摘要：最近IDC研究发现，移动终端设备已经广泛应用在企业各业务层面，CIO的新挑战是怎样有效管理企业的移动设备上的数据安全。

　　如何管理复杂的移动设备的应用环境？如何将这些移动设备与现有企业系统进行整合？如何管理这些移动设备的数据安全问题？简单的说就是：如何管理移动设备和其使用之间的问题，由此涉及到的是系统安全、服务整合、互操作性和组织成本控制等一系列问题。
　　
　　一般来说，移动终端设备除了笔记本电脑外，包括掌上电脑、智能手机、USB设备和GPS设备等。因为其移动方便的特性，对数据的安全性提出了更高的要求。而事实上，我们常常看到的是许多公司对其移动设备在安全和策略管理上的缺失。
　　
　　危机四伏的移动设备数据管理
　　
　　近来，人们对笔记本电脑、智能手机、便携式多媒体等移动设备的使用大大增加，特别是那些被CEO、公司高管、销售和顾问使用的移动设备，往往涉及销售经营数据和电子邮件等极为敏感的公司资料。最新的移动设备具有更大的储存容量和更强的互联网访问功能，也使移动设备上的数据信息面临更大的风险。
　　
　　“我们丢了一台笔记本电脑”这是CIO最不想听到的一句话。除了设备成本损失之外，一般会造成重要数据的外泄，更严重的甚至会造成公司经营的风险，因为丢失一台保存着敏感信息的笔记本电脑会毁掉一家蓬勃发展的企业。而事情上，笔记本电脑丢失或者被盗是很普遍的事情，而设备越小丢失的次数越多。据一份调查显示，现在许多公司的用户每个星期都会丢失或者损坏相当多的移动设备，正是由于这个原因，移动设备丢失造成的数据风险已经足以让CIO睡不着觉了。
　　
　　移动设备存储量增大的后果是更多数据处于被盗、丢失或使用不当的风险之下，CIO们为此深感担忧，现在CIO必须找到一种新的管理方法来管理公司的移动设备。同样让CIO更担心的是，多数移动设备用户没有在非安全的环境中采取适当的安全措施。例如，据媒体报道发生的一次令人担忧的事件：一台从淘宝网拍卖购得的笔记本电脑被发现存储着许多重要的商业机密资料，以及200多封公司内部机密邮件。出售这台笔记本的人想当然地认为，删除数据后就可以了，结果却出乎他的意料，拍卖得主在一次无意复原磁盘操作中把这些重要数据全都复原出来了。
　　
　　CIO需要清楚认识丢失或被盗的移动设备已经不再只是物理设备的损失问题，而是数据外泄的问题。移动设备如果落入盗贼手中，上面的信息就会伤害到用户。因此，减少移动设备数据外泄风险的关键，是采取预防式的手段管理和保护敏感信息，以防止非法访问或信息泄露。所以，防患于未然，对敏感数据进行有效管理是CIO必须面对的问题。
　　
　　安全解决方案：加密数据
　　
　　很多时候，当一个移动设备丢失，其数据的价值远远超过了移动设备本身。在有关调查中显示，所有提及移动设备管理的CIO都有一个共同的关注点安全。随着移动设备应用数量的增多，移动设备类型的多样性也在攀升，企业管理及控制移动数据安全的能力却捉襟见肘这不再是要不要保护数据的问题，而是如何保护数据的问题。因此，摆在CIO面前的难题是：如何最有效地保护移动设备(笔记本电脑、PDA、智能电话或者可移动介质)上存储的敏感信息。
　　
　　如今的静态数据安全解决方案大多是基于比较老的加密技术，而这些技术当初根本不是针对移动设备的复杂环境设计的，于是其结果可能导致：IT部门里的现有流程复杂化，支持人员在日常的IT恢复、维修期间也会使到移动设备更容易暴露和外泄数据，现有的移动设备管理流程根本无法满足关键数据对安全的需求。
　　
　　对CIO而言，新的工作目标必须从对日益广泛应用的移动设备(笔记本电脑、手机、U盘及光盘甚至蓝莓或PDA等)围追堵截式的被动式安全保障，转移到主动保证移动数据的安全上来。因此，CIO必须面对这个新现实，及时调整移动设备安全流程和技术策略，确定移动设备数据风险等级和优先分配资源。
　　
　　一般来说，保护移动设备数据安全需要双管齐下：①对移动设备磁盘和数据加密，②对移动设备进行监管和认证许可。例如周期性地生成新的加密密锁，以及一定次数的登陆失败后锁定并清除数据等手段。
　　
　　层出不穷的移动病毒攻击
　　
　　技术是一把双刃剑。当手机、PDA等移动设备成为新型计算平台后，越来越多的用户开始依赖它们处理个人事务与商业交易时，安全隐患也随之出现。据预测，新的移动终端造成的安全损害远比PC高，以智能手机为目标的新一代移动病毒能够威胁和感染市场上正流行的多种智能手机，而这些手机大多都没有安装移动安全防护。
　　
　　更令CIO担忧的是许多病毒现正向移动设备发起攻击。去年，反病毒厂商发现了200多种手机病毒。间谍软件、网络钓鱼软件、域名欺骗软件、恶意软件、零时差浏览器攻击、以及僵尸网络等攻击软件正在迅速蔓延。据调查显示，仅仅针对Windows智能手机设备，就已经发现了约30种恶意软件。 
　　
　　企业IT管理员能够对网关、服务器、台式电脑进行安全检测，但对手机却无能为力，智能手机是现在唯一没有纳入企业信息安全防护系统的计算设备。更令人担忧的是，新的安全威胁不仅仅来自手机，由于手机、PDA等移动设备出现在人们生活中的机率越来越高，它们在技术上彼此互联、相互交叉，形成了比单纯的电脑环境复杂得多的安全管理环境。移动病毒更看中移动无线网络的脆弱性，传播路径的多样化使大范围的传播更成为可能，例如木马隐藏在从无线网络下载的游戏中，或通过蓝牙传播。
　　
　　制订数据安全策略刻不容缓
　　
　　大多数人们在应用移动设备的时候都没有考虑可能会丢失的后果，也就没有特别考虑移动设备数据安全的问题。简单地说，人们还没有足够认真地评估移动设备可能受到的威胁和安全漏洞。更糟糕的是，企业的许多员工都不知道他们拥有什么信息，或者不知道这些信息的价值。
　　
　　另一方面，也许有员工认为只要加密无线网络和笔记本电脑硬盘，然后就万事大吉了。但实际并非如此，为了与这些风险进行有成效的斗争，公司必须制订一个移动设备安全策略，以指导公司进行评估，制订与潜在商业影响相符的预算，并将移动设备安全解决方案在技术上、步骤上和组织结构上的作为头等大事来抓，从而降低风险。移动设备安全措施包括：确定策略，保护移动设备上的数据，对设备和用户进行认证，监控策略执行情况并撰写报告。
　　
　　责任编辑：Honey