“邮件门”背后的安全隐患
移动互联时代,人们的上网习惯和行为正在发生变化。据2014年的一项最新调查显示,高达68%的受访者平时更喜欢使用Wi-Fi无线网络,这样一类随时随地都希望保持在线的群体,被称为“Wi-Fi控”,“Wi-Fi控”员工们喜欢手持自己的移动设备,移动办公。
随时移动的网络用户体验越来越重要,但对于组织机构而言,“Wi-Fi控”BYOD带来的各种“麻烦”也正在不断显现,前不久美国国务卿希拉里“邮件门”事件,就给全球企业管理者们重重敲响了警钟。
事件起源于2014年3月。据美国媒体报道,希拉里在担任美国国务卿的4年时间里,没有使用政府提供的黑莓手机,一直使用个人电子邮箱办公,希拉里不断强调,自己使用私人邮箱只是为了“图个方便”,然而,这一“行方便”的举动,令美国人民感到震惊,更遭到了共和党和美国媒体的强烈谴责。
为了方便,希拉里并没有使用政府提供的黑莓手机,而是在一部手机一个邮箱里实现个人生活和工作的切换,然而小习惯可能会导致严重的大问题。经过安全专家的测试,希拉里的邮箱在面临黑客攻击时比较脆弱,即使加密了,也不意味着百分百安全。根据美国相关规定,除一些极为敏感的文件或机密文件,所有由政府官员发送及接收的书信、邮件都需要被记录在案,私人账号只能在非常紧急的事件时才可以使用,比如机构的计算机服务器无法正常运行,但事后也应当将通信内容及时上传国务院服务器。美国信息安全监督办公室前主任J•威廉姆•莱昂纳德认为,如果希拉里用私人邮箱处理了机密信息,是很大的麻烦,她可能违反了政府机密信息的基本规则,严重的话将会损害国家利益。
互联网+时代,移动性考验企业网络
移动性员工的使用习惯正在改变。据统计,目前全球使用的移动设备的数量已经超过了72亿大关,全球移动互联网流量已经超过了互联网整体流量的25%,随着公共云服务的使用和移动设备的激增,用户已经形成了自己惯有的移动工作方式,就像希拉里为什么选择使用个人手机个人邮箱工作,而不使用政府提供的黑莓手机一样。当前,用户可以在企业和第三方服务器之间进行数据的移动和切换,这就催生企业必须找到一种可行的架构来监控和规范移动安全管理。
小习惯导致大问题。希拉里使用个人邮箱帐户同时收发工作邮件这件事,看起来似乎没什么大不了,因为这种行为容易很隐蔽,并且也没有导致直接的后果,但此次“邮件门”事件,却给她和美国政府造成了大麻烦。这说明,看似员工一个小小的工作习惯,从长远来看,很可能会导致更严重的后果。引申开来想一下,且不说央视3.15曝光的公共场所各项安全入侵,引发了消费者手机银行信息等泄露造成的大量个人损失,单从企业层面来讲,当全球越来越多的用户通过智能手机、平板电脑查收邮件、沟通工作时,他们的网络接入环境、终端设备型号可能不尽相同,随着移动设备越来越多地承担起“事务处理工具”的角色,网络层的动态响应能力、安全性和可管理性如果不能完善,将会带来多大的隐患和危机。
虽然很多企业正在努力消除移动化带来的数据风险,传统的防火墙、IDS/IPS、AV、反垃圾邮件、网页过滤等安全手段可以很好抵制外部风险,但令人不安的是,当前更多风险来自企业内部。然而移动性正在挑战固定的传统安全架构,因为更多的移动设备正在越过安全控制,直接连入无线网络,针对企业内部拥有的设备和员工自带的设备的攻击途径在不断发展和变化,今天,由于有限的可视性和缺乏策略控制,使企业对于一项新的风险显得束手无策。由于各移动设备可能带来不同的安全威胁,同时很多企业对网络安全方面的投资集中在短时防御,而缺乏长期规划等问题,员工随处使用这些移动设备将带来更多潜在的安全和数据丢失隐患。
此外,由于移动设备的尺寸较小,将导致它们容易丢失或被窃,而没有密码保护的设备就显得更加令人担忧。事实证明,移动设备的失窃,重要信息的丢失,是企业IT管理部门面临的头等难题。在现在的企业网络环境中,“Wi-Fi控”员工自带设备(BYOD)正在成为一项严峻的考验。其中,企业数据安全、员工身份管理位列前两大要素。
传统的安全手段只限于保护固定的端点和定义好的数据路径,这已经不足以应对今天的移动性安全管理,企业需要重新审视和制定内部的BYOD策略,一致性的安全和自适应的可信管理策略成为当仁不让的重中之重,这种策略可以保护企业和客户的利益,那些试图打破或者跨越这些策略准则的员工将会冒很大的风险,在银行等一些行业,对于安全合规化的管理要求前所未有的增强,一个好的安全策略应该能够基于角色设置严格的企业网络接入规则。这也无疑成为了员工“行方便”背后,各组织机构必须亟待部署的方案。
移动安全人人有责:安全策略助力提高意识
企业正在千呼万唤一种可信任的安全策略模型,这种信任不是假设存在的,而是必须赋予员工正确的网络接入权利和权限。美国Aruba公司的“自适应可信设计方案”,给我们提供了一个很好的解决方法。这项方案通过基于用户角色控制,能够确保移动设备的合规性管理和构建安全的工作流程,可以帮助企业了解“Wi-Fi控”员工的上网行为,更好地履行整体安全策略。同时,企业也可以根据员工与设备交互的情况,授予不同的认证接入权限。企业部署安全策略,除了确保法规遵从性和简化网络操作之外,最大的目的是旨在通过技术手段帮助员工调高移动安全意识,让员工通过全方位的身份管理解决方案,随时随地安全地访问他们所需要的内容和应用程序,通过这样一个统一的、安全的登录体验,方便员工在自己的移动设备上更有创造力、更高效地工作,真正打造安全和值得信赖的移动体验。
移动很方便,安全价更高。希拉里“邮件门”事件,提醒了我们每一个人,不是么?
原文出自【比特网】,转载请保留原文链接:http://sec.chinabyte.com/293/13329293.shtml
(责任编辑:aqxh)
关注微信公众号