【IT168 专稿】正如英国全国建屋互助会（Nationwide Building Society）在去年初发现的那样，丢失笔记本电脑会带来巨大损失，伍斯特郡郡政会（Worcestershire County Council）可能很快也会发现这一点。

    而最大的损失未必来自更换丢失系统所花费的成本。事实上，就拿全英建屋互助会来说，最后被金融服务管理局处以罚款98万英镑才是主要费用，理由是这家监管部门认定该组存在严重的信息安全过失。该组织还花费了大量的时间和资金来通知客户，要留意这起失窃事件可能带来的潜在风险——早些时候，一名员工在家里丢失了笔记本电脑。

　　因而，虽然全英建屋互助会的首席执行官Philip Williamson表示“此次事件没有给客户的账户带来任何经济损失”；如果客户确实蒙受了损失，他们无论如何会得到补偿的。不过这起事件还是促使该组织委托另一家组织“为其全面审查了信息安全程序和控制措施。”

    移动设备带来便捷性的同时也存在风险

    而与此同时，伍斯特郡郡政会接到了其IT供应商Serco公司的通知，声称该公司的一名员工在周末逛街时遭遇抢劫，结果一台笔记本电脑被抢。电脑里面含有郡政会16239名员工以及前员工的个人资料，包括银行和全国保险信息，这些信息有可能被暴露在身份窃贼面前。

    于是，伍斯特郡郡政会通过信件的方式紧急通知了受到影响的人员，还为他们开设了一条热线，以便提供更多的信息，从而知道如何保护自己避免可能出现的欺诈。

    但并不是单单只有这两家组织才遇到丢失笔记本电脑的事件。据英国科技新闻网站silicon.com在2006年8月开展的信息自由调查显示，许多政府部门都遇到过丢失笔记本电脑的事件。

    其中受影响最严重的英国国防部声称，从2005年7月到2006年7月，21台笔记本电脑被偷。内政部有19台被偷；卫生部被偷18台；贸易和工业部有16台失窃；皇家监狱总局被偷8台；英国身份及护照服务处被偷4台。

    但失窃并非导致笔记本电脑下落明白的惟一原因。2005年，英国执业出租车司机协会创办的《出租车》杂志对伦敦的出租车司机作了一项调查，这项调查得到了移动安全技术供应商Pointsec公司的赞助。调查发现，在短短半年内时间，乘客遗忘在出租车上的笔记本电脑数量多达4973台——不过其中有96%物归原主，这还得归功于司机们不遗余力地寻找失主。

    遗忘在出租车上的个人数字助理（PDA）也有5838部，而手机更是多达63135部——平均每辆出租车上会落下三部手机；不过在后面这种情况下，司机们设法归还了其中约80%的手机。

    这一切似乎都表明，尽管移动设备给日益分散的员工队伍带来了便利和灵活性，不过同时也带来了一系列信息安全风险。

    人们在这方面主要担心的问题之一与数据泄露有关；而事实上，一旦笔记本电脑丢失或者被偷，没有授权的人就有可能获得敏感的公司信息。

    尽管如此，据英国贸易和工业部在2006年开展的信息安全泄密调查（普华永道会计事务所负责每两年调查一次）显示，五分之四的英国公司仍然单单依靠密码来保护各自的系统。

    研究公司Freeform Dynamics的首席分析师David Perry指出，这方面存在的问题是，谁都知道，密码是不安全的。他说：“人们常常使用老一套的密码，或者人家运用社会工程学伎俩，打个电话，就会把密码透露给对方。还有为数不少的人养成了把密码记到纸上的习惯，而窃贼总是知道在何处找到密码。比方说，如果窃贼连笔记本电脑包一道偷走，很可能在包里面找到密码。”

    不过，目前的情况显得更加复杂，这是由于无线网络日益普及：员工在外出时会接入无线网络；日益普遍的是，员工在家办公时也会接入无线网络。

    这里难就难在，就目前而言，用户想知道自己连接的是合法网络还是非法热点（rogue hotspot）几乎是不可能的——如果人们所用的笔记本电脑采用了英特尔迅驰芯片，这个问题就显得尤为突出；因为一旦这些笔记本电脑启动上去，就会自动寻找信号。

    由于无线安全技术仍处于发展初期，所以这无助于缓解这个麻烦的事态。不过如今开始出现了像AirTight Networks入侵预防软件这样的产品，试图解决这个问题。

    经销商Wick Hill公司的总经理Ian Kilpatrick表示，另一个可能危险的情形是，有人在策划所谓的中间人攻击（man-in-the-middle attack）。

    他解释道：“用户可能以为自己成功连接到了无线网络，但是黑客之前也许已经连接到这个网络上面，因而用户可能是通过黑客连接到网络。这就意味着，黑客可以盗用用户的信息来登录，查看来回传输的数据。不过最严重的问题是，一旦黑客窃取了用户的身份，就可以随时登录网络。”

    因而，Kilpatrick建议公司应当确保员工通过自己的机器连接到互联网时要使用SSL或者IPsec虚拟专用网（VPN）；另外确保笔记本电脑安装了双因子验证产品，如令牌或者数字证书，从而确保试图登录到公司网络的用户确实拥有有效身份。

    另一个重要的工具就是加密软件，可用来保护存放在笔记本电脑中的任何敏感数据。Kilpatrick表示，如果批量采购，目前每台电脑使用的加密软件大约只要70英镑，“这与数据丢失可能导致的罚款及名誉受损相比微不足道。”