Juniper網(wǎng)絡(luò)公司的最近一項(xiàng)調(diào)查顯示，40%的員工正使用自己的移動(dòng)設(shè)備來處理個(gè)人或商業(yè)事務(wù)，其中80%的人承認(rèn)他們未經(jīng)允許就訪問了所在公司的網(wǎng)絡(luò)。除非企業(yè)實(shí)施控制，用來防止這些員工所持設(shè)備的損失、盜竊或是非法使用，否則任何一件諸如此類的安全事件都可能會(huì)使相當(dāng)多的業(yè)務(wù)數(shù)據(jù)承受巨大風(fēng)險(xiǎn)。

保護(hù)企業(yè)移動(dòng)設(shè)備數(shù)據(jù)的措施是眾所周知的，包括從實(shí)施加密到擦除遺失設(shè)備上的數(shù)據(jù)。但是，與員工設(shè)備有關(guān)的業(yè)務(wù)數(shù)據(jù)必須得到相關(guān)保障，而不是依賴于IT采購(gòu)和用戶，同時(shí)還需要尊重用戶對(duì)個(gè)人隱私和選擇的期望。

以下介紹五個(gè)對(duì)員工移動(dòng)設(shè)備和平板電腦上重要數(shù)據(jù)進(jìn)行保護(hù)的最佳方法。

1. 移動(dòng)設(shè)備鎖

設(shè)備鎖是IT業(yè)界的第一道防線，防止那些未經(jīng)授權(quán)，對(duì)儲(chǔ)存在員工移動(dòng)設(shè)備或平板電腦上的業(yè)務(wù)數(shù)據(jù)和賬戶的訪問。然而，員工購(gòu)買的消費(fèi)電子設(shè)備通常不具備足夠強(qiáng)大的設(shè)備鎖。還有，用戶可能會(huì)重置復(fù)雜的密碼而不方便個(gè)人設(shè)備的使用。這種業(yè)務(wù)需求可以通過一個(gè)三步驟方法得以解決。

實(shí)施一個(gè)程序讓用戶注冊(cè)自己的移動(dòng)設(shè)備和平板電腦，并按照最低安全要求檢查它們。這樣可以防止設(shè)備去進(jìn)行不合標(biāo)準(zhǔn)的商業(yè)運(yùn)用，而允許那些可以支持IT范疇內(nèi)的安全政策。

自動(dòng)配置已注冊(cè)的設(shè)備以啟動(dòng)內(nèi)部的PIN或密碼鎖，執(zhí)行復(fù)雜的規(guī)則并自動(dòng)鎖定待機(jī)的設(shè)備。專注于那些可以減少商業(yè)風(fēng)險(xiǎn)而不會(huì)使之過于嚴(yán)格的規(guī)則。

實(shí)施無線設(shè)備配置監(jiān)測(cè)以保證設(shè)置沒有被改動(dòng)。例如，對(duì)設(shè)備每一次試圖訪問一個(gè)企業(yè)賬戶的行為進(jìn)行檢查，從而阻止或修復(fù)不兼容設(shè)備。

如果員工移動(dòng)設(shè)備中包含交互環(huán)境搭建（EAS）或多操作系統(tǒng)移動(dòng)設(shè)備管理軟件（MDM），那么就可以采取這些措施。目前這些軟件已經(jīng)由諸如AirWatch、BoxTone、Good Technology、MobileIron、Odyssey Software、Sybase和 Zenprise這些公司推出。那些沒有MDM也不想安裝MDM的公司可以使用托管MDM服務(wù)。

2. 移動(dòng)設(shè)備的遠(yuǎn)程數(shù)據(jù)擦除

當(dāng)以前注冊(cè)過的設(shè)備遺失/被盜或者它的主人離開了你的公司，遠(yuǎn)程數(shù)據(jù)擦除可以防止將來對(duì)存儲(chǔ)在設(shè)備當(dāng)中的所有業(yè)務(wù)數(shù)據(jù)和賬務(wù)進(jìn)行訪問。然而，擦除員工的設(shè)備資料在沒有明確的許可下是不應(yīng)該的，且在理想情況下，不應(yīng)對(duì)個(gè)人數(shù)據(jù)造成影響或者給用戶帶來不便。這些業(yè)務(wù)需求可以解決，方法如下：

作為設(shè)備可以注冊(cè)的條件，員工必須被要求正式同意一些可接受的使用條款。移動(dòng)設(shè)備條款還應(yīng)該明確，在什么情況下可以調(diào)用遠(yuǎn)程擦除，怎樣擦除才不會(huì)影響個(gè)人設(shè)備的使用和數(shù)據(jù)，以及數(shù)據(jù)備份/恢復(fù)的責(zé)任。

考慮使用數(shù)據(jù)加密工具來區(qū)分業(yè)務(wù)數(shù)據(jù)、賬戶和應(yīng)用程序。例如，使用自加密（self-encrypting）企業(yè)信息應(yīng)用程序能夠?qū)㈦娮余]件、通訊錄、日歷及其他數(shù)據(jù)保存到一個(gè)需要認(rèn)證的加密沙箱里，這個(gè)箱子能夠輕易的被移除而不需要擦除整個(gè)設(shè)備。

實(shí)施能夠遠(yuǎn)程擦除員工的設(shè)備的流程。為了防止逃避技術(shù)，在經(jīng)過重復(fù)登錄失敗，長(zhǎng)時(shí)間脫機(jī)使用或者移除了SIM/USIM卡的情況下，通過自動(dòng)擦除可以完善無線命令確認(rèn)機(jī)制。確保密切注意留在移動(dòng)媒體設(shè)備（如Android設(shè)備）上的企業(yè)數(shù)據(jù)。

使用EAS、任何MDM，或許多供個(gè)人使用的免費(fèi)或便宜的應(yīng)用程序（如，蘋果的MobileMe，邁克菲WaveSecure），可以實(shí)現(xiàn)基本的無線遠(yuǎn)程擦除。然而，更大的IT控制和可見性可以按照下面這種MDM的用法來實(shí)現(xiàn)：例如，報(bào)告哪部設(shè)備將被擦除，或者自動(dòng)移除MDM之前已安裝的企業(yè)應(yīng)用程序和賬戶。

3. 移動(dòng)定位和跟蹤

在任何移動(dòng)設(shè)備的使用壽命里，關(guān)于它的使用情況的大量信息可能會(huì)被記錄，其中包括地理位置。持續(xù)跟蹤能（On-going tracking）夠幫助IT迅速恢復(fù)丟失的設(shè)備，或產(chǎn)生有關(guān)盜竊信息的漫游警報(bào)，警告IT可能發(fā)生的威脅。然而，員工對(duì)于隱私權(quán)的要求可能會(huì)阻礙持續(xù)的跟蹤。此外，一些用戶的設(shè)備可能不容易定位（例如，斷開或禁用的設(shè)備）。最后，如果要追蹤涉及到頻繁的SMS信息，所需的成本可能相當(dāng)大。

強(qiáng)調(diào)商業(yè)需求并且考慮到個(gè)人和成本的敏感性，決定是否真正需要將持續(xù)追蹤應(yīng)用到員工的設(shè)備上。如果是這樣，你需要在可接受的使用政策中描述定位追蹤的業(yè)務(wù)理念和具體做法，這在注冊(cè)個(gè)人設(shè)備為商業(yè)使用時(shí)需要得到員工的同意。如果定位僅僅只是用來找回遺失的設(shè)備，那么你需要將這條陳述寫入到可接受的使用政策中，并堅(jiān)持使用這個(gè)有限制的做法。

按需制定的定位服務(wù)對(duì)每個(gè)主要的移動(dòng)操作系統(tǒng)（例如，蘋果的 MobileMe, Lookoutd的Find My Phone（安卓），微軟的My Phone，和黑莓的Wheres My Phone）均可免費(fèi)使用。但在這里，通過使用移動(dòng)設(shè)備管理器來實(shí)施這一做法能夠得到更集中的可視性和控制效果。#p#

4. 移動(dòng)設(shè)備的存儲(chǔ)數(shù)據(jù)加密

在一些情況下，設(shè)備鎖加上遠(yuǎn)程擦除就足以減輕用于有限業(yè)務(wù)的個(gè)人設(shè)備的風(fēng)險(xiǎn)了。如果移動(dòng)設(shè)備被用于檢查無毒的電子郵件且不保存附件，或者只是一臺(tái)用以進(jìn)行遠(yuǎn)程桌面訪問的平板電腦，那么它不需要儲(chǔ)存那些永久保護(hù)的業(yè)務(wù)數(shù)據(jù)。然而，在處理敏感信息或者需要更多的功能時(shí)，員工還需要對(duì)被存儲(chǔ)的數(shù)據(jù)進(jìn)行加密。不幸的是，一些消費(fèi)設(shè)備并不支持全設(shè)備加密。為了解決這一業(yè)務(wù)需求，可以采取以下步驟：

擴(kuò)展上述注冊(cè)流程來檢查依托于存儲(chǔ)數(shù)據(jù)加密需求的個(gè)人移動(dòng)設(shè)備，在擴(kuò)展中要使用工作人員已認(rèn)證的身份來確定移動(dòng)數(shù)據(jù)的需求和風(fēng)險(xiǎn)。如果必須加密但設(shè)備卻不支持，那么需要為員工提供適合設(shè)備的指導(dǎo)，條件允許的話，甚至可以提供一個(gè)有IT安全保障的公司設(shè)備。

自動(dòng)配置已注冊(cè)的設(shè)備，從而在任何可能的地方都能支持全設(shè)備加密或者可去掉的媒體加密方式。凡是需要需求和風(fēng)險(xiǎn)允許的地方，都可以配置個(gè)人加密應(yīng)用程序來提供另一層保護(hù)，從而使公司的數(shù)據(jù)和個(gè)人的數(shù)據(jù)分隔開。最后，還可以配置設(shè)備的設(shè)置和應(yīng)用程序來最小化存儲(chǔ)在設(shè)備中的數(shù)據(jù)量。

使用無線設(shè)備配置的監(jiān)測(cè)來確保用戶遵守了所有的數(shù)據(jù)加密政策。此外，要小心關(guān)注設(shè)備顯示出的有被干擾的跡象（即，獲得了Android設(shè)備的Root權(quán)限，或破解了iPhone手機(jī)），因?yàn)檫@些可能潛藏著木馬，從而訪問和傳播用其他方式加密的數(shù)據(jù)并發(fā)送給遠(yuǎn)程攻擊者。

為了實(shí)現(xiàn)第一步，需要將你的注冊(cè)過程同公司的目錄、現(xiàn)有身份認(rèn)證登錄，以及使用群組隸屬關(guān)系等整合起來，從而確定業(yè)務(wù)的需求和風(fēng)險(xiǎn)。第二步，你需要配置安全的移動(dòng)應(yīng)用程序，如Good for Enterprise 和 NitroDesk TouchDown，或者替換門戶網(wǎng)站和遠(yuǎn)程桌面訪問，這些措施可以用來減少某些員工的設(shè)備存儲(chǔ)，他們其實(shí)并不需要對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行離線或分離訪問。

5. 移動(dòng)活動(dòng)監(jiān)測(cè)和審計(jì)

請(qǐng)注意，不斷的監(jiān)測(cè)對(duì)這些最優(yōu)做法而言是很重要的，單單配置一個(gè)員工設(shè)備就希望業(yè)務(wù)數(shù)據(jù)可以長(zhǎng)期安全是不現(xiàn)實(shí)的。即使IT可能不會(huì)選擇或擁有員工移動(dòng)設(shè)備，公司仍然需要監(jiān)測(cè)和審計(jì)業(yè)務(wù)數(shù)據(jù)和活動(dòng)，以確保它們?cè)谡麄€(gè)生命周期內(nèi)都一直符合規(guī)定。然而，這必須通過無線方式來實(shí)現(xiàn)，從而不會(huì)對(duì)個(gè)人使用產(chǎn)生干擾。

從監(jiān)測(cè)未經(jīng)IT允許而用于商業(yè)場(chǎng)合的員工設(shè)備的工作環(huán)境開始，網(wǎng)絡(luò)訪問控制、設(shè)備指紋識(shí)別工具和無線/有線網(wǎng)絡(luò)IPS等操作，都是幫助IT部門發(fā)現(xiàn)移動(dòng)設(shè)備或平板電腦的理想工具。這些工具的有些監(jiān)測(cè)機(jī)制甚至可以防止未知設(shè)備接入企業(yè)。

其次，記錄包含已注冊(cè)移動(dòng)設(shè)備的每一個(gè)商業(yè)系統(tǒng)的交互操作，包括電子郵件/聯(lián)系方式/日歷的同步、網(wǎng)絡(luò)會(huì)議、虛擬專用網(wǎng)（VPN）連接、在線配置更新和MDM應(yīng)用程序安裝。這些記錄對(duì)日常報(bào)告和審計(jì)來說是很重要的，因此應(yīng)該在設(shè)備被擦除或取消注冊(cè)后長(zhǎng)期保留。理想情況下，設(shè)備應(yīng)該以某種可以防止被詐騙或克隆的方式來進(jìn)行身份識(shí)別，比如說設(shè)備可以使用SCEP來進(jìn)行授權(quán)。

最后，為每個(gè)注冊(cè)的員工設(shè)備定期執(zhí)行符合規(guī)定的檢查。至少應(yīng)該在正常交互操作中進(jìn)行檢查（例如，在每次進(jìn)行電子郵件同步時(shí)，使用EAS來驗(yàn)證設(shè)置）。不過，MDM產(chǎn)品通常提供了更加豐富的移動(dòng)設(shè)備審計(jì)和報(bào)告功能，比如在某些情況下所進(jìn)行的預(yù)定和按需設(shè)備的設(shè)置檢索以及IT指定策略的自動(dòng)對(duì)比等操作。

通過實(shí)施這五項(xiàng)基本移動(dòng)設(shè)備數(shù)據(jù)保護(hù)最優(yōu)措施，許多公司都可以接納個(gè)人移動(dòng)設(shè)備的商業(yè)化使用趨勢(shì)。公司需要把注意力集中在業(yè)務(wù)數(shù)據(jù)上，并且制定出所需的最低控制，從而保障這些數(shù)據(jù)的安全。例如，很少有用戶會(huì)同意白名單措施，這樣會(huì)阻止他們安裝個(gè)人應(yīng)用程序；然而，許多用戶會(huì)接受，甚至歡迎——對(duì)被盜的個(gè)人設(shè)備進(jìn)行擦除的IT幫助。為了實(shí)現(xiàn)接受度最大化并避開陷阱，你需要確定一個(gè)測(cè)試組，并按照安全策略和控制對(duì)它進(jìn)行初始設(shè)置，還要在公司全范圍推廣之前進(jìn)行任何有必要的改進(jìn)。

1. Unix系統(tǒng)的安全策略之常用命令解析
2. 認(rèn)識(shí)數(shù)據(jù)庫(kù)安全威脅　保護(hù)數(shù)據(jù)安全（1）
3. 解析內(nèi)存中的數(shù)據(jù)安全隱患
4. 索尼千萬用戶數(shù)據(jù)遭竊，企業(yè)數(shù)據(jù)安全再響警鐘