作為CIO，我最恨討論安全的話題。我認(rèn)為唯一能做的事情就是不要被人注意到。還有，比別人做得好一些，這樣就可以降低被惡意攻擊的可能性。在我考慮到終端的安全性之前，上述想法似乎都是合理且可行的。由于技術(shù)日益滲透到我們的日常生活中，邊界的安全性變得越發(fā)重要了。從技術(shù)角度看，工作和日常生活的區(qū)隔正逐漸消亡。

為什么管理終端的安全性如此重要呢?因?yàn)?，用?hù)在事實(shí)上成為了所使用設(shè)備的管理員。他們毫無(wú)限制地訪問(wèn)不受監(jiān)控的網(wǎng)絡(luò)，隨意下載安裝各種應(yīng)用，讓家人和朋友使用自己的設(shè)備–而這些人基本上不可能簽署相關(guān)的使用許可協(xié)議或接受安全培訓(xùn)。他們使用云服務(wù)傳輸和管理數(shù)據(jù)?？傊?，一旦他們離開(kāi)了公司防火墻的保護(hù)，即刻進(jìn)入到一個(gè)完全不受控制的世界。在設(shè)備重新進(jìn)入公司防護(hù)范圍之后，我們只好去挨個(gè)排查病毒或惡意軟件。

這一切聽(tīng)起來(lái)讓人泄氣。但是，除非我們決定對(duì)設(shè)備的使用加以嚴(yán)格控制(從而使IT部門(mén)整日糾纏在可用性、可訪問(wèn)性和自由度這些問(wèn)題上)，否則就不得不接受風(fēng)險(xiǎn)存在的事實(shí)，然后采取措施來(lái)降低風(fēng)險(xiǎn)。那么，可以從哪些方面入手呢?

•從政策的角度看，要確保敏感數(shù)據(jù)不在有風(fēng)險(xiǎn)的設(shè)備上出現(xiàn)，或者至少也應(yīng)該加過(guò)密。這里就涉及到如何定義敏感數(shù)據(jù)了–也許客戶(hù)名單的泄露還不是很?chē)?yán)重，但是如果是信用卡號(hào)、社會(huì)安全號(hào)或者其他數(shù)據(jù)就麻煩了。

•由于安全威脅和技術(shù)變化如此之大，對(duì)員工的溝通與培訓(xùn)就顯得尤為重要。終端安全的管理目標(biāo)并非是靜止的，一年前還無(wú)需禁止的行為和習(xí)慣放到現(xiàn)在可能就是重大的隱患。

•從技術(shù)的角度看，一定要跟上敵人的腳步。選擇并部署高水平的防病毒系統(tǒng)，重視日常維護(hù)并進(jìn)行自動(dòng)升級(jí)。幾年前在一次出差時(shí)，當(dāng)?shù)氐囊粋€(gè)經(jīng)理對(duì)我說(shuō)他的筆記本太慢了。我發(fā)現(xiàn)其病毒庫(kù)已經(jīng)18個(gè)月沒(méi)更新了。檢查之后才知道，原來(lái)他禁止了自動(dòng)更新的功能。在他看來(lái)，每天升級(jí)太麻煩。對(duì)此我很無(wú)奈，升級(jí)一般就是一分鐘的事情而已。出差回來(lái)后，我在全球所有的分支機(jī)構(gòu)推行了新政策–將禁止自動(dòng)更新的功能取消掉。

•終端在整個(gè)安全鏈條中屬于比較弱的一環(huán)，因此要使用任何可能的工具來(lái)進(jìn)行強(qiáng)化。類(lèi)似工具包括基于主機(jī)控制的防入侵系統(tǒng)，以此保護(hù)設(shè)備操作系統(tǒng)在網(wǎng)絡(luò)中的獨(dú)立性并在設(shè)備上設(shè)立防火墻。

•對(duì)于設(shè)備管理，可以使用遠(yuǎn)程鏡像和診斷、以目錄策略阻止特定站點(diǎn)的訪問(wèn)以及監(jiān)控和識(shí)別未授權(quán)的軟件。而且，桌面虛擬化可以使終端數(shù)據(jù)在安全和數(shù)據(jù)中心專(zhuān)家的掌控之下。

可喜的是，隨著移動(dòng)性的提升，以及設(shè)備在日常生活和工作之間鏈條的重塑，已經(jīng)有人認(rèn)識(shí)到新出現(xiàn)的威脅，相應(yīng)地開(kāi)發(fā)產(chǎn)品或策略來(lái)降低這種威脅。