移动数据安全的“三驾马车”

    现在整天呆在办公室工作的商务人员可谓绝无仅有，出外公干人员的必备随身法宝是笔记本电脑、手机、移动存储设备如U盘及光盘等，甚至蓝莓或PDA等，因此企业IT系统管理部门的工作目标逐渐转移到如何保证移动数据的安全性上。

    保护移动数据安全，需要“三驾马车”齐头并进: 对数据加密、对移动设备进行监管以及防止来自应用层的威胁。

  磁盘加密:全盘还是文件加密？

    笔记本电脑的加密有两种选择: 对整个磁盘加密（FDE）或者基于文件的加密。后一选择看来很具吸引力，因为Windows XP带有基于文件的加密功能，这意味着存储在特定文件夹或目录下的文件都会自动加密，但是这里存在一个很大的安全漏洞——它是依靠用户自己把文件放入加密的文件夹或目录中的。

    显而易见，这种依靠用户来判断信息的敏感程度，然后再自动自觉放入适当的文件夹的方法是有漏洞的——只要有部分用户的工作做得不到位，整个系统的加密努力便会白废。此外，Outlook和网络浏览器等一类流行软件会把附件分散到磁盘的各个角落，通常是很不起眼的地方，因此就算是最严谨细心的用户也难免会有百密一疏的时候。

    有鉴于此，对整个磁盘进行加密是较可取的方法，整个加密程序会自动化进行，同时涵盖整个磁盘，所以移动用户可以放心。

  监管移动媒介:防止数据泄露

    单是对整合磁盘加密还不能解决移动设备的安全问题，用户还需要管理及控制各种具有数据存取功能的周边设备，如CD、DVD、U盘、各种便携式存储媒介如MP3播放器和数码相机等。

    要有效防止上述USB设备泄露数据的第一步是把它们归入信任或授权的可接受使用政策（AUP）内，同时教育用户遵从AUP的重要性，认识违反它所带来的风险。

    当然，仅仅靠政策是不够的，还需要通过端口控制方案来支持并强制执行，端口控制解决方案可以自动拒绝不合乎安全政策的USB设备，或者阻止传输某些文件或某些类型的文件。

    例如，安全政策可以允许授权用户使用已经加密了的USB设备，但iPod或手机则不可以，一旦数据在一个授权的设备上被加密，如果有必要，它便必需能被公司有关人员通过中央管理系统来访问。

  预防来自应用层的威胁

    全面保护移动数据的最后一个手段，是让设备能抵御来自应用层的软件攻击或恶意代码。

    有效的端点安全首先是要每台设备在被允许连接到中央网络之前，运行一个实时升级的防火墙和防病毒保护。端点安全客户还应该确保在笔记本电脑上运行适当的软件补丁程序，还要包括一个虚拟专用网络（VPN）功能，保证公司信息能安全地传输到公司基本设施，这些举措必须是由中央管理。

    端点安全计划包括以下几个关键部分:

    ● 客户机锁定: 防止移动用户或攻击者把端点安全保护变成无效，同时容许强制执行网络访问政策。

    ● 围堵威胁: 笔记本电脑端口只对获授权的网络流量开放，阻止网络入侵的举动。

    ● 阻止未经授权的程序和恶意代码: 防止它们取得敏感数据，并传送给黑客。

    ● 邮件保护: 隔离可疑的邮件附件和不适当的邮件——不管是通过软件还是In-the-cloud服务（通过互联网平台提供的服务）。