技术,尤其是以个人用户为销售对象的技术当然正得到迅速发展,而且发展方向难以预料。自2002年以来,移动电话就逐渐转变成一种集PDA、相机和MP3播放器于一身的多功能设备,原本可为人们接受的使用策略也都随之过时。这让安全主管们坐立不安:因为他们要控制的是一个不断移动、变化的目标。
这一现象最棘手的问题在于,如果结合使用合理的安全控制措施,许多新技术都是很有价值的商业工具。然而,很多迫不及待的员工往往会自己购买、下载,或以其他方式获得这些新潮的设备和程序,并热衷于把它们添加到自己的工作环境中来,却没有注意到自己的这种行为正给公司的安全留下漏洞。
仅以Skype这一免费下载的互联网电话软件为例。该软件于2003年8月发布,用户可以利用它与世界上其他电脑进行免费的电话通信。这是不是绝妙的主意呢?如果你从事安全工作,这显然并不是绝妙主意,因为Skype会对所有流量进行加密,还会绕过防火墙。这对用户来说是福音,但对无法监控也无法阻止这些流量的CSO们来说却无异于噩梦。就在Skype发布的51天后,Skype公司的记录显示,有惊人的150万次下载和10万个用户同时在线。这类程序一旦流行起来,就会如同雨后春笋般迅速蔓延。而在该软件发布一周年的时候,Skype声称拥有了约950万用户,每天的用户数量达到150万。
那么,CSO该如何对待这些新技术呢?我们不妨看看四种热门技术:照相手机、便携式数据存储设备、无线计算,以及相互结合的P2P技术和基于Web服务的技术。这些都是初衷良好、被广泛使用的办公工具,但如果被粗心大意或者不怀好意的人使用,也会造成重大破坏。在本文中,我们向安全主管及其他专家征求了建议,以便采取最佳措施,从而在一片混乱中获得一定的控制权。
照相手机:窥视的眼睛
在许多公司,照相手机可用于在办公室聚会时拍照留念,或者捕捉有趣的演示幻灯片,这并不会引起人们任何反感。但在卡地纳健康公司(Cardinal Health),可以拍照的手机却是一种物理安全威胁。
卡地纳健康公司的业务涉及药品生命周期的方方面面:从开发、生产、包装、配送到药店经销。如果允许价值不菲的药品在这些环节流通时进行拍照,会给公司带来安全漏洞。另外,卡地纳健康公司还处理属于《健康保险可携性及责任性法案法规》保护对象的个人医疗信息,这对安全也有很高的要求。该公司的CSO Tim Gladura说:“从我们收到产品,到我们把产品送到最终用户手中,如果允许拍摄这一流程,那将是巨大的安全漏洞,而且是我们不愿意接受的漏洞。”
尽管如此,照相手机特别难以被控制,因为它们没有连接到公司控制的任何平台上。Gladura说,实行“禁止拍照”政策,并且不断加强安全意识,让员工成为安全队伍的一员,效果最好。他强调:“我宁愿有55000双眼睛在替我监视,而不是仅仅我这个部门在监视。”但这还不够,Gladura所在的部门还实行了其他政策,让相机远离敏感区域。譬如说,公司禁止配送部门的员工在停车场吃午餐,这可以让安全人员更清楚地发现有没有未经授权的其他人坐在停车场,偷偷注视装卸平台的作业;员工用的更衣柜外面安有百页窗,那样安全人员可以看清里面的东西;公司偶尔还会进行随机性的安全检查。
在Tommy Hilfiger USA公司,照相手机构成了另一种威胁:可能会导致知识产权丢失。该公司负责损失防范及安全的副总裁David Jones对进入公司设计工作室的来客很是担心。Jones说:“对我们这些时装行业的人来说,设计专利就是公司赖以生存的创新。”如果有人偷偷拍下秋季新款服装的照片,然后用电子邮件发给竞争对手,这会带来重大损失。
Jones也依靠禁止拍照的政策来保护设计区域,不过他担心照相手机的日益泛滥及尺寸越来越小会带来更多的威胁。这种担心不无道理。据InfoTrends/Cap Ventures调研公司的研究表明:到2009年,89%的新款移动电话都将配备照相功能。而且技术发展越来越快,以至人们越来越难判断哪些手机具有拍照功能。Jones说:“在老式手机上,您可以判断有没有相机,但现在很难判断,所以我们除了加强安全意识教育、进行培训,别无他法。”他又说,据他所知,公司还没有出现过利用照相手机进行窃取的情况,“但这种威胁一直存在,不知道何时会出现。”
CSO们还要担心照相手机对员工隐私构成的威胁。一位因事件敏感性而不愿透露姓名的安全主管提到了一个案例:有个家伙似乎老是在更衣区用手机打电话,于是一些员工在午间锻炼后使用公司的淋浴间时感到惴惴不安。公共更衣室和健身房通常都有“禁止使用手机”的规定,因此公司提供的更衣室也不应当例外。
《商业隐私》一书的作者Stephen Cobb说:“有关个人的信息(照片或者个人数据)远比其他任何信息重要得多。”该书向主管们提供了保护客户数据隐私方面的建议,“许多公司往往注重保护财务机密,但有关个人的信息可能会给企业造成更大损失。”
First Data是一家专门从事转账和信用卡处理的公司,首席信息安全官(CISO)Phil Mellinger手下有一名雇员,专门负责密切关注移动设备及员工想要带到工作场所的其他技术。只有获得了安全人员的书面批准,员工才可以这么做,要是没有这种批准,设备就会被禁用。Mellinger说:“过去我们批准的是一般性的安全配置。譬如说,要是有人使用了无线设备,会有两套得到批准的安全配置。但现在,每个设备都有自己的安全配置,所以我们必须深入到设备这一层面。”Mellinger还强调,照相手机不仅仅涉及安全问题,还涉及人力资源问题和采购问题。他说:“你一定要让公司里面的许多不同部门关注这个问题,并且从不同角度来考虑,这样一来它就成了重大问题。”
据业内人士声称,美国国防部和国防承包商长期以来就拥有手机检测设备,但这种技术正进入主流。提供手机检测技术的公司(如总部设在菲尼克斯的Cellbusters)在企业市场日益受到欢迎。CellBuster设备可以在方圆90英尺范围内检测到开机(即使它没有在使用中)的手机,还会发出音频报警声,让用户关掉手机。它还可以在静音模式下工作,以闪光方式提醒安全人员。这种产品非常适合在某些特定目标区域禁止使用照相手机的公司,譬如董事会会议室或者更衣室。
