来源:51CTO
智能手机已经广泛地应用到我们日常的工作和生活中,然而有些CIO在考虑网络的安全管理时把这些移动设备遗忘了。而由于这种管理缺失,导致智能手机和其他移动设备成为了企业网络中最为薄弱的一个环节。
下面是移动设备管理的两个关键方面:
移动设备的升级(及其他变更)部署和管理
安全性,或者说对移动设备的全天候安全防护能力
[……]
移动设备的管理:部署变更和安全防护
发表回复
保障云中的移动安全五个重要准则
来源:51CTO
2011年,全世界范围内有超过五十亿的移动设备,换言之其总数超过了世界人口的百分之七十。面对如此庞大的数字,企业不得不为移动安全问题担忧。
由于互联网的发展远超过十五年前的水平,所以各首席信息安全官(CISO)凭直觉都知道自己所监管的一亩三分地正在发生改变。对员工工作高效率的需求正驱使我们重新思考如何才能依靠科技完成工作。所以,当今的员工期望同时也需要使用带有PC功能的掌上移动设备。
在新的技术环境中,IT部门面临一个艰难的抉择:是通过限制员工使用高科技设备这种陈旧的且不利于提高生产力的模式,还是寻求新方式,如部署新策略,在保证信息安全的同时允许员工借助高科技工具完成任务。
云计算对于这种态度改变的推动力或许比很多IT决策者想象中的要大。对于企业用户而言,他们必须有能力创建,检索,操控和保存大量数据。过去,电脑是实现这些操作的最佳工具因为电脑可以在本地完成数据保存与处理。可是现在,如果将数据保存到云中,设备制造商就不用再创建各种各样的运算产品——如高度便携式产品,风格迥异的产品等等。这些设备正被日益用来创建办公文档和丰富的多媒体内容等,它们都推动着员工对强大智能设备的需求。
传统安全控件的失效,加上移动设备和云驱动服务的盛行等都对新的安全方法提出了需求。根据安全公司Mocana的调查,有47%的企业认为自己没有能力应对移动设备带来的安全问题,超过45%的企业认为安全问题是智能设备激增带来的最大隐患。
企业现在必须解决员工将个人设备接入企业云和借助这些设备将企业技术用于私人目的的行为。对于IT企业而言,最终的目标无非是通过限制数据访问人身份或限制数据查看和操作权限的方式保护数据。
用户希望在选择设备的时候拥有一定的自主权,这意味着IT部门必须对这些设备执行监管以确保企业数据的安全。为了实现统一管理,管理员要对所有设备统一部署安全策略——使用云技术之外的任何方法——来保障静态数据或动态数据的安全。[……]
安全管理不容忽视——防火墙常见错误
我们每个人在职业生涯中都犯过错误。这里所说的错误,是那种会使你马上丢掉工作的错误。举例来说,曾经有过一个学校的网络管理员犯过这样的错误,直接导致了校园里的所有路由器同时重启,而不是一个接一个。这个管理员本来是写了个脚本,对路由器进行安全升级,计划中是打算一个一个的升级并重启的,但是结果却是同时重启了。他经过重新检查脚本,才发现错误出在没有等待路由器重启,就直接命令下一个路由器进行升级。
像出现这种情况几乎肯定要被学校开除了,但很幸运,学校并没有这样做。不过,对于任何涉及到一场大灾难的人来说,都应该从灾难中学到些什么。我们都学过一些危机管理的知识,在网络重新恢复后,我们有必要花上几个小时来学习该如何检查网络是否工作正常。
所幸是大多数时候,大家所面对的错误并不是那么严峻。而不幸的是我们犯的错误不见得马上会被发现,这意味着这个错误可能潜伏数周,数月,甚至数年时间,直到有一天造成严重的后果,或者监管部门发现问题后把我们叫去盘问。在网络安全阵地的前沿,防火墙管理是一个很重要的区域,任何简单的错误规则或配置,都可能给我们带来无尽的后患。
[……]
溢信网谈安全短评(2011.7.26)
1. 警方疑向《世界新闻报》出售保密名单 (来源:TechWeb)
TechWeb编辑推荐:英国《观察家报》24日报道,数名伦敦“7·7”爆炸事件幸存者怀疑,伦敦警察局把一份包括幸存者家庭住址、座机和手机电话等个人信息的保密联系名单“出售或交给”《世界新闻报》记者。
短评:这年头,警察也靠不住了。人是有主观能动性的,也就有作恶的可能性,信息安全中最大的不确定风险因素是“人”,因此才从技术上去限制人的权限,降低可能的风险。IP-guard所代表内网安全,就是基于这样的理念。
2. 泄密案危及“非遗”工艺 (来源:凤凰网)
2008年,南京金箔金线总厂内退职工陆某等人泄露乌金纸配方[……]
Anonymous公布8GB意大利警察部门信息
据报道,著名的黑客集团Anonymous再次来袭,此次他们公布了多达8GB的文件,这些文件大多来自意大利警方的网络防御组织CNAIPIC,目前该组织已经确认数据泄漏,并表示这些数据中包含世界各地其它同行组织的信息。
黑客之前声称将公布大量秘密信息,包括美国农业部和司法部数以百计的律师、数以百计的美国政府机构和埃克森石油公司,揭露这些机构多年来的寡头政治和违规操作,以获取金钱和权力,Anonymous表示公布数据是为了支持一些正在进行中的调查。
本次意大利的8GB数据泄漏可能和本月早些时候意大利警察机构逮捕Anonymous成员有关,这被视为是一次报复性行动。[……]
Reddit创始人被控从MIT盗窃学术数据
溢信网谈安全短评(2011.7.19)
1. LulzSec重出江湖?黑掉默多克旗下报纸网站 (来源:cnBeta)
《世界新闻报》丑闻曝光,鲁珀特·默多克被政府、媒体和民众叮得满头包,曾宣布解散的LulzSec最近又开始在Twitter上活跃,他们首先黑掉了英国报纸《太阳报》,让部分页面定向到假的文章中去,假消息声称传媒大亨默多克已经去世。
溢信短评:LulzSec也出尔反尔了,这边厢世界新闻报窃听丑闻炒的火热,那边厢他们也来火上浇油,相信默多克已经焦头烂额了。窃听丑闻这件事带给我们的,不仅仅是愤怒、震惊,更多的还应该让包括IT管理者在内的我们去思考,私人空间与公共空间的界限在哪里,如何才能保持平衡而不越界。
2. L[……]
溢信网谈安全短评(2011.7.15)
1. 五角大楼称2.4万份敏感文件被盗 系”最严重网络袭击” (来源:cnBeta)
中新社华盛顿7月14日电(记者 德永健)美军主管网络安全事务的国防部副部长威廉·林恩14日称,今年3月五角大楼遭受历史上最严重的一次网络袭击,计有2.4万份敏感文件被盗走。
溢信短评:政府与军队等国家机密机关的保密,向来代表着信息安全的最高水平,然而,本次的五角大楼泄密事件,是继今年的军人维基泄密事件之后最严重的泄密事件。鉴于泄密事件的愈演愈烈,美军已经将信息安全上升到战争级别,其他国家也有类似的组织架构。国家级别的信息安全的重要性毋庸置疑,鉴于我国特殊的“国情”,需要保密的内容显然更多。
2. [……]
孟山都确认被Anonymous黑客袭击 2500名行业人士信息被公开
农业生物技术巨头孟山都今天证实,他们已经被黑客团体Anonymous袭击,时间是上个月,目标是公司的Web服务器。在提供给媒体的声明中,孟山都表示大约有涉及全球农业产业的2500名个人信息被公开,比之前媒体报道的要多很多,这份名单还包括媒体和部分农业企业的其它详细信息。
孟山都表示已经把攻击信息上报有关政府职能部门,以寻求保护他们的信息系统。
Anonymous则在攻击后迅速表示对此事件负责,以抗议孟山都开发和销售牛生长激素、基因工程的种子和农药,包括橙剂。同时也对“有机奶农”生产出的“不含有生长激素”的孟山都牛予以披露,同时给出了用于诉讼的联系信息。[……]
溢信网谈安全短评(2011.7.13)
1. 美执法机构获授权 可查看Facebook用户数据 来源:cnBeta
据路透社报道,包括美国联邦调查局(以下简称FBI)、药品管理局(以下简称DEA)等在内的美国多家执法机构被授权可以搜索Facebook的用户账户,而Facebook则可能配合执法部门提供用户隐私数据,且这些活动都在用户毫无知晓的情况下进行。
溢信短评:西方国家向来视个人隐私保护为天赋权利的一部分,从流行的美剧中我们也知道,病人和医生、律师和被代理人这样一类关系人之间的隐私受到法律的保护,非关乎公共安全的情况下都有权利拒绝向政府相关部门公开类似的信息。但也必须看到,近年来,随着公共安全事件的多发,如911以后,[……]