首页 > 信息安全 > 正文

企业移动安全战略中的十大基本要素

2014-12-24 09:09:13  来源:51CTO

摘要:移动技术绝不像单纯的远程访问那么简单——而移动设备的适应能力也远高于被限定了用途的功能性装置。
关键词: 移动安全

    移动技术与自带设备(简称BYOD)正在彻底改变人们完成日常工作以及组织为员工提供技术支持的实际方式。移动技术绝不像单纯的远程访问那么简单——而移动设备的适应能力也远高于被限定了用途的功能性装置。计算机、智能手机以及平板设备等所带来的应用程序及数据访问、存储与传输能力几乎能够在任何类型的商业事务当中发挥作用。为了彻底释放蕴藏在企业级移动技术当中的全部潜力,IT部门需要为员工提供必要的自由空间、允许他们通过任何设备以无缝化方式对应用程序及数据进行顺畅访问。


    移动设备当然也需要通过正确的安全管理方案予以支持,从而保证员工在各个地点、利用非受信网络处理业务信息时,企业仍然有能力扼制潜在数据丢失或者泄露的安全风险。IT部门必须大力维护合规性要求,并对以任意方式保存在任意位置的敏感信息加以保护。由可穿戴式技术到物联网所引发的新兴移动趋势也已经成为新的、且需要认真考量的影响因素。时至今日,开发出一套真正具备综合特性且融入安全意识的移动战略已经成为每一家企业机构的当务之急。


    本文共提出了十大关键性要点:


    1. 对关键性因素加以管理与保护


    当人们利用多种设备进行数据与应用程序访问时——其中包括个人持有的智能手机与平板设备——那么强行利用技术手段由IT部门对环境当中的各个层面加以控制与管理就失去了可行性。相反,大家应当专注于那些对于企业自身最为重要的关键性因素,并选择最符合当前业务及移动用例的移动管理模式。目前我们可选择的模式主要分为四种,大家可以从中选择其一或者全部使用。


    移动设备管理(简称MDM)——MDM允许大家对用于访问业务资源的移动设备进行管理与控制。在一台设备——无论是由企业持有还是员工个人持有——访问企业网络之前,大家可以验证其是否存在越狱或者其它与安全保障规定相违背的状况。加密、远程锁定与内容清除、移动VPN、应用程序黑名单以及对选定原生设备功能加以禁用的能力足以共同构建起一套高水平的安全保护体系。


    移动虚拟机管理程序与容器技术——特别是在对BYOD机制进行支持的情况下,此类模式允许大家在设备上的容器环境当中实现应用程序、数据、政策以及设置管理,而且完全无需与设备上的员工个人内容产生任何交集。事实上,此类技术相当于将单一移动设备拆分成两套彼此隔离的虚拟设备:一套面向工作、另一套则单纯面向个人生活。


    移动应用程序管理(简称MAM)——作为一套构建在容器化基础之上的方案,MAM允许大家以集中方式对各类移动应用程序进行安全管理与控制,包括与之相关且作为容器组成部分的数据及设置信息。应用级别的管理政策当中可包含验证、网络、位置、密码以及加密等要素。


    应用程序与桌面虚拟化——现有虚拟化安全机制在移动用例当中也同样能够发挥作用。企业级应用程序能够针对移动设备进行优化并根据实际需要进行交付,而数据则在数据中心环境内得到充分保护。


    2. “用户体验”至上


    移动设备已经成为企业环境内消费化浪潮的主要推动力,同时也保证了用户能够在个人生活中以更为强大的全新方式使用应用程序及信息。这无疑给IT部门带来了更大压力,要求其必须有能力为企业员工带来可以与技术供应商相媲美的出色使用体验。建议各位从业人士找机会与用户面对面交流,共同探讨对方的实际需求及喜好、从而确保自己的移动战略能够真正贴合他们的心意与预期。


    当大家努力提供卓越用户体验的同时,也请尝试寻找更多能够超出使用群体心理预期、甚至为其带来前所未见的高实用性方案的可能性。举例来说:


    允许用户在其使用的任意设备上访问应用程序及数据,并配合其个性化设置方案,这样他们才能以自己最熟悉的方式高效工作。


    允许用户在任何需要的应用程序中通过配备单点登录机制的企业应用程序商店使用自助式配置方案——包括托管、移动或者SaaS应用。


    提供共享式瘦客户端或者其它企业级设备,从而保证用户在发现自己的消费级设备出于安全要求而无法运行某些特定应用时、能够轻松快捷地通过切换解决问题。


    利用自动控制机制实现数据共享与管理,例如保证用户能够在不同应用程序之间实现数据复制,这样他们才不必刻意记忆具体管理政策。


    以各款应用程序为基础定义所允许的设备功能,这样用户能够在IT不得不关闭某些应用程序时、继续正常使用某些相关功能,例如打印、拍照以及本地数据存储。


    最大可能简化用户在不同设备之间进行文件共享与同步所需要执行的操作流程,另外通过发送链接实现与外部通信对象的文件共享。


    通过开发属于自己的移动战略方案并充分考虑到用户的协作需求,大家能够在切实满足对方需要的同时获得宝贵的安全保障机遇——即确保用户理解IT部门自身的管理要求,从而满足合规性条款,例如保护应用程序与数据、控制网络访问并对设备加以适当管理等。


    3. 避免旁侧回避


    旁侧回避可以说是摆在企业移动方案面前的最大难题:一位BYOD用户所使用的消费级设备可能需要涉及高敏感性企业数据并直接与云环境对接。但旁侧机制彻底回避了IT部门所部署的控制与可视化管理方案,而且可怕的是此类情况在当今企业中可谓屡见不鲜。当然,我们能够理解用户采取此类作法的理由。云应用程序能够帮助员工节约时间并大大简化工作执行流程,他们同时也可以借此为企业创造更为可观的收益。问题的核心在于,当云应用程序以错误的方式与企业敏感数据产生了交集,安全性与合规性要求也将瞬间沦为一纸空文。


    IT 管理政策与用户培训恐怕是目前惟一能够阻扼旁侧回避状况的方案——事实上,如果仅仅是IT部门明令禁止此类作法、但员工却将其视为完成工作的必要括,那么旁侧回避将永远不会彻底消失、而且IT部门甚至根本不会发现。在这种情况下,IT部门需要强制要求用户与其合作,特别是在涉及敏感性数据与应用程序的关键性领域。最好的激励性举措就是提供良好的用户体验,并以积极的设计成果满足员工需要、从而通过竞争方式将不受监管的备选方案排挤出去。


    4. 关注自己的服务交付策略


    移动用户往往同时依赖于多种不同应用程序类型——除了定制化移动应用之外,还包括第三方原生移动应用、移动化Windows应用以及SaaS解决方案等等。在开发自己的移动战略时,大家应当考虑到如何将企业当中员工与部门所使用的不同应用程序加以整合,并设计出合理的移动设备访问机制。


    用户一般通过以下四种方式利用移动设备实现应用程序访问:


    原生设备体验——在这类情况下,用户的设备处于完全未受管理状态。人们会购买自己的应用程序,能够自由将个人数据与业务信息相结合,并且通过任意网络进行日常操作。与前面提到的旁侧回避状况相似,这种作法存在极高风险且毫无安全性可言、因此应该被彻底消除出敏感数据的活动范畴。


    虚拟化访问体验——虚拟化应用程序与数据——必要时也包括虚拟桌面机制——由数据中心负责托管,并通过远程显示协议加以呈现。IT部门能够对访问活动加以管理,从而确保员工能够在移动平台上以高度安全方式运行Windows应用程序。全部数据完全不会超出数据中心控制范畴,这就大大减轻了设备本身对于数据保护的相关负担。不过这种方式对于网络连接存在高度依赖性,意味着限制了脱机使用场景的实现。


    容器化体验——企业在设备上为全部企业移动应用程序创建一套容器环境——其中包括定制化与第三方原生移动应用——而且不同应用拥有属于自己的隔离式容器载体。IT部门能够在对进入容器的应用程序及数据进行管理的同时,允许用户通过企业应用程序商店配置属于自己的应用方案。相关应用程序能够在IT管理政策的引导下以自动化方式进行更新、配置与修改。包括SSL、加密以及应用指定VPN在内的网络设置同样可以被包含在容器环境当中,从而保证员工以更为简单的方式通过正确途径进行联网。除此之外,一旦设备丢失、被盗、需要进行升级或者员工离职,此类容器能够以远程方式加以清除。


    全面管理企业体验——此类方案利用嵌入式管理政策对移动设备进行全面控制,其中包括远程数据清除、地理位置限制、数据失效以及其它安全性措施。所有移动应用都经过严格筛选并由IT部门负责配置,整个流程不存在任何个性化空间。尽管这种解决办法的安全效果最出色而且特别适合一部分机构及用例,但却会严重影响到用户体验而且无法与BYOD场景相兼容。


    对于大多数企业而言,将虚拟化访问与容器化体验相结合已经足以支持员工日常工作所需要的全部应用程序及用例。这也使得IT部门能够在提供理想用户体验的同时,保证其对于业务环境的监管与控制能力。用户可以通过统一化企业单点登录方式访问托管应用程序及原生移动应用——以及SaaS应用,例如Salesforce以及NetSuite。当某位员工离开企业时,IT部门能够立即禁用该员工的全部账户并移除其通过移动设备访问任何原生移动、托管及SaaS应用的权限。

[page]
    5. 以自动化方式实现预期目标


    自动化不仅能够降低IT日常工作的难度,同时也可以帮助大家提供更出色的使用体验。下面我们一起来看自动化在解决日常移动需求时带来的神奇效果:


    员工更换了丢失设备或者出于升级需求购买新设备。只需点击一条URL,全部与该员工相关的业务应用程序及工作信息都将直接同步到新设备之上——包括完整配置与个性化设定——并准备好应对日常工作。新员工或者外包商也能够享受到同样的便利,全部企业移动应用都被配置到任意由个人或者企业持有设备的容器环境当中。单点登录(简称SSO)机制则能够以无缝化方式实现对托管及SaaS应用的访问。


    当某位员工由当前位置前往其它位置、或者由当前网络转向其它网络环境,状态性自适应访问控制机制将自动对应用程序进行重新配置、从而保证执行流程的安全性水平——而且整个过程以透明化方式向用户呈现。


    董事会成员在出席会议时自带平板设备。全部与会议相关的文档内容将被自动载入到该设备当中,并根据IT作出的选定配置实现只读访问控制,同时根据需求为其提供限制性容器化应用。而在用户离开会议室之外,设备中的全部信息、特别是敏感性文档都会被自动清除。


    当员工在企业中的岗位发生变动时,与其新工作相关的应用会被自动部署到位、而不再相关的应用则被立即清除。第三方SaaS使用许可也将及时回收并进行再次分配。


    实现此类自动化管控机制的手段之一在于利用Active Directory。首先,将特定角色与对应的容器进行匹配。任何被定义为该角色的员工都将自动获得相关容器及全部应用程序、数据、设置以及权限。而在设备方面,大家可以利用MDM以集中化方式为其设置WiFi PIN码与密码、用户证书、双因素验证以及其它用于支持上述自动化流程的元素。


    6. 对网络进行明确定义


    不同应用程序及用例对于网络可能存在多种差异化要求,包括企业内网、微软SharePoint站点以及要求使用SSL验证的外部合作伙伴门户等等。在设备层面强制执行最高级别安全设置会给用户体验造成不必要的负面影响,而在另一方面,要求员工为每款应用程序选择不同的设置机制甚至有可能引发企业成员们的广泛抗议。


    通过针对特定容器或者应用程序采用独立设置定义并对网络进行锁定,大家能够在无需用户采取额外操作的前提下让每款应用使用与之相符的网络机制。员工能够直接点击应用程序并开始日常工作,而与安全相关的登录、接受凭证或者开启应用特定VPN等操作则能够在后台中根据管理政策自动完成。


    7. 将敏感数据视为高于一切的被保护对象


    在大多数企业当中,IT部门并不了解最为敏感的数据到底驻留于何方,因此往往会将全部数据都作为最高级别的受保护对象——这种作法效率极低而且会带来高昂的维护成本。移动技术的普及则为大家指出一条明路,即根据针对特定业务及安全性需求的分类模式为数据带来更具选择性的保护措施。


    很多企业会采用一套相对简单的分类模式,即将数据划分成三大类别——公开、保密以及受限——但也有一些企业会采取更为复杂的分类模式、即将所使用的设备及平台类型考虑进来,甚至将用户角色及使用位置作为附加验证因素。总而言之,我们可以通过以下方式实现简单的分类模式:


    不包含保密、隐私或者合规性影响因素的公开数据能够以不受限方式加以移动,并允许用户根据需要在任何位置通过任何设备随意使用。员工不需要通过企业基础设施使用此类公开数据——大家可以在针对独立应用的网络设置中进行配置,从而允许用户以便捷性为前提选择理想的接入网络。


    保密数据是指非公开且在遭遇泄露之后有可能引发风险的信息,因此需要以更高保护级别实现安全保障。在此类情况下,大家可以通过企业网络在BYOD或者消费级设备上交付虚拟化访问机制,同时在配合加密及远程数据清除等MDM功能的前提下允许企业级设备、或者通过专门针对恶劣条件下实现数据保护的任务级设备对此类内容进行全面移动访问。


    一部分企业可能认为基于容器环境的解决方案已经足以应对此类数据。在这种情况下,数据可以在任意移动设备上随时进行共享与同步——前提是其活动范围仅限于受到IT部门保护与控制的隔离式容器环境。


    受限数据可能导致巨大的合规性违背风险、企业信誉损害、业务利益影响以及其它负面后果,因此需要得到大家的高度重视。请确保只在任务级设备以及采用虚拟化访问机制的企业级设备上提供全面的数据移动访问权限。BYOD与其它消费级设备不应对其拥有任何访问权限,在某些情况下、大家甚至有必要将采用虚拟化及容器化方案的移动设备排除在外。


    前面提到的各类模式同时考虑到了数据定位与设备类型。大家可以还希望在安全管理政策中引入更为细化的划分标准,例如设备平台、使用位置以及用户角色等等。一部分企业以及大多数政府机构都会创建出规模更为庞大的细化数据分类方案,各类方案拥有属于自己的管理规则。


    通过在自有企业基础设施当中贯彻针对保密及受限数据的网络访问配置方案,大家能够随时掌握与之相关的各类信息,包括员工如何使用此类信息、当前数据敏感性模式以及移动控制政策的实际效果等等。


    8. 对角色与归属权进行明确划分


    在大家的企业中,哪些员工会使用归属于企业的移动设备?在大多数情况下,移动技术问题都会通过专门的针对性方案加以解决,通常由委员会从基础设施、网络以及应用程序的角度出发对IT功能予以监管。由于移动方案在企业中的战略性角色以及用户及IT需求所构成的复杂问题集合,我们的当务之急在于以移动为核心对组织结构、角色以及流程作出明确定义。员工应当了解谁该为移动方案负责,这些负责人又将如何跨越多种不同IT功能对其实施整体管理。


    而在移动设备本身方面,归属权问题也同样需要明确,特别是在那些移动方案与BYOD并行不悖的企业环境当中。大家的BYOD管理政策应该有能力切实解决全面管理、企业持有以及用户持有型设备在实际使用当中所存在的灰色过渡区域——举例来说:


    谁来为自带设备的数据备份事务负责?谁又该为此类设备提供技术支持及维护,并承担由此带来的资金成本?


    如果司法机构要求从个人持有的设备当中获取数据或者日志信息,该如何解决并实现这一要求?


    当员工将个人所有设备引入工作环境时,会给其中的私人内容带来怎样的影响?又该如何对隐私信息进行保护?


    用户与IT部门都应该了解自身的角色与职责所在,从而避免由此引发的种种误解。明确定义BYOD管理规划并获得参与者的签字确认,在此之后才能真正将个人设备带入日常工作。


    9. 在解决方案当中构建合规性机制


    在全球范围内,企业需要面对超过300项与安全及隐私保障相关的标准化条款、法律法规以及制度性要求,其具体控制举措更是超过3500条。当然仅仅满足这些要求恐怕还不够,大家也可以将自己的合规性与理想的可审计能力引入到解决方案当中。当然,我们最好不要在企业内部环境中构建完全独立于外界的一套自有管理体系。大家可能已经在内部网络领域解决了合规性挑战,而搞出独立管理方案所带来的衍生难题会让刚刚松了一口气的管理者再度陷入焦头烂额的境地。请确保自己的移动设备及平台能够以无缝化方式支持政府规定、行业标准以及企业安全政策中的合规性要求,其中包括基于政策及分类的访问控制与安全数据存储机制。我们的解决方案应当有能力提供完整的日志记录与报告信息,从而帮助自身快速高效——并且成功地——实现审计要求响应。


    10. 为物联网的全面来临做好准备


    不要单纯以当下的情况作为设定管理政策的依据——我们同时也需要关注未来几年中企业移动技术将呈现出怎样的发展趋势。以谷歌眼镜与智能手表为代表的可穿戴式技术将持续且进一步改变人们享用移动技术成果的方式,从而在不断催生新型用例的同时带来更加人性化的直观使用体验。联网载具——其中也包括无人驾驶汽车——将以全新方式利用数据与云服务,从而帮助用户以更为简便高效的方式实现使用目标。工业控制系统(简称ICS)也将把企业数据作为人力工作流程以及后台运作体系中的组成部分。此类发展趋势将进一步拓展移动技术所蕴藏的潜能,但同时也将给安全性、合规性、可管理性以及用户体验带来新的影响。


    关注目前行业内部对于上述新兴技术所进行的讨论,并以核心原则为基础设计属于自己的移动发展战略,并保证其能够适用于任何移动设备以及用例类型。通过这种方式,大家可以最大程度降低管理政策的变动频率并避免大量方案迭代给用户带来的困扰甚至是打击。


    总结陈词


    企业移动方案已经快速突破了固有部门及用例的束缚,开始转变为企业IT当中的基本组成元素。在大家逐步开发出自有企业移动实施战略的过程中,请务必确保其中考虑到了来自用户及IT部门两方面的全部实际需求。用户期待着能够以无缝化便捷方式通过任何移动设备对数据及应用程序加以访问,而且同时拥有比个人生活中所使用应用更为出色的用户体验。IT部门需要有能力为每种数据类型提供理想的控制、保护以及合规性管理级别,同时无需对员工所选择的工作方式强加不必要的限制性方案。通过在移动设备上推广行之有效的安全、应用程序以及数据访问模式及管理技术,大家将能够为企业建立起一套适应当下要求且放眼于未来发展的综合性企业移动战略。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:juchengadt

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。