隨著網(wǎng)絡(luò)互聯(lián)的興起,員工能否自攜設(shè)備進(jìn)行工作,對企業(yè)來說是一道嚴(yán)峻的考驗(yàn)。本期專家支招,力求保護(hù)員工移動設(shè)備和企業(yè)數(shù)據(jù)庫的安全。
從智能手機(jī)到筆記本電腦,具備上網(wǎng)功能的移動設(shè)備更新速度十分迅猛,它們的改朝換代迅速改變著消費(fèi)者的互動方式和專業(yè)人士開展業(yè)務(wù)的渠道。
但是,這種移動設(shè)備快速升級的現(xiàn)象引發(fā)了一系列諸如安全、便捷、生產(chǎn)效率和費(fèi)用等嚴(yán)重問題,特別是越來越多的公司開始考慮是否需要配置移動設(shè)備或允許員工自帶移動設(shè)備上班。Javelin戰(zhàn)略與研究中心的風(fēng)險、安全和詐騙分析師湯姆·威爾士(Tom Wills)認(rèn)為,問題沒有那么簡單。目前來講,不同公司對移動設(shè)備市場的看法不同,有些公司傾向于增加個人設(shè)備的使用,而有些則相反。
威爾士說:“不過,更多具有安全意識的組織趨向于裝備一套獨(dú)立的、可以局域鎖定的設(shè)備,如銀行和政府機(jī)構(gòu)。隨著基于公司發(fā)行的設(shè)備不斷出現(xiàn),我們可以實(shí)行一項(xiàng)政策,表示用戶沒有權(quán)利對設(shè)備上的信息進(jìn)行輸人、刪除或儲存!钡菃T工自己的設(shè)備能否在工作場合使用?這又是另一個問題。
用戶需求響應(yīng)
自2011年秋天發(fā)布了一項(xiàng)新的移動應(yīng)用政策后,特拉華州開始努力尋找企業(yè)關(guān)注點(diǎn)和員工靈活性之間的平衡。
該政策允許特拉華州的員工在開展與工作有關(guān)的交互時使用個人移動設(shè)備,比如接收和發(fā)送工作電郵。但前提條件是員工必須接受7條限制,其中一條是員工允許該州監(jiān)管等相關(guān)部門遠(yuǎn)程監(jiān)控他們的移動交互情況。
特拉華州首席安全官伊萊恩·斯塔基(Elayne Starkey)認(rèn)為,安全政策有助于規(guī)范企業(yè)的移動交互。因此,特拉華州針對移動設(shè)備制定了如下幾項(xiàng)管制:設(shè)置復(fù)雜密碼;如果設(shè)備被破壞或登錄失敗次數(shù)超過7次,遠(yuǎn)程取消;如果可能,設(shè)備加密。
斯塔基解釋道:“防范于未然,所以我們正在努力保證整個特拉華州網(wǎng)絡(luò)的數(shù)據(jù)安全并防止數(shù)據(jù)泄露和丟失!
阿拉巴馬大學(xué)已經(jīng)在伯明翰衛(wèi)生系統(tǒng)發(fā)現(xiàn)它自身正處于這種狀況。半年前,阿拉巴馬大學(xué)推出了_一種被稱為混合型的移動應(yīng)用模型,該模型混合了企業(yè)網(wǎng)絡(luò)和個人移動設(shè)備。該大學(xué)信息安全人員特雷爾·赫齊格(Terrell Herzig)說:“目前我們正在尋找端點(diǎn)安全!
員工自然是想要攜帶一臺便攜設(shè)備。但從阿拉巴馬大學(xué)的角度來看,與設(shè)備丟失、無法遠(yuǎn)程銷毀設(shè)備相比,相關(guān)的安全和法律問題可能比便捷更重要。
赫齊格說:“目前,我們正在尋找一種能夠設(shè)置安全控制的工具,這樣我們才能同時在企業(yè)模式里使用!辈贿^事情都有個底線,比如密碼保護(hù),還有員工與阿拉巴馬大學(xué)之間簽署的允許遠(yuǎn)程控制設(shè)備的協(xié)議等。
大多數(shù)員工只是想訪問公司的電子郵件,但也有一些希望有更深入的移動接入,比如讓他們的移動設(shè)備與企業(yè)數(shù)據(jù)庫同步,這涉及一個更大的安全問題。赫齊格表明:“在我們的政策里是不允許這樣的事情發(fā)生的。我們希望大多數(shù)的數(shù)據(jù)保持在服務(wù)器,而不是移動設(shè)備上。”
不過,Javelin研究室的執(zhí)行副總裁兼研究室主任瑪麗·莫納漢(Mary Monahan)認(rèn)為,對員工來說解決掉一些公司設(shè)置的限制很容易,這對企業(yè)來說是一個更為嚴(yán)重的安全問題。比如說,允許用戶從云里下載文件的Dropbox軟件,就可以輕易地繞開這些限制。
莫納漢說:‘鹼業(yè)應(yīng)該界定并限制可以存儲在移動設(shè)備上的數(shù)據(jù)類型,從而控制它們的泄露和其他不利條件!
強(qiáng)大的加密方式是降低風(fēng)險最有效的方法。
責(zé)任的轉(zhuǎn)變?
特拉華州和阿拉巴馬大學(xué)的例子表明目前許多公司面臨的困境。威爾士認(rèn)為,這是安全性和實(shí)用性之間的一個經(jīng)典權(quán)衡。
為了增加公司設(shè)備的安全性,你要么為個人和工作場所分別裝配一臺設(shè)備,要么允許攜帶個人設(shè)備辦公。威爾士認(rèn)為,嚴(yán)重削減設(shè)備的功能會刺激到其擁有者。
然而,安全必須放在首要位置,公司永遠(yuǎn)不能寄希望于員工自覺養(yǎng)成良好的安全習(xí)慣。威爾士補(bǔ)充道:“總是有很多人使用手機(jī)越獄,在后臺輸入他們的密碼,而當(dāng)新的補(bǔ)丁發(fā)出時卻無法更新自己的應(yīng)用程序!
還有一個問題,手機(jī)是一項(xiàng)獨(dú)特的技術(shù),唯一真正馴服它的實(shí)體是移動運(yùn)營商。這是一個有趣的難題,因?yàn)橐苿舆\(yùn)營商過去從來沒有關(guān)注過移動用戶和企業(yè)網(wǎng)絡(luò)之間的安全問題。
FatSkunk是一家密切關(guān)注手機(jī)在企業(yè)領(lǐng)域應(yīng)用演變的移動安全公司,它的首席執(zhí)行官和聯(lián)合創(chuàng)始人之一馬克·格朗克拉(MarkGrandcolas)說:“我們現(xiàn)在正處在一個十字路口!
傳統(tǒng)的操作系統(tǒng)補(bǔ)丁對保護(hù)PC的安全運(yùn)轉(zhuǎn)一直行之有效,但在移動設(shè)備上并不能得到很好的應(yīng)用。因此,移動運(yùn)營商不得不負(fù)責(zé)分發(fā)補(bǔ)丁'但它們并沒有設(shè)置分發(fā)補(bǔ)丁的網(wǎng)絡(luò)。馬克說:“這將會占用移動運(yùn)營商幾個月的時間來分配所有的補(bǔ)丁,所以他們不得不勻出—定的時間來處理此事!
此外,在移動設(shè)備上也很難檢測到惡意軟件。馬庫斯·雅格布松(Markus Jakobsson)博士認(rèn)為:“如果手機(jī)上時刻運(yùn)行著反病毒或惡意軟件檢測程序,將會非常耗費(fèi)電量。這是一個結(jié)構(gòu)性難題,現(xiàn)有模式在短時間內(nèi)是無法克服的!
一些新興的移動安全供應(yīng)商正在致力于為運(yùn)營商和企業(yè)研究解決方案?傮w而言,這些供應(yīng)商提供給企業(yè)的移動管理解決方案是,給它們提供一臺可以跟蹤員工手機(jī)和手機(jī)使用情況的軟件服務(wù)器。它們同樣給予企業(yè)遠(yuǎn)程配置的權(quán)限,而且當(dāng)移動設(shè)備損害或丟失時,允許企業(yè)自行消除。
移動管理技巧
隨著各公司發(fā)力移動設(shè)備,是否允許員工自己攜帶設(shè)備工作的問題就開始困擾企業(yè),以下是一些需要考慮的安全問題。
第一,規(guī)范移動選項(xiàng)。保衛(wèi)、支持、配置和更新大規(guī)模的移動設(shè)備是一項(xiàng)困難而且費(fèi)時的事晴。莫納漢認(rèn)為,指定標(biāo)準(zhǔn)移動設(shè)備或統(tǒng)—員工的設(shè)備很容易。他說:“假如沒有統(tǒng)一的標(biāo)準(zhǔn),很可能連管理員都不能準(zhǔn)確地知道公司內(nèi)部在使用哪些技術(shù)和軟件,從而導(dǎo)致其不能采取有效的措施來減輕各種網(wǎng)絡(luò)威脅!比绻y(tǒng)一設(shè)備標(biāo)準(zhǔn)不現(xiàn)實(shí),公司應(yīng)該采取分層的安全結(jié)構(gòu),這樣可以建立特定級別的訪問并支持特定的設(shè)備。
第二,制定和實(shí)施明確的政策。無論移動互聯(lián)是否通過試點(diǎn)給全體員工提供個人設(shè)備,一旦某個公司決定支持個人設(shè)備,那么它就必須針對數(shù)據(jù)和控制方面制訂嚴(yán)格的政策。赫齊格表示:“然后,組織需要對員工進(jìn)行培訓(xùn),幫助他們了解個人設(shè)備面臨的風(fēng)險,并且應(yīng)與員工簽署雙方均可接受的使用協(xié)議。”
第三,惡意軟件:建立備用計劃。隨著惡意軟件的猖獗,公司需要對能夠影響移動設(shè)備的特定應(yīng)用程序作出及時的反應(yīng)。移動運(yùn)營商并不能對受影響的移動設(shè)備作出及時的修正,所以公司必須確保有一套合適的備用方案,以便能夠在移動設(shè)備受到影響時第一時間切斷它們與網(wǎng)絡(luò)和數(shù)據(jù)庫之間的聯(lián)系。
第四,了解隱性成本。向員工提供移動設(shè)備的費(fèi)用是高昂的,但是公司不應(yīng)該迅速卷入讓員工“使用自帶設(shè)備工作”的浪潮。不要忽視后臺維修支持的成本,如果更多員工使用個人設(shè)備,這個費(fèi)用還將繼續(xù)增加。赫齊格解釋道:“如果員工使用的是一臺有問題的設(shè)備,他們其實(shí)并不知道到底是應(yīng)用程序還是軟件出現(xiàn)了故障。我認(rèn)為,公司的后臺網(wǎng)絡(luò)部門將最先收到他們的求助,而這將會產(chǎn)生一筆費(fèi)用。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:移動支付:如何對安全說YES
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083954239.html