每當(dāng)提起移動(dòng)設(shè)備的安全保護(hù)問(wèn)題，其實(shí)我們自己就成了阻礙這一目標(biāo)的最大敵人。盡管事實(shí)上很多朋友都會(huì)每周七天、每天二十四小時(shí)高度依賴于自己的移動(dòng)設(shè)備，但絕大多數(shù)用戶對(duì)于安全性事務(wù)似乎一無(wú)所知，研究人員做出了這樣的論斷。

[[123761]]

根據(jù)賽門(mén)鐵克公司發(fā)布的威脅調(diào)查報(bào)告，單就2012年來(lái)看，44%的成年用戶完全不知道移動(dòng)設(shè)備當(dāng)中也存在著安全解決方案。而同樣由這家安全供應(yīng)商于2014年4月發(fā)布的2013年安全報(bào)告中，這一比例更是上漲到了57%。研究人員指出，用戶群體當(dāng)中這種嚴(yán)重的指導(dǎo)與培訓(xùn)缺失只是一種表面現(xiàn)象。舉例來(lái)說(shuō)，多年以來(lái)人們已經(jīng)習(xí)慣于使用幾乎不必過(guò)多考慮安全性問(wèn)題的功能手機(jī)，因此在突然轉(zhuǎn)向智能手機(jī)之后往往沒(méi)有意識(shí)到需要為其安裝安全應(yīng)用程序。

展望未來(lái)，專(zhuān)家們一致認(rèn)為，移動(dòng)惡意軟件與欺詐活動(dòng)只會(huì)隨著用戶將更多豐富而敏感的數(shù)據(jù)引入其手機(jī)而變得愈發(fā)猖獗。這些設(shè)備通常也能夠獲取到來(lái)自企業(yè)的業(yè)務(wù)數(shù)據(jù)，因?yàn)榇蠖鄶?shù)員工會(huì)不自覺(jué)地將自己的移動(dòng)設(shè)備納入生產(chǎn)力工具庫(kù)。

除了使用層面的移動(dòng)安全問(wèn)題，移動(dòng)設(shè)備丟失的情況也開(kāi)始變得愈發(fā)普遍。根據(jù)一份消費(fèi)者調(diào)查報(bào)告給出的結(jié)果，單在2013年就有140萬(wàn)臺(tái)智能手機(jī)丟失或者被盜，而且從未得到恢復(fù)，這一數(shù)字高于2012年的120萬(wàn)臺(tái)。

面對(duì)數(shù)量眾多的設(shè)備與業(yè)務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)，沒(méi)有任何一套解決方案能夠以不變應(yīng)萬(wàn)變地搞定移動(dòng)安全難題。“時(shí)至今日，員工真的沒(méi)有一種完美的方式來(lái)保護(hù)自己的移動(dòng)設(shè)備，”WellPoint公司IT事務(wù)副總裁Jamisson Fowler表示，這是一家總部位于印第安納州波利斯市的醫(yī)療福利企業(yè)。“他們總是把問(wèn)題歸咎于自己犯下的各種失誤，而且市面上也沒(méi)有一款工具能夠真正將設(shè)備鎖定起來(lái)。”雖然形勢(shì)不容樂(lè)觀，但我們?nèi)匀挥修k法讓員工具備更為豐富的移動(dòng)安全知識(shí)與事件應(yīng)對(duì)經(jīng)驗(yàn)。

下面我們將一同了解五種更有可能身陷移動(dòng)安全風(fēng)險(xiǎn)的員工類(lèi)型，并學(xué)會(huì)如何教導(dǎo)他們以更加積極的心態(tài)維護(hù)自己的設(shè)備及數(shù)據(jù)。

1. 不知情員工

有些人很容易受到社交工程欺詐以及釣魚(yú)攻擊的影響，因?yàn)樗麄兏緵](méi)有意識(shí)到網(wǎng)絡(luò)世界當(dāng)中所潛伏的種種危機(jī)。在這種情況下，我們?cè)撊绾闻囵B(yǎng)他們識(shí)別并回避惡意人士那瞬息萬(wàn)變的攻擊戰(zhàn)術(shù)?

解決方案：主動(dòng)釣魚(yú)以培養(yǎng)安全意識(shí)

網(wǎng)絡(luò)犯罪分子總是在尋找著“干一票大事”的機(jī)會(huì)，而移動(dòng)設(shè)備已經(jīng)成為攻擊活動(dòng)的最新前沿。那些在PC設(shè)備上被證實(shí)有效的攻擊活動(dòng)，完全可以被用于測(cè)試毫無(wú)防備的移動(dòng)用戶是否會(huì)同樣中招——而且鑒于大多數(shù)移動(dòng)設(shè)備都缺乏良好的保護(hù)機(jī)制，這類(lèi)唾手可得的目標(biāo)當(dāng)下可謂規(guī)模龐大。“攻擊者們肯定會(huì)在整條流程鏈當(dāng)中尋找最為薄弱的環(huán)節(jié)”，而后將歷史上最為成功的欺詐手段融入其中，Cyren公司CTO Lior Kohavi指出，這是一家總部位于加利福尼亞州麥克萊恩市的云安全方案供應(yīng)商。

在德國(guó)醫(yī)療設(shè)備制造商Karl Storz GmbH公司，IT部門(mén)用于管理2200臺(tái)移動(dòng)設(shè)備的安全方案同時(shí)也負(fù)責(zé)著企業(yè)內(nèi)部系統(tǒng)的保護(hù)工作。“我們希望讓人們意識(shí)到釣魚(yú)攻擊的存在以及可能后果，”位于加利福尼亞州埃爾塞貢多市的Karl Storz Endoskope子公司企業(yè)技術(shù)主管David O’Brien表示。

在內(nèi)部系統(tǒng)當(dāng)中，該公司實(shí)施了一整套培訓(xùn)項(xiàng)目，其內(nèi)容從PhishMe到運(yùn)行模擬郵件再到社交工作欺詐可謂無(wú)所不包，目的就是讓員工在切膚之痛中了解安全事務(wù)的重要性。在早期實(shí)踐過(guò)程中，IT部門(mén)發(fā)現(xiàn)了令人震驚的結(jié)果：有大約70%的目標(biāo)測(cè)試者心甘情愿點(diǎn)擊了那些最基本的釣魚(yú)欺詐鏈接，并將自己的ID以及密碼輸入了進(jìn)去。更可怕的是，其中還不乏一些“我手下最資深的IT人員”，O’Brien回憶道。

當(dāng)然，惡意人士所采用的社交工程手段不僅僅能夠通過(guò)基于PC的系統(tǒng)起效，同時(shí)也能影響到移動(dòng)系統(tǒng)。無(wú)論采用怎樣的實(shí)施途徑，受害目標(biāo)總是指向那些無(wú)意中點(diǎn)擊鏈接并下載惡意軟件的受信用戶，他們的這些違規(guī)操作將導(dǎo)致攻擊者能夠進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)并獲取到敏感數(shù)據(jù)。網(wǎng)絡(luò)釣魚(yú)信息在移動(dòng)設(shè)備上被打開(kāi)后，也能夠進(jìn)一步感染到筆記本以及企業(yè)業(yè)務(wù)系統(tǒng)，KnowBe4公司聯(lián)合創(chuàng)始人Stu Sjouwerman指出，這是一家位于佛羅里達(dá)州清水市的安全培訓(xùn)企業(yè)。對(duì)于這一點(diǎn)，他給出了一項(xiàng)簡(jiǎn)單的忠告：“先考慮清楚再下手點(diǎn)擊。”釣魚(yú)欺詐實(shí)踐讓Karl Storz公司的員工們意識(shí)到了惡意活動(dòng)的存在，并幫助他們學(xué)會(huì)了如何回避此類(lèi)攻擊。

“這些不同類(lèi)型的攻擊將對(duì)任何設(shè)備造成嚴(yán)重影響——無(wú)論是移動(dòng)設(shè)備還是其它傳統(tǒng)計(jì)算設(shè)備，”O’Brien強(qiáng)調(diào)稱。“在我們的測(cè)試當(dāng)中，全部終端用戶當(dāng)中約有20%沒(méi)能在自己的iOS設(shè)備上(iPhone或者iPad)經(jīng)受住釣魚(yú)考驗(yàn)。我敢肯定，未來(lái)的測(cè)試將包含數(shù)量占比更為可觀的移動(dòng)設(shè)備使用規(guī)模。”

在技術(shù)巨頭Raytheon公司，安全已經(jīng)成為企業(yè)文化的一項(xiàng)重要組成部分。在這家位于馬薩諸塞州沃爾瑟姆市的企業(yè)當(dāng)中，遍布世界各地的63000名員工有約三分之一利用智能手機(jī)以及平板設(shè)備處理日常工作，而其中“人為因素”永遠(yuǎn)是給安全保障造成最大困擾的環(huán)節(jié)，該公司便于業(yè)務(wù)服務(wù)IT事務(wù)副總裁Jon Aliber指出。

“最終能否實(shí)現(xiàn)安全保障還是得歸結(jié)于個(gè)人，而且必須確保他們真正了解釣魚(yú)魚(yú)欺詐活動(dòng)的套路與特征，”Aliber指出。Raytheon公司利用社交協(xié)作與博客工具來(lái)幫助員工及時(shí)獲取并發(fā)現(xiàn)網(wǎng)絡(luò)釣魚(yú)活動(dòng)。除此之外，該公司還要求每位員工每年參加一次在線安全培訓(xùn)課程。#p#

2. 初次擁有自己移動(dòng)設(shè)備的員工

那些第一次將平板設(shè)備或者智能手機(jī)拿在掌中的用戶往往身處安全風(fēng)險(xiǎn)當(dāng)中，因?yàn)樗麄儾恢雷约盒枰私馐裁础⒒蛘哒f(shuō)對(duì)哪些情況缺乏必要的認(rèn)識(shí)。

解決方案：友善而非羞辱性的管理政策

WellPoint公司為大約五百名臨床醫(yī)生及服務(wù)協(xié)調(diào)員配備了iPad，他們的主要工作是照顧那些年事已高、失目或者身有其它殘疾的居家病患。Fowler表示，大部分此類(lèi)移動(dòng)用戶“幾乎沒(méi)有什么技術(shù)基礎(chǔ)，甚至?xí)?duì)使用技術(shù)方案而感到有些不安。”

Fowler的團(tuán)隊(duì)很驚訝地發(fā)現(xiàn)，一部分此類(lèi)員工甚至羞于或者害怕向IT部門(mén)上報(bào)他們不小心弄丟了iPad的狀況。“人們更傾向于等上個(gè)幾天，然后才承認(rèn)自己恐怕是把設(shè)備弄丟了——在此之前，他們認(rèn)為自己只是處于尋找階段——是的，直到這時(shí)候他們才‘確信自己的設(shè)備確實(shí)不見(jiàn)了，’”他回憶道。“有時(shí)候我們發(fā)現(xiàn)這些移動(dòng)設(shè)備其實(shí)是被盜了，但也有一些情況下、iPad只是被員工落在了家中——我們會(huì)通過(guò)定位服務(wù)來(lái)幫助員工將其找到。”但這種拖延不報(bào)的作法往往會(huì)令設(shè)備以及其中的敏感信息面臨泄露風(fēng)險(xiǎn)。

為了解決這一難題，F(xiàn)ower的團(tuán)隊(duì)想出了兩套解決方案。第一，為了降低臨床醫(yī)生與服務(wù)協(xié)調(diào)員們?cè)诓唤?jīng)意間將自己的iPad落在家中的可能性，IT部門(mén)為他們提供了專(zhuān)門(mén)的便攜袋、其體積足夠容納iPad外加其日常工作需要的文書(shū)材料。這部分員工還參加了培訓(xùn)，認(rèn)識(shí)到一旦他們認(rèn)為自己的設(shè)備不知所蹤、應(yīng)該立即與IT部門(mén)取得聯(lián)系。第二，為了確保員工在弄丟iPad后會(huì)切實(shí)加以上報(bào)，IT部門(mén)建立了一套友善而非羞辱性的管理政策，從而打消員工在上報(bào)之前所面臨的心理斗爭(zhēng)與疑慮情緒。

“我們絕不會(huì)向任何弄丟了移動(dòng)設(shè)備的員工大喊大叫。IT人員都很清楚，自己不能這么干，”Fowler表示。“當(dāng)醫(yī)生們與iPad支持團(tuán)隊(duì)取得聯(lián)系時(shí)，大家都熱情地向其伸出援手。在這種情況下，雖然很多時(shí)候設(shè)備已經(jīng)無(wú)法找回，但我們卻能夠立即實(shí)施制定好的安全協(xié)議，從而避免后續(xù)事態(tài)的進(jìn)一步惡化。”

為了在設(shè)備確實(shí)被盜時(shí)降低敏感信息泄露的風(fēng)險(xiǎn)，每一位新的iPad用戶都需要接受培訓(xùn)，從而了解密碼保護(hù)的重要性并在技術(shù)人員的指導(dǎo)下學(xué)習(xí)如何使用多個(gè)密碼。“我們通過(guò)在線會(huì)議的方式推進(jìn)培訓(xùn)課程，學(xué)習(xí)內(nèi)容除了設(shè)備本身之外、也包括設(shè)置密碼的重要性以及如何將不同密碼內(nèi)容彼此隔離開(kāi)來(lái)，”Fowler解釋道。“我們還會(huì)向?qū)W員們舉例實(shí)例，告訴他們安全問(wèn)題是如何在不經(jīng)意間給大家?guī)?lái)麻煩的。”舉例來(lái)說(shuō)，他創(chuàng)建了一封偽造的釣魚(yú)郵件，其中的內(nèi)容與Facebook上常見(jiàn)的欺詐信息非常類(lèi)似、并包含有偽造的銀行電子郵件詢問(wèn)部分。通過(guò)這類(lèi)親身體驗(yàn)，F(xiàn)owler表示，員工會(huì)深刻地意識(shí)到：“如果我們?cè)诓煌O(shè)備上使用內(nèi)容相近的密碼內(nèi)容，而日常使用的軟件又需要涉及病患個(gè)人信息，那么魯莽的使用心態(tài)將把自己和整家企業(yè)陷于安全風(fēng)險(xiǎn)當(dāng)中。”#p#

3. 心不在焉的員工

大多數(shù)人都認(rèn)為自己的個(gè)人信息不能簡(jiǎn)單用價(jià)值來(lái)衡量，并愿意以嚴(yán)密的心態(tài)加以保護(hù)，但其中有些人卻沒(méi)有拿出同樣的嚴(yán)謹(jǐn)態(tài)度來(lái)對(duì)待雇主企業(yè)的業(yè)務(wù)數(shù)據(jù)與設(shè)備。

解決方案：游戲化機(jī)制與其它“粘性”提醒方案

密歇根州政府必須時(shí)刻追蹤公務(wù)員們?cè)谌粘９ぷ髦兴褂玫募s17000臺(tái)智能手機(jī)與平板設(shè)備。就在去年，州政府工作人員丟失的移動(dòng)設(shè)備總計(jì)256臺(tái)，其中包括智能手機(jī)、平板設(shè)備以及筆記本電腦。

在過(guò)去，“坦率地講培訓(xùn)就是一條死胡同，”密歇根州政府首席安全官Daniel J. Lohrmann表示。“只要PowerPoint這類(lèi)演示文稿一亮，事情就算完了，”他指出長(zhǎng)達(dá)一個(gè)小時(shí)的喋喋不休只會(huì)讓人心生反感，連他自己都不相信會(huì)有多少人能堅(jiān)持看到最后。“所以我們把這套辦法徹底拋開(kāi)。”Lohrmann希望能夠整頓州政府的安全培訓(xùn)機(jī)制。用戶們反映原有培訓(xùn)方式太過(guò)枯燥、與實(shí)際之間相距太遠(yuǎn)、他們從中學(xué)不到什么有用的東西。有鑒于此，他認(rèn)為亟需出臺(tái)一套簡(jiǎn)潔、包含交互環(huán)節(jié)、有趣、而且最重要的是能夠真正讓參與者們有所體悟的新方案。

考慮到上述要求，他的團(tuán)隊(duì)拿出了一套新的培訓(xùn)體系，其中包含多節(jié)基于主機(jī)游戲的課程。Lohrmann指出，其中他最喜愛(ài)的部分就是在機(jī)場(chǎng)環(huán)境下發(fā)現(xiàn)移動(dòng)設(shè)備丟失或者被盜時(shí)，員工應(yīng)該采取怎樣的應(yīng)對(duì)措施。這其實(shí)是安全工作當(dāng)中一項(xiàng)非常重要的課題; 根據(jù)由Credant Technlogies公司(如今已經(jīng)被戴爾方面所收購(gòu))公布的2012年機(jī)場(chǎng)調(diào)查報(bào)告，單單是芝加哥、丹佛、舊金山、邁阿密、奧蘭多、明尼阿波利斯以及夏洛特這七座機(jī)場(chǎng)，當(dāng)年由旅客丟失的無(wú)線設(shè)備就達(dá)到8016臺(tái)。在這些被不慎遺失的設(shè)備當(dāng)中，智能手機(jī)與平板設(shè)備占45%，而筆記本則占約43%。根據(jù)Credant公司的報(bào)道，其中有約一半設(shè)備被歸還給了失主，其余的則被捐給慈善機(jī)構(gòu)或者進(jìn)行拍賣(mài)。

培訓(xùn)課程提到了在機(jī)場(chǎng)環(huán)境下丟失設(shè)備的統(tǒng)計(jì)數(shù)字，并介紹了人們應(yīng)該采取哪些措施來(lái)避免大家弄丟自己的移動(dòng)工具。接下來(lái)有趣的部分就開(kāi)始了。用戶會(huì)在在線游戲當(dāng)中扮演一個(gè)類(lèi)似于馬里奧的角色，他們需要在90秒鐘的時(shí)間內(nèi)在機(jī)場(chǎng)中運(yùn)用自己學(xué)到的理論知識(shí)、從而快速找到12臺(tái)丟失或者被盜的移動(dòng)設(shè)備。用戶控制的角色會(huì)在機(jī)場(chǎng)當(dāng)中跑來(lái)跑去——途經(jīng)值機(jī)柜臺(tái)、美食廣場(chǎng)、一條安全傳送帶以及有軌電車(chē)車(chē)站——而且每找到一臺(tái)設(shè)備，系統(tǒng)都會(huì)發(fā)出“叮”的一聲作為提示。“員工們沒(méi)人能在第一次參與時(shí)就將所有設(shè)備在時(shí)限內(nèi)找到，因此他們會(huì)迫不及待地再玩一次，”Lohrmann不無(wú)得意地回憶道。

密歇根州現(xiàn)在已經(jīng)正式推出了這一系列培訓(xùn)課程，而Lohrmann預(yù)計(jì)輕松有趣的設(shè)置將讓員工們與他自己一樣對(duì)此留下深刻的印象。

“這就是所謂‘粘性’。對(duì)我個(gè)人來(lái)說(shuō)，我每次身臨機(jī)場(chǎng)、腦海中都會(huì)浮現(xiàn)起這款游戲的畫(huà)面，”他表示。培訓(xùn)課程“所做的是改變?nèi)藗兊男袨槟Ｊ健?rdquo;#p#

4. 技術(shù)天才型員工

精通技術(shù)的終端用戶有時(shí)候反而會(huì)成為一種安全噩夢(mèng)——特別是在他們掌握了如何對(duì)自己的智能手機(jī)進(jìn)行重新配置、從而獲取到管理員級(jí)別權(quán)限的情況下。

解決方案：比聰明的員工更聰明

惡意軟件可能會(huì)給設(shè)備帶來(lái)巨大損害，尤其是其擁有了管理員級(jí)別的控制權(quán)限。而Gartner咨詢公司作出預(yù)計(jì)，認(rèn)為到2017年半有75%的移動(dòng)安全問(wèn)題是由配置不當(dāng)?shù)膽?yīng)用程序所造成。

Karl Storz公司一直以嚴(yán)謹(jǐn)?shù)膽B(tài)度對(duì)待著此類(lèi)威脅。“我們是一家工程技術(shù)企業(yè)，因此擁有大量熟悉技術(shù)的員工，”O’Brien評(píng)論道。由于工作中所使用的智能手機(jī)是由該公司提供的，“我還沒(méi)有發(fā)現(xiàn)用戶們對(duì)自己的手機(jī)進(jìn)行重新配置，但這并不是說(shuō)他們沒(méi)有這種能力。信息就在這里、分散在每一臺(tái)移動(dòng)設(shè)備當(dāng)中，單憑IT部門(mén)根本沒(méi)辦法強(qiáng)行控制。”

根據(jù)Gartner公司的調(diào)查，目前最為常見(jiàn)的平臺(tái)安全違規(guī)行為共分兩種，其一為在iOS設(shè)備上進(jìn)行“越獄”、其二為在Android設(shè)備上進(jìn)行“rooting”。

這些行為相當(dāng)于硬性提高了用戶在設(shè)備上的權(quán)限，并從本質(zhì)上將普通用戶轉(zhuǎn)化成了管理員。上述作法允許用戶訪問(wèn)正常情況下禁止訪問(wèn)的特定設(shè)備資源，而且移除應(yīng)用特定保護(hù)機(jī)制以及操作系統(tǒng)提供的安全“沙箱”環(huán)境會(huì)令移動(dòng)設(shè)備中的數(shù)據(jù)陷入風(fēng)險(xiǎn)。在這種情況下，惡意軟件也有可能被下載到設(shè)備之內(nèi)、并以此為起點(diǎn)引發(fā)各類(lèi)惡意行為，包括獲取企業(yè)業(yè)務(wù)數(shù)據(jù)。根據(jù)Gartner的調(diào)查，這些存在違規(guī)情況的移動(dòng)設(shè)備同時(shí)也更容易被攻擊者進(jìn)行密碼內(nèi)容修改。Gartner同時(shí)指出，目前最理想的安全防御方式就是利用移動(dòng)設(shè)備管理工具與政策對(duì)移動(dòng)設(shè)備中以鎖定。隨著“容器”技術(shù)與應(yīng)用程序防護(hù)機(jī)制的進(jìn)一步增強(qiáng)，重要數(shù)據(jù)的保護(hù)能力也將得到逐步提升、移動(dòng)安全性目標(biāo)亦會(huì)進(jìn)一步變?yōu)楝F(xiàn)實(shí)。

IT安全領(lǐng)導(dǎo)者們也需要利用網(wǎng)絡(luò)訪問(wèn)控制來(lái)阻斷接入到企業(yè)系統(tǒng)的連接，從而將那些存在可疑活動(dòng)的潛在高危設(shè)備徹底隔離在業(yè)務(wù)流程之外。Raytheon公司就通過(guò)專(zhuān)業(yè)知識(shí)培訓(xùn)不斷增強(qiáng)這些高技術(shù)水平員工的安全意識(shí)，讓他們主動(dòng)反思自己的行為是否會(huì)對(duì)企業(yè)業(yè)務(wù)及行為規(guī)范造成破壞。“如果他們一意孤行、完全根據(jù)自己的意愿對(duì)移動(dòng)設(shè)備加以使用……他們就此了解到自己違反了公司的管理政策，并因此而感到尷尬而且自責(zé)，”Aliber表示。

此類(lèi)管理政策只能算是廣義數(shù)據(jù)安全戰(zhàn)略當(dāng)中的組成部分，其中還應(yīng)當(dāng)包括利用設(shè)備管理軟件進(jìn)行配置方案控制，以及將數(shù)據(jù)保存在云環(huán)境中而非直接使用移動(dòng)設(shè)備自帶的存儲(chǔ)資源。#p#

5. 習(xí)慣于過(guò)度分享的員工

某些員工總愛(ài)在社交媒體上分享太多信息資源，甚至有時(shí)候顯得有些過(guò)度。也有一些喜歡把自己的設(shè)備拿給朋友或者家人加以把玩。

解決方案：阻塞漏洞

隨著社交媒體的迅速興起，雇傭大量年輕員工的企業(yè)往往會(huì)發(fā)現(xiàn)這些新生力量喜歡將前所未有的大量信息在社交平臺(tái)上予以公開(kāi)——而且這種行為及其背后的思維傾向正變得愈發(fā)普遍。作為伴隨著社交媒體長(zhǎng)大的這一代年輕人，他們?cè)谶M(jìn)入勞動(dòng)力市場(chǎng)后也仍然不會(huì)改變自己的行為習(xí)慣，這就要求企業(yè)密切關(guān)注他們對(duì)于敏感數(shù)據(jù)的處理方式，C G Silvers咨詢公司老總Chris Silvers指出，這是一家總部位于亞特蘭大的IT安全咨詢企業(yè)。“目前社交媒體上已經(jīng)出現(xiàn)了大量此類(lèi)信息——我們根本沒(méi)辦法將其一一回收，”他強(qiáng)調(diào)稱。

那些喜歡隨意將信息共享在社交媒體網(wǎng)站上的員工很容易成為惡意人士的攻擊目標(biāo)，這幫壞家伙往往會(huì)假裝成受害者的同事或者其他熟人，試圖說(shuō)服他們共享那些容易攻擊的安全憑據(jù)、密碼或者企業(yè)信息等等。

“無(wú)論何時(shí)，只要員工將社交媒體賬戶與特定活動(dòng)或者工作電子郵箱地址綁定起來(lái)，那么指向業(yè)務(wù)數(shù)據(jù)的威脅也將由此產(chǎn)生，”Social-Engineer有限公司首席人為黑客活動(dòng)主管Chris Hadnagy表示，這是一家培訓(xùn)與咨詢服務(wù)企業(yè)。“我們發(fā)現(xiàn)人們往往習(xí)慣于將自己的企業(yè)電子郵箱地址作為L(zhǎng)inkedIn以及Facebook的登錄賬號(hào)。欺詐人士可以通過(guò)在線方式搜索相關(guān)信息，并借此找到他們所發(fā)布的帖子、博文以及經(jīng)常逛的論壇——在這里，總會(huì)有一些個(gè)人內(nèi)容在不經(jīng)意間被泄露出來(lái)。而這些都是構(gòu)成社交工程欺詐活動(dòng)的重要線索。”

除此之外，教育也是一大關(guān)鍵。“員工們需要經(jīng)過(guò)良好的教育，從而意識(shí)到如果他們有個(gè)人信息需要保護(hù)，那么來(lái)自社交媒體站點(diǎn)或者郵件的任何內(nèi)容都不能輕易采信，”Hadnagy指出。

他同時(shí)建議稱，大家應(yīng)該制定專(zhuān)門(mén)的管理政策來(lái)控制社交媒體在日常工作中的使用方式。如果允許社交媒體介入，那么員工們應(yīng)該專(zhuān)門(mén)創(chuàng)建工作賬戶與個(gè)人賬戶。“在這種情況下，惡意人士還能在LinkedIn上找到他們嗎?其實(shí)還是找得到，但這至少在一定程度上實(shí)現(xiàn)了隔離，”他表示。

過(guò)度共享也會(huì)帶來(lái)其它一些意料之外的負(fù)面后果。Lohrmann指出，父母往往會(huì)為了哄孩子開(kāi)心而允許他們?cè)谄髽I(yè)提供的智能手機(jī)或者平板設(shè)備上玩游戲或者觀看視頻——這就導(dǎo)致此類(lèi)設(shè)備有可能被不慎損壞，更糟糕的是、可能會(huì)被潛在的可疑網(wǎng)站當(dāng)中的黑客以未授權(quán)方式加以訪問(wèn)。為了避免此類(lèi)情況，企業(yè)雇主應(yīng)當(dāng)制定書(shū)面的安全管理政策，禁止員工將由企業(yè)持有的設(shè)備出借給朋友或者家人。

作為文章的結(jié)尾，IT管理領(lǐng)導(dǎo)者們強(qiáng)調(diào)稱，移動(dòng)安全的另一大核心還在于如何在靈活性與生產(chǎn)效率之間取得平衡點(diǎn)。“我們確實(shí)保留了一定程度的靈活性空間，允許員工根據(jù)需求及意愿對(duì)自己的移動(dòng)設(shè)備加以使用，”Aliber指出。他同時(shí)提到，甚至下載一部分應(yīng)用程序也是沒(méi)有問(wèn)題的。“但在面對(duì)保護(hù)企業(yè)數(shù)據(jù)這一問(wèn)題時(shí)，我們就絕不能再?gòu)?qiáng)調(diào)什么靈活性了。這是一套處于全面管理之下的環(huán)境。我們要平衡的是生產(chǎn)效率需要以及幫助企業(yè)實(shí)現(xiàn)業(yè)務(wù)提升的需求。”#p#

如何利用基本MDM標(biāo)準(zhǔn)避免設(shè)備越獄?

移動(dòng)設(shè)備“越獄”、或者故意對(duì)應(yīng)用程序進(jìn)行錯(cuò)誤配置，到2017年將成為導(dǎo)致75%移動(dòng)安全事故的罪魁禍?zhǔn)祝珿artner公司作出預(yù)期。這家研究企業(yè)同時(shí)建議稱，IT部門(mén)應(yīng)當(dāng)在面向Android以及蘋(píng)果設(shè)備的移動(dòng)設(shè)備管理戰(zhàn)略當(dāng)中加入以下幾項(xiàng)重要步驟：

? 要求用戶同意遵守基本的企業(yè)管理政策，并準(zhǔn)備在情況發(fā)生變化時(shí)放棄其對(duì)訪問(wèn)控制的管理權(quán)。那些無(wú)法保證自有設(shè)備符合基本例規(guī)性要求的用戶則只能告別訪問(wèn)權(quán)或者接受存在嚴(yán)格限制的訪問(wèn)方式。

? 為設(shè)備密碼設(shè)定長(zhǎng)度及復(fù)雜程度的最低基準(zhǔn)要求，并制定嚴(yán)格的重試與超時(shí)管理標(biāo)準(zhǔn)。

? 指定平臺(tái)及操作系統(tǒng)的最低與最高版本。未獲準(zhǔn)使用的模式不得進(jìn)行更新或者為其提供支持。

? 強(qiáng)制推行“不越獄/不root”原則，且限制使用未經(jīng)核準(zhǔn)的第三方應(yīng)用程序商店。存在違規(guī)情形的設(shè)備應(yīng)該與業(yè)務(wù)數(shù)據(jù)源相互隔離，甚至根據(jù)具體管理政策對(duì)其內(nèi)容進(jìn)行清除。

? 要求利用應(yīng)用程序登錄以及安全憑證等機(jī)制訪問(wèn)企業(yè)郵件、虛擬專(zhuān)用網(wǎng)絡(luò)、Wi-Fi網(wǎng)絡(luò)以及受隔離應(yīng)用程序。

原文鏈接：http://www.computerworld.com/article/2692103/5-steps-to-more-mobile-security-savvy-employees.html