如何创建移动设备的安全策略

日期: 2010-11-14 作者:Joel Snyder翻译:木易 来源:TechTarget中国 英文

所有人对于移动设备的爆炸式增长都有着自己的解释,从业界专家到你周围的亲朋好友无一例外。把这个话题留给其他人吧,在这里我们将集中讨论一个简单的问题:如何在工作场景中安全地使用移动设备?   这个话题看似没什么新奇的,但是需要着重指出的是:为移动设备建立安全策略是首要的工作。没有相应的策略,你面对的将是一个乱七八糟的环境和潜在的损失责任,同时员工以各自不同的方式来解决问题。比如,一些人为了解决电话簿的远程访问问题,把公司和其电话上的通讯名录进行同步,这样的话如果这个没有防护措施的电话遗失了,就可能导致公司信息的外泄。

  于是,我们建议在以下几方面关注移动设备的安全策略: 设备选择和服务提供:将预……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

所有人对于移动设备的爆炸式增长都有着自己的解释,从业界专家到你周围的亲朋好友无一例外。把这个话题留给其他人吧,在这里我们将集中讨论一个简单的问题:如何在工作场景中安全地使用移动设备?

  这个话题看似没什么新奇的,但是需要着重指出的是:为移动设备建立安全策略是首要的工作。没有相应的策略,你面对的将是一个乱七八糟的环境和潜在的损失责任,同时员工以各自不同的方式来解决问题。比如,一些人为了解决电话簿的远程访问问题,把公司和其电话上的通讯名录进行同步,这样的话如果这个没有防护措施的电话遗失了,就可能导致公司信息的外泄。

  于是,我们建议在以下几方面关注移动设备的安全策略:

  1. 设备选择和服务提供:将预期所支持的设备明示,并明确进行相关设置的责任人。如果只想支持黑莓,那么就把这一点在策略里明确告知;如果有软件支持Symbian的手机,那么公告之以防有人使用Palm的电话;如果只想支持特定的几款设备,那么就需要有相应的行政力量为支撑,以防某些人对原有设备(iPhone/BlackBerry/Android/Symbian)的依赖性阻碍政策的执行。对于所提供的服务,要有明确具体的条文。比如想把公办室的VoIP网络服务扩展到智能手机上以简化呼叫转移、接入和状态呈现服务,那么就必须将其在策略中写明。
  2. 设备部署和配置:明确规定设备的安装方法以及所允许的配置和应用。这其中一个常规的设置就是密码保护,此外还应规定哪些应用是被允许或禁止的。对允许哪些即时通讯软件也要作出规定(只能连接到企业内部经过加密的即时通讯服务器)。关于部署流程方面的规定决定了由谁以及怎么获取设备。如果要允许员工购买自己的手机,要明示其哪些厂商的设备是支持或禁止的,以及员工是否能将其连接到企业内部网络。许多和配置、服务相关的内容依赖于具体技术实现,就拿设备的管理工具来说,可能决定采用Windows Mobile和微软内嵌在Exchange里的管理工具来进行常规配置、设备锁定、数据擦除和应用管理等。虽然为特定工具制定策略的方法不是很理想,但是笼统且不具可执行性的策略肯定是糟糕的。所以,要注意确保工具选择和相关策略的一致性,在充分利用工具的特性的同时规划切实可行的策略。此外,对工具的使用方式也要制定明确的条例。
  3. 设备的使用、维护以及遗失后的应对:因为移动设备用于为企业服务,所以必须明确地界定出其用途范围。不能仅仅用些模棱两可的声明来规定,应该通过教育让最终用户真正理解并执行。具体来说可以通过可接受使用策略(AUP)的形式让员工签署,但是注意要基于“阅读、理解并支持”的前提,而不是草草走个过场签名了事。因为设备损坏或丢失的可能性,应该在策略中明确有相应的举措:是否需要存有备件?员工是不是要马上到最近的手机商店买个兼容的替代品?或者员工需要自己解决遗失问题?这些都需要在维护策略、更换策略以及其他预防性要求中体现。而另一个移动设备特有的问题是电池的替换,在策略中需要涵盖这一方面:谁为电池付费以及需要多久更换一次电池等。
  4. 设备恢复和处理:可移动设备相比其他IT资产来说寿命较短,在两到三年的使用之后通常需要进行更换。必须明确相关的规定,比如替换的年限、谁保管旧设备(包括在什么样的情况下)以及更换流程。其中特别重要的一点是对设备进行数据擦除(无论是否为敏感数据)。

  关于移动设备安全性方面的策略看起来的确很麻烦,但是可以先回避大量艰难地讨论而首先搞清楚一个关键问题:“这些设备归属于谁?”这里不是谈论谁来出钱购买,而是指谁对设备具有控制权,即谁对于配置和应用具有决定权。如果决定是由企业来主导的话,那就要明确规定谁来具体负责以下内容:采用哪种设备、如何设置、连接指向(网络和应用等)。无论是你或者你的老板,总之是由企业中某个明确的人员来主导。

  如果设备是由员工来实际控制,就必须明确规定出那些被禁止的用法:比如不能存储企业的敏感数据(甚至几乎所有的企业信息),包括电子邮件和通讯录;不能连接到企业内网,设备不是作为企业资产(比如笔记本电脑)的替代物。

  我在这方面有大量的实际经验,而从中得到的最重要的教训就是不能二者皆有:要么企业控制设备以确保安全地使用,要么员工控制设备但是无法接触企业信息。对于后一种方式,务必不要对设备有任何安全性方面的假定。

相关推荐

  • 最好的移动安全计划:先检查风险 再对症下药

    Maslow的需求层次理论从最基本的需求开始(“生理”需求和“安全”),然后达到人类需求的最高层次——自我实现。其中还包括归属感,爱和尊重。

  • 移动安全培训迫在眉睫

    移动安全威胁,包括因用户使用习惯而导致的问题,如今已经无处不在。因此,让用户学会相应的防护措施,已迫在眉睫。

  • 保障企业移动安全从何做起?

    无论规模大小,移动计算的管理是任何企业都必须面对的一个课题。J. Gold Associates LLC的总裁和首席分析师Jack Gold讨论了终端安全的挑战,本文针对所有规模的企业,Gold提出一些移动安全管理的事项清单。

  • MTC报告:网络攻击者商业思维日益提升

    瞻博网络发布的第三份年度移动威胁报告显示:移动恶意软件正在快速增长和演变,成为对攻击者而言有利可图的业务,从2012年3月到2013年3月,移动恶意软件威胁呈现指数级增长,增长率为614%。