隨著網(wǎng)絡(luò)范圍的不斷擴(kuò)大，IT部門不得不應(yīng)對(duì)新的工作負(fù)擔(dān)。根據(jù)Forrester公司的調(diào)查結(jié)果，全球已經(jīng)有29%的企業(yè)員工以遠(yuǎn)程方式處理工作信息，他們常常利用三臺(tái)或更多設(shè)備在不同地點(diǎn)處理日常事務(wù)，且在流程中往往涉及多種應(yīng)用程序，這一狀況已經(jīng)引起了IT部門領(lǐng)導(dǎo)者的重視。

事實(shí)上，F(xiàn)orrester指出截至今年年底，BYOD趨勢將影響到全球范圍內(nèi)6億以上企業(yè)員工，如此迅猛的增長速度將迫使企業(yè)調(diào)整現(xiàn)有管理策略或者部署新方針以適應(yīng)移動(dòng)時(shí)代的新要求。

在一封寫給CSO的電子郵件中，Neohapsis公司(這是一家安全與風(fēng)險(xiǎn)管理企業(yè)，主要關(guān)注移動(dòng)與云計(jì)算領(lǐng)域)高級(jí)安全顧問Aaron Rhodes提出了五項(xiàng)重要因素，旨在指導(dǎo)企業(yè)真正制定出與移動(dòng)趨勢緊密契合的安全管理策略。

1.樹立正確的移動(dòng)安全原則

“移動(dòng)管理項(xiàng)目往往要對(duì)傳統(tǒng)機(jī)制進(jìn)行全面淘汰，但大家的新策略則應(yīng)該從歷史的高度審視安全問題，并以此作為首要安全框架”Rhodes建議。

企業(yè)首先需要對(duì)智能手機(jī)與平板設(shè)備所訪問的數(shù)據(jù)類別進(jìn)行劃分，而后將移動(dòng)平臺(tái)的安全問題上升到與網(wǎng)絡(luò)內(nèi)業(yè)務(wù)系統(tǒng)同等重要的高度。

IT部門需要為移動(dòng)設(shè)備制定一整套管理政策與執(zhí)行流程，并在不占用過多現(xiàn)有資產(chǎn)的前提下考慮如何部署企業(yè)的移動(dòng)IT普及方針。

當(dāng)涉及“首要安全框架”時(shí)，大家應(yīng)當(dāng)優(yōu)先確保需要存儲(chǔ)敏感數(shù)據(jù)的智能設(shè)備始終處于企業(yè)安全策略及政策的保護(hù)之下。

更細(xì)節(jié)的問題CSO要考慮到：網(wǎng)絡(luò)中各類移動(dòng)設(shè)備會(huì)執(zhí)行哪些類型的訪問操作?移動(dòng)設(shè)備中會(huì)存儲(chǔ)哪幾類數(shù)據(jù)?誰會(huì)使用這些數(shù)據(jù)?目前我們對(duì)此類流程采用哪種管理方式?這種方式又是否足以保障業(yè)務(wù)安全?

在把智能手機(jī)當(dāng)作內(nèi)部系統(tǒng)進(jìn)行管理時(shí)，Rhodes認(rèn)為最好的檢驗(yàn)方式在于直接比較移動(dòng)設(shè)備在安全性方面與網(wǎng)絡(luò)內(nèi)部系統(tǒng)的異同。概括來說，移動(dòng)設(shè)備能夠保存與內(nèi)部業(yè)務(wù)資產(chǎn)與服務(wù)之間的連接機(jī)制，而這些使用通道的設(shè)備都應(yīng)該受到嚴(yán)格保護(hù)與高效管理。

“一臺(tái)智能手機(jī)很可能包含移動(dòng)VPN客戶端，它允許用戶訪問企業(yè)網(wǎng)絡(luò)中的各類內(nèi)部資源，包括內(nèi)部Web應(yīng)用程序。這種方式與企業(yè)局域網(wǎng)環(huán)境內(nèi)的桌面設(shè)備完全一致”他解釋道。

關(guān)于如何創(chuàng)建數(shù)據(jù)分類清單以及如何處理與此相關(guān)的優(yōu)化級(jí)乃至移動(dòng)應(yīng)用管理和移動(dòng)設(shè)備管理方案。Rhodes強(qiáng)調(diào)CSO首先想到的應(yīng)該是風(fēng)險(xiǎn)問題，對(duì)于移動(dòng)領(lǐng)域，最常見的風(fēng)險(xiǎn)在于移動(dòng)設(shè)備丟失引發(fā)的后續(xù)影響——事實(shí)上由員工粗心或惡意盜竊引發(fā)的設(shè)備丟失很難避免，將設(shè)備郵件加密、PIN碼解鎖甚至是‘遠(yuǎn)程數(shù)據(jù)清除’這類功能納入到管理政策當(dāng)中可以有效降低設(shè)備丟失引發(fā)的后遺癥。

“鑒于移動(dòng)設(shè)備在暴露機(jī)率方面與其它基礎(chǔ)調(diào)入相比更高，我們應(yīng)當(dāng)首先改進(jìn)企業(yè)網(wǎng)絡(luò)的全局安全狀況并將移動(dòng)設(shè)備保護(hù)放在緊隨其后的位置。”Rhodes說。

2.做好移動(dòng)設(shè)備管理方案規(guī)劃

“建立一套具體的時(shí)間表，并向其中添加階段性目標(biāo)與里程碑式事件，在研究工作中也要引入時(shí)間概念。如果打算開發(fā)移動(dòng)設(shè)備管理(簡稱MDM)或者移動(dòng)應(yīng)用管理(簡稱MAM)系統(tǒng)，那么首先要考慮哪種方案更易于整合到現(xiàn)有IT架構(gòu)當(dāng)中”Rhodes建議道。

“在審視移動(dòng)管理政策時(shí)，大家首先需要考慮的是能否利用現(xiàn)有工具匹配移動(dòng)設(shè)備管理方針。以IT團(tuán)隊(duì)中的技術(shù)領(lǐng)導(dǎo)者為立足點(diǎn)，考量他們已經(jīng)擁有的應(yīng)對(duì)能力”他解釋道。

“舉例來說，微軟Exchange就能夠與移動(dòng)設(shè)備進(jìn)行交互，并以強(qiáng)制方式在移動(dòng)平臺(tái)上執(zhí)行安全政策、從而改進(jìn)移動(dòng)郵件安全性。當(dāng)大家購買MDM/MAM解決方案時(shí)，首先要意識(shí)到當(dāng)前市場上已經(jīng)存在多種此類產(chǎn)品。也許大家目前選擇的供應(yīng)商也在提供MDM產(chǎn)品，而來自同一家廠商的方案往往更容易完成整合。檢查產(chǎn)品的功能集，確保企業(yè)當(dāng)前使用的移動(dòng)設(shè)備確實(shí)受到支持。”

3.常用的移動(dòng)管理政策

“創(chuàng)建并管理指導(dǎo)方針有助于防止企業(yè)數(shù)據(jù)與郵件在移動(dòng)設(shè)備上被過度濫用，這反過來還會(huì)激勵(lì)用戶采取更為謹(jǐn)慎的移動(dòng)處理態(tài)度。更重要的是，一旦發(fā)生問題，他們無法置身事外”

Rhodes認(rèn)為實(shí)現(xiàn)此類目標(biāo)需要遵循兩大主要方式。首先是通過技術(shù)監(jiān)控措施預(yù)防安全問題的發(fā)生，其中包括信息加密、PIN碼以及設(shè)備的遠(yuǎn)程數(shù)據(jù)清除功能等等。

此外，建立起針對(duì)計(jì)算機(jī)安全事務(wù)的高度敏感意識(shí)，幫助企業(yè)員工培養(yǎng)良好的工作習(xí)慣十分重要。

Rhodes還列出了以下幾條常用的移動(dòng)管理政策：

移動(dòng)設(shè)備必須具備密碼保護(hù)機(jī)制

移動(dòng)設(shè)備在訪問企業(yè)電子郵件前必須使用設(shè)備加密機(jī)制

移動(dòng)設(shè)備不可被刷機(jī)或“越獄”

移動(dòng)設(shè)備必須在企業(yè)IT部門MDM系統(tǒng)的管理下處理日常工作

4.培訓(xùn)移動(dòng)安全常識(shí):

大多數(shù)普通員工根本沒有意識(shí)到自己對(duì)移動(dòng)設(shè)備的操作會(huì)給整個(gè)企業(yè)帶來多么可怕的后果。指導(dǎo)員工正確認(rèn)識(shí)安全風(fēng)險(xiǎn)及應(yīng)對(duì)策略能有效避免災(zāi)難的發(fā)生。

如何做好安全意識(shí)培訓(xùn)?

顯然首先要讓大家了解風(fēng)險(xiǎn)是客觀存在的，強(qiáng)調(diào)“遇到異常一定要及時(shí)上報(bào)”這一原則，并為他們提供傳達(dá)意見及匯報(bào)安全事件的順暢通道。預(yù)防機(jī)制雖然重要，但仍無法消除“IT白癡”可能帶來的嚴(yán)重后果，因此合適的應(yīng)對(duì)流程同樣必不可少。

5.遵循合規(guī)性需求

“在進(jìn)行企業(yè)管理政策制定工作時(shí)，務(wù)必將合規(guī)性要求作為重要參考對(duì)象。請(qǐng)記住，任何一家將業(yè)務(wù)數(shù)據(jù)存放在移動(dòng)設(shè)備上的公司在IT系統(tǒng)監(jiān)管領(lǐng)域面臨的情況都是相同的”Rhodes指出，這就是五大要素中的最后一條。

在部署安全機(jī)制之前，合規(guī)性保障應(yīng)當(dāng)成為我們挑選MDM及MAM產(chǎn)品時(shí)的衡量標(biāo)準(zhǔn)。大家必須弄清這些產(chǎn)品是否足以與現(xiàn)有基礎(chǔ)設(shè)施順利對(duì)接，它們又是否會(huì)帶來額外的使用開銷。

合規(guī)性原則往往會(huì)推動(dòng)企業(yè)中的安全要求逐漸向高標(biāo)準(zhǔn)、嚴(yán)要求層面發(fā)展。某些MDM及MAM產(chǎn)品具備特殊功能，旨在支持與法律相關(guān)的實(shí)際用例。

另外，最大程度利用現(xiàn)有基礎(chǔ)設(shè)施的潛能也很重要。如果一套系統(tǒng)能夠與現(xiàn)有基礎(chǔ)設(shè)施整合，那么供應(yīng)商也就能更輕松地讓系統(tǒng)發(fā)揮實(shí)際作用，這樣甚至?xí)拱踩缘玫斤@著提高。”