保证移动数据安全1.制订安全政策,对可以带出公司的数据进行严格的规定。不要对高管搞特殊化。
2.加密外带的数据。许多移动安全管理产品都具备这样的加密功能。
3.随时准备加强病毒防护。与企业系统平台相连的移动设备已逐渐成为了病毒攻击的目标。
4.密切关注智能手机的发展。
5.如果你拒绝采取以上措施,那就考虑锁定公司的电脑,让员工无法安装同步软件,这样一来他们也就无法用手机访问敏感数据了。
放眼市场
在保卫智能手机安全体系的战斗中,出现了一些新的问题。其中之一与密码有关:在手机那巴掌大不到的键盘上,按错键输错密码是常有的事。因此,笔记本电脑指纹读取器的领先供应商AuthenTec公司就宣称,它已经看到了智能手机领域对生物测量技术的需求,并认为在未来的18个月内,带有此种技术的手机就将在美国诞生。该公司已被美国政府选中,为2010年美国人口普查中使用的PDA提供安全服务。日本电子公司OKI也瞄上了生物测量技术,但他们选择的不是指纹,而是眼睛。目前他们正在为手机开发眼睛识别功能。该公司的想法是,运用一系列定制软件以及手机中的摄像头来对用户的眼睛进行扫描,以确定用户是否有权使用手机。目前这一想法还在初级的探索阶段,OKI公司预计此类产品要到2010年才能推向市场。
以上措施均是为物理访问把关,除此之外,可信计算组织(Trusted Computing Group)也正在着手开发适用于移动设备的可信平台模块——“移动可信模块”。据了解,可信计算组织开发这一模块的目的,是为了制订移动设备的安全标准,而这一领域一直被各大安全厂商所统治。
“令牌”把关 安全无患
OATH的开放标准旨在降低多重认证的成本和复杂性。
文|Avi Baumstein 译|李林
我们早就知道,多重认证带来的安全性远胜于简单的一行密码。然而,多重认证却一直没能得到广泛的应用,这是为何?原因有很多,首先是相关的产品太少,人们缺乏选择;其次是成本和共用性问题让客户们犹豫不决;再有就是IT部门的人员觉得这样一来他们的工作量就会大大增加。开放式认证推广组织(Initiative for Open Authentication,下称OATH)最近发布了Reference Architecture 2.0软件,希望能借此消除人们的这些疑虑,用开放的标准推广这一强大的认证功能。
“标准”是这里的关键词。基于OATH架构的系统允许用户令牌(user token)的共用,并支持各种需要认证的服务。而最终的目标则是:单个用户令牌与多个供应商的多种服务相兼容。这是一个很好的设想,但目前还无法完全实现。因为现在令牌的执行都需要事件来激活,如果一个令牌与一些不相关的服务配套使用,那么和这些服务相对应的事件就无法匹配令牌的状态,从而导致认证失败。让系统正常运行的唯一办法,就是让所有的服务都使用相同的确认后台,以保证令牌状态的一致。威瑞信公司(VeriSigng,下称威瑞信)的身份验证保护(Verified Identity Protection,下称VIP)就是使用的这种办法。嘉信理财公司(Charles Schwab)和电子港湾都是该公司的重要客户。
封闭系统的市场一直都是由RSA公司占据着无可撼动的领袖地位,但多重认证领域就热闹多了。WiKID公司和PhoneFactor公司就是最具实力的两股新生力量。前者靠的是基于手机的软件令牌,而后者则是向用户的手机发送认证代码。在这一领域内,有的是大把大把的机会,因此,OATH的研发队伍是越来越大了,各种类型的公司都在往里钻。除了威瑞信之外,还有美国在线公司(AOL)、BMC公司、思杰公司(Citrix)、Entrust公司、惠普公司(Hewlett-Packard)、国际商业机器公司(IBM)、Imprivata公司以及SanDisk公司等等。
使用密码的单重认证很容易被攻破,而一次性密码在每次使用后,都会生成新的密码,这样就提高了安全。在这种方法诞生之初,人们往往是先打印出一组复杂的密码,然后每用一个就划去一个。但如此一来,工作的效率也就大大降低了。基于令牌的系统使用钥匙挂链式的电子设备,在液晶屏幕上显示出所需的下一个密码,这样便提高了效率。问题是,这些系统配置起来都不便宜,因为目前的市场完全被少数几个专属系统所把持。不过,由于共用性是OATH开放标准的必然产物,因此我们已看到许多厂商在开发各种各样的令牌,包括信用卡大小的令牌、带USB接口的令牌、甚至有可在手机上运行的基于纯软件的密码产生器,这就省去了随身携带令牌的麻烦。
生成一次性密码的办法有两种。一是事件激发型,即密码每使用一次,就自动更换;二是定时更换型,即每过一段固定的时间,就自动产生新的密码,RSA公司的SecurID令牌采用的就是这种方式。两种办法孰优孰劣还暂无定论,不过第一种生成密码的方法更加简单,实施起来成本也相对较低。定时更换密码的令牌对时间的要求非常精确,它必须与服务器同时改变密码,而事件激发型令牌在每次显示新密码之前,只需进行一次运算即可。这就意味着,事件激发型令牌可以做得更加小巧,并且待机时间也更长,因为它们只在每次使用时才会启动。
|
服 务 CIO 推 进 信 息 化 
