使用移动通信设备的安全风险及应对策略

移动设备的安全风险何在
在各种移动通信设备中，智能电话及PDA的信息被盗窃漏洞最为明显。这两种设备都可以发送、接收及存储信息，很多时候用户忽略了在此等设备存储信息的危险性。最简单的情况便是公司及个人的敏感信息随着设备遗失而落在不明人士手中。

如果用户使用典型的同步传输功能把信息发送给他人，就算其设备只是用了生产商的默认设备，他便有可能不单把设备中电话簿或日历信息发送给对方，还把其个人通信程序及管理软件（如微软Outlook）中的私隐资料误发出去，这些程序可能记录了一些敏感数据，例如密码、客户账户信息等，其泄密的严重性可想而知。

此外，智能电话及PDA普遍缺乏容易使用的安全保护机制，其复杂性往往令用户望而生畏，结果是他们宁愿铤而走险，这令智能电话及PDA 的安全问题雪上加霜。

具备蓝牙功能的移动设备也有潜在的泄密风险， 它们可以让用户使用免提功能便能在短距离连接上同类设备，就是由于这项功能，一些意图不轨的人士可以使用同等功能的蓝牙设备，利用用户的设备作为进入大型企业信息设备的切入点，窃取信息。值得注意的是通过蓝牙连网功能，不轨人士在30尺范围内便可对有关移动设备动手脚。

企业应对移动设备安全问题的策略
正如前述，移动设备对企业运营的价值是肯定的，因此我们不应因噎废食，正确的态度是把移动设备纳入公司的整体IT基础设施管理策略内。

第一步的工作是对计划使用的移动设备的安全漏洞作全方位评估，在进行这项评估工作时也需对此等移动设备所支持的业务活动一并考虑。

第二步的工作是把公司的信息及数据作系统性的区分，举例说，一家企业的信息可划分为下列四类，其需要的安全保护程度也因而有别：
公开信息：公司向外发放的信息。
私有信息：诸如业务计划、产品设计及知识产权等机密资料。
高度敏感信息：例如公司内部机密及财务数据。
客户记录：客户个人及其有关账户的资料，这些信息可能牵涉当地的私隐法规，因此需小心处理。

通过上述两个步骤的分析，企业应该对某种移动设备的潜在风险、安全漏洞及泄密严重性了如指掌，它便可以制定切合实际情况的安全管理规则。
此外，企业应该同时以商业利益的角度考虑是否采用某种移动设备辅助业务运营，它必需对此等设备进行各种试点计划，研究其在不同业务应用的效果，同时还加上ROI（投资回报）分析，从效益、风险、管理成本等各方面整体考虑某种移动设备对企业的价值，评估设备经济效益的标准包括生产力、服务及产品推进市场时间、在经常性维护、基础设施配置等方面能节省的开支。

Unisys能为企业提供“移动资信服务” ,“移动转化服务”及“移动管理服务”，利用其在移动设备及信息安全方面的丰富知识、工具及方法学，协助企业部署最能配合其需要及安全的移动解决方案。

作者为Unisys全球基础架构服务亚太区执行合伙人。