IP語音通話技術(shù)成為八種最危險時尚新技術(shù)
2008/02/19
在當今世界上,高技術(shù)產(chǎn)品充斥于人們工作的各個角落。這些產(chǎn)品從智能手機,基于語音的IP電話系統(tǒng),閃存,到各種虛擬的在線世界,不一而足。并且隨著越來越多的消費者開始習慣個性化的技術(shù),使得各種新技術(shù)被很快的采用。
在最近由Yankee調(diào)查機構(gòu)針對企業(yè)用戶的一項調(diào)查中,500名受訪者中的86%承認在工作場所的時候他們使用了不止一種這些設(shè)備和技術(shù),既是為了創(chuàng)新也是為了生產(chǎn)效率。
然而,這一潮流給IT組織帶來了很大的麻煩。首先,使用這些技術(shù)會增加安全漏洞的可能性。除此之外,用戶還會期待IT產(chǎn)業(yè)提供相應的配件和服務,特別是他們在一個共同的環(huán)境下使用設(shè)備的時候。
但是在許多公司,如果單純的禁止員工使用這些設(shè)備或是連接這些服務,那將有違公司文化。與此同時,公司也不能完全依靠相應的規(guī)章制度來約束員工保證公司的安全。
"對于IT部門來說IT消費品簡直就是一個噩夢,要維護和解決這些問題將會迅速消耗IT資源,除非他們能夠找出新的解決方案來控制雇員的使用"Yankee的分析師Josh Holbrook說。Holbrook將禁止大眾化技術(shù)( consumer technologies )在工作地點的使用等同于"一個永恒的打鼴鼠的游戲"。與此同時,他建議使用內(nèi)部服務合作的模式來終止對終端用戶的控制。
為了幫助企業(yè)如何做出相應,以下我們列出了8種在工作中比較流行的大眾化技術(shù),以及探討企業(yè)如何在安全,生產(chǎn)效率以及良好的企業(yè)氛圍中找到平衡點。
1. 即時通訊
員工幾乎在所有的日常生活中都使用即時通訊,例如與同事及商業(yè)合作伙伴之間的通訊。據(jù)調(diào)查40%的受訪者稱他們在工作中經(jīng)常使用即時通訊技術(shù)。實際上,即時通訊會導致一系列的安全問題。此外,惡意軟件也會借外部即時通訊程序侵入企業(yè)內(nèi)部網(wǎng)絡(luò),即時通訊用戶也可能在不知情的情況下就通過不安全的網(wǎng)絡(luò)將公司的敏感信息泄露出去。
對付這一威脅的一個方法就是逐步停止使用即時通訊服務而代之以內(nèi)部即時通訊服務器。在2005年末的時候,Global Crossing公司就采用這一辦法,他們在公司內(nèi)部部署了微軟的企業(yè)實時通訊服務器(LCS)。在2006年8月,他們就完全禁止了公司員工直接使用外部的即時通訊服務,包括,AOL,MSN 和Yahoo現(xiàn)在,所有的內(nèi)部即時通訊的交換都經(jīng)過了加密,并且外部的即時通訊交換也受到了保護,因為這些信息都要經(jīng)過LCS服務器和微軟的公共即時通訊服務器的過濾。
2. 網(wǎng)絡(luò)郵件
在受訪者中,50%的人說他們經(jīng)常使用電子郵件用作商業(yè)目的。對于使用這些電子郵件應用程序的客戶來說,問題就是,諸如Google, Microsoft, AOL 和Yahoo之類程序的安全問題他們并沒有意識到,因為這些信息的傳輸是經(jīng)過網(wǎng)絡(luò),并且是存儲在服務提供商的服務器和電子郵件服務提供商的服務器上的。如果沒有意識到這一問題,許多人在不作判斷的情況下就使用電子郵件發(fā)送敏感帳號,密碼,機密的商業(yè)數(shù)據(jù)或是交易秘密。
一個提高網(wǎng)絡(luò)郵件安全的方法就是使用關(guān)鍵詞過濾工具來監(jiān)控電子郵件以及其它的監(jiān)控技術(shù),還有在發(fā)現(xiàn)潛在的漏洞的時候發(fā)出警告或是直接禁止電子郵件的發(fā)送。
3. 可移動存儲設(shè)備
IT管理人員最怕的一件事就是日益增長的各式各樣的移動存儲設(shè)備,從蘋果公司的iPhone到各種移動存儲設(shè)備。人們可以使用這些設(shè)備下載任何數(shù)量的機密信息和敏感數(shù)據(jù)然后將其大走,這不是IT管理人員所愿看到的信息的存在方式。
"僅在過去的三個星期,我就聽了關(guān)于閃存和其它移動存儲設(shè)備風險的6個不同的報告。"Mark Rhodes-Ousley,他是一名信息安全結(jié)構(gòu)師,也是Network Security: The Complete Reference(網(wǎng)絡(luò)安全:完全的參考)一書的作者。
盡管關(guān)閉員工的計算機上的USB接口是輕而易舉的事情,許多安全管理人員認為這并不是一個值得推崇的解決方案。那么你應該在哪些地方畫上界線呢?如果你限制了USB端口,進入公司的移動電話上面也有數(shù)據(jù)存儲的端口,那么你不得不考慮限制設(shè)備上的紅外端口和CD刻盤機,這樣限制就會越來越多。
處理這一問題的最好方法是教育雇員怎么樣對待敏感數(shù)據(jù)的存儲。實際上,大多數(shù)安全事故的發(fā)生都是無意的而不是惡意的,這就是為什么選擇教育的原因,主要是關(guān)于適當操作及其重要性。
安全專家表示,最好的方案就是在員工在使用USB或是其它的未經(jīng)加密的存儲媒介復制文件的時候,管理員發(fā)送一條信息告知這是違反公司規(guī)定的。
同時,密歇根州的大峽谷州立大學(Grand Valley State University)和其它一些大學的有丟失過帶有敏感數(shù)據(jù)閃存的慘痛經(jīng)歷的教授和學生們也正努力研究密碼的標準化問題--還有加密保護USB驅(qū)動在將來來保護他們自己。
4.掌上電腦和智能手機
越來越多的雇員開始在工作中使用各式各樣的智能手機或是個人數(shù)據(jù)助理,可能是BlackBerry, Treo 或是 iPhone。但是當他們同步顯示他們設(shè)備的日歷的或是使用他們的個人電腦用電子郵件發(fā)送應用程序的時候,產(chǎn)生的問題可能包括程序短路以及藍屏死機現(xiàn)象。
除此以外,要是員工辭職或是被解雇,他可以帶走他想要的任何信息,只要他隨身攜帶了掌上電腦或是智能手機。
一個規(guī)范化公司的IT部門將只會支持某一個品牌和型號的掌上電腦,從而將危險可能性降到最低限度。一些公司甚至在筆記本的使用上也建立了類似的標準,不得不承認筆記本的威脅比掌上電腦的威脅更大,因為它們可以存儲更多的數(shù)據(jù)。
5.視頻電話
一名醫(yī)院的員工站在育嬰室的門口,隨意的與護士聊天。沒有人注意在她的手上有一個小的掌上設(shè)備,她時不時的按下一個小按鍵。這不是經(jīng)常在間諜電影里出現(xiàn)的情形嗎?不,DeKalb's Finney領(lǐng)導的一個安全調(diào)查證實了這點。
"我做的一個實驗就是把我的手機帶到育嬰室然后開始拍照,他們都不知道"她說。"我想下載這些照片,提高像素然后看一看我得到的照片--然后關(guān)于病人的信息展現(xiàn)在我的電腦屏幕上或是出現(xiàn)在我 辦公室的桌子上。"
最后證明,她并沒有得到任何關(guān)于個人的有效信息,但是從電腦屏幕中的信息她得到了關(guān)于電腦名稱的信息(注意不是IP信息)。
"這類信息與從其它渠道得到的信息匯編在一起就可以形成一個攻擊計劃,"他警告說。
6.Skype或其他的基于語音的IP通話技術(shù)
另外一個大眾化的技術(shù)就是Skype,是一種基于下載軟件的免費英特網(wǎng)通話服務技術(shù)。實際上,有20%的受訪者將這種技術(shù)運用于商業(yè)活動中。
在商業(yè)環(huán)境中,由于Skype或是類似技術(shù)導致的危險與下載到受到威脅的計算機上的大眾化軟件的風險是一樣的。企業(yè)用應用程序升級很快并且很安全,而大眾化的應用程序升級很少也不安全。因此在你每次下載Skype或是其它軟件的時候,你實際上就是引狼入室。例如,這些軟件會與計算機或網(wǎng)絡(luò)上的任何應用程序綁定,潛在的就會影響應用程序的性能。
Skype最近就發(fā)布了安全漏洞的4個補丁,用戶在下載最新版本的時候就可以安裝。但是IT部門根本就不知道有多少用戶安裝了Skype,更不要說有多少人做了蠢事,根本就無法有效監(jiān)管。
Gartner調(diào)查公司建議最安全的辦法就是阻斷所有Skype流量。Gartner還說,如果企業(yè)不這樣做的話,他們可以使用相應的監(jiān)管工具對Skype程序有選擇性的控制并且保證只授權(quán)給相應的員工。
7.下載窗口小部件
根據(jù)Yankee調(diào)查,用戶使用諸如Nokia E62的設(shè)備下載窗口小部件,這些小部件可以快速訪問Web應用程序。根據(jù)Holbrook調(diào)查,這些窗口小部件很容易就進入了個人電腦,這樣很快就侵入了IT部門苦心控制的系統(tǒng)環(huán)境。
除此之外,沒有經(jīng)過檢查的軟件下載也會存在潛在的風險,感染病毒的可能性不是很大,但是你有可能下載一些你不是太信任的軟件。
8.虛擬化環(huán)境
商業(yè)用戶開始在工作中使用虛擬環(huán)境。他們這樣做,所以IT部門要開始關(guān)注與之相應的安全問題。Holbrook說,簡單的關(guān)閉使用虛擬環(huán)境看起來似乎是不足的。
與此同時,在使用Second Life的時候,人們會下載大量的可執(zhí)行代碼然后就會在企業(yè)防火墻內(nèi)部生根,這是Gartner公司最近的一份調(diào)查報告中公布的。此外,要想知道使用虛擬世界的人的真實身份很難。
Gartner的一個建議就是,在員工通過企業(yè)的無線網(wǎng)絡(luò)使用虛擬世界或是在家里使用。第三個選擇就是就是公司建立自己的虛擬網(wǎng)絡(luò)世界并且就部署在企業(yè)內(nèi)網(wǎng)的防火墻中。
安全在線
相關(guān)鏈接: