《企業網D1Net》10月29日訊
企業在信息安全方面又有了新課題,那就是如何維護移動網絡安全。黑客現在有多了一種威脅企業信息安全的途徑,那就是通過移動網絡進行攻擊。考慮到這全新的挑戰,企業應該如何高效低成本地進消除安全風險呢?我們或許需要分三步走,進行三大“補”:
1.首先最簡單的實踐方法就是實施宣傳方案,向移動/BYOD終端用戶進行關于安全威脅和其避免方法的教育。比如,移動設備包含了大量的數據,但不是所有的都是敏感數據,而攻擊者需要滲透到一個安全的網絡來獲取到準確的數據,如電子郵件賬戶憑證、用戶密碼和企業VPN的登錄數據。此外,設備本身也可以作為一個可以直接連入企業網絡的通道,例如,如果一個黑客用惡意軟件讓一個移動設備中了病毒,那么他們將可以用該軟件通過VPN而連接到內部網絡。因為許多終端用戶是通過USB接口讓自己的移動設備連接到工作站,所以這也是一種能夠讓網絡受到感染的一種途徑。
2.接下來就是圍繞移動設備的使用來建立嚴格的策略,一個好的參考框架就是“企業移動設備安全管理的指導方針”,它是由美國國家標準與技術研究所(NIST)在其特別出版物(SP)800-124修訂版1中提出的。建立移動設備的使用策略是相對容易的,困難的是收集風險預測信息,這些信息要用來確定移動設備是否、何時以及怎樣連接到一個可信的組織網絡。在這方面,很多組織要依賴于像移動設備管理或移動應用管理這些工具。
3.新型移動信托服務正脫穎而出,這種服務能夠識別每一層移動堆棧上(基礎設施、硬件、操作系統和應用程序)的漏洞,使這些數據在安全生態系統范圍內(例如安全控制的使用,像加密、基于角色的訪問控制等技術)與現存的威脅和風險系數有一定的聯系。反過來,這些風險系數也可以用來確定是否授予一個網絡的訪問權限,如果有的話,那么又有哪些權限是應當受到限制的。一旦允許訪問,連續監測就應該用來更新風險評估系數。
D1Net評論:
要消除安全風險,就必須有條不紊地進行管理改進,從外到內,逐步深入。首先要對員工進行相應的信息安全保護培訓,這是現象層的“補”,其次建立起一套完整的測評體系,這是核心層的“補”,最后可利用一些新技術新服務來“修補”安全漏洞,這是物理層的“補”。把這三“補”分三步走,企業移動網絡將會有所保障。
京公網安備 11010502049343號