在最近由Yankee調(diào)查機(jī)構(gòu)針對(duì)企業(yè)用戶的一項(xiàng)調(diào)查中，500名受訪者中的86%承認(rèn)在工作場(chǎng)所的時(shí)候他們使用了不止一種這些設(shè)備和技術(shù)，既是為了創(chuàng)新也是為了生產(chǎn)效率。
　　然而，這一潮流給IT組織帶來了很大的麻煩。首先，使用這些技術(shù)會(huì)增加安全漏洞的可能性。除此之外，用戶還會(huì)期待IT產(chǎn)業(yè)提供相應(yīng)的配件和服務(wù)，特別是他們?cè)谝粋�(gè)共同的環(huán)境下使用設(shè)備的時(shí)候。
　　但是在許多公司，如果單純的禁止員工使用這些設(shè)備或是連接這些服務(wù)，那將有違公司文化。與此同時(shí)，公司也不能完全依靠相應(yīng)的規(guī)章制度來約束員工保證公司的安全。
　　"對(duì)于IT部門來說IT消費(fèi)品簡(jiǎn)直就是一個(gè)噩夢(mèng)，要維護(hù)和解決這些問題將會(huì)迅速消耗IT資源，除非他們能夠找出新的解決方案來控制雇員的使用"Yankee的分析師Josh Holbrook說。Holbrook將禁止大眾化技術(shù)( consumer technologies )在工作地點(diǎn)的使用等同于"一個(gè)永恒的打鼴鼠的游戲"。與此同時(shí)，他建議使用內(nèi)部服務(wù)合作的模式來終止對(duì)終端用戶的控制。
　　為了幫助企業(yè)如何做出相應(yīng)，以下我們列出了8種在工作中比較流行的大眾化技術(shù)，以及探討企業(yè)如何在安全，生產(chǎn)效率以及良好的企業(yè)氛圍中找到平衡點(diǎn)。
　　1. 即時(shí)通訊
　　員工幾乎在所有的日常生活中都使用即時(shí)通訊，例如與同事及商業(yè)合作伙伴之間的通訊。據(jù)調(diào)查40%的受訪者稱他們?cè)诠ぷ髦薪?jīng)常使用即時(shí)通訊技術(shù)。實(shí)際上，即時(shí)通訊會(huì)導(dǎo)致一系列的安全問題。此外，惡意軟件也會(huì)借外部即時(shí)通訊程序侵入企業(yè)內(nèi)部網(wǎng)絡(luò)，即時(shí)通訊用戶也可能在不知情的情況下就通過不安全的網(wǎng)絡(luò)將公司的敏感信息泄露出去。
　　對(duì)付這一威脅的一個(gè)方法就是逐步停止使用即時(shí)通訊服務(wù)而代之以內(nèi)部即時(shí)通訊服務(wù)器。在2005年末的時(shí)候，Global Crossing公司就采用這一辦法，他們?cè)诠�司�?nèi)部部署了微軟的企業(yè)實(shí)時(shí)通訊服務(wù)器(LCS)。在2006年8月，他們就完全禁止了公司員工直接使用外部的即時(shí)通訊服務(wù)，包括，AOL，MSN 和Yahoo現(xiàn)在，所有的內(nèi)部即時(shí)通訊的交換都經(jīng)過了加密，并且外部的即時(shí)通訊交換也受到了保護(hù)，因?yàn)檫@些信息都要經(jīng)過LCS服務(wù)器和微軟的公共即時(shí)通訊服務(wù)器的過濾。
　　2. 網(wǎng)絡(luò)郵件
　　在受訪者中，50%的人說他們經(jīng)常使用電子郵件用作商業(yè)目的。對(duì)于使用這些電子郵件應(yīng)用程序的客戶來說，問題就是，諸如Google, Microsoft, AOL 和Yahoo之類程序的安全問題他們并沒有意識(shí)到，因?yàn)檫@些信息的傳輸是經(jīng)過網(wǎng)絡(luò)，并且是存儲(chǔ)在服務(wù)提供商的服務(wù)器和電子郵件服務(wù)提供商的服務(wù)器上的。如果沒有意識(shí)到這一問題，許多人在不作判斷的情況下就使用電子郵件發(fā)送敏感帳號(hào)，密碼，機(jī)密的商業(yè)數(shù)據(jù)或是交易秘密。
　　一個(gè)提高網(wǎng)絡(luò)郵件安全的方法就是使用關(guān)鍵詞過濾工具來監(jiān)控電子郵件以及其它的監(jiān)控技術(shù)，還有在發(fā)現(xiàn)潛在的漏洞的時(shí)候發(fā)出警告或是直接禁止電子郵件的發(fā)送。
　　3. 可移動(dòng)存儲(chǔ)設(shè)備
　　IT管理人員最怕的一件事就是日益增長(zhǎng)的各式各樣的移動(dòng)存儲(chǔ)設(shè)備，從蘋果公司的iPhone到各種移動(dòng)存儲(chǔ)設(shè)備。人們可以使用這些設(shè)備下載任何數(shù)量的機(jī)密信息和敏感數(shù)據(jù)然后將其大走，這不是IT管理人員所愿看到的信息的存在方式。
　　"僅在過去的三個(gè)星期，我就聽了關(guān)于閃存和其它移動(dòng)存儲(chǔ)設(shè)備風(fēng)險(xiǎn)的6個(gè)不同的報(bào)告。"Mark Rhodes-Ousley，他是一名信息安全結(jié)構(gòu)師，也是Network Security: The Complete Reference(網(wǎng)絡(luò)安全：完全的參考)一書的作者。
　　盡管關(guān)閉員工的計(jì)算機(jī)上的USB接口是輕而易舉的事情，許多安全管理人員認(rèn)為這并不是一個(gè)值得推崇的解決方案。那么你應(yīng)該在哪些地方畫上界線呢?如果你限制了USB端口，進(jìn)入公司的移動(dòng)電話上面也有數(shù)據(jù)存儲(chǔ)的端口，那么你不得不考慮限制設(shè)備上的紅外端口和CD刻盤機(jī)，這樣限制就會(huì)越來越多。
　　處理這一問題的最好方法是教育雇員怎么樣對(duì)待敏感數(shù)據(jù)的存儲(chǔ)。實(shí)際上，大多數(shù)安全事故的發(fā)生都是無意的而不是惡意的，這就是為什么選擇教育的原因，主要是關(guān)于適當(dāng)操作及其重要性。
　　安全專家表示，最好的方案就是在員工在使用USB或是其它的未經(jīng)加密的存儲(chǔ)媒介復(fù)制文件的時(shí)候，管理員發(fā)送一條信息告知這是違反公司規(guī)定的。
　　同時(shí)，密歇根州的大峽谷州立大學(xué)(Grand Valley State University)和其它一些大學(xué)的有丟失過帶有敏感數(shù)據(jù)閃存的慘痛經(jīng)歷的教授和學(xué)生們也正努力研究密碼的標(biāo)準(zhǔn)化問題--還有加密保護(hù)USB驅(qū)動(dòng)在將來來保護(hù)他們自己。
　　4.掌上電腦和智能手機(jī)
　　越來越多的雇員開始在工作中使用各式各樣的智能手機(jī)或是個(gè)人數(shù)據(jù)助理，可能是BlackBerry, Treo 或是 iPhone。但是當(dāng)他們同步顯示他們?cè)O(shè)備的日歷的或是使用他們的個(gè)人電腦用電子郵件發(fā)送應(yīng)用程序的時(shí)候，產(chǎn)生的問題可能包括程序短路以及藍(lán)屏死機(jī)現(xiàn)象。
　　除此以外，要是員工辭職或是被解雇，他可以帶走他想要的任何信息，只要他隨身攜帶了掌上電腦或是智能手機(jī)。
　　一個(gè)規(guī)范化公司的IT部門將只會(huì)支持某一個(gè)品牌和型號(hào)的掌上電腦，從而將危險(xiǎn)可能性降到最低限度。一些公司甚至在筆記本的使用上也建立了類似的標(biāo)準(zhǔn)，不得不承認(rèn)筆記本的威脅比掌上電腦的威脅更大，因?yàn)樗鼈兛梢源鎯?chǔ)更多的數(shù)據(jù)。
　　5.視頻電話
　　一名醫(yī)院的員工站在育嬰室的門口，隨意的與護(hù)士聊天。沒有人注意在她的手上有一個(gè)小的掌上設(shè)備，她時(shí)不時(shí)的按下一個(gè)小按鍵。這不是經(jīng)常在間諜電影里出現(xiàn)的情形嗎?不，DeKalb's Finney領(lǐng)導(dǎo)的一個(gè)安全調(diào)查證實(shí)了這點(diǎn)。
　　"我做的一個(gè)實(shí)驗(yàn)就是把我的手機(jī)帶到育嬰室然后開始拍照，他們都不知道"她說。"我想下載這些照片，提高像素然后看一看我得到的照片--然后關(guān)于病人的信息展現(xiàn)在我的電腦屏幕上或是出現(xiàn)在我 辦公室的桌子上。"
　　最后證明，她并沒有得到任何關(guān)于個(gè)人的有效信息，但是從電腦屏幕中的信息她得到了關(guān)于電腦名稱的信息(注意不是IP信息)。
　　"這類信息與從其它渠道得到的信息匯編在一起就可以形成一個(gè)攻擊計(jì)劃，"他警告說。
　　6.Skype或其他的基于語音的IP通話技術(shù)
　　另外一個(gè)大眾化的技術(shù)就是Skype，是一種基于下載軟件的免費(fèi)英特網(wǎng)通話服務(wù)技術(shù)。實(shí)際上，有20%的受訪者將這種技術(shù)運(yùn)用于商業(yè)活動(dòng)中。
　　在商業(yè)環(huán)境中，由于Skype或是類似技術(shù)導(dǎo)致的危險(xiǎn)與下載到受到威脅的計(jì)算機(jī)上的大眾化軟件的風(fēng)險(xiǎn)是一樣的。企業(yè)用應(yīng)用程序升級(jí)很快并且很安全，而大眾化的應(yīng)用程序升級(jí)很少也不安全。因此在你每次下載Skype或是其它軟件的時(shí)候，你實(shí)際上就是引狼入室。例如，這些軟件會(huì)與計(jì)算機(jī)或網(wǎng)絡(luò)上的任何應(yīng)用程序綁定，潛在的就會(huì)影響應(yīng)用程序的性能。
　　Skype最近就發(fā)布了安全漏洞的4個(gè)補(bǔ)丁，用戶在下載最新版本的時(shí)候就可以安裝。但是IT部門根本就不知道有多少用戶安裝了Skype，更不要說有多少人做了蠢事，根本就無法有效監(jiān)管。
　　Gartner調(diào)查公司建議最安全的辦法就是阻斷所有Skype流量。Gartner還說，如果企業(yè)不這樣做的話，他們可以使用相應(yīng)的監(jiān)管工具對(duì)Skype程序有選擇性的控制并且保證只授權(quán)給相應(yīng)的員工。
　　7.下載窗口小部件
　　根據(jù)Yankee調(diào)查，用戶使用諸如Nokia E62的設(shè)備下載窗口小部件，這些小部件可以快速訪問Web應(yīng)用程序。根據(jù)Holbrook調(diào)查，這些窗口小部件很容易就進(jìn)入了個(gè)人電腦，這樣很快就侵入了IT部門苦心控制的系統(tǒng)環(huán)境。
　　除此之外，沒有經(jīng)過檢查的軟件下載也會(huì)存在潛在的風(fēng)險(xiǎn)，感染病毒的可能性不是很大，但是你有可能下載一些你不是太信任的軟件。
　　8.虛擬化環(huán)境
　　商業(yè)用戶開始在工作中使用虛擬環(huán)境。他們這樣做，所以IT部門要開始關(guān)注與之相應(yīng)的安全問題。Holbrook說，簡(jiǎn)單的關(guān)閉使用虛擬環(huán)境看起來似乎是不足的。
　　與此同時(shí)，在使用Second Life的時(shí)候，人們會(huì)下載大量的可執(zhí)行代碼然后就會(huì)在企業(yè)防火墻內(nèi)部生根，這是Gartner公司最近的一份調(diào)查報(bào)告中公布的。此外，要想知道使用虛擬世界的人的真實(shí)身份很難。
　　Gartner的一個(gè)建議就是，在員工通過企業(yè)的無線網(wǎng)絡(luò)使用虛擬世界或是在家里使用。第三個(gè)選擇就是就是公司建立自己的虛擬網(wǎng)絡(luò)世界并且就部署在企業(yè)內(nèi)網(wǎng)的防火墻中。

安全在線