如何避免成为数据泄露的罪人

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　每周我们都能听到客户数据泄露的报告，但是这个问题永远只是公司会议日程中最不重要的部分。

　　高便携性数据设备的普及，如黑莓或其它智能手机，使得数据存储的边界有了翻天覆地的变化。此类设备的存在，使得企业对于防止数据泄漏所做的所有静态保护形同虚设。尽管如此，很多企业仍然对此不加重视，或者没有采取正确的措施防止数据泄露。

　　不久前，T-Mobile就发生了信息泄漏事件。数千个手机客户的详细信息从信息专员办公室中泄漏出来。这有可能成为英国近年来最严重的客户信息泄漏事件。

　　紧迫的问题

　　对于管理层来说，薄弱的信息安全应该是需要解决的最紧迫的问题。然而很明显，现实并不是这样的。同时，我们的移动办公或远程办公模式，可以有效的提高办公效率，这也将继续下去。

　　然而，在这些优势的背后，问题也跟着出现了。比如远程存储媒体使得大量的敏感数据流出了公司大门。这种设备不仅仅能很好的存储大量信息，他还带来了信息丢失的风险，包括被盗以及损毁，还有特种各样电子攻击的可能。

　　十年前，手机用户和接线员只需要担心窃听和号码诈骗问题。而随着电子无线电技术的发展，这些问题都已经得到了解决，如今的 3G 技术使得破解通信，窃听手机通话内容成为了昂贵和几乎不可能实现的事情。

　　但是，随着技术的日益强大，一大堆新的安全威胁也随之产生,形成了类似于军备竞赛似的状态。安全行业推出新的防护技术，网络罪犯份子乐此不疲的破解新的防护技术。

　　随着网络上恶意软件的流行，看起来好像网络犯罪份子们要先于安全专家一步。

　　手机行业的迅猛发展，使得用户可以直接将程序或文件内容下载到手机上。这种功能意味着用户也可以将病毒和间谍软件下载到手机里。考虑到目前手机操作系统环境的复杂性，我们在多年前曾经在电脑上看到的病毒，有可能出现在手机上。

　　不幸的是，新技术并不能解决问题。比如，原本属于Sidekick智能手机用户的数据在T-Mobile的数据服务供应商那里被泄露出来。另外，任何新技术，不论是Windows7还是最新的iPhone，都存在安全隐患，而黑客们都在想办法利用这些安全隐患进行攻击。

　　所以，在如今这个移动环境中，从一开始就保护好数据安全是非常必要的。一个好消息是，企业可以通过实际的措施强化防护能力，避免数据泄漏。

　　下面是三个需要关注的基本方向：

　　1. 加密和限制

　　引入成功并且可持续的信息安全项目，包括加密笔记本和所有移动设备上的全部个人数据。

　　运营商网络拥有很好的空中加密措施，但是除非有明确的管理，否则客户和企业服务器之间的连接是缺少安全保护的。这种明确的安全管理有很多种，如果客户和企业服务器间需要传输敏感数据，则需要使用VPN连接，以确保只有经验证的用户才能连接。

　　2. 数据保留时间表

　　其它步骤包括设定明确的数据保留时间表，采用物理方式销毁废旧的电脑硬盘，磁盘，磁带，以及纸质记录文件等。

　　在ISO 27001框架中对此有明确的规定，涉及如何管理数据系统安全，同时BS 10012 展示了如何满足数据保护法案(Data Protection Act)的需求。

　　3.模拟PC安全性

　　有个现象是，很多移动办公用户都使用苹果电脑，因为“病毒更喜欢PC机，因此使用苹果电脑风险更低一些。”但是这种情况能持续多久呢?

　　保护敏感数据安全的明智做法是像用PC机一样注意使用苹果电脑的方式，避免访问可疑网站，下载任何未经验证的文件，以及利用电脑的管理能力检验和控制所有移动设备。

　　通过采用这些审慎的态度对待数据泄露问题，企业可以放心的使用移动办公策略，拥有更好的运营效率，而不用担心某一天数据会从自己的电脑中泄露出去。