保护移动设备数据的五个步骤_大数据要学什么

　　本文介绍的五个基本步骤可以确保移动数据的安全性。 　　Integris保健中心的一名护士去俄克拉何马城为病人提供上门保健服务时，遭到了坏人的持枪抢劫。虽然她最后安全脱身，但公司配给她的笔记本电脑和移动电话被抢去了。这两个设备里面都有敏感的病人数据，但Integris并不担心。该公司的高级IT顾问Randy Maib说：“所有敏感文件都已经过加密。”
　　的确，保护移动设备上的数据如今成了特别棘手的问题，特别是由于存储设备的容量越来越大、尺寸却越来越小。一些厂商已开始着手解决这一问题，但很少提供集中管理、一应俱全的安全。本文介绍了确保移动数据安全时应当采取的五个基本步骤。
　　
　　步骤一 知道要保护哪些数据
　　
　　咨询公司J. Gold Associates的创办人兼首席分析师Jack Gold说：“你一定要知道员工会访问哪种数据以及与这些数据相关的风险。要是有关三只小猫领养事情的一封电子邮件丢失了，你不会担心。但如果这封邮件涉及客户或者财务问题，里面还有社会保障号码及银行账户，你确实会担心。”
　　康涅狄格州诺格塔克储蓄银行的CIO Roy Balkus将这则忠告铭记在心。他确定了哪些用户需要外设、光盘驱动器和USB设备后，使用Centennial Software公司的DeviceWall来控制他们获得多大的访问权、能获得哪种访问权：只读还是读写。另外，他为移动笔记本电脑提供了全硬盘加密，但对PDA或者移动电话并不加密。这家银行的政策明确规定：未经IT部门的许可，任何敏感或者机密的客户信息不得存放在任何便携式手持设备上。他说：“大家使用PDA主要用于联系簿和日历。我们的业务模式要求我们有针对性地关注安全。”
　　
　　步骤二 觉得怀疑就加密
　　
　　其他IT主管根本不会考虑功能弱于全盘加密的任何加密措施。Battelle的技术支持经理Troy Juntunen就是这样。Battelle是一家非营利组织，为美国能源部负责太平洋西北国立实验室的日常运作。该实验室经常解决能源、国家安全和环境方面的问题。因为实验室的工作性质很敏感，Juntunen使用Pointsec Mobile科技公司（现在是Check Point科技公司）的Pointsec软件，对笔记本电脑及PDA和智能电话等其他移动设备上的所有数据都进行加密。他说：“我们需要确保我们的科学家和研究人员携带的数据、程序及知识产权都是安全的。要是笔记本电脑被偷，窃贼到手的无非是一个硬件，而不是我们的知识产权。”
　　该实验室提供两层保护。首先，用户在启动操作系统之前，必须通过Pointsec的验证。要是没有通过验证，系统就会把他们挡在外面。其次，硬盘进行了加密，进一步阻挡未授权的访问。Juntunen说：“Pointsec 采用了256位的高级加密标准（AES）加密技术。要是有人偷走了设备，发现通过蛮力登录工具无法进入系统，他们甚至不会取出硬盘、看看里面有什么东西。”
　　Gold说，实现加密从技术不是很难，“但有许多公司根本没有这么做，这才是主要问题。”他说，单单口令不足以保护敏感数据。
　　
　　步骤三 完善政策
　　
　　除了对数据加密外，公司需要制订正式的移动安全策略，那样用户才会认识到保护数据安全的责任以及不保护数据带来的风险。Gold解释：“公司要正式规定，哪些用户拥有设备、他们使用这些设备能做什么，我们支持哪几种设备。要是有人没在使用采用相应安全措施的相应设备，他们就无法访问网络。就这么简单。”
　　遗憾的是，理论上简单的事情实际上往往并不简单。在Integris，Maib说自己经常要为买来最新装置和电话后、就想用来访问应用程序的医生做工作。Maib说：“告诉医生他们不能使用全新设备，这很难开口，可是我们必须坚持立场、确保整个公司采用统一标准。”
　　为了处理支持难题，Integris派了一名全职的IT员工，他的任务就是专门测试新设备，确保它们可以由Credant Mobile Guardian来管理；并确保用户认识到公司制订的安全政策。Maib说：要是一则个人健康信息被泄密，我们的损失就有可能多达25万美元。我们每年付给一名员工的薪水才65000美元，加上Credant产品的费用，所以非常划算。”
　　有些工具让用户可以在集中控制台制订政策，然后分发到移动设备上，确保设备是标准化的、符合安全标准。譬如说，费城的一家多元化化学公司FMC使用GuardianEdge Technologies公司的软件，对移动笔记本电脑全盘加密，并且阻止不符合标准的PDA和智能电话访问网络上的敏感数据。
　　FMC对PDA和智能电话并不加密，但确实使用GuardianEdge的政策来控制它们如何访问网络数据。每个设备都有客户软件，与GuardianEdge集中服务器上的软件进行通信。Kolodziej说：“政策迫使用户随时使用个人身份识别号（PIN），哪怕使用PDA也是这样。要是移动设备与网络实现了同步，上面有我们的数据，它会得到政策，迫使它在启动时使用PIN。你要是没有PIN，就无法使用电话。如果它没有客户软件，也会被完全阻挡在外面。”
　　
　　步骤四 培训用户
　　
　　即使公司制订了可靠的移动安全政策，要是没有提供全面的安全培训，仍可能会遇到问题。Kolodziej说：“我们大家有时犯的一个错误就是，试图利用技术来解决用户教育问题。我们要有教育用户如何最有效地保护自己的方法。”
　　为此，大多数公司提供了现场或者网上移动安全培训，许多公司还要求用户在移动设备方面签署可接受的使用协议。
　　Battelle的Juntunen举办了自愿性的午间讨论会，探讨移动设备将遇到的各种问题，作为强制性网上培训的一种补充。他说：“这种培训涉及许多方面，譬如你在飞机上去洗手间时，不要把笔记本电脑留在座位上，许多人其实并不注意这些细节。”
　　良好的培训注重安全措施背后的关键原因：保护数据。他说：“要让用户知道，我们这么做不只是为了保护笔记本电脑；这么做是为了保护数据。这种区别很重要。一旦他们知道了这不仅仅是IT部门的事情，就更有可能接受政策。”
　　
　　步骤五 尽量简单
　　
　　专家们认为，移动安全最重要的方面恐怕就是易用性。Gold说：“用户感兴趣的是方便与否。要是IT部门制订的政策给用户带来麻烦，他们自然就会抵制。”
　　FMC的Kolodziej对此可是深有体会。GuardianEdge的第一个版本软件用起来不太方便。她说：“在文件层面，该软件需要两个口令，一个用于Windows域，另一个用于加密软件。这给工作效率带来了负面影响。”Kolodziej很快采用了新版本，它可以提供全盘加密以及传递登录信息的功能。一旦用户通过验证进入Windows域，登录信息就会传递到GuardianEdge，然后它对要使用加密软件的用户进行验证。此后，用户不再抵制这个安全工具了。（编译自美国《网络世界》）