智能手機、平板電腦、社交網(wǎng)絡和云服務目前非常流行,并且用處很大,同時它們也存在著安全風險。目前安全焦點在移動設備上,隨著這些設備被大量地用于處理公司信息,IT部門已經(jīng)無法再用管理公司PC的方式管理這些移動設備。因為,這些移動設備使用了不同的平臺,它們的安全能力也不盡相同,同時許多移動設備都是員工自己的。
問題不在于頻繁受到的黑客攻擊,以及安卓市場中泛濫的惡意軟件,在抵御黑客方面,移動設備的安全性要高于PC。問題在于不適當?shù)男畔⑹褂茫瑔T工有時會在無意中泄漏聯(lián)系人信息,無意中讓人們感到尷尬,無意中違反隱私規(guī)定,無意中忽略了自己的法規(guī)遵從性義務。盡管部分人會小心謹慎地使用它們,但是大部分人會不恰當?shù)厥褂盟鼈,關(guān)鍵是有人使用了它們。
這讓公司陷入到了一個不安的處境中。調(diào)查顯示,獲得技術(shù)授權(quán)的員工心情更為愉悅,工作效率更高,因此公司希望能夠從中獲得好處。不過,這些員工必須要保護他們的秘密,遵守相關(guān)規(guī)定。好消息是,雖然這些做法和工具剛剛出現(xiàn)不久,但是我們已經(jīng)找到了一些經(jīng)過驗證過的,并且行之有效的管理方法,這些方法可以在不損害消費化所帶來的優(yōu)勢的情況下降低這些做法和工具的風險。
對于移動設備,這些工具可以分為以下三大類:數(shù)據(jù)泄露防護、移動數(shù)據(jù)管理、移動應用管理。以下我們將為您詳細介紹這些工具的功能和提供商。
數(shù)據(jù)泄露防護
許多公司已經(jīng)在數(shù)據(jù)泄露防護(DLP)工具上投資了數(shù)百萬美元。這些工具可以通過文本分析和元標記對數(shù)據(jù)訪問權(quán)進行分類,然后監(jiān)視信息流(如電子郵件內(nèi)容)以查找有問題的數(shù)據(jù)類型。例如,社會保險號或被標記為公司秘密的文件。DLP工具通常被設置用于警告IT部門或用戶可能存在的問題,但是它們也可以設置為先阻止信息,然后再進行詢問。
DLP工具需要公司制定信息安全規(guī)定(通常與用戶角色相關(guān)),然后對進出企業(yè)的信息進行標記。DLP還需要將所有的信息流都匯聚至DLP服務器以確保這些信息都能夠被分析。
DLP工具并不是新東西,但是將它們應用于移動信息流中的這種作法卻是新的。以下幾種移動DLP方法。
讓所有的移動流量都流經(jīng)公司的DLP服務器,例如賽門鐵克的解決方案。
提供一個應用以訪問公司的信息庫,例如SharePoint。這一應用可以識別信息庫中文件所設置的訪問權(quán)限。Zenprise的解決方案為一個針對SharePoint的工具,當然許多云存儲提供商(如Accellion、Box.net、Dropbox和YouSendIt)均提供了可由IT部門管理的云存儲服務。
利用由Good Technology、MobileIron和SAP Sybase等公司提供的API在應用程序中加入內(nèi)容管理。目前被稱為移動應用管理的相關(guān)技術(shù)領(lǐng)域已經(jīng)延伸至了內(nèi)容管理。
移動設備管理
如果說2011年是自帶設備(BYOD)現(xiàn)象合法化之年,那么2011年就是移動設備管理(MDM)工具被允許作為BYOD安全防護措施之年。目前有許多廠商提供MDM工具并不讓人感到意外。
目前,MDM工具已經(jīng)被部署在金融服務、國防、政府和醫(yī)療環(huán)境中。這些領(lǐng)域都十分關(guān)注信息安全。不過,MDM并不是新鮮事物,企業(yè)使用多年的黑莓企業(yè)服務器(BES)就是MDM。通過BES,企業(yè)可以管理訪問權(quán)和黑莓信息設備的設備許可權(quán)。微軟Exchange是使用最為廣泛的電子郵件服務器,其也支持通過Exchange ActiveSync(EAS)協(xié)議設置適當?shù)牟呗浴?/P>
EAS策略能夠命令設備加密、設置復雜密碼或屏蔽設備攝像頭。IT部門在Exchange或谷歌Apps企業(yè)版中管理這些策略。不久,微軟的System Center 2012也將擁有這種能力。這種電子郵件服務器與企業(yè)識別服務器(通常為微軟的Active Directory)結(jié)合可確定哪些策略適用用哪些用戶。如果用戶設備不符合用戶相關(guān)規(guī)定,那么設備被拒絕部分或所有的訪問。這些服務器還可以讓IT部門遠程鎖定或刪除遺失或被竊設備中的內(nèi)容。
蘋果iOS、已經(jīng)淘汰的Windows Mobile、部分版本的谷歌安卓、部分版本的諾基亞塞班等移動平臺都支持大量EAS策略。與此同時,Windows PC的微軟Outlook電子郵件客戶端、Mac OS X的Mac和蘋果Mail客戶端也具有這種能力。相反,微軟新推出的Windows Phone 7、部分版本的谷歌安卓和已經(jīng)淘汰的惠普WebOS等移動平臺僅支持有限的EAS策略。(RIM的黑莓設備通過BES產(chǎn)品和連接器實現(xiàn)這一功能,也可以與微軟Exchange和谷歌Apps在一定程度上實現(xiàn)這一功能。)
大多數(shù)MDM廠商的產(chǎn)品在功能上超過了Exchange和其它郵件服務器所能提供的功能,增加了對移動操作系統(tǒng)可能支持的非EAS策略的訪問權(quán)。例如,蘋果iOS 5有一個可以讓IT部門退訂其iCloud文件同步服務的策略。
一些MDM廠商除了在多種移動平臺中部署額外的策略外,還進一步開發(fā)出了一些功能,如探測經(jīng)過修改(“越獄”)的操作系統(tǒng)。這樣,用戶能夠在其中運行他們的移動應用和本地應用。在這個應用“容器”內(nèi)的任何東西都必須遵守MDM廠商制定的特殊策略,在用戶的設備中為IT部門形成了一個安全區(qū)。(這些應用能夠設置為不與安全區(qū)外共享信息,其實就是將公司信息與設備的其它部分隔離開來。)部分MDM廠商還提供一些功能,這些功能能夠為移動用戶提供桌面支持,控制通信開銷,如在員工的移動設備處于國際漫游狀態(tài)時對員工進行提醒。
MDM廠商和相關(guān)的IT部門所面臨的挑戰(zhàn)是因為不同的移動平臺有著不同的功能,不可能通過一個統(tǒng)一的管理方法管理所有的設備。MDM廠商在這些平臺變化時很難時刻跟上它們的功能變化,但是IT部門仍必須要面對一個現(xiàn)實情況,即他們可能需要在策略需求上保持一定的靈性,以支持最為流行的商業(yè)級設備。在支持iOS設備當中出現(xiàn)了一個解決辦法:蘋果需要公司從蘋果那里得到他們自己的蘋果推送通知服務(APNS)證書,以授權(quán)進行MDM管理。這一證書將代你給予MDM工具許可,讓其通過蘋果的通知服務器訪問iOS設備。
一個相關(guān)的解決辦法是使用網(wǎng)絡訪問控制探測移動訪問并對該訪問執(zhí)行相關(guān)的用戶策略。例如,F(xiàn)5 Networks已經(jīng)與多家MDM公司(AirWatch、MobileIron、SilverbackMDM和Zenprise)展開合作,讓他們各自的管理工具能夠共同工作。Aruba Networks計劃在3月份推出一款基于移動設備專用網(wǎng)絡控制器的訪問管理產(chǎn)品,其能夠監(jiān)控設備訪問,并對這些訪問執(zhí)行相關(guān)的策略,滿足關(guān)鍵移動管理需求的主要廠商。
移動應用管理
在控制移動信息訪問方面,移動應用管理(MAM)領(lǐng)域發(fā)展尚不成熟。目前該領(lǐng)域包括多種類型的方案:
應用分發(fā),例如通過公司的應用商店。這種方案主要把重點放在了管理本地Web和原生應用的分發(fā)和許可上,不過它還能夠為用戶提供公共應用商店中推薦應用的鏈接。部分方案還能夠管理公司為內(nèi)部使用所開發(fā)的原生iOS應用。
安全應用開發(fā),為本地應用內(nèi)容和公司網(wǎng)絡資源訪問增加安全與許可控制。該方案通常是一個管理控制臺,允許IT部門使用內(nèi)置的控制權(quán)。
應用內(nèi)容管理,例如限制應用與其它應用共享授權(quán)的內(nèi)容。盡管在一些案例中,商業(yè)應用開發(fā)者也可以使用這種方案與管理工具進行協(xié)作,但是這種方案重點還是本地應用。 這一領(lǐng)域廠商Nukona采用了將權(quán)限設置在應用周邊這種不尋常的解決方案,而不是需要應用的內(nèi)部代碼以執(zhí)行相關(guān)策略——這有點類似DLP封裝。其它一些提供商采取的解決方案是依靠在應用代碼內(nèi)部明確指定策略。
安全應用容器,即創(chuàng)建一個獨立的分區(qū)、應用容器或虛擬機將公司應用與數(shù)據(jù)與個人應用與數(shù)據(jù)了隔離起來。除了通過技術(shù)確保幾個特定應用中的數(shù)據(jù)安全外,這種方案允許在容器內(nèi)的應用之間更為自由的使用數(shù)據(jù)。這一方案不同于使用虛擬桌面基礎(chǔ)設施(VDI)在窗口中呈現(xiàn)遠程應用。例如,Citrix Receiver 和VMware View等應用除了鍵盤和虛擬鼠標外,幾乎沒有訪問移動設備的信息或功能的權(quán)限。相關(guān)的解決方案是在移動設備中創(chuàng)建獨立的分區(qū)——一個分區(qū)用于存儲個人應用和數(shù)據(jù),另外的分區(qū)用于存儲可由IT部門管理的業(yè)務應用和數(shù)據(jù)。
目前MAM解決方案面臨的困難是,它們通常都是針對特定的應用。這使得它們在本地開發(fā)的應用中受到歡迎,不過許多廠商已經(jīng)開始與商業(yè)開發(fā)者共同工作,以內(nèi)置他們的技術(shù)。隨著時間的發(fā)展,我們可能會看到更多用戶安裝程序支持這類應用和內(nèi)容管理。商業(yè)開發(fā)者仍然需要選取一個API和一個廠商,或在他們的應用中使用多個API,不過這將增加了方案的復雜性。
真正需要的當然是一套常用的內(nèi)容管理API,所有的應用都能夠使用任何管理工具,類似于目前設備管理中的微軟EAS協(xié)議。在EAS中,廠商能夠通過增強功能為獨立的應用需求增加核心策略,商業(yè)開發(fā)者能夠決定使用這些增強功能的時機,例如訪問高安全性市場。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領(lǐng)域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:CIO如何應對移動風險
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112181956.html