11月第2周安全回顾 移动设备急需加密 微软出免费安全工具

【51CTO.com 专家特稿】本周（1112至1118）安全方面值得关注的新闻集中在移动安全、安全市场和安全产品方面。

移动安全：移动设备上的数据加密方案需求增加；关注指数：高
新闻：周一，在最新发布的《CSI 2007 计算机犯罪和安全调查》中，有超过半数的被访问者承认在过去的半年里至少有一台笔记本电脑或其它移动设备，并存在导致其上存储的敏感数据泄露的问题。同时，针对频繁发生的个人信息泄露案件，目前美国已经有超过35个州 公布了相应的法律法规，要求丢失数据的组织必须向公众公开消息。

笔者观点：随着移动设备性能的增强和购买成本的下降，企业内越来越多的出现了移动设备的踪影，从笔记本电脑到智能手机，不同尺寸的移动计算设备比比皆是，此外，移动硬盘、U盘和MP3播放器等移动存储也属于移动设备的范畴。这些移动设备在极大方便企业的业务处理流程的同时，也给企业的数据和信息基础架构的安全带来越来越严重的威胁。国内的情况大体这样：从企业的安全一致性来说，没有经过相应安全配置的笔记本电脑或智能手机等移动计算设备很容易成为攻击者进入企业内网的跳板；而从数据保密性的维护来说，员工误用和容易丢失的移动存储设备往往会导致企业保密信息的外泄。目前已经有安全厂商针对第一个问题推出了移动设备管理方案，各种网络准入准出或网络访问控制产品也能相当的保护，但对非x86架构的移动设备控制仍有不少空白。而数据保密性的保证只能依靠数据加密技术来实现，但同样对于非x86架构的智能手机、U盘等低成本的存储设备仍然没有一个很好的解决方案。笔者认为，尽管目前针对笔记本电脑等传统移动设备的安全方案已经较为成熟，但是各种新增的异构移动设备及低成本移动存储设备的安全措施，仍远远不能满足企业信息安全需求，换句话说，能够用于其他非x86平台的数据加密产品和低成本的硬件或软件加密移动存储设备都会比较有市场前景。

安全市场：Sun收购身份识别管理产品厂商Vaau，关注指数：中
新闻：周二，Sun公司当天宣布，已经签署收购身份识别管理产品厂商Vaau的协议。Vaau是市场领先的企业风险管理（ERM）及身份识别一致性提供商。Sun收购Vaau后，将可以将Vaau产品的ERM和内部安全控制特性集成到Sun现有的身份识别管理产品去，更提升Sun在身份识别市场上的领先地位。

笔者观点：当前法律法规对企业的IT服务和控制的要求越来越严格，尤其是对打算在美国上市的企业，也要求符合SOX法案的规定。而对企业来说，同样重要的是如何在满足外部要求的前提下降低审计的成本。企业通过在内部部署企业风险管理方案，将可以通过发现、定义、管理用户对IT设施的访问，并将业务和IT设施更紧密的结合起来，进一步的降低开支。笔者认为，不单是在大型或上市企业需要在企业内部部署内部安全控制方案，随着业务和IT的结合日益紧密，各种威胁的频繁出现，中小型企业对安全一致性和风险管理将会有更多的需求。目前市场上并没有太多适合中小企业的企业风险管理方案可供选择，和现有的企业反病毒方案或内网管理相结合的低成本企业风险管理方案应该会有不小的市场。

安全产品：Microsoft 给Office提供免费安全工具；关注指数：高
新闻：周一，Microsoft早先发布了用于Office 2007产品的免费安全工具，这套安全工具包括Office 2007如何进行安全和隐私设置的指导及建议，另外还包括了一个称为GPOAccelerator的工具，这个工具允许管理员通过活动目录组策略工具对内网系统中的Office 2007进行安全配置的分发。

笔者观点：由于近两年针对Microsoft Office的0day漏洞层出不穷，许多企业都纷纷采取限制Microsoft Office的使用、改用其他厂商的Office产品等技术手段。Microsoft推出Office免费安全工具的举措来得显然有点晚，而且对许多使用Office 2007之前版本的用户也没有太大用途。不过这套工具所附带的GPOAccelerator却相当有代表意义——企业级的安全配置管理方案，尽管大中型企业可以使用活动目录或其它的配置管理方案对内网的系统进行统一的配置管理，但中小型企业在安全配置技术和方案方面仍较为薄弱，国内的情况尤为明显，国内的安全厂商可以适当关注一下这方面的市场。

【相关文章】

• 11月第1周安全回顾 苹果逢多事之周 QuickTime又出新漏洞

• 浏览更多信息安全要闻回顾