这个话题看似没什么新奇的,但是需要着重指出的是:为移动设备建立安全策略是首要的工作。没有相应的策略,你面对的将是一个乱七八糟的环境和潜在的损失责任,同时员工以各自不同的方式来解决问题。比如,一些人为了解决电话簿的远程访问问题,把公司和其电话上的通讯名录进行同步,这样的话如果这个没有防护措施的电话遗失了,就可能导致公司信息的外泄。
于是,我们建议在以下几方面关注移动设备的安全策略:
1.设备选择和服务提供:将预期所支持的设备明示,并明确进行相关设置的责任人。如果只想支持黑莓,那么就把这一点在策略里明确告知;如果有软件支持Symbian的手机,那么公告之以防有人使用Palm的电话;如果只想支持特定的几款设备,那么就需要有相应的行政力量为支撑,以防某些人对原有设备(iPhone/BlackBerry/Android/Symbian)的依赖性阻碍政策的执行。对于所提供的服务,要有明确具体的条文。比如想把公办室的VoIP网络服务扩展到智能手机上以简化呼叫转移、接入和状态呈现服务,那么就必须将其在策略中写明。
2.设备部署和配置:明确规定设备的安装方法以及所允许的配置和应用。这其中一个常规的设置就是密码保护,此外还应规定哪些应用是被允许或禁止的。对允许哪些即时通讯软件也要作出规定(只能连接到企业内部经过加密的即时通讯服务器)。关于部署流程方面的规定决定了由谁以及怎么获取设备。如果要允许员工购买自己的手机,要明示其哪些厂商的设备是支持或禁止的,以及员工是否能将其连接到企业内部网络。许多和配置、服务相关的内容依赖于具体技术实现,就拿设备的管理工具来说,可能决定采用Windows Mobile和微软内嵌在Exchange里的管理工具来进行常规配置、设备锁定、数据擦除和应用管理等。虽然为特定工具制定策略的方法不是很理想,但是笼统且不具可执行性的策略肯定是糟糕的。所以,要注意确保工具选择和相关策略的一致性,在充分利用工具的特性的同时规划切实可行的策略。此外,对工具的使用方式也要制定明确的条例。
3.设备的使用、维护以及遗失后的应对:因为移动设备用于为企业服务,所以必须明确地界定出其用途范围。不能仅仅用些模棱两可的声明来规定,应该通过教育让最终用户真正理解并执行。具体来说可以通过可接受使用策略(AUP)的形式让员工签署,但是注意要基于“阅读、理解并支持”的前提,而不是草草走个过场签名了事。因为设备损坏或丢失的可能性,应该在策略中明确有相应的举措:是否需要存有备件?员工是不是要马上到最近的手机商店买个兼容的替代品?或者员工需要自己解决遗失问题?这些都需要在维护策略、更换策略以及其他预防性要求中体现。而另一个移动设备特有的问题是电池的替换,在策略中需要涵盖这一方面:谁为电池付费以及需要多久更换一次电池等。
4.设备恢复和处理:可移动设备相比其他IT资产来说寿命较短,在两到三年的使用之后通常需要进行更换。必须明确相关的规定,比如替换的年限、谁保管旧设备(包括在什么样的情况下)以及更换流程。其中特别重要的一点是对设备进行数据擦除(无论是否为敏感数据)。
关于移动设备安全性方面的策略看起来的确很麻烦,但是可以先回避大量艰难地讨论而首先搞清楚一个关键问题:“这些设备归属于谁?”这里不是谈论谁来出钱购买,而是指谁对设备具有控制权,即谁对于配置和应用具有决定权。如果决定是由企业来主导的话,那就要明确规定谁来具体负责以下内容:采用哪种设备、如何设置、连接指向(网络和应用等)。无论是你或者你的老板,总之是由企业中某个明确的人员来主导。
如果设备是由员工来实际控制,就必须明确规定出那些被禁止的用法:比如不能存储企业的敏感数据(甚至几乎所有的企业信息),包括电子邮件和通讯录;不能连接到企业内网,设备不是作为企业资产(比如笔记本电脑)的替代物。
我在这方面有大量的实际经验,而从中得到的最重要的教训就是不能二者皆有:要么企业控制设备以确保安全地使用,要么员工控制设备但是无法接触企业信息。对于后一种方式,务必不要对设备有任何安全性方面的假定。
