移动设备安全问题日益突出

（昆月）思科公司和美国国家网络安全联盟（NCSA）最新的研究显示：虽然每年采用笔记本电脑等移动设备的企业用户数量在不断攀升，但仍有相当数量的企业未注意到有关移动设备的安全问题，不是忽视了设备面临的相关安全威胁，就是忘了采取策略保护移动设备免受攻击或是丢失数据。

普遍缺少防范意识

独立调研机构InsightExpress公司近日完成了一项新研究，该公司采访了遍及美国、英国、德国、中国、印度、韩国和新加坡等7个国家的7000位移动设备使用者。约73%的受访者表示，他们在使用移动设备时并不总是考虑安全问题；28%的受访者承认他们不考虑采用被推荐的安全程序。追问其原因，大多数用户表示，他们更为关注的是如何尽快地完成工作。

调查再次引发了人们对移动安全威胁的思考，其中主要关注两个方面：

一是，登录到不明或不可信赖的无线互联网中。近三分之一的受访者承认他们有时会这么做。在7个国家中，中国的情节最为严重，中国约54%的用户表示他们曾经访问过来源不明的无线网；德国居第二，这一比例为46%；韩国第三，这一比例为44%。

许多受访者声称，他们无法说出这么做的具体时间，有时他们仅在自己不能连上正常的网络时才这么做; 而一些受访者则声称，他们只是简单地希望能自由接入网络。

二是电子邮件方面的威胁，打开来自未证实来源的消息或附件的行为是主要威胁。目前，多数移动恶意软件都必须首先要通过用户的交互操作――吸引用户点击才能发起攻击，这使得电子邮件引发的安全威胁日益扩大。

44%的受访者表示，他们有打开过来源不明的消息或附件的经历。在这44%的受访者中，难以将这些消息与合法内容区分开的人又占到了其中的76%。据证实，显示尺寸较小的掌上移动设备则是这一威胁的主要受害者。

培训是安全防护的关键

思科和NCSA研究中还引用了两份极有分量的研究数据：一是著名研究公司IDC预测，到2009年，美国装备有移动设备的用户将会达到70%；二是，现在全球范围内有81%的企业管理层都在使用移动设备。

这些数字以及思科和NCSA的研究表明，仍需要对移动终端用户进行大量的培训，才能帮助人们避免做出不当的决策。

专家表示，在纠正用户的移动安全意识方面，对终端用户的培训起着最为重要的作用，因为相对而言，目前面临的最大难题在于对威胁的处理上。

“研究显示，移动性为企业带来了新的风险的同时，其他网络服务和新技术也会带来新的风险。”NCSA行政总监Ron Teixeira表示，“因此，如果企业能持续提高员工网络安全意识，并提供相关培训，建立一种安全文化，安全地使用移动设备和互联网是可以做到的。”

NCSA为用户提供了一些改善移动工作者行为的方法：采用移动设备密码、使用防病毒程序、下载所有推荐的安全补丁以及备份设备上所有重要的文件等。同时它还建议用户加密移动设备上所存储的敏感数据；企业设置适当的应急响应计划来处理无线安全事件。

思科安全解决方案副总裁Jeff Platon表示：“在帮助无线移动用户解决安全问题上，技术是最重要的；但培训却是IT部门必须要采用的预防措施。”

其实，从更高层次来讲，企业应将网络和设备保护的培训作为企业发展中不可或缺的一部分，毕竟磨刀不误砍柴功。正如Platon所说：“对于企业来说，IT是一种战略资产，当越来越多的企业员工加入到移动工作者行列时，前瞻性地培训他们执行安全策略，是任何企业IT安全和风险管理方案应把握的关键准则。”