五大方法保護(hù)你的移動(dòng)數(shù)據(jù)安全

1、五大方法保護(hù)你的移動(dòng)數(shù)據(jù)安全2011-06-0310:58:48TechTarget中國(guó)摘要：保護(hù)企業(yè)移動(dòng)設(shè)備數(shù)據(jù)的措施是眾所周知的，包括從實(shí)施加密到擦除遺失設(shè)備上的數(shù)據(jù)。但是，與員工設(shè)備有關(guān)的業(yè)務(wù)數(shù)據(jù)必須得到相關(guān)保障，而不是依賴于IT采購(gòu)和用戶，同時(shí)還需要尊重用戶對(duì)個(gè)人隱私和選擇的期望。一項(xiàng)調(diào)查顯示，40%的員工正使用自己的移動(dòng)設(shè)備來(lái)處理個(gè)人或商業(yè)事務(wù)，其中80%勺人承認(rèn)他們未經(jīng)允許就訪問(wèn)了所在公司的網(wǎng)絡(luò)。除非企業(yè)實(shí)施控制，用來(lái)防止這些員工所持設(shè)備的損失、盜竊或是非法使用，否則任何一件諸如此類(lèi)的安全事件都可能會(huì)使相當(dāng)多的業(yè)務(wù)數(shù)據(jù)承受巨大風(fēng)險(xiǎn)。保護(hù)企業(yè)移動(dòng)設(shè)備數(shù)據(jù)的措施是眾所周知的，包括從實(shí)施

2、加密到擦除遺失設(shè)備上的數(shù)據(jù)。但是，與員工設(shè)備有關(guān)的業(yè)務(wù)數(shù)據(jù)必須得到相關(guān)保障，而不是依賴于IT采購(gòu)和用戶，同時(shí)還需要尊重用戶對(duì)個(gè)人隱私和選擇的期望。以下介紹五個(gè)對(duì)員工移動(dòng)設(shè)備和平板電腦上重要數(shù)據(jù)進(jìn)行保護(hù)的最佳方法。移動(dòng)設(shè)備鎖設(shè)備鎖是IT業(yè)界的第一道防線，防止那些未經(jīng)授權(quán)，對(duì)儲(chǔ)存在員工移動(dòng)設(shè)備或平板電腦上的業(yè)務(wù)數(shù)據(jù)和賬戶的訪問(wèn)。然而，員工購(gòu)買(mǎi)的消費(fèi)電子設(shè)備通常不具備足夠強(qiáng)大的設(shè)備鎖。還有，用戶可能會(huì)重置復(fù)雜的密碼而不方便個(gè)人設(shè)備的使用。這種業(yè)務(wù)需求可以通過(guò)一個(gè)三步驟方法得以解決。實(shí)施一個(gè)程序讓用戶注冊(cè)自己的移動(dòng)設(shè)備和平板電腦，并按照最低安全要求檢查它們。這樣可以防止設(shè)備去進(jìn)行不合標(biāo)準(zhǔn)的商業(yè)運(yùn)用，而

3、允許那些可以支持IT范疇內(nèi)的安全政策。自動(dòng)配置已注冊(cè)的設(shè)備以啟動(dòng)內(nèi)部的PIN或密碼鎖，執(zhí)行復(fù)雜的規(guī)則并自動(dòng)鎖定待機(jī)的設(shè)備。專(zhuān)注于那些可以減少商業(yè)風(fēng)險(xiǎn)而不會(huì)使之過(guò)于嚴(yán)格的規(guī)則。實(shí)施無(wú)線設(shè)備配置監(jiān)測(cè)以保證設(shè)置沒(méi)有被改動(dòng)。例如，對(duì)設(shè)備每一次試圖訪問(wèn)一個(gè)企業(yè)賬戶的行為進(jìn)行檢查，從而阻止或修復(fù)不兼容設(shè)備。移動(dòng)設(shè)備的遠(yuǎn)程數(shù)據(jù)擦除當(dāng)以前注冊(cè)過(guò)的設(shè)備遺失/被盜或者它的主人離開(kāi)了你的公司，遠(yuǎn)程數(shù)據(jù)擦除可以防止將來(lái)對(duì)存儲(chǔ)在設(shè)備當(dāng)中的所有業(yè)務(wù)數(shù)據(jù)和賬務(wù)進(jìn)行訪問(wèn)。然而，擦除員工的設(shè)備資料在沒(méi)有明確的許可下是不應(yīng)該的，且在理想情況下，不應(yīng)對(duì)個(gè)人數(shù)據(jù)造成影響或者給用戶帶來(lái)不便。這些業(yè)務(wù)需求可以解決，方法如下：作為設(shè)備可以

4、注冊(cè)的條件，員工必須被要求正式同意一些可接受的使用條款。移動(dòng)設(shè)備條款還應(yīng)該明確，在什么情況下可以調(diào)用遠(yuǎn)程擦除，怎樣擦除才不會(huì)影響個(gè)人設(shè)備的使用和數(shù)據(jù)，以及數(shù)據(jù)備份/恢復(fù)的責(zé)任。考慮使用數(shù)據(jù)加密工具來(lái)區(qū)分業(yè)務(wù)數(shù)據(jù)、賬戶和應(yīng)用程序。例如，使用自加密(self-encrypting)企業(yè)信息應(yīng)用程序能夠?qū)㈦娮余]件、通訊錄、日歷及其他數(shù)據(jù)保存到一個(gè)需要認(rèn)證的加密沙箱里，這個(gè)箱子能夠輕易的被移除而不需要擦除整個(gè)設(shè)備。實(shí)施能夠遠(yuǎn)程擦除員工的設(shè)備的流程。為了防止逃避技術(shù)，在經(jīng)過(guò)重復(fù)登錄失敗，長(zhǎng)時(shí)間脫機(jī)使用或者移除了SIM/USIM卡的情況下，通過(guò)自動(dòng)擦除可以完善無(wú)線命令確認(rèn)機(jī)制。確保密切注意留在移動(dòng)媒體設(shè)備

5、（如Android設(shè)備）上的企業(yè)數(shù)據(jù)。移動(dòng)定位和跟蹤在任何移動(dòng)設(shè)備的使用壽命里，關(guān)于它的使用情況的大量信息可能會(huì)被記錄，其中包括地理位置。持續(xù)跟蹤能（On-goingtracking）夠幫助IT迅速恢復(fù)丟失的設(shè)備，或產(chǎn)生有關(guān)盜竊信息的漫游警報(bào)，警告IT可能發(fā)生的威脅。然而，員工對(duì)于隱私權(quán)的要求可能會(huì)阻礙持續(xù)的跟蹤。此外，一些用戶的設(shè)備可能不容易定位（例如，斷開(kāi)或禁用的設(shè)備）。最后，如果要追蹤涉及到頻繁的smS信息，所需的成本可能相當(dāng)大。強(qiáng)調(diào)商業(yè)需求并且考慮到個(gè)人和成本的敏感性，決定是否真正需要將持續(xù)追蹤應(yīng)用到員工的設(shè)備上。如果是這樣，你需要在可接受的使用政策中描述定位追蹤的業(yè)務(wù)理念和具體做法，

6、這在注冊(cè)個(gè)人設(shè)備為商業(yè)使用時(shí)需要得到員工的同意。如果定位僅僅只是用來(lái)找回遺失的設(shè)備，那么你需要將這條陳述寫(xiě)入到可接受的使用政策中，并堅(jiān)持使用這個(gè)有限制的做法。按需制定的定位服務(wù)對(duì)每個(gè)主要的移動(dòng)操作系統(tǒng)（例如，蘋(píng)果的MobileMe,Lookoutd的FindMyPhone（安卓），微軟的MyPhone,和黑莓的WheresMyPhone）均可免費(fèi)使用。但在這里，通過(guò)使用移動(dòng)設(shè)備管理器來(lái)實(shí)施這一做法能夠得到更集中的可視性和控制效果。移動(dòng)設(shè)備的存儲(chǔ)數(shù)據(jù)加密在一些情況下,設(shè)備鎖加上遠(yuǎn)程擦除就足以減輕用于有限業(yè)務(wù)的個(gè)人設(shè)備的風(fēng)險(xiǎn)了。如果移動(dòng)設(shè)備被用于檢查無(wú)毒的電子郵件且不保存附件,或者只是一臺(tái)用以進(jìn)行

7、遠(yuǎn)程桌面訪問(wèn)的平板電腦，那么它不需要儲(chǔ)存那些永久保護(hù)的業(yè)務(wù)數(shù)據(jù)。然而，在處理敏感信息或者需要更多的功能時(shí)，員工還需要對(duì)被存儲(chǔ)的數(shù)據(jù)進(jìn)行加密。不幸的是，一些消費(fèi)設(shè)備并不支持全設(shè)備加密。為了解決這一業(yè)務(wù)需求，可以采取以下步驟：擴(kuò)展上述注冊(cè)流程來(lái)檢查依托于存儲(chǔ)數(shù)據(jù)加密需求的個(gè)人移動(dòng)設(shè)備，在擴(kuò)展中要使用工作人員已認(rèn)證的身份來(lái)確定移動(dòng)數(shù)據(jù)的需求和風(fēng)險(xiǎn)。如果必須加密但設(shè)備卻不支持，那么需要為員工提供適合設(shè)備的指導(dǎo)，條件允許的話，甚至可以提供一個(gè)有IT安全保障的公司設(shè)備。自動(dòng)配置已注冊(cè)的設(shè)備，從而在任何可能的地方都能支持全設(shè)備加密或者可去掉的媒體加密方式。凡是需要需求和風(fēng)險(xiǎn)允許的地方，都可以配置個(gè)人加密應(yīng)用

8、程序來(lái)提供另一層保護(hù)，從而使公司的數(shù)據(jù)和個(gè)人的數(shù)據(jù)分隔開(kāi)。最后，還可以配置設(shè)備的設(shè)置和應(yīng)用程序來(lái)最小化存儲(chǔ)在設(shè)備中的數(shù)據(jù)量。使用無(wú)線設(shè)備配置的監(jiān)測(cè)來(lái)確保用戶遵守了所有的數(shù)據(jù)加密政策。此外，要小心關(guān)注設(shè)備顯示出的有被干擾的跡象（即，獲得了Android設(shè)備的Root權(quán)限，或破解了iPhone手機(jī)），因?yàn)檫@些可能潛藏著木馬，從而訪問(wèn)和傳播用其他方式加密的數(shù)據(jù)并發(fā)送給遠(yuǎn)程攻擊者。為了實(shí)現(xiàn)第一步，需要將你的注冊(cè)過(guò)程同公司的目錄、現(xiàn)有身份認(rèn)證登錄，以及使用群組隸屬關(guān)系等整合起來(lái)，從而確定業(yè)務(wù)的需求和風(fēng)險(xiǎn)。第二步，你需要配置安全的移動(dòng)應(yīng)用程序，或者替換門(mén)戶網(wǎng)站和遠(yuǎn)程桌面訪問(wèn)，這些措施可以用來(lái)減少某些員工的

9、設(shè)備存儲(chǔ)，他們其實(shí)并不需要對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行離線或分離訪問(wèn)。移動(dòng)活動(dòng)監(jiān)測(cè)和審計(jì)請(qǐng)注意，不斷的監(jiān)測(cè)對(duì)這些最優(yōu)做法而言是很重要的，單單配置一個(gè)員工設(shè)備就希望業(yè)務(wù)數(shù)據(jù)可以長(zhǎng)期安全是不現(xiàn)實(shí)的。即使IT可能不會(huì)選擇或擁有員工移動(dòng)設(shè)備，公司仍然需要監(jiān)測(cè)和審計(jì)業(yè)務(wù)數(shù)據(jù)和活動(dòng)，以確保它們?cè)谡麄€(gè)生命周期內(nèi)都一直符合規(guī)定。然而，這必須通過(guò)無(wú)線方式來(lái)實(shí)現(xiàn)，從而不會(huì)對(duì)個(gè)人使用產(chǎn)生干擾。從監(jiān)測(cè)未經(jīng)IT允許而用于商業(yè)場(chǎng)合的員工設(shè)備的工作環(huán)境開(kāi)始，網(wǎng)絡(luò)訪問(wèn)控制、設(shè)備指紋識(shí)別工具和無(wú)線/有線網(wǎng)絡(luò)IPS等操作，都是幫助IT部門(mén)發(fā)現(xiàn)移動(dòng)設(shè)備或平板電腦的理想工具。這些工具的有些監(jiān)測(cè)機(jī)制甚至可以防止未知設(shè)備接入企業(yè)。其次，記錄包含已注冊(cè)

10、移動(dòng)設(shè)備的每一個(gè)商業(yè)系統(tǒng)的交互操作，包括電子郵件/聯(lián)系方式/日歷的同步、網(wǎng)絡(luò)會(huì)議、虛擬專(zhuān)用網(wǎng)（VPN連接、在線配置更新和MDM應(yīng)用程序安裝。這些記錄對(duì)日常報(bào)告和審計(jì)來(lái)說(shuō)是很重要的，因此應(yīng)該在設(shè)備被擦除或取消注冊(cè)后長(zhǎng)期保留。理想情況下，設(shè)備應(yīng)該以某種可以防止被詐騙或克隆的方式來(lái)進(jìn)行身份識(shí)別，比如說(shuō)設(shè)備可以使用SCEP來(lái)進(jìn)行授權(quán)。最后，為每個(gè)注冊(cè)的員工設(shè)備定期執(zhí)行符合規(guī)定的檢查。至少應(yīng)該在正常交互操作中進(jìn)行檢查（例如，在每次進(jìn)行電子郵件同步時(shí)，使用EAS來(lái)驗(yàn)證設(shè)置）。不過(guò)，MDM產(chǎn)品通常提供了更加豐富的移動(dòng)設(shè)備審計(jì)和報(bào)告功能，比如在某些情況下所進(jìn)行的預(yù)定和按需設(shè)備的設(shè)置檢索以及IT指定策略的自動(dòng)對(duì)比等操作。通過(guò)實(shí)施這五項(xiàng)基本移動(dòng)設(shè)備數(shù)據(jù)保護(hù)最優(yōu)措施，許多公司都可以接納個(gè)人移動(dòng)設(shè)備的商業(yè)化使用趨勢(shì)。公司需要把注意力集中在業(yè)務(wù)數(shù)據(jù)上