手机已经成为企业信息流动的核心载体。销售用手机联系客户、高管用手机收发邮件、技术人员用手机登录系统。但手机也是最难管控的设备——它整天带在身上、连接各种网络、安装各种App、随时被各种权限请求轰炸。移动设备的安全问题,已经成为企业保密工作最大的盲区之一。这篇说几点企业需要关注的手机安全问题和防护建议。
第一,手机App的权限问题。很多App在安装时会索要远超需要的权限——一个手电筒App要读取通讯录、一个计算器App要访问相册。这些被授权的权限可以被App背后的服务商收集和使用,在某些情况下甚至可以被恶意利用远程打开麦克风和摄像头。建议员工在手机上定期检查已安装App的权限列表,关闭与功能无关的权限。企业可以在安全培训中增加App权限管理的内容,帮助员工识别哪些权限是合理的,哪些是不合理的。
第二,手机上的企业数据管理。员工用个人手机处理企业事务时,企业的数据会散落在多个App中——微信聊天记录、邮件附件、下载的文件、截图的图片。员工离职时,这些数据很难被完全清除。建议企业为需要频繁使用移动设备处理公务的员工配发工作专用手机,或者在个人手机上使用企业移动管理(EMM)系统,实现企业数据和个人数据的隔离。支付数据备份的频率和备份存储的位置需要提前确认。
第三,手机丢失或被盗的应急处理。手机丢失后,里面的企业微信、企业邮箱、文件管理器中的所有数据都可能落入他人手中。建议企业为员工提供手机丢失后的标准操作流程:立即联系运营商挂失SIM卡、远程锁定手机、远程清除手机数据、更换所有通过该手机登录过的系统密码。关键在于速度——手机丢失后第一个小时是最关键的窗口期。
第四,手机系统的更新。很多人手机上有系统更新的通知,但选择"稍后提醒"然后永远不更新。这些系统更新中往往包含安全补丁,不更新等于把已知的系统漏洞暴露给攻击者。建议企业将员工手机系统更新纳入安全管理范围,要求员工在收到安全更新后二十四小时内完成安装。
第五,手机上的社交工程攻击。钓鱼短信、冒充客服的电话、伪装成系统通知的恶意链接——这些攻击手段在手机上越来越普遍,而且比电脑上的更容易让人上当。因为手机屏幕小,有些恶意链接的URL看起来和真的几乎一样。建议企业定期向员工推送最新的社交工程攻击手法案例,帮助员工提高识别能力。
第六,手机的物理安全问题。出差时手机放在酒店房间充电、开会时手机放在会议桌上、在公共场合把手机放在外套口袋里——这些场景下,手机可能被短暂接触,短时间内就可以被植入监控软件。建议员工在涉密场所不要让手机脱离自己的视线。如果手机在涉密会议期间需要统一保管,建议使用手机屏蔽袋而非简单的收纳盒。
最后说一句:手机是跟着人走的,所以手机安全的核心问题是"人"而不是"设备"。最好的防护不是装一个安全软件,而是让每个使用手机的员工都知道哪些操作有风险、哪些行为不能做。
北京企密安信息安全技术有限公司
企业信息安全咨询:010-63711822 / jess@baomiwang.com
