[計世網(wǎng)獨家] (譯自《ComputerWorld》) 各種高技術(shù)消費產(chǎn)品和服務正在涌入工作場所: 從智能電話、VoIP系統(tǒng)、閃存棒到虛擬網(wǎng)絡世界，不一而足。而隨著人們越來越習慣于隨心所欲地使用自己的個人技術(shù)，哪些用于辦公？哪些用于娛樂？它們之間的界限隨之模糊起來。

　　在最近接受Yankee集團調(diào)查的500名企業(yè)用戶中，有86%聲稱，他們在工作場所至少用過一種消費端技術(shù)，其目的與進行技術(shù)創(chuàng)新和提高工作效率有關。

　　可遺憾的是，這種趨勢也給IT部門帶來了不少問題。舉例來說，使用這些技術(shù)增加了企業(yè)的安全風險。另外，用戶期望IT人員支持這些設備和服務，一旦他們在公司環(huán)境使用過這些應用，更是如此。

　　但在許多公司，僅僅禁用設備或者禁止員工使用消費端服務有悖于公司文化。與此同時，許多公司也無法完全依靠政策來維持所需的安全級別。

　　美國佐治亞州迪卡爾布縣DeKalb醫(yī)療中心的信息安全管理員Sharon Finney說: “我還沒聽說過哪家公司的員工有時間去閱讀及理解與工作環(huán)境中計算機有關的每一項政策，他們工作還忙不過來呢。我認為，我的職責就是采取措施來確保安全。”

　　另一些人則等到設備給公司帶來問題(譬如安全部門在對付蠕蟲或者處理帶寬問題)或者設備影響了工作效率時才付諸行動，電信服務提供商環(huán)球電訊公司的安全副總裁Michael Miller就是這樣。但不管公司決定做什么，應對措施總是需要權(quán)衡好這幾個方面的關系: 確保員工的工作效率、恪守公司文化、沒有占用IT人員的過多資源、確保適合公司的安全級別。

　　Yankee集團的分析師Josh Holbrook說: “技術(shù)消費化將成為IT部門的噩夢，因為這帶來了維護和支持方面的問題，很快會占用大量的IT資源，除非IT部門采用新方法來管理員工?！盚olbrook認為，禁止在工作場所使用消費端技術(shù)，這好比“打鼴鼠游戲(指與不聽使喚的員工沒完沒了地較量下去)”。他說，同時，忽視這類技術(shù)的采用會導致安全和不安全的應用共存于公司中，這可能很危險。他提議通過內(nèi)部客戶服務協(xié)作方式，把控制權(quán)交給最終用戶。

　　為了幫企業(yè)用戶確定如何采取對策，下文介紹了已進入工作場所的八種最流行的消費端技術(shù)和服務，并且探討了一些公司如何在安全、工作效率和理智行為之間取得平衡。

　　即時通信

　　人們使用即時通信(IM)軟件來處理各種事，從確保孩子們放學后坐車回家，到與同事和業(yè)務合作伙伴進行聯(lián)系等。在Yankee集團開展的調(diào)查中，40%的調(diào)查對象表示他們在工作時使用即時通信技術(shù)。即時通信帶來了眾多的安全難題，其中包括: 惡意軟件會通過外部即時通信客戶軟件進入公司網(wǎng)絡; 即時通信用戶在不安全的網(wǎng)絡上發(fā)送公司的機密數(shù)據(jù)。

　　對付威脅的一個辦法是，逐步淘汰即時通信服務，改而使用內(nèi)部即時通信服務器。2005年底，環(huán)球電訊公司在部署微軟公司的Live Communications Server(LCS)時就是這么做的。后來在2006年8月，該公司禁止員工直接使用來自AOL、MSN和雅虎等提供商的外部即時通信服務。如今，因為通過LCS服務器和微軟的公共即時消息網(wǎng)絡(public IM cloud)來傳輸，所有的內(nèi)部即時通信消息都經(jīng)過了加密，外部即時通信消息得到了保護。

　　采用內(nèi)部即時通信服務器還讓環(huán)球電訊公司的安全小組有了更大的控制權(quán)。Miller說: “通過公共即時消息網(wǎng)絡，我們能夠在限制程度或者開放程度方面做出某些選擇。我們可以禁止文件傳輸、限制離開公司網(wǎng)絡的信息或者限制某些外部URL進入(這是傳播蠕蟲的一個常見方法)。這大大減少了惡意活動?！?

　　而且還可以采取更強硬的政策。譬如說，DeKalb醫(yī)療中心的安全政策就干脆禁止使用即時通信。Finney說: “即時通信主要是聊天類型的流量，不是個人健康信息，但它仍讓人感到擔心。”作為限制政策的補充方案，她封阻了可以下載即時通信客戶軟件的大多數(shù)網(wǎng)站，不過沒有封阻MSN、AOL或者雅虎，原因是許多醫(yī)生使用這些網(wǎng)站來登錄電子郵件賬戶。她領導的小組還使用網(wǎng)絡清查工具，可以查出哪個員工的PC上有即時通信客戶軟件。一旦發(fā)現(xiàn)，就會提醒該員工DeKalb禁止使用即時通信的政策，并告知對方: 即時通信客戶軟件將被刪除。Finney還在考慮各種各樣的方法來禁用出去的即時通信流量，不過眼下，她還使用Vericept公司的數(shù)據(jù)丟失預防工具，以便監(jiān)控即時通信流量、提醒安全小組有何重大安全威脅。為此，F(xiàn)inney的小組就要關閉大多數(shù)互聯(lián)網(wǎng)端口，這迫使即時通信流量集中到端口80，以便監(jiān)控。

　　DeKalb醫(yī)療中心正在考慮這一想法: 安裝IBM公司Lotus Notes的即時通信附件，或者為希望能跨園區(qū)進行聯(lián)系的公司用戶安裝像Jabber這些使用自由軟件的內(nèi)部即時通信服務。Finney說: “沒有什么是絕對的。從生產(chǎn)力和安全性角度來看，即時通信始終是要關注的一大問題?！?

　　網(wǎng)絡郵件

　　在接受Yankee集團調(diào)查的對象當中，50%聲稱自己使用電子郵件應用程序來工作。像谷歌、微軟、AOL和雅虎提供的這些消費端電子郵件服務存在一個問題，就是用戶自己并沒有認識到使用電子郵件收發(fā)信息有多么不安全。之所以不安全，就是因為消息通過互聯(lián)網(wǎng)傳輸，保存在電子郵件提供商的服務器和ISP的服務器上。正是因為沒認識到這點，許多人隨便就發(fā)送敏感信息，譬如社會保障號碼、密碼、公司的機密數(shù)據(jù)或者商業(yè)秘密，毫無謹慎可言。

　　網(wǎng)絡郵件方面加強安全的一個辦法就是，借助利用關鍵字過濾器及其他檢測技術(shù)來監(jiān)控電子郵件內(nèi)容的工具，生成警報信息、提醒可能有安全漏洞，或者只是阻止電子郵件發(fā)送。譬如，據(jù)WebEx Communications公司的IT基礎設施主管Michael Machado介紹，該公司正在考慮擴大Reconnex公司的一款數(shù)據(jù)丟失預防工具的用途，以便添加電子郵件監(jiān)控功能。

　　至于DeKalb醫(yī)療中心，它借助Vericept公司的工具來處理這個問題: 這個工具可以獲取員工發(fā)送的每封網(wǎng)絡電子郵件(包括文件附件)的屏幕截圖，然后進行掃描，查找是否含有公司規(guī)定的敏感數(shù)據(jù)，譬如社會保障號碼等。一旦找到，F(xiàn)inney的小組就會接到警報信息，那樣就可以對用戶采取相應行動，向他們介紹通過互聯(lián)網(wǎng)發(fā)送敏感數(shù)據(jù)存在的危險。

　　便攜式存儲設備

　　據(jù)有關被調(diào)查者介紹，IT管理人員面臨的最大威脅之一就是層出不窮的各種便攜式存儲設備，從蘋果電腦公司的iPhone和iPod到閃存設備，不一而足。他們說: “人們可以用這些設備下載大量公司秘密或者機密信息，然后帶到別處，而IT人員不希望這樣。”

　　信息安全架構(gòu)師兼《網(wǎng)絡安全完全手冊》一書的作者Mark Rhodes-Ousley 說: “單單在過去的三周，我就聽說了有關閃存驅(qū)動器和便攜式存儲設備帶來風險的六個案例。”

　　雖然禁止員工使用PC上的USB端口很容易，但許多安全管理人員認為這種方法不值得推薦。Miller說: “要是有人想從中搗亂，他們會找到別的辦法、繞過你所設置的任何障礙。該如何進行限制呢？如果限制USB端口以及帶到辦公室、可能有數(shù)據(jù)存儲端口的手機，那么也就要考慮限制其他設備和光盤刻錄機上的紅外端口。這樣一來，好多設備都要受到限制?！?

　　他說，處理這個問題的比較好的辦法是，教育人們?nèi)绾螌Υ舾行畔⒌谋４?。Miller說: “出現(xiàn)的事件大多數(shù)是無意的，而不是惡意的，所以這時候教育可以發(fā)揮作用，以便用戶正確處理、知道為什么這么做很重要。”

　　Machado說，他并不主張在公司內(nèi)禁用USB端口，主要是因為要是實行這樣一種策略，用戶很快會要求IT人員給予通融，IT人員就得應對這種通融。他說: “每個人覺得自己得到通融很重要，這會占用IT人員的大量時間。”

　　他補充說，最好就是使用一種工具，向試圖把文件拷貝到USB驅(qū)動器或者其他未加密存儲介質(zhì)的人發(fā)送警報信息，警告他們違反了公司政策。他說: “然后，他們知道自己有權(quán)做出決定，但所作所為將會受到跟蹤及監(jiān)控?！?

　　另一方面，DeKalb的Finney說，她對封阻技術(shù)很有興趣，正在考慮Vericept工具的這種功能: 阻止某些類型的數(shù)據(jù)發(fā)送到外部存儲介質(zhì)，或者要是有人試圖把外來的存儲設備插入到PC，就向她發(fā)出警報。理想情況下，她倒是喜歡有一款工具還能提醒員工: 公司政策禁止敏感數(shù)據(jù)存儲到外部設備上。

　　同時，美國密歇根州大峽谷州立大學及出過師生丟失存有敏感數(shù)據(jù)的閃存驅(qū)動器事件的其他院校正在考慮將來統(tǒng)一使用采用密碼和加密雙重保護的USB驅(qū)動器，以保護敏感數(shù)據(jù)。

　　PDA和智能電話

　　如今，越來越多的員工帶著某種智能電話或者個人數(shù)字助理(PDA)去上班，無論黑莓、Treo手機還是iPhone。但是如果他們試圖把這種設備上的日程安排或者電子郵件應用程序與自己PC上的相應程序進行同步，就可能會帶來從應用程序出故障到死機藍屏的種種問題。Holbrook說: “這幾種問題并非罕見，正是這樣一些常見問題讓IT人員都快發(fā)瘋了。他們不想把時間花在處理這些問題上。”

　　另外，如果員工離開公司或者被解雇，只要PDA或者智能電話歸他所有，他就能帶著自己所需的任何信息揚長而去。

　　與另外有些公司一樣，WebEx公司盡量減小這種可能性的辦法是: 統(tǒng)一使用某種品牌和款式的PDA，讓員工知道IT部門只支持這一種設備。WebEx對筆記本電腦采取了同樣的做法，Machado特別指出，筆記本電腦帶來的威脅甚至比PDA還要大，原因是前者的數(shù)據(jù)存儲量更大。如今，未經(jīng)批準的任何設備都不可以連接到WebEx公司的網(wǎng)絡上。

　　拍照手機

　　一名醫(yī)院員工站在護士站，與護士們閑聊。沒人注意到她手里還拿著一個小設備，時不時地摁一下小按鈕。這是最新驚險間諜片中的一幕嗎？不是，這是DeKalb醫(yī)療中心的Finney進行的一項安全測試。

　　她說: “我所做的其中一項測試是，我把手機帶到護士站，開始拍起照來，護士們并不知道。我想下載拍下的圖片、潤飾圖片、看看拍到了什么，其實是計算機屏幕或者放在桌子上的紙張顯示的病人信息?！?

　　結(jié)果證明，她沒有獲得任何個人身份資料，但她確實從所拍計算機屏幕的上方獲得了計算機名稱(不是IP地址)。她說: “這種信息積少成多后形成的線索可與某人從醫(yī)院其他地方獲得的另外信息匯總起來，從而策劃攻擊計劃。”

　　作為后續(xù)措施，F(xiàn)inney為DeKalb醫(yī)療中心的員工崗前培訓和安全意識計劃添加了有關這一潛在安全漏洞的信息，那樣員工至少認識到機密數(shù)據(jù)讓外人看到(或者可能拍到)有多危險。

　　Skype及其他消費端VoIP服務

　　迅速發(fā)展的另一項消費端技術(shù)就是Skype，這種可下載的軟件型服務讓用戶可以免費撥打網(wǎng)絡電話。實際上，接受Yankee集團調(diào)查的對象當中有20%表示，他們使用Skype來辦公。

　　Holbrook說，在公司環(huán)境下，Skype和類似服務帶來的威脅其實與下載到企業(yè)PC的任何消費端軟件一樣。他說: “企業(yè)應用程序具有高度的可擴展性和安全性，消費者應用程序的可擴展性和安全性要差一些。所以，只要下載了Skype或者其他類似服務，無異于帶來了安全風險，IT人員對此會感到不舒服。”譬如說，這種軟件會與PC或者網(wǎng)絡上的其他每個應用程序進行聯(lián)系，可能會影響每個程序的性能。

　　Skype自己已至少發(fā)布了四份安全公告，宣布了用戶在下載這款軟件的最新版本時可以堵住的漏洞。但因為IT人員往往不知道有多少用戶安裝了Skype，更不用說是誰安裝了它，所以他們無力監(jiān)管這種行為。

　　最安全的辦法、也是調(diào)研公司Gartner推薦的辦法就是，完全禁止使用Skype。Gartner認為，要是公司決定允許使用Skype，那么也應當使用配置管理工具，對Skype客戶軟件積極實行版本控制，確保它只分發(fā)給了授權(quán)用戶。

　　可以下載的窗口組件

　　據(jù)Yankee集團聲稱，如今消費者使用Q和Nokia E62等設備下載窗口組件，以便可以迅速使用網(wǎng)絡應用。這種窗口很容易被轉(zhuǎn)移到PC上，它們因而成了進入IT人員竭力想控制的技術(shù)生態(tài)系統(tǒng)的另一個入口點。

　　這里的風險在于，這種小程序耗用了PC和網(wǎng)絡上的處理能力。除此之外，未經(jīng)審查就下載的任何軟件也帶來了潛在威脅。Holbrook說: “這倒不是更有可能感染上病毒，而是這些下載的東西并不是你充分信賴的。”

　　WebEx公司緩解這種風險的辦法就是采用了三管齊下的方法: 教育用戶認識到軟件下載的種種風險; 使用Reconnex來監(jiān)控安裝在用戶PC上的軟件; 禁用用戶的部分默認訪問權(quán)限，從而限制了下載功能。

　　虛擬世界

　　公司用戶正在開始體驗像“第二人生(Second Life)”這些虛擬世界，這時候IT人員就要更加認識到隨之帶來的安全問題。Holbrook說，單單禁止使用這些虛擬世界無疑是短視行為。他說: “人們只是剛剛開始了解這種應用在公司環(huán)境下有多大的用處?！?

　　Gartner在近期的一份報告中指出，與此同時，使用“第二人生”需要下載大量的可執(zhí)行代碼，并且通過公司防火墻安裝上去。另外，實際上沒有辦法知道居住在虛擬世界的許多化身者的真實身份。

　　Gartner建議采用的一種辦法就是，讓員工能夠通過公司的公共無線網(wǎng)絡進入虛擬世界，也可以鼓勵他們在家里這么做。還有種辦法就是，公司可以考慮采用這樣的工具: 可建立自己的虛擬環(huán)境，這種環(huán)境在公司內(nèi)部運行，放在企業(yè)防火墻后面。