移動安全威脅，包括因用戶使用習(xí)慣而導(dǎo)致的問題，如今已經(jīng)無處不在。因此，讓用戶學(xué)會相應(yīng)的防護措施，已迫在眉睫。

對IT部門來說，安全問題的方程式一直如此復(fù)雜，難于求解。而隨著移動設(shè)備的泛濫，這種情況更加嚴重。

當前，日常工作不在局限于個人電腦，而裝有關(guān)鍵業(yè)務(wù)應(yīng)用和數(shù)據(jù)的設(shè)備則可能出現(xiàn)在任何地方，導(dǎo)致企業(yè)面臨著更大的風(fēng)險。只要一臺沒有設(shè)置密碼的手機遺失，就可能讓企業(yè)造成損失。因此，移動設(shè)備安全培訓(xùn)是極其重要的。

本文中， ISACA（國際信息系統(tǒng)審計協(xié)會）的委員會成員Eddie Schwartz就當前的移動安全威脅、移動安全培訓(xùn)的價值，以及常見問題發(fā)表了自己的看法。Schwartz同時還是網(wǎng)絡(luò)安全廠商White Ops的首席運營官。

當前最迫切解決的移動安全問題是？

Eddie Schwartz：很多用戶缺乏保護自己移動設(shè)備的觀念，比如不設(shè)置密碼、使用簡單的四位數(shù)PIN以及將設(shè)備遺留在他人觸手可及的地方等。因此，對終端用戶來說，必須樹立安全配置和使用的觀念。

目前，罪犯們已具備這樣的能力：在各種平臺上安裝木馬應(yīng)用，偽裝成用戶所需的功能以及對不同流程進行干預(yù)，比如侵入到網(wǎng)絡(luò)廣告鏈條中，或在特定平臺上安裝服務(wù)和流程以竊取用戶數(shù)據(jù)、獲得電話控制權(quán)。即便在未安裝惡意軟件的情況下，設(shè)備也可能被諸如HTTP重定向等技術(shù)所影響，從而脫離用戶的控制。

目前，主流廠商大概6到9個月會發(fā)布一次同款手機的新版本。移動應(yīng)用無時無刻不在更新中，至今我們?nèi)詿o法洞察這種頻繁更新的背后到底隱藏著什么。同時，有些操作系統(tǒng)也談不上安全可靠。另一方面，企業(yè)也無法對用戶行為作出約束，比如禁止使用三星Galaxy S7或者iPhone 6s等。在這個快速變化的世界，安全措施和規(guī)制必須靈活、敏捷應(yīng)對。

IT專家該如何應(yīng)對快速的變化？

Schwartz：很重要的一點是，針對具體工作崗位進行全面的移動安全培訓(xùn)，讓員工學(xué)會如何保護自己設(shè)備上的公司資產(chǎn)。同時，持續(xù)對用戶進行灌輸，提醒其良好的安全習(xí)慣。

我們必須對自己的安全性負責(zé)。假設(shè)居住在一個充滿危險的社區(qū)中，你就不能讓門窗大開并期望什么事都不會發(fā)生。必須意識到，互聯(lián)網(wǎng)并不總是一個友好、和平的環(huán)境，我們必須讓門窗緊閉——至少，不主動對不法分子發(fā)出邀請。

安全團隊必須永遠保持警惕、制定相關(guān)標準并監(jiān)督其執(zhí)行情況。就當下情況來說，很多時候安全團隊并未做到這些。他們沒有真正控制底層的操作系統(tǒng)，很多現(xiàn)成的應(yīng)用存在著各種安全隱患?？傮w來說，要確保安全策略的持續(xù)可用，對任何人都是一項艱巨的工作。

移動安全方面，IT部門可能犯的最主要的錯誤是？

Schwartz：最主要的問題在于將移動安全與桌面系統(tǒng)的安全等同視之。另一個問題就是過于自信，認為一切都在自己掌控之下。我的建議是，如果遇到問題無法解決，就去向那些專注于相關(guān)領(lǐng)域的專業(yè)合作伙伴尋求幫助。