移动终端安全还需更多的防护工具

    与此同时，更令人担心的是，哪些笔记本电脑会导致公司网络面临恶意软件引起的感染。据赛门铁克公司企业安全小组在2005年开展的一项调查显示，导致蠕虫自动攻击的最常见根源就是员工的笔记本电脑；43%的公司声称，安全事件是因此而引起的。另有34%的公司表示，感染蠕虫是由非公司员工的人员带来的笔记本电脑引起的。

    信息风险管理安全咨询公司的首席技术官Phil Huggins表示，不过遗憾的是，公司还没有习惯使用反病毒软件和反垃圾邮件软件之外的软件来保护客户端设备。

    他说：“端点安全往往是一种非常基本的概念，已深入人心。如今在所有笔记本电脑上安装反病毒软件或者某种反垃圾邮件软件，这种做法已被相当多的公司所接受。但是说到部署入侵预防、个人防火墙或者加密软件之类的技术，却好坏不一。”

    更糟糕的是，虽然一些公司可能积极确保自己的内部系统打上了补丁、安全软件是最新版本，但它们往往很随意，不加区别地对所有笔记本电脑给予同样程度的关注。这时候，远程管理软件就能发挥作用。这类系统经过配置后，可以确保电脑上的应用软件版本最新、确保安全补丁自动打上；并确保正确的连接设置已落实到位。另外，要是被偷或者失窃的笔记本电脑下一次试图连接到公司网络上，远程管理软件还可以用来远程禁用电脑，并且清除里面的数据。

    另一种实用的工具是网络访问控制（NAC）软件，思科和Juniper Networks等厂商销售此类软件。这种软件的作用是，如果笔记本电脑不符合公司内部设定的安全策略，就拒绝电脑访问公司网络；并隔离开来，直到电脑清理干净，或者软件得到更新，才可以正常访问。

    不过正如Kilpatrick指出的那样，单单部署比较巧妙的技术还不够。他说：“技术只是你确定了存在哪些问题以及公司可能面临多大的风险后部署到后端的东西。”

    这就意味着，想在这方面尽可能提高信息安全效果，公司完全有必要正式评估自己希望怎样利用移动技术、为什么利用这项技术，然后在此基础上评估风险，之后，风险评估以及任何随后的缺口分析（gap analysis）成为移动安全策略的基础，并且告知员工哪些是公司可以接受的使用。

    Perry解释：“你要明白自己在哪些方面安全很薄弱，能承受多大的风险。在此基础上开展其他各项工作——用户培训、推行的策略以及部署的技术都应当以这种自上而下的视野为准绳。这是开展各项工作的基础。”

    就用户培训而言——Perry认为这项工作至关重要，有必要事先了解一下潜在的风险情况，并且了解如何应对风险，从而增强员工的安全意识。另外有必要鼓励员工要抱着这样的想法“东西总是可能会丢失的”；并提醒他们：他们的笔记本电脑是公司财产，而不是个人财产。

    这么做的目的是帮助员工首先充分认识到需要安全机制，不然，这些安全机制可能会被禁用，或者他们觉得过于麻烦而绕开了这些机制。

    这是一个重要问题。如果移动设备采用的安全措施过于严格，当初使移动设备大行其道的易用性和便利性就会受到影响。因此处理好两者之间的平衡关系非常重要。

    Kilpatrick说，要牢记的另一点就是，一开始就把安全融入到组织行为当中总是比以后试图加强安全来得更省钱、更有效。

    他说：“如果没有把安全作为业务计划的一部分来处理，它往往被认为是成本昂贵的附加部分，而且会让人觉得有点讨厌。但要是公司一开始就承认安全是必不可少的，就算任何一台新机器的费用可能会因而增加250美元，也会准备好把安全考虑进来。”

    这就意味着，公司明白面临的安全风险、并准备好为此承担责任显得至关重要。正如Kilpatrick指出的那样，如果当天最后一名下班的员工没有关上所有的门窗，而且让保安回家，他就要为发生的任何事件负责；可能会因为行为不端而被开除。

　　他得出这样的结论：“如果任由员工带着没有任何安全措施的笔记本电脑在机场到处闲逛，可能把他们的登录资料广播出去，又没人觉得需要为此承担任何责任，那这种做法是无法接受的。关键就在于，让公司董事会明白风险，并且明白对安全负有责任的是他们自己，而不是IT部门。”