移動設備正在日益強烈地改變著人們的生活和工作方式。智能手機和平板電腦等也加入到筆記本電腦和臺式機組成的工作環境,并且正被許多企業用作新式工具。移動設備用于業務在給企業帶來便利和效率的同時,由于雇員越來越頻繁地用它訪問企業網絡和數據,從而把安全風險帶給了企業和個人的敏感信息。企業必須為移動設備在辦公網絡中的使用制定安全策略,并據以制定和實施相應的安全措施。
構建一套強健的能夠定義指南和手段的策略,可有助于為構建更安全的移動環境奠定基礎。這種策略應當把重點放在幾個方面:移動設備可以訪問的數據和資源、平臺支持、管理方法和最佳實踐。
首先,企業應當確認允許哪些業務數據通過哪些移動設備進行存儲和處理。這樣做有助于決定哪些方面需要保護及其保護程度。許多企業僅允許雇員使用電子郵件、聯系人和日歷信息等。還有的企業允許通過瀏覽器或本地的移動應用來訪問關鍵業務應用,如ERP(企業資源計劃)或CRM(客戶關系管理)。移動設備訪問的不同程度要求安全控制的不同水平。然而,應當注意,在業務數據從一個更嚴格控制的位置(例如數據庫或文件服務器)流向一個保護程度較弱的設備時,丟失數據的風險就會增大。
你需要決定在企業環境中允許哪些移動設備平臺,同樣地,這個問題也應當在移動安全策略和計劃中得到支持。雖然把一套安全控制用一種一致的方式應用于所有支持平臺很令人向往,但不同的移動平臺都有需要企業理解不同的本地安全機制。
另外一個重要的決定是移動安全管理工作的責任,是使用當前的IT安全團隊來應對移動設備,還是外包給一個管理的安全服務供應商呢。企業也許需要多種安全技術來提供移動設備的全面的安全控制。同樣道理,根據這些安全方案的交付方式(是本地方式,還是來自云),公司可能會選擇設備安全管理的一種混合模式。
不管企業使用何種移動環境,都需要部署多種移動安全策略和最佳過程,并應當在公司的移動安全戰略計劃中進行確認。幸運的是,在桌面和筆記本系統中的許多最佳方法已經“久經沙場”,完全可用于移動設備,例如但不限于:
1、在管理和保障移動設備安全時,角色和責任的規范。
2、移動設備的注冊和清單調查。
3、安全應用在移動設備上的高效安裝和配置。
4、安全補丁、策略、設置的自動更新。
5、安全策略強化狀態的報告。
6、就保障移動設備的安全對雇員進行教育。
