移动安全策略制定必备五大要素

随着网络范围的不断扩大，IT部门不得不应对新的工作负担。根据Forrester公司的调查结果，全球已经有29%的企业员工以远程方式处理工作信息，他们常常利用三台或更多设备在不同地点处理日常事务，且在流程中往往涉及多种应用程序，这一状况已经引起了IT部门领导者的重视。

事实上，Forrester指出截至今年年底，BYOD趋势将影响到全球范围内6亿以上企业员工，如此迅猛的增长速度将迫使企业调整现有管理策略或者部署新方针以适应移动时代的新要求。

在一封写给CSO的电子邮件中，Neohapsis公司(这是一家安全与风险管理企业，主要关注移动与云计算领域)高级安全顾问Aaron Rhodes提出了五项重要因素，旨在指导企业真正制定出与移动趋势紧密契合的安全管理策略。

1.树立正确的移动安全原则

“移动管理项目往往要对传统机制进行全面淘汰，但大家的新策略则应该从历史的高度审视安全问题，并以此作为首要安全框架”Rhodes建议。

企业首先需要对智能手机与平板设备所访问的数据类别进行划分，而后将移动平台的安全问题上升到与网络内业务系统同等重要的高度。

IT部门需要为移动设备制定一整套管理政策与执行流程，并在不占用过多现有资产的前提下考虑如何部署企业的移动IT普及方针。

当涉及“首要安全框架”时，大家应当优先确保需要存储敏感数据的智能设备始终处于企业安全策略及政策的保护之下。

更细节的问题CSO要考虑到：网络中各类移动设备会执行哪些类型的访问操作?移动设备中会存储哪几类数据?谁会使用这些数据?目前我们对此类流程采用哪种管理方式?这种方式又是否足以保障业务安全?

在把智能手机当作内部系统进行管理时，Rhodes认为最好的检验方式在于直接比较移动设备在安全性方面与网络内部系统的异同。概括来说，移动设备能够保存与内部业务资产与服务之间的连接机制，而这些使用通道的设备都应该受到严格保护与高效管理。

“一台智能手机很可能包含移动科学客户端，它允许用户访问企业网络中的各类内部资源，包括内部Web应用程序。这种方式与企业局域网环境内的桌面设备完全一致”他解释道。

关于如何创建数据分类清单以及如何处理与此相关的优化级乃至移动应用管理和移动设备管理方案。Rhodes强调CSO首先想到的应该是风险问题，对于移动领域，最常见的风险在于移动设备丢失引发的后续影响——事实上由员工粗心或恶意盗窃引发的设备丢失很难避免，将设备邮件加密、PIN码解锁甚至是‘远程数据清除’这类功能纳入到管理政策当中可以有效降低设备丢失引发的后遗症。

“鉴于移动设备在暴露机率方面与其它基础调入相比更高，我们应当首先改进企业网络的全局安全状况并将移动设备保护放在紧随其后的位置。”Rhodes说。

2.做好移动设备管理方案规划

“建立一套具体的时间表，并向其中添加阶段性目标与里程碑式事件，在研究工作中也要引入时间概念。如果打算开发移动设备管理(简称MDM)或者移动应用管理(简称MAM)系统，那么首先要考虑哪种方案更易于整合到现有IT架构当中”Rhodes建议道。

“在审视移动管理政策时，大家首先需要考虑的是能否利用现有工具匹配移动设备管理方针。以IT团队中的技术领导者为立足点，考量他们已经拥有的应对能力”他解释道。

“举例来说，微软Exchange就能够与移动设备进行交互，并以强制方式在移动平台上执行安全政策、从而改进移动邮件安全性。当大家购买MDM/MAM解决方案时，首先要意识到当前市场上已经存在多种此类产品。也许大家目前选择的供应商也在提供MDM产品，而来自同一家厂商的方案往往更容易完成整合。检查产品的功能集，确保企业当前使用的移动设备确实受到支持。”

3.常用的移动管理政策

“创建并管理指导方针有助于防止企业数据与邮件在移动设备上被过度滥用，这反过来还会激励用户采取更为谨慎的移动处理态度。更重要的是，一旦发生问题，他们无法置身事外”

Rhodes认为实现此类目标需要遵循两大主要方式。首先是通过技术监控措施预防安全问题的发生，其中包括信息加密、PIN码以及设备的远程数据清除功能等等。

此外，建立起针对计算机安全事务的高度敏感意识，帮助企业员工培养良好的工作习惯十分重要。

Rhodes还列出了以下几条常用的移动管理政策：

移动设备必须具备密码保护机制

移动设备在访问企业电子邮件前必须使用设备加密机制

移动设备不可被刷机或“越狱”

移动设备必须在企业IT部门MDM系统的管理下处理日常工作

4.培训移动安全常识:

大多数普通员工根本没有意识到自己对移动设备的操作会给整个企业带来多么可怕的后果。指导员工正确认识安全风险及应对策略能有效避免灾难的发生。

如何做好安全意识培训?

显然首先要让大家了解风险是客观存在的，强调“遇到异常一定要及时上报”这一原则，并为他们提供传达意见及汇报安全事件的顺畅通道。预防机制虽然重要，但仍无法消除“IT白痴”可能带来的严重后果，因此合适的应对流程同样必不可少。

5.遵循合规性需求

“在进行企业管理政策制定工作时，务必将合规性要求作为重要参考对象。请记住，任何一家将业务数据存放在移动设备上的公司在IT系统监管领域面临的情况都是相同的”Rhodes指出，这就是五大要素中的最后一条。

在部署安全机制之前，合规性保障应当成为我们挑选MDM及MAM产品时的衡量标准。大家必须弄清这些产品是否足以与现有基础设施顺利对接，它们又是否会带来额外的使用开销。

合规性原则往往会推动企业中的安全要求逐渐向高标准、严要求层面发展。某些MDM及MAM产品具备特殊功能，旨在支持与法律相关的实际用例。

另外，最大程度利用现有基础设施的潜能也很重要。如果一套系统能够与现有基础设施整合，那么供应商也就能更轻松地让系统发挥实际作用，这样甚至会使安全性得到显著提高。”