论文部分内容阅读
尽管有69%的企业都会允许员工的个人设备连接到办公网络,但是,仍然有21%的企业并没有在企业网络上管理员工使用个人移动设备的策略,这一数字超过了所有接受调查样本的1/5。
安全产品公司Courion最近所公布的这一调查数据清晰地表明,许多安全主管仍然无视员工移动设备所带来的安全问题。
安全研究公司IANS研究和服务交付部门高级副总裁Chris Silva认为,要想避免个人移动设备所带来的固有风险,最重要步骤就是要制定出移动设备的安全策略。
“BYOD(自带设备办公)的关键并不是你用了哪家厂商的管控产品,而是具体的策略。我们不能简单粗暴地只是禁止某些设备,而是要根据谁在使用什么设备,以及利用设备在做什么事来区别对待。”Silva说。
那么,全面的移动安全策略应包括哪些方面?Silva认为这其中主要包括三个部分:明确定义用户的风险状况、什么样的设备可以得到支持以及规定设备允许访问的资源。他表示,企业制定自己的移动设备安全策略时,应考虑专家建议的这些问题。
支持哪些移动设备?
BYOD并非某个人、某家组织或者某个厂商推出的营销方案,而是由实际应用所驱动的。我们可以看到,越来越多的员工都开始在办公室使用自己的设备。Silva建议,企业应该放开对移动平台的支持。
如果你只有一台针对黑莓系统的服务器,那么如今还这么做就有点太落伍了。在智能终端普及的今天,企业应该添加支持多种不同移动操作系统的平台。“这至少可以保证员工的设备大部分都可以得到兼容。”Silva表示。
尽管支持多种平台可能很重要,不过,企业还是应该明确向员工规定,哪些设备可以接入办公网络、哪些设备不允许接入。很多企业都会犯这样一个错误:试图顾及员工想使用的任何一种个人设备和平台。这样一来,IT安全部门根本不可能完成支持这些设备的任务。
“IT安全部门只能确保一小部分平台安全。”Silva说,“他们没办法对几十种设备做出适配。同时,制定一个统一策略也不可能对所有平台都适用。”
有些员工可能不喜欢被告知哪些能用、哪些不能用,Silva建议,至少在设备的年限和功能方面有一些最低标准。他表示说:“需要确保员工使用的是最新、最好的设备,因为会制订出比较好的安全控制措施。比如说,你可以决定对iPhone 3G产品之前生产的任何苹果设备不再提供支持。要知道,此前的任何苹果设备都不支持设备级加密。”
如何访问信息?
我们是要将信息存储在设备上,还是存放在需要远程访问的数据中心?显然,这对某些企业来说是个重要问题,而其重要程度取决于合规以及受监管的力度。
“很多企业都有这样的要求:我们希望员工的iPad能够显示整个桌面以利于办公,但是受到合规和监管规定,又不能在其上存储任何信息。”Silva表示。他认为,这样的企业对于移动设备的要求只是一种浏览平台,而不是信息处理平台。
因此,对于企业来说,存储信息的每个设备都需要遵守合规要求。企业需要在这方面多加考虑。
怎样划分权限控制?
Silva表示,可以考虑根据员工的角色和职权来部署安全策略。这意味着,企业的BYOD策略要做到让不同类型的员工从不同设备上访问不同级别的信息。
“假设某企业有四种不同的员工角色,其中之一的信息泄漏风险很高。那么我相信任何企业都不希望这类员工用移动设备来处理除了打电话、发短信之外的事务。企业应该通过策略梳理出这类员工的特征,并且将这类员工分组标明,同时划定相应的安全控制措施来和那些特性相匹配。”Silva说。
明确定义每一种风险状况,能够让安全部门更容易应对和处理员工的移动设备,让他们知道可以用设备来做什么、不可以做什么。“这能够在某种程度上消除主观因素。”Silva说。
怎样才能积极主动?
如果某天有50个员工突然来找到IT部门,并且要求使用iPad,那么在这种仓促情况下制定出的安全策略很可能不尽如人意。因此,IT部门需要对未来趋势做出展望。
Silva提到了两年前的圣诞节,在当时,有一款经过了长期炒作的安卓设备即将投向市场。
“安全管理人员需要预先在思想上有所准备:当员工过完圣诞节回来工作时,会有许多人要求使用安卓设备。明智的IT部门会把事情安排得井井有条,并对安卓的安全问题提前做好准备,以便员工可以有条不紊地使用他们的新设备。”
何时对员工说不?
要想达到企业安全,相关策略一定要对某些要求说不。这在注重合规的企业至关重要。
“比如,对于证券公司来说,你不能让交易员在他们自己的个人设备上执行交易。对这些员工需要有一定程度的约束和控制。”Silva认为。
如今,有越来越多的公司开始采用虚拟化技术,以保证在让员工能够正常访问信息和应用程序的同时,不会在本地存储信息。
如果企业必须要阻止员工使用移动设备的话,虚拟化技术将会有其用武之地。其为那些需遵守合规要求的行业带来了大好机会。
安全产品公司Courion最近所公布的这一调查数据清晰地表明,许多安全主管仍然无视员工移动设备所带来的安全问题。
安全研究公司IANS研究和服务交付部门高级副总裁Chris Silva认为,要想避免个人移动设备所带来的固有风险,最重要步骤就是要制定出移动设备的安全策略。
“BYOD(自带设备办公)的关键并不是你用了哪家厂商的管控产品,而是具体的策略。我们不能简单粗暴地只是禁止某些设备,而是要根据谁在使用什么设备,以及利用设备在做什么事来区别对待。”Silva说。
那么,全面的移动安全策略应包括哪些方面?Silva认为这其中主要包括三个部分:明确定义用户的风险状况、什么样的设备可以得到支持以及规定设备允许访问的资源。他表示,企业制定自己的移动设备安全策略时,应考虑专家建议的这些问题。
支持哪些移动设备?
BYOD并非某个人、某家组织或者某个厂商推出的营销方案,而是由实际应用所驱动的。我们可以看到,越来越多的员工都开始在办公室使用自己的设备。Silva建议,企业应该放开对移动平台的支持。
如果你只有一台针对黑莓系统的服务器,那么如今还这么做就有点太落伍了。在智能终端普及的今天,企业应该添加支持多种不同移动操作系统的平台。“这至少可以保证员工的设备大部分都可以得到兼容。”Silva表示。
尽管支持多种平台可能很重要,不过,企业还是应该明确向员工规定,哪些设备可以接入办公网络、哪些设备不允许接入。很多企业都会犯这样一个错误:试图顾及员工想使用的任何一种个人设备和平台。这样一来,IT安全部门根本不可能完成支持这些设备的任务。
“IT安全部门只能确保一小部分平台安全。”Silva说,“他们没办法对几十种设备做出适配。同时,制定一个统一策略也不可能对所有平台都适用。”
有些员工可能不喜欢被告知哪些能用、哪些不能用,Silva建议,至少在设备的年限和功能方面有一些最低标准。他表示说:“需要确保员工使用的是最新、最好的设备,因为会制订出比较好的安全控制措施。比如说,你可以决定对iPhone 3G产品之前生产的任何苹果设备不再提供支持。要知道,此前的任何苹果设备都不支持设备级加密。”
如何访问信息?
我们是要将信息存储在设备上,还是存放在需要远程访问的数据中心?显然,这对某些企业来说是个重要问题,而其重要程度取决于合规以及受监管的力度。
“很多企业都有这样的要求:我们希望员工的iPad能够显示整个桌面以利于办公,但是受到合规和监管规定,又不能在其上存储任何信息。”Silva表示。他认为,这样的企业对于移动设备的要求只是一种浏览平台,而不是信息处理平台。
因此,对于企业来说,存储信息的每个设备都需要遵守合规要求。企业需要在这方面多加考虑。
怎样划分权限控制?
Silva表示,可以考虑根据员工的角色和职权来部署安全策略。这意味着,企业的BYOD策略要做到让不同类型的员工从不同设备上访问不同级别的信息。
“假设某企业有四种不同的员工角色,其中之一的信息泄漏风险很高。那么我相信任何企业都不希望这类员工用移动设备来处理除了打电话、发短信之外的事务。企业应该通过策略梳理出这类员工的特征,并且将这类员工分组标明,同时划定相应的安全控制措施来和那些特性相匹配。”Silva说。
明确定义每一种风险状况,能够让安全部门更容易应对和处理员工的移动设备,让他们知道可以用设备来做什么、不可以做什么。“这能够在某种程度上消除主观因素。”Silva说。
怎样才能积极主动?
如果某天有50个员工突然来找到IT部门,并且要求使用iPad,那么在这种仓促情况下制定出的安全策略很可能不尽如人意。因此,IT部门需要对未来趋势做出展望。
Silva提到了两年前的圣诞节,在当时,有一款经过了长期炒作的安卓设备即将投向市场。
“安全管理人员需要预先在思想上有所准备:当员工过完圣诞节回来工作时,会有许多人要求使用安卓设备。明智的IT部门会把事情安排得井井有条,并对安卓的安全问题提前做好准备,以便员工可以有条不紊地使用他们的新设备。”
何时对员工说不?
要想达到企业安全,相关策略一定要对某些要求说不。这在注重合规的企业至关重要。
“比如,对于证券公司来说,你不能让交易员在他们自己的个人设备上执行交易。对这些员工需要有一定程度的约束和控制。”Silva认为。
如今,有越来越多的公司开始采用虚拟化技术,以保证在让员工能够正常访问信息和应用程序的同时,不会在本地存储信息。
如果企业必须要阻止员工使用移动设备的话,虚拟化技术将会有其用武之地。其为那些需遵守合规要求的行业带来了大好机会。