世界各地的邊防部隊(duì)正在加大對(duì)設(shè)備的審查力度，他們可以從這些設(shè)備中檢查并復(fù)制其內(nèi)容。如果說這些設(shè)備是公司配置或是包含公司信息的個(gè)人設(shè)備，則可能會(huì)引發(fā)嚴(yán)重的數(shù)據(jù)安全問題。

[[275418]]

雖然西方人可能認(rèn)為，這只是專制獨(dú)權(quán)國家才會(huì)存在的問題，但事實(shí)證明，許多民主國家的邊境官員也會(huì)在沒有逮捕令的情況下合法地扣押移動(dòng)設(shè)備。例如，美國、英國和新西蘭都可以并且確實(shí)會(huì)搜查入境人員包括手機(jī)在內(nèi)的移動(dòng)設(shè)備，甚至?xí)粤P款、禁止入境或扣留等借口威脅入境人員解鎖他們的手機(jī)(在某些情況下還會(huì)要求一些特定賬戶的密碼)。

此舉不僅為邊境人民帶來了問題——特別是如果他們拒絕邊境官員的要求時(shí)(例如，如果不能連接設(shè)備，邊境官員有權(quán)可以扣留該設(shè)備多天)——而且如果這些設(shè)備與公司網(wǎng)絡(luò)或數(shù)據(jù)相關(guān)聯(lián)，也會(huì)為組織帶來安全隱患。

Gartner 移動(dòng)和客戶計(jì)算部門的研究主管 Rob Smith 表示：現(xiàn)在的問題是，你正帶著自己公司的數(shù)據(jù)資產(chǎn)。你將給予外國政府，甚至是國內(nèi)政府查看這些數(shù)據(jù)的完整權(quán)限。

設(shè)備檢查或扣押使數(shù)據(jù)和網(wǎng)絡(luò)面臨風(fēng)險(xiǎn)

設(shè)備檢查或扣押的現(xiàn)象并不新鮮，但近來年其數(shù)量有所增加。根據(jù)美國海關(guān)與邊境保護(hù)局(CBP)發(fā)布的一份統(tǒng)計(jì)數(shù)據(jù)顯示，僅2017年，美國邊境人員就檢查了30,200部手機(jī)和其他設(shè)備，比2016年增加了近60%。這可能會(huì)為企業(yè)帶來安全風(fēng)險(xiǎn)。

如今，無論你去到哪里可能都無法預(yù)計(jì)將會(huì)發(fā)生的事情。無論是在英國、美國還是中國，有時(shí)候，有些人都會(huì)要求你交出自己的設(shè)備。而且很多情況下，你都是別無選擇的。在歐洲，隨著歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)的推出實(shí)施，人們對(duì)于隱私和數(shù)據(jù)安全有著更為強(qiáng)烈的需求，且對(duì)于應(yīng)該享有的權(quán)力也有著更多期待。但是，當(dāng)你去到美國或中國這樣的地方時(shí)，情況可能就大不相同了，因?yàn)樗麄兇_實(shí)有為行李檢查設(shè)計(jì)的法律。

2018年，悉尼的澳大利亞邊境部隊(duì)(ABF)就曾查獲了一個(gè)軟件開發(fā)商的設(shè)備。據(jù)悉，ABF拒絕告訴該軟件開發(fā)商是否復(fù)制或存儲(chǔ)了其設(shè)備數(shù)據(jù)，也拒絕解釋ABF的數(shù)據(jù)保留政策。2017年，一名美國國家航空航天局(NASA)工程師被迫交出由公司提供的電話(及其密碼)，其中包含有來自該機(jī)構(gòu)噴氣推進(jìn)實(shí)驗(yàn)室的敏感信息，而這件事就發(fā)生在美國休斯頓機(jī)場。

至少，第三方可能會(huì)在無需應(yīng)用貴公司所使用的相同訪問控制權(quán)限的情況下，在設(shè)備上制作任何公司數(shù)據(jù)的副本，并且讓你無法了解這些信息的存儲(chǔ)方式和位置，或是它們何時(shí)可能會(huì)被刪除。此外，任何受管制數(shù)據(jù)的復(fù)制行為也可能產(chǎn)生潛在的合規(guī)性問題。根據(jù)所涉及的國家/地區(qū)，存儲(chǔ)在本地設(shè)備上的商業(yè)敏感信息或知識(shí)產(chǎn)權(quán)可能會(huì)流入國內(nèi)競爭對(duì)手手中。如果員工被拘留，則退回設(shè)備的可能性也會(huì)降低，這可能意味著兩個(gè)公司數(shù)據(jù)副本都會(huì)丟失。

如果你的設(shè)備帶有緩存密碼，使用VPN進(jìn)入網(wǎng)絡(luò)或是易于訪問密碼管理器，這都會(huì)提高員工的工作效率，但它也可能導(dǎo)致邊境部隊(duì)更容易獲取到他們感興趣的任何內(nèi)容。

新的邊境威脅：國家支持的惡意軟件

除了上述情況外，設(shè)備也有可能受到損害。最近發(fā)現(xiàn)，中國邊境管制處正在前往新疆的訪客手機(jī)上安裝惡意軟件，以收集其中的日歷條目、電話聯(lián)系人、通話記錄和短信等數(shù)據(jù)。此外，該惡意軟件還會(huì)掃描已安裝的應(yīng)用程序，并盡可能提取這些應(yīng)用程序的用戶名信息。

2018 年 1 月 4 日，美國海關(guān)和邊防局 (CBP) 發(fā)布了一個(gè)名為《海關(guān)檢查電子設(shè)備》的新指令，為海關(guān)人員設(shè)置了一些新的限制，同時(shí)也為他們進(jìn)行大量搜索時(shí)建立了一個(gè)標(biāo)準(zhǔn)。例如，海關(guān)人員不能使用手機(jī)訪問可能遠(yuǎn)程存儲(chǔ)(即云)的任何內(nèi)容，或從云端下載舊文件。

不過，即便有了明確指令，但對(duì)于許多人來說，還是不足以讓人放心。而且僅僅因?yàn)檫吘巢筷?duì)沒有積極地將數(shù)據(jù)傳遞給國內(nèi)競爭對(duì)手或其他政府機(jī)構(gòu)，并不意味著你的信息就是安全的。

2018 年，美國國土安全部 (DHS) 對(duì) CBP 流程的審查結(jié)果發(fā)現(xiàn)，其并沒有遵循適當(dāng)?shù)牧鞒?mdash;—包括從網(wǎng)絡(luò)中斷開設(shè)備連接——而且從邊境的移動(dòng)設(shè)備中復(fù)制的數(shù)據(jù)被不安全地存儲(chǔ)在 USB 驅(qū)動(dòng)器上，并且沒有被刪除。2019 年 5 月，CBP 證實(shí)稱，由于分包商違反了 CBP 政策，在沒有 CBP 授權(quán)或認(rèn)知的情況下將 CBP 收集的車牌圖像和旅行者圖像副本轉(zhuǎn)移到了自己的公司網(wǎng)絡(luò)中，后來通過 “惡意網(wǎng)絡(luò)攻擊” 被盜，釀造了數(shù)據(jù)泄露事件。

安全專家表示，CBP 官員只是公務(wù)員，并不是安全專業(yè)人士，他們當(dāng)然不會(huì)考慮數(shù)據(jù)保護(hù)問題。所謂的數(shù)據(jù)保護(hù)和數(shù)據(jù)存儲(chǔ)都與他們無關(guān)，因?yàn)檫@些數(shù)據(jù)又不是他們的私密資產(chǎn)。

保護(hù)邊境數(shù)據(jù)的較佳做法

1. 積極配合當(dāng)局工作

員工的平安幸福應(yīng)該是你的首要關(guān)注點(diǎn)。所以，不要鼓勵(lì)他們抵制移交設(shè)備或信息的請(qǐng)求，這樣做很大可能會(huì)導(dǎo)致他們面臨被拘留的結(jié)局。同樣地，在面對(duì)可能發(fā)生的拘留情況時(shí)，公司也不要因?yàn)樗麄兩辖涣嗽O(shè)備或密碼而對(duì)其進(jìn)行責(zé)罰。

毫無疑問，當(dāng)你身處邊境管控的情況下，上交所有資產(chǎn)是最明智的做法，你無法跟他們抗衡或是爭論，禮貌和配合可以幫助你遠(yuǎn)離監(jiān)獄。

同樣地，試圖使用手機(jī)上的私密分區(qū)、保密柜或“內(nèi)核恐慌上傳模式”來欺騙邊境警衛(wèi)可能只會(huì)招致進(jìn)一步的調(diào)查。這些警衛(wèi)可能接受過培訓(xùn)，能夠識(shí)別設(shè)備上存在此類事物的特定應(yīng)用或標(biāo)志，所以欺騙他的結(jié)果很有可能就是將粗略的搜查提升為全面的審查和拘留。

2. 將Chromebook用作筆記本電腦

對(duì)于類似筆記本電腦的設(shè)備，建議你可以將 Chromebook 作為最安全的選擇之一。Chromebook 是 Google 推出的網(wǎng)絡(luò)筆記本，這是一種全新的筆記本電腦，號(hào)稱 “完全在線”，能提供完善的網(wǎng)絡(luò)應(yīng)用服務(wù)。

Chromebook 計(jì)算機(jī)的原始構(gòu)想，其實(shí)是呼應(yīng) “云端運(yùn)算” 的時(shí)代來臨，以及上網(wǎng)本的流行。Chromebook 號(hào)稱開機(jī)只需要 8 秒，并且可以瞬間從休眠狀態(tài)恢復(fù)正常作業(yè)，解決傳統(tǒng)筆記本開機(jī)時(shí)機(jī)過長的問題。此外，其搭載 Chrome 操作系統(tǒng)，特別加強(qiáng)云端運(yùn)算功能，將用戶的應(yīng)用程序、文件與設(shè)定，儲(chǔ)存在云端服務(wù)器上，減低終端上網(wǎng)本的運(yùn)算及資料存儲(chǔ)負(fù)擔(dān)。使用者不必?fù)?dān)心遺失計(jì)算機(jī)，因?yàn)檫€可以登入另一臺(tái) Chromebook 繼續(xù)工作。

當(dāng)你身處邊境管控中心時(shí)，即便他們獲取到 Chromebook 的完全訪問權(quán)限，他們也掌握不到任何數(shù)據(jù)，訪問不了任何東西，因?yàn)樗皇且粋€(gè)全新的設(shè)備。

3. 旅行專用設(shè)備

然而，對(duì)于智能手機(jī)而言卻沒有這種快捷簡便的解決方案。在個(gè)人手機(jī)中，可能不僅存儲(chǔ)著個(gè)人數(shù)據(jù)，還有公司數(shù)據(jù)，甚至還面臨著被安裝惡意軟件的風(fēng)險(xiǎn)。所有這些都是后患無窮的。所以，根本不存在什么 “萬能靈丹” 來解決這一切問題。

在國外旅行時(shí)，建議你可以使用臨時(shí) IT 配置設(shè)備來代替日常使用的個(gè)人設(shè)備。例如，氣隙系統(tǒng) (Air-gapped) 的 burner phone 就是很好的選擇!Burner 是一款非常優(yōu)秀的偽裝手機(jī)號(hào)碼應(yīng)用程序，通過它生成的手機(jī)號(hào)碼可以實(shí)現(xiàn)通話與短信。如果有人已經(jīng)銷毀了自己的電話號(hào)碼，那這個(gè)號(hào)碼就再也找不回來，服務(wù)器上不但不會(huì)保留電話號(hào)碼，應(yīng)用中的歷史記錄也會(huì)被刪除。

但是，這些都不是完美的系統(tǒng)。由于訪問受限，常規(guī)工作流程可能會(huì)中斷，因此工作效率也會(huì)受到影響。習(xí)慣了在一臺(tái)設(shè)備上處理公事和私事的員工，可能也會(huì)覺得此類應(yīng)用程序不方便甚至令人崩潰。同樣地，專為旅行而設(shè)置的臨時(shí)或單獨(dú)的電子郵件賬戶可能也會(huì)為員工帶來類似的煩惱。

4. 教育用戶了解跨境風(fēng)險(xiǎn)

教育用戶了解旅行帶來的潛在數(shù)據(jù)風(fēng)險(xiǎn)，可能要比安全教育中的一些常見挑戰(zhàn)更加困難。對(duì)此，你可以讓用戶簽署豁免協(xié)議，用非常簡單的語言讓他們了解自己放在設(shè)備上的任何個(gè)人數(shù)據(jù)都很有可能會(huì)在沒有獲得通知的情況下被擦除。為經(jīng)常旅行的員工提供有關(guān)跨境潛在風(fēng)險(xiǎn)的專業(yè)培訓(xùn)課程，以及加強(qiáng)向 IT 通知任何設(shè)備搜索/扣留的需求，可能都是非常有價(jià)值的實(shí)踐。

5. 在適當(dāng)?shù)牡胤讲渴鸺夹g(shù)控制

就技術(shù)控制而言，建議公司可以使用虛擬化、盡可能少地在手機(jī)上保留信息、使用最小訪問權(quán)限原則、保持所有信息都是基于云的，并使用統(tǒng)一端點(diǎn)管理解決方案 (UEM)。無論公司決定采用何種系統(tǒng)和策略，基本原理都是大致相同的：備份所有內(nèi)容，刪除非必要的賬戶和應(yīng)用程序，并禁用任何緩存的內(nèi)容等。

如今市場上的許多統(tǒng)一端點(diǎn)管理解決方案 (UEM) 工具都允許用戶執(zhí)行給予地理位置的策略，這樣一來，如果你離開了自己的國家，UEM 將自動(dòng)刪除不應(yīng)在國外看到的資產(chǎn)和內(nèi)容。這屬于一種自動(dòng)化控制策略，甚至不會(huì)涉及到終端用戶。

通過進(jìn)行簡單的風(fēng)險(xiǎn)分析，讓 CIO 或董事會(huì)了解到企業(yè)敏感信息將會(huì)受到的潛在威脅(包括可能會(huì)泄露給競爭對(duì)手)，并闡述您的首選解決方案的價(jià)值，便能夠輕松地獲取 CIO 或董事會(huì)的支持。

6. 采取基于風(fēng)險(xiǎn)的方法進(jìn)行設(shè)備管理

安全專家還建議企業(yè)可以采取基于風(fēng)險(xiǎn)的方法并制定基于以下方面的政策：

• 誰是用戶，他們的目標(biāo)是什么?
• 設(shè)備是什么，誰擁有它?
• 他們需要訪問哪些類型的應(yīng)用程序、數(shù)據(jù)和內(nèi)容，是否符合GDPR等合規(guī)性法規(guī)?
• 他們位于世界的哪個(gè)位置以及他們將去哪里?

這 4 個(gè)變量可以幫助你構(gòu)建正確的移動(dòng)策略和政策。如果你每年只去旅行一次，并且正準(zhǔn)備去美國出差，那么你被美國運(yùn)輸安全管理局 (TSA) 選中的幾率將非常小，除非你是一個(gè)備受矚目的擁有高價(jià)值數(shù)據(jù)的人員。

7. 評(píng)估哪些數(shù)據(jù)是重要的

最后，專家建議企業(yè)可以切合實(shí)際地評(píng)估哪些數(shù)據(jù)對(duì)于他們而言才是真正重要且敏感的。要知道，在入境或過海關(guān)的時(shí)候，你存儲(chǔ)在設(shè)備上的任何數(shù)據(jù)都很容易會(huì)被帶走。所以對(duì)于這些存儲(chǔ)在設(shè)備上的數(shù)據(jù)，你必須反復(fù)評(píng)估以確定這些數(shù)據(jù)是否會(huì)影響公司業(yè)務(wù)和安全?是還是不是?

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文