现在越来越多的商务用户使用高端移动设备,它们具有文字处理、银行帐户认证、网页浏览、收发电子邮件以及其他许多功能。随着远程工作人员的不断增加,当用户不在办公室时,都用这些移动设备来计算电子表格中的数据、读取敏感文件、存储敏感数据。
然而,智能手机在企业环境中的大量使用却带来了新的风险,即敏感数据被盗或丢失的潜在危险。一种保护智能手机数据的方法是对手机进行加密。和笔记本电脑加密一样,手机加密产品可以从内置操作系统功能、企业管理工具、第三方软件中获得。
总体而言,商业智能手机加密软件的产品数量仍然很小,可随着越来越多的企业认识到这些设备可能导致的严重安全隐患,加密产品的数量也会快速地增长。企业评估智能手机加密产品时应考虑哪些方面?下面列出了一些最关键的因素:
◆费用:几乎没有公司提供内置加密服务,而通常那些免费或廉价的服务也只对个人提供,几乎没有集中管理功能或政策功能的服务,不能面向企业用户。鉴于这种情况,企业在将来应该为这些产品增加支出,并做出相应的预算。
◆平台支持:大多数企业规定只能使用一个智能手机操作系统,如黑莓的操作系统,但某些特殊的用户(如行政人员或销售团队)却使用不同的设备,像苹果的iPhone或Windows Mobile手机。因此,在大多数情况下,你应该尽可能的选择一个可以支持多种平台的加密产品。
◆政策重点:针对使用移动设备和保护敏感数据,所有企业都有自己独特的安全需求和政策。一些企业会重点加强认证和密码防护,而其他企业则可能会更多地关注加密。不过,其他企业可能会需要远程数据清除功能以替代诸如加密或认证这样的安全控制。确定企业关于智能手机的安全需求,并由此制定政策重点,不管是在当前还是今后,都将有助于企业选择适合自己的加密产品。
◆集中管理:对智能手机加密技术进行集中管理的政策,以及实时监控每部手机的加密状态,对于具备众多设备的企业而言往往是必要的。此外,在许多不同的规则中都要求的记录和报告,通常只在企业级的管理控制台和产品中才会提供。密钥管理几乎总会被集成到每个企业级的产品中。
接下来,让我们概括一下现在人们所使用的智能手机加密技术的类型。第一类是内置的智能手机加密,它位于手机的操作系统中。几乎没有智能手机具备这种独特的加密技术,即使有也往往只包含有限的加密特性。
目前发现的最强大的智能手机加密技术应用在Windows Mobile智能手机上。为保护电子邮件、任务、日历信息以及用户的“我的文档”文件夹,Windows Mobile提供了可供企业使用的AES 128位加密技术。此加密技术同样可以保护存储在安全数字卡(SD cards)上的所有文件,当这些文件加密后,其他任何智能手机都将无法读取。
黑莓是最流行的商务智能手机,它通过黑莓企业服务器(BES)应用程序(一种拥有所有权的独立产品)来提供加密技术。智能手机上的本地文件可以通过集中管理政策(通过激活内容保护功能)来进行加密,也可以通过设备的验证密码进行加密,这些验证密码是利用AES加密技术进行安全存储的。
苹果iPhone提供了它所形容的“强大的硬件加密技术”,但这名不符实。该功能实际上旨在加强其远程擦除功能,在设备丢失或被盗时消除一切数据。Palm Pre手机新的WebOS没有内置加密技术,但这些仍然使用较旧PalmOS的公司可能会发现一些可用的应用程序(包括所有的附加组件)。
大多数智能手机的加密技术来自第三方的商业产品。PGP公司和Aiko解决方案有限公司都为Windows Mobile提供了加密产品,而且PGP也支持黑莓设备。虽然苹果iPhone在个人消费市场非常流行,但因其缺乏管理和安全功能,它在企业中用得较少,并且现今几乎没有真正的企业加密产品适用于此平台。多种加密应用程序,如用户可用的Firebox、My Eyes Only 和SMobile ContactCrypt,都只能在本地对数据进行管理。一个确实可以对iPhone、Windows Mobile和Palm手机进行加密和集中管理的产品是GuardianEdge科技公司的智能手机保护,它集成了Microsoft Exchange,可以对SD卡进行加密,还可以提供诸如智能手机防火墙和应用程序控制等额外安全功能。
无论智能手机是在企业环境中还是作为一个独立的设备使用,智能手机加密技术适用于所有的用户。由于这些设备要存储和获取数量越来越大的敏感数据,保护个人和公司数据的需求也变得更加重要。通过对这些设备进行加密,企业通过确保他们的数据安全(无论是手机丢失还是被盗),进一步加强了移动智能手机的安全性。现在最大的问题是:你要如何开始?
对智能手机加密各个方案进行评估时,企业应该做的第一件事情就是确定他们的真正需求是什么,而且这应该是有政策依据的。确保政策明确列出了用户在智能手机平台上可以发送、接收和储存的数据类型,并确保把智能手机的一致类型(consistent type,也可能是模型)作为企业的标准。一旦这些政策得以实施,下一步就是评估数据分类政策和可接受的智能手机使用规范,以作为企业用户每天工作的依据,让他们知道数据保护需求最终是什么样子的。确定哪些用户有智能手机,这些用户可以访问什么类型的数据,然后进行风险评估,以确定这些数据有可能被破坏或丢失的途径。
经过这一过程之后,应该会有助于缩小企业最适合产品类型的范围。其他的一些因素,比如成本、实施的便利性和安全性以及弹性需求,可有助于进一步减小选择的范围。一般来说,确定需要智能手机的任何企业都应确保强大的、值得信赖的加密技术是可能的(例如AES 128位或更高位),确保集中管理和政策控制是可用的,而且当智能手机丢失或被盗时,数据可以被清除。