《企业网D1Net》10月29日讯

企业在信息安全方面又有了新课题，那就是如何维护移动网络安全。黑客现在有多了一种威胁企业信息安全的途径，那就是通过移动网络进行攻击。考虑到这全新的挑战，企业应该如何高效低成本地进消除安全风险呢？我们或许需要分三步走，进行三大“补”：

1.首先最简单的实践方法就是实施宣传方案，向移动/BYOD终端用户进行关于安全威胁和其避免方法的教育。比如，移动设备包含了大量的数据，但不是所有的都是敏感数据，而攻击者需要渗透到一个安全的网络来获取到准确的数据，如电子邮件账户凭证、用户密码和企业VPN的登录数据。此外，设备本身也可以作为一个可以直接连入企业网络的通道，例如，如果一个黑客用恶意软件让一个移动设备中了病毒，那么他们将可以用该软件通过VPN而连接到内部网络。因为许多终端用户是通过USB接口让自己的移动设备连接到工作站，所以这也是一种能够让网络受到感染的一种途径。

2.接下来就是围绕移动设备的使用来建立严格的策略，一个好的参考框架就是“企业移动设备安全管理的指导方针”，它是由美国国家标准与技术研究所(NIST)在其特别出版物(SP)800-124修订版1中提出的。建立移动设备的使用策略是相对容易的，困难的是收集风险预测信息，这些信息要用来确定移动设备是否、何时以及怎样连接到一个可信的组织网络。在这方面，很多组织要依赖于像移动设备管理或移动应用管理这些工具。

3.新型移动信托服务正脱颖而出，这种服务能够识别每一层移动堆栈上(基础设施、硬件、操作系统和应用程序)的漏洞，使这些数据在安全生态系统范围内(例如安全控制的使用，像加密、基于角色的访问控制等技术)与现存的威胁和风险系数有一定的联系。反过来，这些风险系数也可以用来确定是否授予一个网络的访问权限，如果有的话，那么又有哪些权限是应当受到限制的。一旦允许访问，连续监测就应该用来更新风险评估系数。

D1Net评论：

要消除安全风险，就必须有条不紊地进行管理改进，从外到内，逐步深入。首先要对员工进行相应的信息安全保护培训，这是现象层的“补”，其次建立起一套完整的测评体系，这是核心层的“补”，最后可利用一些新技术新服务来“修补”安全漏洞，这是物理层的“补”。把这三“补”分三步走，企业移动网络将会有所保障。