移动设备正在日益强烈地改变着人们的生活和工作方式。智能手机和平板电脑等也加入到笔记本电脑和台式机组成的工作环境,并且正被许多企业用作新式工具。移动设备用于业务在给企业带来便利和效率的同时,由于雇员越来越频繁地用它访问企业网络和数据,从而把安全风险带给了企业和个人的敏感信息。企业必须为移动设备在办公网络中的使用制定安全策略,并据以制定和实施相应的安全措施。
构建一套强健的能够定义指南和手段的策略,可有助于为构建更安全的移动环境奠定基础。这种策略应当把重点放在几个方面:移动设备可以访问的数据和资源、平台支持、管理方法和***实践。
首先,企业应当确认允许哪些业务数据通过哪些移动设备进行存储和处理。这样做有助于决定哪些方面需要保护及其保护程度。许多企业仅允许雇员使用电子邮件、联系人和日历信息等。还有的企业允许通过浏览器或本地的移动应用来访问关键业务应用,如ERP(企业资源计划)或CRM(客户关系管理)。移动设备访问的不同程度要求安全控制的不同水平。然而,应当注意,在业务数据从一个更严格控制的位置(例如数据库或文件服务器)流向一个保护程度较弱的设备时,丢失数据的风险就会增大。
你需要决定在企业环境中允许哪些移动设备平台,同样地,这个问题也应当在移动安全策略和计划中得到支持。虽然把一套安全控制用一种一致的方式应用于所有支持平台很令人向往,但不同的移动平台都有需要企业理解不同的本地安全机制。
另外一个重要的决定是移动安全管理工作的责任,是使用当前的IT安全团队来应对移动设备,还是外包给一个管理的安全服务供应商呢。企业也许需要多种安全技术来提供移动设备的全面的安全控制。同样道理,根据这些安全方案的交付方式(是本地方式,还是来自云),公司可能会选择设备安全管理的一种混合模式。
不管企业使用何种移动环境,都需要部署多种移动安全策略和***过程,并应当在公司的移动安全战略计划中进行确认。幸运的是,在桌面和笔记本系统中的许多***方法已经“久经沙场”,完全可用于移动设备,例如但不限于:
1、在管理和保障移动设备安全时,角色和责任的规范。
2、移动设备的注册和清单调查。
3、安全应用在移动设备上的高效安装和配置。
4、安全补丁、策略、设置的自动更新。
5、安全策略强化状态的报告。
6、就保障移动设备的安全对雇员进行教育。