如何保护移动存储设备数据信息安全
时间:2014-09-11 作者:admin 点击: 次

 

一旦移动设备离开了公司大楼的那四面墙的牢牢的保护，用什么来保证设备中的数据信息不被外人窃取呢?最近这类批评非常的多，特别是有一些使用PDA 得用户，他(她)们有的用PDA进行耐心的数据收集或者出售自动化武器，他们的批评更是如潮涌一般。现在移动设备里面都有客户、商品清单、价格等信息，这些都需要像对待病人或者客户信息一样被保护起来，而且有这个权利和义务去保证这些信息在交易中的安全。如果移动设备只存储一些本地数据或者仅仅是与本地网络通讯，那么问题都是可以管理且能够容忍的。但是现在的情况是：这些移动设备都有内置的调制调解器、模拟调制调解器、802.11局域网卡、或者是内置了蓝牙控制器，用户们期望通过单元式的网络远远的保持通讯，他们家里的网络或者是一个 802.11网络跟他们的当地的图书馆或者是咖啡馆里面的网络相连。在很多情况下，商业应用要求他们在白天的时候能够保持通讯，而不是等待每个夜晚都来上传，或者要求在外地的职员回到家里面来保证数据通信。
安全的四个方面：在我为客户工作的时候我提出了这四个主要的方面，它们包含了移动设备安全的精髓。它们是：
通讯安全：对于那些支持移动设备和其他任何设备进行数据连接的数据通道，必须找到一个办法来保护它。
设备安全：一旦添加了这种设备，数据的安全必须被保证，对于那种偶然进入的没有被授权的用户，他(她)们是不能轻易看到数据和密码的。
操作系统安全：设备必须有一个操作系统，或者有一个额外的保护以防止那些恶意的代码破坏设备上的操作系统，应用程序或是数据。
身份验证和授权许可安全：只要客户的设备连接到公司的网络上，那么在用户和设备只有在经过授权的情况下才能对公司的网络做出修改。
我将会给你一个建议，告诉你在考虑应用程序或者是系统结构的安全性时应该从什么地方着手。
通讯安全
通讯安全策略允许移动设备客户通过一个安全的连接发送和接收数据，并且不被欺骗和跟踪。在最低的程度上，大部分移动设备客户必须在使用HTTP的时候确保一些SSL(安全套接字层)连接，这样才可以让你同移动设备或者一个安全的WEB站点收发数据。对于那些要求更高的数据通讯和实时响应，你必须寻找一种基于VPN通道的解决方案，并且使用PPTP或者IPSec。用一个通道把通讯程序从应用程序中分离出来，确保你拥有具有工业标准的防火墙、路由器以及服务解决方案，并以此来构造和维护你的安全连接。
设备安全
一个牢固的设备安全系统必须包含三个方面的内容。首先，你必须能够保证设备本身的安全，在没有被一个有效的用户在本地进行确认的时候，要防止它在低电源模式下启动或者使用。这可能会要求一个简单如密码这样的设置来启动设备，对那些标准达到了高水准的HP iPaqs来说，就必须要采用尽可能复杂的技术了，比如生物指纹读取鉴定。 第二，对于那些储存在设备上的安全凭证，有加密总比没什么都没有的加密好。这些凭证不仅包括用户名和密码，对敏感的主机系统来说还包括像机器名和IP地址这些信息。最后，在尽可能的情况下，在设备上的应用程序数据必须加密来防止其他用户轻易的读取并且理解。由于众所周知的原因或者说你认为这些数据没有价值去保护，所以你选择了不给这些数据加密。不过你必须记住，虽然在以后使用这些设备提供的数据库程序(网络、电子邮件、日历)的时候可能会很方便，但是所有这些程序都时没有经过正常加密的。
操作系统安全
这儿也有好消息也有坏消息，好消息就是移动设备的操作系统的被特别的安装在了一个芯片中。它很难被病毒侵害。但是有一些你用的应用程序能够打开设备并带来潜在的威胁。不过还没有发生过，到现在为止，目前针对掌上电脑，袖珍电脑和需要编程的蜂窝电话已经有了应用广泛的防病毒解决方案了。对于移动设备的操作系统来说，这是一个专门的领域，所有的人都有责任遵守。
身份验证和授权许可安全
这点已经被证明是在你的所有的安全策略中最重要的方面。不管在什么时候，个人用户没有得到公司系统许可的情况下，所有的数据哪怕是接触一下也是不行的。因为绝大多数当前流行的移动设备都缺乏相应的公司鉴别系统的支持，很多系统设计者都回到了那种简单设备的时代，就好像在一个Web服务器上用毫无安全机制可言的数据通道，用最简单的身份验证来进行共享确认。
绝对不能妥协
不管在什么情况下，都要寻找解决方案来让你的设备的内部规范化;不能够想着让你的内部系统刚好让移动用户"够用"就够了。如果你是一家 Microsoft Active Directory商店，用那些允许NTLM身份验证和授权许可协议的设备。如果你是一家兼营的商店或是一家UNIX商店，你就需要用那些采用 Kerberos并且能够从一个LDAP目录里面检索目录信息的设备了。当用户的数据是非常重要的时候，即使他(她)不在一栋建筑里面，相同的身份验证和授权许可标准必须在其他的情况下也能够给予支持，比如用户想把数据带出建筑或者是通过移动设备在很远的地方向公司上传数据。