移动计算与远程工作：信息安全挑战与解决方案

移动计算和远程工作已经成为现代工作模式的重要组成部分，尤其是在信息安全工程学的框架下，确保这些环境下的数据安全和隐私保护显得尤为重要。本章节探讨了移动计算中的风险因素，如笔记本电脑、掌上电脑、膝上型电脑和移动电话在无保护环境中的潜在威胁，特别是通过无线接入点进行的数据传输。远程工作使得员工可以在家或其他非公司设施内完成任务，这就要求企业实现远程场所的安全管理，包括权限的赋予和收回，以防止未经授权的访问。 信息安全工程学的第八讲关注的是定义系统安全需求和信息安全控制措施的概述。这个过程包括理解用户对信息系统安全的需求（即信息保护需要），这涉及到对用户业务的深入理解（IMM），以及根据业务风险（ITT/Risk）确定需要保护的信息资产。此外，还涉及到信息保护策略（IPP）的制定，它为保护这些信息资产提供了指导。 系统安全需求的定义是关键步骤，它类似于系统工程中的“定义系统需求”，目标是为满足用户需求找到有效的解决方案。系统安全工程师在这个过程中会与系统工程师合作，制定一系列的解决方案集合（SolutionSets），这些集合不仅考虑了整个信息系统的功能和性能，还特别侧重于确保信息保护需求得到满足。 每个SolutionSet通常包括针对外部环境（如网络攻击）、系统边界和系统内部的多层面安全措施。例如，可能包含防火墙策略、加密技术、访问控制机制以及定期的安全审计。评估信息保护的有效性也是整个过程的一部分，以确保实施的措施能够有效抵御威胁并符合相关标准，如IATF Chapter 3、DOD 5000.2-R、IEC/ISO 1220-1998、BS 7799-1（ISO/IEC 17799）、ISO/IEC 13335、NIST SP 800-35，甚至是德国联邦安全局的IT基线保护手册。 总结来说，移动计算和远程工作的信息安全工程学实践强调了需求识别、规范制定、技术实施和持续评估的重要性，以确保在动态变化的技术环境中，企业的信息安全得到有效保障。