10招完成企业移动安全部署

来源 :计算机世界 | 被引量 : 0次 | 上传用户:Play_pig
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  移动技术和自带设备(BYOD)正在改变人们工作的方式。智能手机和平板电脑不仅像传统电脑那样能够访问、存储及传输应用程序和数据,还能够参与几乎任何一种企业任务。企业移动技术已不仅限于特定的小组和使用场合,它成为了企业IT的一个基本要素。
  企业制定企业移动战略时,需要考虑到普通员工和IT部门的全部需求。员工期望可以无缝便捷地访问所使用的任何设备上的数据和应用程序,用户体验比他们在个人生活中习惯使用的还要出色。IT部门需要能够为各种类型的数据提供合适的控制、保护和合规级别,又不需要对员工选择的工作方式施加不必要的限制。
  企业在制定企业移动战略时需要考虑十大关键因素,包括安全、用户体验、IT运营和BYOD。
  招式一
  管理和保护重要数据
  由于人们访问多个设备上的数据和应用程序——包括个人拥有的智能手机和平板电脑,IT部门企图控制和管理IT环境的方方面面已经变得不切合实际。相反,应当关注对企业来说最重要的内容,然后选择最适合企业和移动使用场合的移动管理模式。有4种模式可供选择,既可以单独使用,也可以组合使用。
  移动设备管理(MDM)。MDM让企业可以管理和控制访问企业资源的移动设备。无论是企业拥有的设备还是个人设备,在访问企业网络之前,可以检查设备是否遭到其他方面的威胁。加密、远程锁定及擦除、移动VPN、应用程序黑名单以及选择性地禁用原生设备功能这种功能,共同提高安全级别。
  移动虚拟机管理程序和容器。这种模式特别适用于支持BYOD,让企业以在设备上的容器里面管理应用程序、数据、策略和设置,不用操心可能含有的任何个人内容。实际上,单单一个移动设备成了两个单独的虚拟设备:一个用于工作,另一个用于个人生活。
  移动应用程序管理(MAM)。MAM建立在容器方法的基础上,让企业可以为任何移动应用程序及作为容器一部分的数据和设置做好集中式管理、安全和控制。应用程序层面的策略可能包括验证、网络、位置、密码和加密。
  应用程序和桌面虚拟化。虚拟化技术的固有安全性同样适用于移动使用场合。企业应用程序可针对移动设备进行优化,并根据需要来交付,而数据在数据中心里面受到保护。
  招式二
  首先考虑“用户体验”
  移动设备为员工提供了在个人生活中使用应用程序和信息的新方式,但这给IT部门加大了压力,IT部门现在必须提供一种自由和便携都不输给消费级技术的体验。企业在努力提供一种出色的用户体验时,要想方设法给员工带去惊喜,并提供他们可能还没有想到的实用功能。
  比如,可允许员工使用自备设备上的应用程序和数据,还要有个性化设置,那样他们就能马上开始工作。
  借助采用单次登录技术的企业应用程序商店,让员工可以实现自助式配置,获取所需的任何应用程序:托管、移动或SaaS(软件即服务)等应用程序。
  提供共享式瘦客户机或其他企业级设备,那样员工发现某些应用程序在消费级设备上出于安全要求而无法使用时,可以轻松换成这些设备。
  使数据共享和管理方面的控制实现自动化,比如应用程序之间拷贝数据的功能,那样员工没必要记住特定的策略。
  如果企业在制定移动战略时恪守与用户合作这个理念,就能更好地满足员工的需求,同时获得宝贵的机会,设定合理的预期目标,并确保员工明白IT部门自身的需求即确保合规,比如需要保护应用程序和数据、控制网络访问以及适当地管理设备。
  招式三
  避免借道绕开
  借道绕开给企业移动技术带来了最糟糕的情形:BYOD用户手里的消费级设备含有敏感的企业数据,直接接入到云端。这种做法完全绕开了IT部门的控制和视线,这可怕的一幕在如今的企业中屡见不鲜。当然,这么做有充分的理由。云应用程序能帮助员工节省时间,更容易完成工作,它们还能为企业创造价值。可要是云应用程序滥用企业的敏感数据,危及安全和规定,问题也就接踵而至。
  实际上,如果某技术是满足员工要求的最佳办法,IT部门又似乎不太可能察觉,那它在员工当中会有市场。因而有必要鼓励员工与IT部门合作,并使用IT的基础设施,敏感数据和应用程序更是如此。最好的激励就是出色的用户体验,积极主动地提供,旨在比不受监管的替代方案更好地满足员工的要求。
  招式四
  关注服务交付战略
  移动用户依赖多种多样的应用程序,不仅有自定义的移动应用程序,还有第三方原生移动应用程序、移动化Windows应用程序和SaaS解决方案。在制定移动战略时,企业应考虑清楚员工和小组使用的应用程序组合,以及应该如何在移动设备上访问。
  员工访问移动设备上的应用程序的方式有以下4种。
  原生设备体验。在这种场景下,用户的设备完全不受管理。员工自行购买应用程序,可随意将企业数据与个人数据混合起来,通过任何网络来工作。与前面提到的借道绕开一样,这种做法面临高风险,毫无安全性可言,因而绝不允许用于敏感数据。
  虚拟化访问体验。虚拟桌面、虚拟应用程序和数据托管在数据中心,通过一种远程显示协议来呈现。IT部门管理访问,确保全面安全,同时让员工可以在移动平台上运行Windows应用程序。数据绝不会离开数据中心,那样不需要设备端数据保护。这种方法确实依赖网络连接,因而限制了离线使用场景。
  容器化体验。企业在设备上建立一个容器,企业的所有移动应用程序(包括自定义和第三方的原生移动应用程序)将与其他内容分隔开来。IT部门可以管理进入容器的应用程序和数据,同时允许用户通过企业应用程序商店配置自己的应用程序。可以根据IT策略,自动更新、配置和改动应用程序。SSL、加密和针对特定应用程序的VPN等网络设置同样可以添加到容器中,让员工可以在任何环境下以合适的方式轻松连接。万一设备丢失、被盗、升级或者员工离职,还可以远程擦除容器中的内容。   全面管理的企业体验。这种方法方案借助嵌入式策略对移动设备进行全面控制,这些策略涉及远程擦除、地域限制、数据到期及其他安全措施。所有移动应用程序都由IT部门明确选择和配置,无法进行个性化。虽然这种方法高度安全,适合一些企业和使用场合,可是带来了用户体验受到限制、与BYOD不兼容等缺点。
  对于大多数企业来说,虚拟化访问和容器化体验的结合将支持员工依赖的一整套应用程序和使用场合。这让IT部门可以在提供出色用户体验的同时,保持可见度和控制度。员工可以通过统一的企业单次登录技术,访问托管的应用程序和原生移动应用程序以及SaaS应用程序,比如Salesforce和NetSuite。员工离开企业后,IT部门立马就能注销该员工的帐户,禁止访问其设备上使用的所有原生移动应用程序、托管应用程序和SaaS应用程序。
  招式五
  自动获得预期结果
  自动化不仅可以为IT部门简化工作,还能提供更出色的体验。不妨看一看自动化在满足下列常见的移动要求方面起到的作用:
  员工更换丢失的设备或者升级成新设备。只要点击一个URL,该员工的所有企业应用程序和工作信息都出现在新设备上,全面进行了配置和个性化,可准备随时工作。新员工或合同工可以同样轻松地上岗,所有的企业移动应用程序被配置到任何个人或企业拥有的设备上的容器中。单次登录(SSO)能够顺畅地访问托管应用程序和SaaS应用程序。
  员工从一个地方移到另一个地方、从一个网络移到另一个网络时,可感知环境的自适应访问控制机制可自动重新配置应用程序,确保适当的安全性。
  董事会成员手持平板电脑来开会。会议需要的所有文档都自动装入到设备上,设备由IT部门做了选择性配置,以便只能读取文档,需要的话只能访问容器中的应用程序。特别敏感的文档可以设置成董事会成员一离开会议室,就自动从设备上消失。
  员工在企业的角色发生变化后,当前岗位所需的相关应用程序就会自动到位,而不再需要的应用程序就会消失。第三方SaaS许可证将立即收回,用于再次分配。
  执行这种自动化的方法之一是借助活动目录。首先,将特定角色与相应容器关联起来。任何被赋予该角色的员工都将自动获得容器及与之相关的所有应用程序、数据、设置和权限。而在设备本身上面,可以根据需要,使用MDM来集中设置无线PIN和密码、用户证书、双因子验证以及其他安全机制,以便支持这些自动化流程。
  招式六
  明确定义网络
  不同的应用程序和使用场合对网络可能会有不同的要求,从内联网或微软SharePoint站点,到外部合作伙伴的门户网站,再到需要相互SSL验证的敏感应用程序,不一而足。在设备层面执行最高级别的安全设置会给用户体验造成不必要的负面影响;另一方面,要求员工为每个应用程序选择不同的设置甚至更招人讨厌。
  通过将网络锁定在特定的容器或应用程序,并为每个容器或应用程序定义不同的设置,就能让网络满足每个用户的特定需要,又不要求用户采取额外的步骤。员工只要点击应用程序,就可以开始工作,而登录、接受证书或打开针对特定应用程序的VPN等任务则在后台自动执行。
  招式七
  优先保护敏感数据
  在许多企业,IT部门不知道最敏感的数据位于何处,只好将所有数据都当作同等重要的对象来保护。这种作法效率低、成本高。移动技术提供了一种机会,让企业可以根据一种满足该企业独特情况和安全要求的分类模式,更有选择性地保护数据。
  许多公司采用一种相对简单的分类模式,将数据分成三类:公开数据、机密数据和受限制数据。
  对于不涉及机密、隐私或合规等影响的公开数据,具有不受限制的数据移动性,可在任何地方、任何设备上不受限制地使用。员工不需要通过企业基础设施来工作,企业可以配置针对特定应用程序的网络设置,允许员工以最方便的方式进行连接。
  机密数据本身就不公开,但万一泄密,会带来一定的风险,需要较高的保护级别。这种情况下,可以通过企业网络,在BYOD或消费级设备上提供虚拟化访问,同时只允许全面的数据移动性适用于拥有加密和远程擦除等MDM功能的企业级设备,或者为了在凶险的环境下保护数据而专门设计的任务级设备。
  受限制数据泄露会带来违规、声誉受损、业务损失及其他重大影响,应该引起最大关注。全面的数据移动性应局限于任务级数据,允许企业级设备上有虚拟化访问。BYOD及其他消费级设备根本不应该被授予访问权,或者予以认真审查和考虑,以便在某些情况下使用虚拟化和基于容器的方法。
  除了数据分类和设备类型。企业在制定安全策略时还要考虑另外的问题,比如设备平台、位置和用户角色。
  招式八
  明确角色和所有权
  企业中谁将拥有企业移动技术?在大多数公司,移动技术继续通过临时的方法来予以处理,常常由监管基础设施、网络和应用程序等IT职能的委员会负责处理。考虑到移动技术在企业中的战略性角色,以及复杂的用户和IT需求需要处理,明确定义移动技术方面的组织结构、角色和流程显得至关重要。员工应了解谁为移动技术负责,他们将如何跨不同的IT职能部门全面管理移动技术。
  说到移动设备本身,所有权也同样需要明确,在移动技术与BYOD相辅相成的企业尤为如此。企业的BYOD政策应处理好全面管理、企业拥有的企业与完全供个人使用的用户拥有的设备之间的灰色地带,比如:谁为自带设备的备份负责?谁为该设备提供支持和维护,费用由谁掏?如果司法机构要求从个人拥有的设备获取数据或日志,该如何处理证据出示事宜?有人使用同一个设备用于工作时,会给个人内容的隐私带来什么影响?
  用户和IT部门都应该明白自身的角色和职责,以免误解。明确定义BYOD计划,并让参与者在开始使用个人设备用于工作之前签字确认。
  招式九
  让解决方案考虑到合规要求
  纵观全球,企业面临300多个与安全和隐私相关的标准、法规和法律,有3500多个具体的控制措施。仅仅满足这些要求还不够,企业还要能够将自己的合规情况记入文档,以便拥有全面的可审计性。企业最不希望看到的就是任由企业移动技术带来一个艰巨的新问题有待解决。确保企业制定的的移动设备和平台解决方案遵守政府规定、行业标准和企业安全政策,从基于政策和基于分类的访问控制,到安全数据存储,不一而足。企业的BYOD解决方案应当提供完整的日志和报告功能,帮助迅速、高效、成功地应对审计。
  招式十
  为物联网做好准备
  不要光为今天制定政策,更要预判企业移动技术在未来几年会是什么样。谷歌眼镜和智能手表等可穿戴式技术会继续改变人们使用移动技术的方式,提供一种更人性化的、直观的体验,同时能支持新的使用场合。联网汽车(包括无人驾驶汽车)将以新的方式使用数据和云服务,从而帮助人们更轻松、更高效地抵达目的地。工业控制系统(ICS)将在幕后以及作为人类工作流程的一部分,使用和交换企业数据。此类发展会继续扩大移动技术的潜能,但它们也会给安全、合规、可管理性和用户体验带来新的影响。
其他文献
如何将海量、复杂的数据的存储、处理和保护的成本降至最低,同时还能对此进行实时或准实时的处理、秒级的查询需求响应以及智能、深入的分析,是大数据时代摆在我们面前的一道难题。  就数据集的规模、多样化程度和增长速度而言,医疗机构最能感受到大数据带来的挑战。寻常一张CT扫描图像,就含有约150MB的数据;一个基因组序列文件大小约为750MB;标准的病理图的数据量则大得多,要接近5GB。如果将这些数据量乘以
在今年年初,中央网络信息安全和信息化领导小组成立的第一次会议上,习近平总书记在重要讲话中提到,“没有网络安全就没有国家安全”,需要把网络安全和国家安全非常紧密地联系起来。“信息安全问题已经成为我们国家发展中的一个非常重大的问题,”工业和信息化部软件司司长陈伟在参加安全可靠电子政务产业发展战略联盟成立大会时发言说。  其实,自“十二五规划”开局以来,我国已经先后启动了多项信息领域重大专项和“核高基专
种种迹象表明,2015年对于WiGig来说将是一个重要的发展时刻。  WiGig技术所具有的优势以及标准的兼容性,使其未来发展前景可期待。  在今年1月的CES上,高通展示了基于WiGig(Wireless Gigabit,无线千兆比特)技术的无线路由器,称产品将于年内上市。此前,高通推出的最新骁龙移动处理器也提供对WiGig的支持。高通称,首批搭载骁龙810处理器的终端设备有望于2015年年中面
数字商业时代,电信网络从IP化走向“全面云化”,未来的网络是构建在以数据中心为基础的网络上。那么,上不碰内容、下不碰数据的华为云可以做什么?  Papi酱直播带来的是2000万峰值用户,8000万累计播放次数,1.2亿次赞,火爆的背后考验的是端到端的资源实时调度能力,高并发下的视频体验保障;  AR游戏Pokemon Go一举获得Android和iOS市场免费榜和收入榜冠军,用户活跃度超过Face
今年的RSA大会,特别强调了“运用集体智慧”。不管是信息安全领域还是其他领域,人们强调集体与协作,就意味着对手非常复杂、非常强大。显然,在互联网化的趋势下,信息安全成为每个人身边越来越严峻的挑战。  四项原则  大会上,EMC公司执行副总裁兼EMC信息安全事业部RSA执行主席亚瑟·科维洛发表了开幕主题演讲。他就互联网上的网络战争、监控、隐私、互信等重要问题,极富激情地呼吁各国政府及行业间要增强合作
摩托罗拉移动换标  本报讯 6月27日,全新的摩托罗拉移动LOGO曝光,相比之前的LOGO,新LOGO更漂亮、更柔和。尽管著名的“M”字母仍然存在,但是新LOGO和之前的单色设计风格已大相径庭,丰富的色彩让新LOGO看上去更具活力。而从图标下的标语可以看出,目前摩托罗拉移动是属于谷歌的。据悉,这个标志将在芝加哥科技周上正式亮相。  北京邮电大学举办行业信息化论坛  本报讯 近日,北京邮电大学经济管
什么是信令心跳,信令风暴又怎样产生?中国移动为何偏偏拿微信开刀?Apple和Google同样产生大量信令,为何中国移动没有对其下手?难道真如业界猜测,“中国移动专捡软柿子捏”?  详解心跳周期  “中国移动并非一开始就对微信态度强硬。直到微信用户上升到3亿多,我们内部确实感到很大压力,因为微信产生的信令风暴对中国移动的网络产生冲击,甚至影响到部分地区的通话质量。”一位中国移动内部员工在接受本报记者
华为正在向着“软硬兼施”的目标前进。近日,华为正式推出了FusionSphere5.0这款基于OpenStack架构的云操作系统。华为方面对于这一最新版本的FusionSphere寄予了很高的期望,以至官方新闻稿将其形容为“云计算的灵魂”。  FusionSphere是华为在云计算方面很成功的一款产品。官方统计称,目前已经有超过50万个虚拟机运行在华为FusionSphere产品上。相较以往版本,
如何充分挖掘产业物联网的潜在机遇,应对挑战,使新技术真正地为企业创造价值,是中国企业在新工业时代亟待解决的问题。  近日,埃森哲发布的最新研究报告从以下两点分析未来企业利用产业物联网技术的成功之道。第一,提升产量并打造新的“产品 服务”的混合商业模式以增加企业营收;第二,利用智能技术推动企业创新,以及推动人才队伍转型。  的确,转型的关键是提供涵盖信息、事务和专业性服务的数字化服务。目前已经有一些
网络通信的技术方向由谁来左右,是标准组织、厂商还是科研机构?在今天,用户在技术方面已经占据了更多主动权,诞生于园区网络之中的SDN和由运营商所倡导的NFV技术,就是对这一观点的最好诠释。  因此,博科在近期发布Vyatta平台的同时,还重点强调了其在开放方面的努力:积极加入ONF、OpenDaylight以及ETSI(欧洲电信标准协会)等组织、成立由多个运营商及云计算厂商组成的客户委员会,同时展开