最不安全的八大消费端技术介绍(1)

各种高技术消费产品和服务正在涌入工作场所: 从智能电话、VoIP系统、闪存棒到虚拟网络世界，不一而足。而随着人们越来越习惯于随心所欲地使用自己的个人技术，哪些用于办公？哪些用于娱乐？它们之间的界限随之模糊起来。

在最近接受Yankee集团调查的500名企业用户中，有86%声称，他们在工作场所至少用过一种消费端技术，其目的与进行技术创新和提高工作效率有关。

可遗憾的是，这种趋势也给IT部门带来了不少问题。举例来说，使用这些技术增加了企业的安全风险。另外，用户期望IT人员支持这些设备和服务，一旦他们在公司环境使用过这些应用，更是如此。

但在许多公司，仅仅禁用设备或者禁止员工使用消费端服务有悖于公司文化。与此同时，许多公司也无法完全依靠政策来维持所需的安全级别。

美国佐治亚州迪卡尔布县DeKalb医疗中心的信息安全管理员Sharon Finney说: “我还没听说过哪家公司的员工有时间去阅读及理解与工作环境中计算机有关的每一项政策，他们工作还忙不过来呢。我认为，我的职责就是采取措施来确保安全。”

另一些人则等到设备给公司带来问题（譬如安全部门在对付蠕虫或者处理带宽问题）或者设备影响了工作效率时才付诸行动，电信服务提供商环球电讯公司的安全副总裁Michael Miller就是这样。但不管公司决定做什么，应对措施总是需要权衡好这几个方面的关系: 确保员工的工作效率、恪守公司文化、没有占用IT人员的过多资源、确保适合公司的安全级别。

Yankee集团的分析师Josh Holbrook说: “技术消费化将成为IT部门的噩梦，因为这带来了维护和支持方面的问题，很快会占用大量的IT资源，除非IT部门采用新方法来管理员工。”Holbrook认为，禁止在工作场所使用消费端技术，这好比“打鼹鼠游戏（指与不听使唤的员工没完没了地较量下去）”。他说，同时，忽视这类技术的采用会导致安全和不安全的应用共存于公司中，这可能很危险。他提议通过内部客户服务协作方式，把控制权交给最终用户。

为了帮企业用户确定如何采取对策，下文介绍了已进入工作场所的八种最流行的消费端技术和服务，并且探讨了一些公司如何在安全、工作效率和理智行为之间取得平衡。

一、即时通信

人们使用即时通信（IM）软件来处理各种事，从确保孩子们放学后坐车回家，到与同事和业务合作伙伴进行联系等。在Yankee集团开展的调查中，40%的调查对象表示他们在工作时使用即时通信技术。即时通信带来了众多的安全难题，其中包括: 恶意软件会通过外部即时通信客户软件进入公司网络; 即时通信用户在不安全的网络上发送公司的机密数据。

对付威胁的一个办法是，逐步淘汰即时通信服务，改而使用内部即时通信服务器。2005年底，环球电讯公司在部署微软公司的Live Communications Server（LCS）时就是这么做的。后来在2006年8月，该公司禁止员工直接使用来自AOL、MSN和雅虎等提供商的外部即时通信服务。如今，因为通过LCS服务器和微软的公共即时消息网络（public IM cloud）来传输，所有的内部即时通信消息都经过了加密，外部即时通信消息得到了保护。

采用内部即时通信服务器还让环球电讯公司的安全小组有了更大的控制权。Miller说: “通过公共即时消息网络，我们能够在限制程度或者开放程度方面做出某些选择。我们可以禁止文件传输、限制离开公司网络的信息或者限制某些外部URL进入（这是传播蠕虫的一个常见方法）。这大大减少了恶意活动。”

而且还可以采取更强硬的政策。譬如说，DeKalb医疗中心的安全政策就干脆禁止使用即时通信。Finney说: “即时通信主要是聊天类型的流量，不是个人健康信息，但它仍让人感到担心。”作为限制政策的补充方案，她封阻了可以下载即时通信客户软件的大多数网站，不过没有封阻MSN、AOL或者雅虎，原因是许多医生使用这些网站来登录电子邮件账户。她领导的小组还使用网络清查工具，可以查出哪个员工的PC上有即时通信客户软件。一旦发现，就会提醒该员工DeKalb禁止使用即时通信的政策，并告知对方: 即时通信客户软件将被删除。Finney还在考虑各种各样的方法来禁用出去的即时通信流量，不过眼下，她还使用Vericept公司的数据丢失预防工具，以便监控即时通信流量、提醒安全小组有何重大安全威胁。为此，Finney的小组就要关闭大多数互联网端口，这迫使即时通信流量集中到端口80，以便监控。

DeKalb医疗中心正在考虑这一想法: 安装IBM公司Lotus Notes的即时通信附件，或者为希望能跨园区进行联系的公司用户安装像Jabber这些使用自由软件的内部即时通信服务。Finney说: “没有什么是绝对的。从生产力和安全性角度来看，即时通信始终是要关注的一大问题。”

二、网络邮件

在接受Yankee集团调查的对象当中，50%声称自己使用电子邮件应用程序来工作。像谷歌、微软、AOL和雅虎提供的这些消费端电子邮件服务存在一个问题，就是用户自己并没有认识到使用电子邮件收发信息有多么不安全。之所以不安全，就是因为消息通过互联网传输，保存在电子邮件提供商的服务器和ISP的服务器上。正是因为没认识到这点，许多人随便就发送敏感信息，譬如社会保障号码、密码、公司的机密数据或者商业秘密，毫无谨慎可言。

网络邮件方面加强安全的一个办法就是，借助利用关键字过滤器及其他检测技术来监控电子邮件内容的工具，生成警报信息、提醒可能有安全漏洞，或者只是阻止电子邮件发送。譬如，据WebEx Communications公司的IT基础设施主管Michael Machado介绍，该公司正在考虑扩大Reconnex公司的一款数据丢失预防工具的用途，以便添加电子邮件监控功能。

至于DeKalb医疗中心，它借助Vericept公司的工具来处理这个问题: 这个工具可以获取员工发送的每封网络电子邮件（包括文件附件）的屏幕截图，然后进行扫描，查找是否含有公司规定的敏感数据，譬如社会保障号码等。一旦找到，Finney的小组就会接到警报信息，那样就可以对用户采取相应行动，向他们介绍通过互联网发送敏感数据存在的危险。

三、便携式存储设备

据有关被调查者介绍，IT管理人员面临的最大威胁之一就是层出不穷的各种便携式存储设备，从苹果电脑公司的iPhone和iPod到闪存设备，不一而足。他们说: “人们可以用这些设备下载大量公司秘密或者机密信息，然后带到别处，而IT人员不希望这样。”

信息安全架构师兼《网络安全完全手册》一书的作者Mark Rhodes-Ousley 说: “单单在过去的三周，我就听说了有关闪存驱动器和便携式存储设备带来风险的六个案例。”

虽然禁止员工使用PC上的USB端口很容易，但许多安全管理人员认为这种方法不值得推荐。Miller说: “要是有人想从中捣乱，他们会找到别的办法、绕过你所设置的任何障碍。该如何进行限制呢？如果限制USB端口以及带到办公室、可能有数据存储端口的手机，那么也就要考虑限制其他设备和光盘刻录机上的红外端口。这样一来，好多设备都要受到限制。”

他说，处理这个问题的比较好的办法是，教育人们如何对待敏感信息的保存。Miller说: “出现的事件大多数是无意的，而不是恶意的，所以这时候教育可以发挥作用，以便用户正确处理、知道为什么这么做很重要。”

Machado说，他并不主张在公司内禁用USB端口，主要是因为要是实行这样一种策略，用户很快会要求IT人员给予通融，IT人员就得应对这种通融。他说: “每个人觉得自己得到通融很重要，这会占用IT人员的大量时间。”

他补充说，最好就是使用一种工具，向试图把文件拷贝到USB驱动器或者其他未加密存储介质的人发送警报信息，警告他们违反了公司政策。他说: “然后，他们知道自己有权做出决定，但所作所为将会受到跟踪及监控。”

另一方面，DeKalb的Finney说，她对封阻技术很有兴趣，正在考虑Vericept工具的这种功能: 阻止某些类型的数据发送到外部存储介质，或者要是有人试图把外来的存储设备插入到PC，就向她发出警报。理想情况下，她倒是喜欢有一款工具还能提醒员工: 公司政策禁止敏感数据存储到外部设备上。

同时，美国密歇根州大峡谷州立大学及出过师生丢失存有敏感数据的闪存驱动器事件的其他院校正在考虑将来统一使用采用密码和加密双重保护的USB驱动器，以保护敏感数据。