移动支付：如何对安全说YES.doc

移动支付：如何对安全说YES随着网络互联的兴起，员工能否自携设备进行工作，对企业来说是一道严峻的考验。在实际过程中要力求保护员工移动设备和企业数据库的安全。 随着网络互联的兴起，员工能否自携设备进行工作，对企业来说是一道严峻的考验。本期专家支招，力求保护员工移动设备和企业数据库的安全。 从智能手机到笔记本电脑，具备上网功能的移动设备更新速度十分迅猛，它们的改朝换代迅速改变着消费者的互动方式和专业人士开展业务的渠道。 但是，这种移动设备快速升级的现象引发了一系列诸如安全、便捷、生产效率和费用等严重问题，特别是越来越多的公司开始考虑是否需要配置移动设备或允许员工自带移动设备上班。Javelin战略与研究中心的风险、安全和诈骗分析师汤姆威尔士(Tom Wills)认为，问题没有那么简单。目前来讲，不同公司对移动设备市场的看法不同，有些公司倾向于增加个人设备的使用，而有些则相反。 威尔士说：“不过，更多具有安全意识的组织趋向于装备一套独立的、可以局域锁定的设备，如银行和政府机构。随着基于公司发行的设备不断出现，我们可以实行一项政策，表示用户没有权利对设备上的信息进行输人、删除或储存。”但是员工自己的设备能否在工作场合使用?这又是另一个问题。用户需求响应 自2011年秋天发布了一项新的移动应用政策后，特拉华州开始努力寻找企业关注点和员工灵活性之间的平衡。 该政策允许特拉华州的员工在开展与工作有关的交互时使用个人移动设备，比如接收和发送工作电邮。但前提条件是员工必须接受7条限制，其中一条是员工允许该州监管等相关部门远程监控他们的移动交互情况。 特拉华州首席安全官伊莱恩斯塔基(Elayne Starkey)认为，安全政策有助于规范企业的移动交互。因此，特拉华州针对移动设备制定了如下几项管制：设置复杂密码；如果设备被破坏或登录失败次数超过7次，远程取消；如果可能，设备加密。 斯塔基解释道：“防范于未然，所以我们正在努力保证整个特拉华州网络的数据安全并防止数据泄露和丢失。” 阿拉巴马大学已经在伯明翰卫生系统发现它自身正处于这种状况。半年前，阿拉巴马大学推出了_一种被称为混合型的移动应用模型，该模型混合了企业网络和个人移动设备。该大学信息安全人员特雷尔赫齐格(Terrell Herzig)说：“目前我们正在寻找端点安全。” 员工自然是想要携带一台便携设备。但从阿拉巴马大学的角度来看，与设备丢失、无法远程销毁设备相比，相关的安全和法律问题可能比便捷更重要。 赫齐格说：“目前，我们正在寻找一种能够设置安全控制的工具，这样我们才能同时在企业模式里使用。”不过事情都有个底线，比如密码保护，还有员工与阿拉巴马大学之间签署的允许远程控制设备的协议等。 大多数员工只是想访问公司的电子邮件，但也有一些希望有更深入的移动接入，比如让他们的移动设备与企业数据库同步，这涉及一个更大的安全问题。赫齐格表明：“在我们的政策里是不允许这样的事情发生的。我们希望大多数的数据保持在服务器，而不是移动设备上。” 不过，Javelin研究室的执行副总裁兼研究室主任玛丽莫纳汉(Mary Monahan)认为，对员工来说解决掉一些公司设置的限制很容易，这对企业来说是一个更为严重的安全问题。比如说，允许用户从云里下载文件的Dropbox软件，就可以轻易地绕开这些限制。 莫纳汉说：硷业应该界定并限制可以存储在移动设备上的数据类型，从而控制它们的泄露和其他不利条件。” 强大的加密方式是降低风险最有效的方法。责任的转变? 特拉华州和阿拉巴马大学的例子表明目前许多公司面临的困境。威尔士认为，这是安全性和实用性之间的一个经典权衡。 为了增加公司设备的安全性，你要么为个人和工作场所分别装配一台设备，要么允许携带个人设备办公。威尔士认为，严重削减设备的功能会刺激到其拥有者。 然而，安全必须放在首要位置，公司永远不能寄希望于员工自觉养成良好的安全习惯。威尔士补充道：“总是有很多人使用手机越狱，在后台输入他们的密码，而当新的补丁发出时却无法更新自己的应用程序。” 还有一个问题，手机是一项独特的技术，唯一真正驯服它的实体是移动运营商。这是一个有趣的难题，因为移动运营商过去从来没有关注过移动用户和企业网络之间的安全问题。 FatSkunk是一家密切关注手机在企业领域应用演变的移动安全公司，它的首席执行官和联合创始人之一马克格朗克拉(MarkGrandcolas)说：“我们现在正处在一个十字路口。” 传统的操作系统补丁对保护PC的安全运转一直行之有效，但在移动设备上并不能得到很好的应用。因此，移动运营商不得不负责分发补丁但它们并没有设置分发补丁的网络。马克说：“这将会占用移动运营商几个月的时间来分配所有的补丁，所以他们不得不匀出定的时间来处理此事。” 此外，在移动设备上也很难检测到恶意软件。马库斯雅格布松(Markus Jakobsson)博士认为：“如果手机上时刻运行着反病毒或恶意软件检测程序，将会非常耗费电量。这是一个结构性难题，现有模式在短时间内是无法克服的。” 一些新兴的移动安全供应商正在致力于为运营商和企业研究解决方案。总体而言，这些供应商提供给企业的移动管理解决方案是，给它们提供一台可以跟踪员工手机和手机使用情况的软件服务器。它们同样给予企业远程配置的权限，而且当移动设备损害或丢失时，允许企业自行消除。移动管理技巧 随着各公司发力移动设备，是否允许员工自己携带设备工作的问题就开始困扰企业，以下是一些需要考虑的安全问题。 第一，规范移动选项。保卫、支持、配置和更新大规模的移动设备是一项困难而且费时的事晴。莫纳汉认为，指定标准移动设备或统员工的设备很容易。他说：“假如没有统一的标准，很可能连管理员都不能准确地知道公司内部在使用哪些技术和软件，从而导致其不能采取有效的措施来减轻各种网络威胁。”如果统一设备标准不现实，公司应该采取分层的安全结构，这样可以建立特定级别的访问并支持特定的设备。 第二，制定和实施明确的政策。无论移动互联是否通过试点给全体员工提供个人设备，一旦某个公司决定支持个人设备，那么它就必须针对数据和控制方面制订严格的政策。赫齐格表示：“然后，组织需要对员工进行培训，帮助他们了解个人设备面临的风险，并且应与员工签署双方均可接受的使用协议。” 第三，恶意软件：建立备用计划。随着恶意软件的猖獗，公司需要对能够影响移动设备的特定应用程序作出及时的反应。移动运营商并不能对受影响的移动设备作出及时的修正，所以公司必须确保有一套合适的备用方案，以便能够在移动设备受到影响时第一时间切断它们与网络和数据库之间的联系。 第四，了解隐性成本。向员工提供移动设备的费用是高昂的，但是公司不应