科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全微软同步企业邮箱给智能手机带来的安全隐患(下)

微软同步企业邮箱给智能手机带来的安全隐患(下)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在讨论各种智能手机平台之前,重要的是先讨论下,要支持邮件同步所必须建立的Microsoft Exchange最低配置的环境。

来源:TechTarget中国 2011年12月23日

关键字: 手机安全 企业邮箱

  • 评论
  • 分享微博
  • 分享邮件

  安卓,iPhone,Palm和黑莓对AES的支持度

  微软没有自己的产品能与Exchange完全同步,那么其他设备例如安卓,iPhone,Palm Pre和黑莓呢?也许只有你的企业自己才能回答这个问题。首先,主导性的讨论应该关注于同步到移动设备上后手机丢失、被盗或信息泄露等风险分析。其次,在风险决策和实施最低控制这一共识的基础上,Exchange服务器与AES客户端对接也需要能够完全确保经审核的设备及其AES客户端能够可靠地强制AES邮箱策略按照你所选择的安全策略方案那样执行。虽然每个企业都很独特,但是还是有一些关于移动设备安全控制的监管建议值得分享。

  如果你在财务或医疗保健行业,必须的安全控制应是加密。对移动设备及其附属存储(例如SD卡)进行的数据加密是极其必要的。对财务部门,由于其数据的价值和敏感性,对数据进行强制加密只是尽职行为,任何不加密或少加密则可视为渎职。在医疗保健行业,按照2009年出台的高科技违规披露法案(HITECH Breach Disclosure Act),加密是一个“安全港”。当移动设备丢失或被盗时,如果你能表明数据是加密的,数据损失就可以被排除在那个法案之外。

  另外,如果你能够远程瓦解数据(擦除数据),你就进一步地限制了未授权的使用和下游责任(州律师公会积极推进追查违规及渎职责任及举报)。当然,信息泄露能够让法律调查确定泄露的范围和性质,但请问问你自己:企业已经承受了多少手机丢失或被盗,而有多少已被证实普通数据或受保护数据已被泄露或被黑客黑走。如果你的中小企业不在财务或医疗保健行业,即使你不要求必须加密,你也不会有什么危险。但是,国家法律在变,每年几百亿的诉讼费用,特别是H.R. 2221, S.1490, S.3742 这些条款,加密将在一两年内成为一个统一的“安全港”,所以你最好把它规划到你的企业发展规划中。

  用远程手机锁及GPS跟踪来对抗智能手机安全风险

  其他值得进入对抗智能手机安全风险所需列表的安全控制方法,是标准的控制信息泄露的“最佳实践”的那些基本方法,包括强制询问密码,强制设置复杂密码,失败登录次数限制,空闲超时和强制关闭蓝牙连接等等。这里只列出一部分,全部设置可以在Exchange ActiveSync策略管理中设定。请不要忘了确认AES客户端支持你的企业所认为的必要的AES安全控制。其中最有效,无成本的安全控制是:发布一个政策,详细列出智能手机的兼容性要求,当然同时这也需要列出所需的手机平台系统和AES客户端。并且使每个人都清楚,如果设备不在名单上,是不允许的。

  如果你已经是一个Exchange用户了,可靠的移动安全指日可待。深入研究ActiveSync邮箱策略,你会发现,要想允许用户将企业电子邮件同步到移动设备上,通过匹配Exchange和与之相兼容的AES客户端的技术控制,你可以创造一个可行的移动安全政策。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章