安全向上，风险向下

　　如今，计算机、手机、平板电脑的人均持有率急剧上升，令黑客的攻击手法和攻击目标，甚至攻击概念都发生了变化。

　　BYOD成为热门名词，这种灵活、方便、节约成本的办公方式对企业或个人来说都具有强大的吸引力。但同时，BYOD对移动安全的要求也颇高，一些非合规的设备进入公司内部，会有意或无意的为黑客们打开一扇门，导致新的威胁事件出现。

　　移动时代正向我们走来，与此同时，移动安全，也成为企业与个人所担忧的问题。信息盗取装置可以伪装成商场里的电源充电设备，只需要60秒，即可破解用户手机，盗取信息。甚至汽车也可以通过远程设备进行转向和刹车。

　　数据安全隐患

　　企业数据所面临的最大安全威胁是什么？如果你的答案是黑客攻击或IT人员的违规行为的话，并不完全正确。或许黑客的恶意攻击总会引起企业领导者的高度重视，IT人员的恶意违规行为则更无法令企业容忍，而事实却是，企业数据的泄露往往是内部员工使用网络文件共享或乱用笔记本电脑造成的。

　　据PonemonInstitute最新的调查报告指出，在企业不断尝试和应用最新企业内部数据保护技术的同时，却没有充分意识到企业内部员工的笔记本电脑以及其他移动存储设备所存在的安全隐患。存储网络工业协会（SNIA）曾发布了企业存储安全性自我评估方法，用来测试企业对数据的保护程度。结果显示，目前大多数企业受到数据泄露问题的困扰。

　　一般说来，企业数据安全隐患存在于以下几个方面：

　　内部员工恶意盗取，主要有两大诱因——金钱攫取和获得商业优势。虽然后者多是从员工准备跳槽开始，但大都在员工离开以后才被发现，尤其是对那些有特许权限的员工管理更是如此。在这方面，企业应做好对数据库非正常访问的监督，为不同用户的当前可用访问权设定限制，以便系统检测出负责特定工作的员工是否访问了超出工作范围的数据。企业也应当使用个人访问控制工具，保证系统记录下每一个曾经访问过重要信息的人。使用防数据丢失工具以防止个人数据在通过电子邮件、打印或者复制到笔记本电脑及其他外部存储设备时发生泄露，这类工具会在有人尝试拷贝个人身份数据时向管理员发出警告，并做出记录。当然，单独依靠技术手段是不行的，企业还需要确保其信任的数据使用者是真正值得信任的。

　　另一方面的安全隐患来自于设备失窃，当这类潜在风险发生时，首先要保证的是设备的加密。对存储在设备上的个人身份信息加以限定。例如，将客户和员工的名字与其身份证件号码、社会保险号码、信用卡号码等身份信息“截断”存储，或者考虑建立个人特殊信息。此外，也可以选择对笔记本电脑上存储的个人信息进行加密，或在数据载体上设置保护性更强的口令密码。作为另一项不可控风险，黑客入侵造成的数据泄露在安全威胁中也位列前茅。企业如果对数据库的访问非常容易的话，那么建议企业使用高级别的数据安全措施和数据编码。

　　Ponemon研究表明，实际上，员工的无意行为却是数据安全的最大威胁。培养企业员工更高的安全意识显得至关重要。有研究机构建议企业IT部门全面禁止员工使用P2P软件，或者制定规章限制P2P的使用，并安装工具来强化这一规章。此外，还应该对员工的计算机系统进行审核，阻止员工进行软件下载。最重要的就是教育和培训，因为这样能够让员工了解误操作的危险性。

　　安全变迁

　　先从移动时代的变迁开始。

　　首先是移动的操作系统。操作系统有完整的应用生态，这个完整应用生态也是大家参与最多的。安卓系统在2008年通过开源促进了自己的繁荣，但同时也带来一些隐患。很多应用在平台的随意运行是这一乱象的由来，加上安卓应用的渠道较为混乱，产生了隐私泄露、骚扰等此类的恶意行为。移动时代另一个主要特点是：变化面前山寨机纵横，垃圾信息泛滥。如今到了自然机时代，该现象依然没有完全规避。安全问题，也是移动支付未来普及的最大障碍。

　　百度安全技术架构师梁泉对移动安全做了简单概括，他认为，移动的安全是一个新安全形态，是一个扩大化的概念，这个概念包含传统的安全，同时包括泛安全，如骚扰拦截、隐私广告清理等没有如传统安全那样对用户有非常大的伤害，但对用户日常使用造成影响很大的骚扰行为。让整个移动上网环境和手机有非常好的状态，这是他给移动安全新安全的定义。

　　在移动安全方面，以不安全的风险广告检测和骚扰拦截为例，广告推送在安卓平台上十分普遍，其中40%的广告存在风险；在国内外，隐私广告平台超过200个，这一数字仍在增加，而几乎所有手机用户都曾被以电话或短信的形式进行骚扰。

　　在梁泉看来，移动安全的生态依赖于广泛的合作，这里面，产业链包括第三方应用网站开发商、诸如搜索一类的分发渠道、操作系统和手机厂商、安全厂商。同时，相关监管部门和运营商也需要通过一些政策、手段进行约束，通过多方努力，把移动安全生态做得更好。在移动安全方面，中国移动则坚持以预防为主，创新队伍建设和治理手段的思想。早在2001年，中国移动就成立了信息安全引导小组，2008年成立了专门垃圾网站治理小组，2010年成立信息安全管理部，2011年，中移动强化了信息安全运输中心，实时两归口两集中。

　　与此同时，中国移动还高度重视管理运营和专家团队培养，不断提升团队水平。

　　中国移动探索并提出了集中治理的模式，从根本上解决了目前地域差异带来的难题，这主要体现在：专业化运行，组建集中运行团队，提升效率，减少重复服务；集中管理，规范信息治理；为标准打造集中平台；实现快速资源调配、快速响应。

　　同时，中移动还与国家信息安全专控队伍进行技术合作，与规模新产品测评中心开展战略合作、技术合作。在科技公关方面，则建设了从客户角度设计开发的综合平台，利用云计算信息技术和计算机手段自动监测分析，实现管控一体化，及时掌握情况的变化，第一时间对不良信息采取措施。

　　通过以上手段，中移动对信息安全的治理效率大大提高。中移动信息安全管理与运行中心品质管理处副处长娄涛表示，希望各方携手，推动相关标准的完善及相关立法标准的制定，营造更好的信息安全环境。

　　云通信安全

　　实际上，我们看到，今天的通信的手段和方式得到了极大丰富，而大部分安全问题，很大程度上也是由于电子邮件这种沟通方式，设计之初带来一些缺陷造成的。除了邮件，是否有更好的方式，让办公更安全、全面？

　　基于对企业办公和通信协作方面的理解，263给面向企业提供了全面云通信服务——基于云端的统一通信。有别于传统的通过软件产品、硬件来做本地部署的云通信，国内最早开始推广专业电子邮箱服务的电信级电子邮箱服务商263通过融合的云服务的方式，达到给企业办公提供各种各样的邮件服务——邮件、即时通信、网络电话、传真等不一而足。企业办公时，各种方式、行业的办公特点均可通过很全面的办公方式得到支持。做好支持的同时，云通信平台也在安全保护上有所侧重。

　　从通信方式来说，云通信平台里，企业之间两个帐号如需要进行联系，首先需要进行身份确认，帐号的安全保护在通信融合中变得愈加重要，从管理员到普通用户均加强保护，让帐号比以往更加重要，进行保护和工作提醒，包括密码IP，进一步提供相应的硬件，通过这些手段让帐号变得更加安全。

　　在权限控制、管理上，云通信平台比以往更加的细化。“例如两个应用的整合往往实现一个新通道，同一个入口进来后登录到另外一系统，也许进来没有漏洞，这时候整合过去会不会有漏洞，提供一个设施，一个要跟登录帐号一样要相应授权和控制，提供这个接口跟应用衔接之后只能哪些事情。”263网络通信技术中心资深部门经理陈春和解释道。

　　对企业而言，因为涉及到企业底层的系统安全，因而，对管理员操作的监管需要十分严密，在云服务方式下则不存在此问题。对于云服务管理上，管理员操作是否恰当，有没有合适的授权，以及管理员进行操作之后，必须有一个严格的审计，杜绝相应的管理漏洞。

　　“总而言之，263希望通过把各种企业办公所需要通信手段融合起来，通过安全和管理这两方面我们通过加强，为企业办公提供有效和便捷的通信方式，帮助企业实现轻松有效的办公。”陈春和说。

　　风险，防患未然

　　作为全球一级汽车零部件供应商，耐世特汽车系统（苏州）有限公司的IT安全管理和风险控制显得至关重要。其IT经理刘哲认为，建立完善的风险控制制度是最重要的。“清楚定义出IT组织可提供什么样的服务，强调IT风险控制是企业重要的组成部分，继而通过推动流程优化、操作规范等控管手段，达到完善IT治理，减少IT风险的目的。”刘哲说。

　　实际上，IT安全管理和风险控制是涵盖在整个公司的风险控制框架内的，需要全民动员——包括财务、人力资源、质量等部门。企业除每年接受外部事务所的IT年审外，还设有专门的内控审计小组，对IT流程进行评估，并针对每次的审计结果再次给出合理化流程，形成不断改进良性循环的文化。在耐世特内部，即便是IT经理也没有任何应用系统方面的访问特权。“经常有用户要求打开某个目录下的权限，但我只能告诉他，很不好意思我没有这个权限。”另一方面，通过实行外包，可以将部分风险有效转嫁至有着专业管理的第三方供应商，这也是所谓的专业人做专业事，其抗风险性自然更强。“我们2011年就把公司的邮件系统转移到了Google的云计算平台上，至少我比较不担心因为服务器问题导致数据丢失邮件的状况了。Google的数据中心会比较专业。”刘哲笑称。

　　在面对日益复杂的IT环境面前，问题出现的可能性也渐次递增。刘哲说：“IT只有先修练好内功，做好一笔清晰的账本，才能做到有效管理”。相对于正常情况下的使用，在变更中风险产生的可能性更大。耐世特针对公司服务器和网络设备的维护，会有定期的邮件提醒。对于应用系统变更，则会追踪步骤、故障情况、修理状况及结果，从而保障了业务连续性。

　　随着移动时代的到来，社会化网络比以往任何时候对人生活的渗透率都要高，如何将风险降到最小？刘哲认为：疏胜于堵。IT部门管理者不仅要关注设备上的管理，更要对团队成员进行疏导、培训，培训内容包括：如何保护隐私，如何利用软件在手机上、电脑上进行数据保护等等，员工在保护自己的同时，也保护了公司的数据安全。

　　张燕