探索中国CIO人才现状 | 第四季调研报告
10个需要被揭穿的移动安全神话
2016-07-19  来源:ZDnet

随着企业部署越来越多的移动应用,确保移动设备的安全就成了企业的一个持续性挑战。在某些情况下,安全风险不是被夸大就是被低估。IT安全经理应该从移动安全的神话中意识到些什么?

1、移动设备不需要加密

令人意外的是,有大量企业并没有在移动设备上进行数据加密。如果这些设备被仅仅作为瘦客户端的话,企业数据保存在云中,那么就不那么需要加密。但是,越来越多的移动设备保存了联系人列表、图片、价目表、销售票据及其他敏感信息。本地化的存储能够让在工作场所的工作人员即使是在云出现故障不可使用的情况下继续工作。单就这些原因,就应该广泛地考虑采用加密。

2、可穿戴设备并不需要采用安全措施

可穿戴设备刚刚开始进入企业中。在早期的应用中,可穿戴设备被用于这些场景中,例如在警务工作中获取犯罪现场图像,获取将需要修理的现场设备图片给外部专家参考。但是根据Tech Pro Research最近一项关于移动安全的报告显示,这些设备中有不到60%是安全的。随着越来越多的设备被用于野外作业,IT应该需要重新考虑这个问题。

3、跳过IT审核中的移动安全评估是没什么问题的

当谈到移动设备的时候,企业机构倾向于把他们的移动安全审查重点放在网络、集中监控以及向这些设备的下载。他们还应该重点对现场员工移动设备操作进行安全审查,以及对这些设备本身实施的安全措施。

4、移动设备天生就不如桌面设备安全

移动设备的安全性不一定就不如桌面设备的安全性。在某些情况下(例如能够远程追踪和关闭移动设备),移动设备甚至可能是更安全一些的。移动设备数据量较少,利用云来保存数据,相比之下,作为“胖客户端”的笔记本电脑拥有大量数据。因此,移动设备上可能出现安全泄露的数据量也就更少一些。

5、BYOD设备会导致安全措施松懈

这可不一定。如果IT部门有严格的指南来认证自己的BYOD计划可以接受哪些移动设备,再加上统一启动、监控、和对这些设备进行管理的使用实践以及IT安全实践,BYOD就能够像企业发给员工的移动设备一样安全。

6、移动设备有更多安全软件漏洞

移动设备的软件安全漏洞并不比台式计算机更多。区别是,移动设备是在工作现场的,所以IT可以在补丁一发布的时候,马上通过网络向这些设备集中交付新的安全和软件补丁。

7、移动设备不需要双因素验证

移动设备很容易错放或者丢失,因此额外的安全登陆代码——不仅仅是用户ID和密码——可以帮助确保安全。建议所有移动设备都采用双因素验证,这要求有一个私密签署的代码(例如,你在哪里上的高中)、用户ID和密码用于登录。

8、相比平板和移动设备,笔记本电脑在面对安全漏洞的时候不是那么脆弱

办公环境中的笔记本电脑和台式机并不一定比移动设备更安全。主要原因就是很多笔记本电脑和台式机仍然包含存储有敏感数据的硬盘,这使得数据被窃取、被损坏或者与未经授权的用户共享的风险变得更高。

9、台式电脑和笔记本电脑不会

笔记本电脑和台式机也会丢失,尽管几率不会像移动设备那么高。甚至在5年前,丢失笔记本电脑这一项就会给企业机构造成每年180亿美元的损失——而且目前这个问题仍然存在。IT应该用资产管理软件和其他措施来追踪这些设备,就像追踪不知道放在什么地方的移动设备一样。

10、公共应用商店是安全的

那些没有他们自己用于下载的网络基础设施的小企业,有时候会使用公共应用商店来为用户下载——在很多情况下,各种规模的企业都将使用公共应用商店来下载移动应用到他们的最终客户那里。这些应用商店采用了很多措施来确保下载是安全的——但是这并不意味着他们就不会遭受安全漏洞、恶意软件的威胁以及黑客。最好的做法(特别是对内部应用下载来说)可就是制订你自己下载流程,网络管理员可以直接监管这些流程。