安全專家表示，由于越來越多的公司雇員們通過Wi-Fi熱點上網(wǎng)，因此在無意識情況下泄露他們自己個人信息和職業(yè)信息的事件將越來越多。專家稱，盡管這些事件還沒有釀成轟動性事故，但是隨著對智能手機、筆記本電腦和其它移動設備的依賴與日俱增，這只是一個時間問題。

普華永道咨詢服務公司的信息安全總監(jiān)Ryan Crumb稱，他已經(jīng)看到了從熱點收集到的各種各樣的信息，包括社會安全號碼、公司財務數(shù)據(jù)以及關于并購交易的信息。有時候，Crumb會有意查看一下那些正在公共網(wǎng)絡上傳輸?shù)奈词鼙Ｗo數(shù)據(jù)。

他稱：“這是一個公共空間所與生俱來的問題。” Crumb的工作是與客戶一起發(fā)現(xiàn)和解決存在的安全隱患。他指出，發(fā)現(xiàn)這類數(shù)據(jù)并非難事，這些數(shù)據(jù)通常是通過電子郵件往來于熱點中。

(ISC)2政府事務總監(jiān)信息系統(tǒng)安全認證專家Marc Noble稱：“熱點是咖啡店的一大特色。但是在咖啡店處理事務的人要明白自己必須要保護自己。他們的行為有可能如同將這些信息放在廣告牌上或大街上一樣?！?(ISC)2　為全球信息安全專業(yè)人員提供教育及認證服務的非營利組織。

多數(shù)雇員并不知情

安全專家稱，盡管許多技術人員意識到這些被稱之為“黑洞”的安全風險，以及如何最大程度的降低安全風險，但是普通的雇員并沒有被告之，這也為數(shù)據(jù)安全埋下了隱患。

Crumb稱：“由于用戶希望能夠移動辦公，因此這對于解決這些安全隱患是一個極大的挑戰(zhàn)。他們希望在這些熱點上利用所有的設備得到他們的電子數(shù)據(jù)表或是簡報。但是他們使用的筆記本電腦可能會危害整個公司，因為他們使用的電腦沒有正確配置。”

與其他的安全專家一樣，Crumb認為沒有任何一種特別的計算設備能夠解決這一問題。他表示，多種因素聯(lián)合的作用導致了熱點在數(shù)據(jù)保護方面的問題。

其中的一個問題是熱點自身的問題。Crumb稱，不僅僅是無線設備，即使是有線互聯(lián)網(wǎng)連接也存在著安全風險。

他解釋稱：“隱患是公共接入點。風險是你無法控制其它的網(wǎng)絡。當你接入一個公共網(wǎng)絡，這就如同在沒有任何保護的情況下接入互聯(lián)網(wǎng)。你不知道你的鄰居是誰?！?/P>

Crumb稱，往來于這些公共網(wǎng)絡間的未加密信息能夠被那么知道如何查看的人所窺視。此外，他還指出，筆記本電腦、智能手機和PDA能夠與接入這些熱點中的其它設備進行對話，甚至當用戶并不希望這樣做時也會發(fā)生這種情況。

Crumb稱：“任何時候當你與他人共享你的網(wǎng)絡時，你的機器也將能夠與他人共享，你也就有機會截獲任何人的信息?！?/P>

中間人攻擊

市場分析公司Gartner公司的分析師John Pescatore稱，用戶非常容易受到中間人攻擊。在這些攻擊當中，黑客會刻意偽造一個合法連接以截獲信息。

Pescatore稱：“在這些熱點當中，黑客可以坐在你旁邊偽造出一個熱點，然后引誘你去連接他?！彼Q，雖然這種情況并不經(jīng)常發(fā)生，但是確實發(fā)生過。黑客然后使用這個連接窺探你的電腦，他們竊取的不僅僅是數(shù)據(jù)，還包括你的用戶ID號和密碼以訪問你的公司系統(tǒng)。

雷神公司資深信息保障工程師，信息系統(tǒng)安全認證專家兼信息系統(tǒng)安全工程專家Bob Batie稱：“如果這個黑客聰明到可以獲取你的用戶ID號和密碼，那么他一定知道如何使用它們?！?/P>

熱點所顯露出來的潛在安全問題對于公司的IT安全團隊來說并不陌生。不過網(wǎng)絡安全顧問公司SystemExperts集團的副總裁Brad Johnson稱，熱點數(shù)量的增加已經(jīng)讓這些安全問題成為了他們迫切需要解決的問題。

他稱：“現(xiàn)實情況是，熱點數(shù)量的增加已經(jīng)改變了整個使用環(huán)境。過去使用熱點的人相對要少，但是目前你在任何地方都可以找到熱點?！?p#

公司需及時制訂和更新相關規(guī)定

Johnson稱，目前許多公司在規(guī)定和實際使用方面經(jīng)常相互脫節(jié)。

他解釋稱：“他們還沒有將熱點視為一個問題。當我們的雇員不在公司辦公室內(nèi)時，他們被規(guī)定如何處理我們的數(shù)據(jù)呢?比如，盡管公司有規(guī)定禁止公司信息被傳輸?shù)郊彝ル娔X上，但是并沒有出臺嚴格的規(guī)定以防止雇員通過賓館的熱點向總公司發(fā)送帶有未加密的敏感數(shù)據(jù)的電子郵件。”

Johnson稱，即使連接是安全的，電子郵件也不會總是自動被加密，當有熱點存在時，移動設備不是被設置成自動與公司VPN相連。此外，移動設備的安全選項的設置往往并不正確，這也在無形中增加了它們的安全隱患。

Johnson和一些安全專家表示，盡管IT人員能夠找出雇員們使用熱點時存在的安全隱患，但是這并不意味著這些問題能夠被輕松解決。

Pescatore稱：“人們使用他們的筆記本電腦或智能手機辦公的需求無法被阻擋。這就是我們口中所說的IT消費化。”消費化讓IT人員更加難以完善公司對這些私人設備的規(guī)定和管控。

Batie稱，成本也是扮演了一個重要的角色。盡管使用VPN能夠帶來保護，但是并不是所有的公司都有充足的實力承擔起一個VPN。在當前惡劣的經(jīng)濟環(huán)境中，公司不會主動增加成本，即使在安全方面，他們也是在努力壓縮資金預算。

人的因素也應當考慮在內(nèi)

法律事務所Duane Morris LLP舊金山分部的合伙人Eric J. Sinrod長期以來都在關注這一問題。他稱，許多公司需要采取諸多措施以提前解決熱點所存在的潛在問題。

他稱：“有許多公司相當明智，并試圖提前解決這些潛在的安全隱患。但是并不是所有的公司都是如此。這一問題可以說是一個嶄新的領域。我們可能只是站在了一個浪潮的起點而已。我們不清楚這一問題是否會浮出水面。但是如果我們聽到關于熱點的安全事故越來越多，那么這個問題就必須要解決。”

Batie認為人為的疏忽也是影響熱點安全的一個因素。

他稱：“我想人們可能會誤以為他們的信息不是很重要，他們受到的安全培訓有時可能也不會充分發(fā)揮作用。”

這又將我們帶回到了Crumb通過熱點所窺視到的數(shù)據(jù)上。他稱，當用戶使用熱點時，他們必須對這些潛在問題擁有更大的自主決斷權。與此同時，IT人員也必須要盡可能的讓這些處置變得簡單起來。#p#

IT人員處置措施

Crumb稱，公司可以通過強制認證，比如自動連接VPN和自動加密來降低流氓熱點所帶來的安全隱患。此外，公司還需要為所有用于辦公的設備及時提供補丁管理、完善制度和操作規(guī)程以確保IT人員能夠讓所有雇員的設備都能被正確設置。

Johnson稱，另一個需注意的設備為無線上網(wǎng)卡，因為該設備將直接用于與寬帶連接。換句話說，無線上網(wǎng)卡是一個能夠與你的寬帶運營商連接的USB網(wǎng)卡，也被稱為無線寬帶卡。他指出：“由于你能夠在運營商提供服務的任何地方使用無線上網(wǎng)卡，那么它們也就成為了熱點的備用設備?！?/P>

按照這個思路走下去，你的運營商服務覆蓋區(qū)域?qū)嶋H上也是一個重要的因素。依據(jù)你正常工作和生活的地方以及運營商服務覆蓋區(qū)域，它可以給你帶來便利或是不利。Johnson稱：“隨著運營商服務覆蓋范圍的增加，這個問題的重要性已經(jīng)降低，雖然設備越來越小，但是覆蓋范圍卻越來越大?！?/P>

多數(shù)寬帶運營商都推出了價格不等的套餐，但是與通常免費使用的Wi-Fi相比，這相當于增加了用戶的成本。盡管如此，還是值得花這個錢。Johnson稱：“與熱點比起來，無線寬帶上網(wǎng)卡更為的安全。因為它在你的控制之下，你直接與運營商建立連接，而不是通過熱點設施?！?/P>

Johnson稱：“另一個策略是IT團隊主動出擊，任何時候在公司網(wǎng)絡內(nèi)都保持一個觸點，只要這些設備接入公司網(wǎng)絡，它就能夠?qū)υO備進行檢查以確保設備被正確設置?！?/P>

通過設置終端用戶機器和設備，這些機器和設備每次連接公司網(wǎng)絡都能夠被掃描，不過這樣做法會讓那些希望快速進入工作狀態(tài)的雇員出現(xiàn)耽擱。雖然Johnson知道會發(fā)生這種情況，但是他表示耽擱時間僅僅是幾秒鐘，在進行IT培訓時必須要讓使用者養(yǎng)成習慣。此外，他還表示：“這個費用，無論是公司出的，還是由雇員自己出都可以讓網(wǎng)絡環(huán)境變得更為安全?！?/P>

Crumb強調(diào)，防止通過熱點泄露重要數(shù)據(jù)以及杜絕此類重大事故發(fā)生的關鍵是盡可能的采用自動安全防范措施。他稱：“這就如同電話機，安全時刻發(fā)揮著作用。為了確保安全時刻起作用，IT人員采用的措施越多，我們就越能達到目的。”(范范編譯)#p#

相關鏈接一

IT可采取的保護數(shù)據(jù)避免熱點危險的步驟

·對于試圖接入企業(yè)網(wǎng)絡的設備建立和強制執(zhí)行身份識別政策。

·要求員工在進行連接和交換數(shù)據(jù)的時候使用企業(yè)虛擬專用網(wǎng);設置員工計算機，在保證計算機或者設備沒有丟失或者被盜之后，讓設備自動連接到虛擬專用網(wǎng)并且加密數(shù)據(jù)。

·保證正確地設置所有的設備和軟件應用程序并且使用最新的補丁。

·保證企業(yè)安全政策阻止員工向移動設備或者非授權的計算機傳送敏感的數(shù)據(jù)。

·使用需要一個服務計劃的無線卡，不要使用熱點進行無線連接。（胡楊編譯）

相關鏈接二

此事為什么很重要

Gartner分析師John Pescatore說，企業(yè)在既成事實之前一般都沒有認識到什么數(shù)據(jù)被通過熱點攻破了。但是，這種錯誤的代價巨大是沒有疑問的?？紤]一下非盈利機構Ponemon Institute LLC和這篇報告的贊助商PGP Corp在今年1月發(fā)布的題為“數(shù)據(jù)突破的代價”的報告的一些要點。這篇2009年的研究報告研究了45個機構的數(shù)據(jù)突破事件。

根據(jù)這篇報告的研究結果，2009年機構數(shù)據(jù)突破的平均損失從2008年的665萬美元增加到了675萬美元。每一次被攻破的記錄的數(shù)據(jù)突破成本從2008年的202美元提高到了204美元。

在2009年的研究報告中，42%的案件涉及到第三方的錯誤;36%的案件涉及到丟失或者被竊的設備(包括筆記本電腦);24%的案件涉及到導致數(shù)據(jù)丟失或者被竊的惡意的或者犯罪分子的攻擊。

機構應用了廣泛的工具防止未來的數(shù)據(jù)突破，67%的機構使用培訓和熟悉計劃;58%的機構使用人工程序或者控制，58%擴大加密的應用。

然而，Ponemon在3月份發(fā)表的一篇報告對957名美國的IT和企業(yè)經(jīng)理、分析師和官員進行了調(diào)查顯示，只有21%的機構對于自己的整個機構采取了一致的加密戰(zhàn)略;74%機構有某種類型的加盟戰(zhàn)略。

Crumb說，這個事情與設備或者提供商沒有關系。提供商的任務是提供不受約束的接入到互聯(lián)網(wǎng)的服務。采用這種沒有約束的接入服務也帶來了風險。因此，消費者應該真正地把公共接入點當作骯臟的東西。（胡楊編譯）

【編輯推薦】

1. 網(wǎng)上銀行犯罪及網(wǎng)絡安全偵查對策
2. 企業(yè)網(wǎng)絡安全防護最省事5大方案
3. 東軟成為中國通信網(wǎng)絡安全委員會成員