与日俱增。针对这种情况，企业通常都会采取预控管理措施，从源头上保障数据安全。和大多数企业一样，均瑶较早就采用了Windows系统提供的域管理功能，通过域控制服务器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。

　　域管理是最基本的手段，由于用户携带的移动设备经常会从外部连接到公司内网，国泰基金管理有限公司(下称国泰基金)信息技术部副总监管勇建议企业采用SSLVPN技术。和企业常用的IPSecVPN相比，SSL VPN主要用于移动用户的远程接入、内网资源的加密等环境，用户只需登陆浏览器即可通过虚拟VPN通道与内网安全联络。SSL VPN 对网址(URL)级别进行了权限划分，有效控制了用户的访问行为，而且用户的所有访问行为日志也将被详细记录，方便查询审计。

　　当然，最关键的还是移动用户的身份认证。64位或128位的密钥是行之有效的方法之一，比密钥更保险的是令牌。众多厂商正在开发各种各样的令牌，他们生成的密码是动态的，比如系统管理员将认证后的动态密码发送到移动用户的手机上，这个动态口令只能使用一次，2分钟后就将自动失效(详见3月刊《“令牌”把关，安全无患》一文)。不过，令牌也有操作繁琐、价格昂贵等顾虑，首席信息官(CIO)们还担心令牌能否真正解决在线欺诈等问题。