企業(yè)移動(dòng)信息安全須過(guò)四關(guān)

1、企業(yè)移動(dòng)信息安全須過(guò)四關(guān)為了在移動(dòng)環(huán)境下確保數(shù)據(jù)安全，實(shí)施有效、靈活的 企業(yè)級(jí)移動(dòng)安全解決方案勢(shì)在必行。很多商務(wù)人士已經(jīng)習(xí)慣了在機(jī)場(chǎng)、酒店、咖啡廳享受無(wú) 處不在的網(wǎng)絡(luò)連接，他們通過(guò) Wi-Fi 收發(fā)公司的電子郵件以 及與客戶進(jìn)行在線交流。然而，這些數(shù)據(jù)通常沒(méi)有經(jīng)過(guò)加密 就在移動(dòng)設(shè)備和酒店房間附近的 AP （無(wú)線接入設(shè)備）之間 進(jìn)行連接和通信，帶給一些別有用心的黑客可乘之機(jī)。這些 沒(méi)有安全意識(shí)的“移動(dòng)飛人”就這樣在不經(jīng)意間泄露了公司 的機(jī)密。因此，對(duì)于企業(yè)來(lái)說(shuō)，建立靈活的移動(dòng)安全解決方 案勢(shì)在必行。隨著移動(dòng)用戶數(shù)量的增多，設(shè)備類型的多樣性和接入位 置的復(fù)雜性在攀升，企業(yè)管理及控制移動(dòng)數(shù)據(jù)安全的能

2、力卻 捉襟見(jiàn)肘這不再是要不要保護(hù)數(shù)據(jù)的問(wèn)題，而是如何保 護(hù)數(shù)據(jù)的問(wèn)題。擺在企業(yè)面前的難題是 : 如何最有效地保護(hù)移動(dòng)設(shè)備 （筆記本電腦、PDA、智能電話或者可移動(dòng)介質(zhì)）上存儲(chǔ)的 敏感信息 ; 如何在獲得工作效率和競(jìng)爭(zhēng)優(yōu)勢(shì)的同時(shí)，確保數(shù) 據(jù)安全，并且要鑒別出是哪一種用戶（員工、附屬公司甚至 是客戶）、使用哪一種移動(dòng)設(shè)備、在哪個(gè)接入位置（不管是 員工家里、芝加哥的一家酒店還是北京的一家咖啡館）進(jìn)行 內(nèi)網(wǎng)連接。如今的靜態(tài)數(shù)據(jù)安全解決方案大多是基于比較老的加 密技術(shù)，而這些技術(shù)當(dāng)初根本不是針對(duì)移動(dòng)的復(fù)雜環(huán)境設(shè)計(jì) 的，于是其結(jié)果可能導(dǎo)致 : IT 部門里的現(xiàn)有流程復(fù)雜化，使 技術(shù)支持部門工作難度加大 ;

3、 支持人員在日常的 IT 恢復(fù)、維 修期間容易暴露數(shù)據(jù) ; 現(xiàn)有流程阻礙了最終用戶接受安全技 術(shù) ; 企業(yè)無(wú)法滿足許多新出現(xiàn)的關(guān)鍵數(shù)據(jù)安全需求。實(shí)施移動(dòng)安全策略需要針對(duì)企業(yè)里所有的移動(dòng)設(shè)備，而 不只是便攜式電腦。企業(yè)必須對(duì)它們實(shí)施一致的移動(dòng)數(shù)據(jù)安 全規(guī)則，還要確保用戶體驗(yàn)和工作效率不受影響。此外，根 據(jù)企業(yè)環(huán)境的需要，移動(dòng)數(shù)據(jù)安全政策既可以很簡(jiǎn)單，也可 以很復(fù)雜，這要根據(jù)企業(yè)的基礎(chǔ)設(shè)施、員工隊(duì)伍或者業(yè)務(wù)流 程來(lái)決定。簡(jiǎn)言之，為了在如今的動(dòng)態(tài)環(huán)境下確保數(shù)據(jù)安全，必須 針對(duì)所有移動(dòng)平臺(tái)、用戶種類及位置，以一致的方式控制及 管理信息安全。企業(yè)的解決方案應(yīng)能夠把移動(dòng)數(shù)據(jù)保護(hù)當(dāng)成 企業(yè)整體安全流程的一個(gè)

4、必要組成部分，并且適用于所有移 動(dòng)設(shè)備和數(shù)據(jù)。這種移動(dòng)安全解決方案既要簡(jiǎn)單，又要功能 強(qiáng)大、靈活，而且在處理移動(dòng)數(shù)據(jù)安全時(shí)能夠滿足戰(zhàn)略目標(biāo)。移動(dòng)信息安全不是一個(gè)靜態(tài)過(guò)程，因?yàn)樵O(shè)備類型、用戶 和位置具有多樣性，并且經(jīng)常變化。企業(yè)的移動(dòng)安全基礎(chǔ)設(shè) 施必須能夠不斷地輕松應(yīng)對(duì)這種動(dòng)態(tài)變化和發(fā)展。數(shù)據(jù)安全 應(yīng)該確保安全鏈的每一環(huán)（ 人員、流程、操作、執(zhí)行及管 理）能夠協(xié)同工作， 從而提供沒(méi)有薄弱環(huán)節(jié)的全面解決方案。鑒別一個(gè)企業(yè)移動(dòng)安全方案是否合格，要經(jīng)過(guò)四關(guān)。第一關(guān)安全解決方案應(yīng)當(dāng)能夠不斷識(shí)別及控制新的設(shè)備。 系統(tǒng)能檢測(cè)、審查及控制連接到網(wǎng)絡(luò)上的所有移動(dòng) 端點(diǎn)包括未經(jīng)許可的端點(diǎn)。 系統(tǒng)能通過(guò)單一控制臺(tái)生

5、成詳細(xì)報(bào)告，表明環(huán)境中 存在哪些移動(dòng)端點(diǎn)。 系統(tǒng)能檢測(cè)、審查及控制桌面上的同步軟件和第三方應(yīng)用軟件，譬如 ActiveSync、HotSync、PC Suite、郵件重 定向程序。 系統(tǒng)應(yīng)支持簡(jiǎn)易、全面的移動(dòng)安全部署：首先是檢 測(cè)使用的移動(dòng)端點(diǎn)，然后針對(duì)整個(gè)環(huán)境，有選擇地自動(dòng)執(zhí)行 保護(hù)機(jī)制。第二關(guān)安全解決方案應(yīng)能自動(dòng)地執(zhí)行安全政策和數(shù)據(jù)保護(hù)系統(tǒng)必須針對(duì)所有移動(dòng)端點(diǎn)，執(zhí)行強(qiáng)有力的接入控制、 驗(yàn)證和加密機(jī)制，從而保護(hù)敏感信息、滿足監(jiān)管/審查要求。更重要的是， 一旦移動(dòng)數(shù)據(jù)或設(shè)備丟失、 失竊或者受到攻擊， 這套方案能限制數(shù)據(jù)泄密帶來(lái)的風(fēng)險(xiǎn)。為滿足上述需求，移動(dòng)安全解決方案應(yīng)當(dāng) : 能夠從單一管理控制

6、臺(tái)無(wú)縫、自動(dòng)地加密所有移動(dòng) 端點(diǎn)和外部介質(zhì)上的敏感數(shù)據(jù)。 執(zhí)行集中定義的政策、控制加密信息，并控制如何 生成、管理及托管加密密鑰。 防范有人未經(jīng)授權(quán)就訪問(wèn)多用戶操作系統(tǒng) ; 數(shù)據(jù)恢 復(fù)要既快速又可靠。 防止最終用戶控制、更改或者移除安全策略。 系統(tǒng)啟動(dòng)時(shí)不需要第二種個(gè)人身份識(shí)別號(hào)（PIN） /口令 ; 能夠與第三方的驗(yàn)證方法協(xié)同工作。解決方案應(yīng)當(dāng)支 持安全政策需要的各種硬件令牌、智能卡或者生物特征識(shí)別 設(shè)備。 能控制特定的設(shè)備應(yīng)用程序及通信端口的使用。 能執(zhí)行通過(guò)無(wú)線及在現(xiàn)場(chǎng)的故障安全保護(hù)，從而暫 時(shí)停止接入或者清除數(shù)據(jù)。 要是用戶忘記口令或者離開(kāi)公司，應(yīng)確保管理員易 于恢復(fù)加密數(shù)據(jù)。 提供環(huán)

7、境中移動(dòng)數(shù)據(jù)保護(hù)的實(shí)時(shí)狀態(tài)。 確保數(shù)據(jù)安全得到執(zhí)行（政策部署及更新和驗(yàn)證等 等），而不影響用戶的工作效率。第三關(guān)安全解決方案應(yīng)使用單一控制臺(tái)來(lái)管理各種類型的設(shè) 備。為了盡量降低復(fù)雜性、減少處理移動(dòng)安全所需的工作 量，企業(yè)級(jí)解決方案最好利用現(xiàn)有的基礎(chǔ)設(shè)施，同時(shí)利用單 一管理控制臺(tái)實(shí)現(xiàn)集中管理。 系統(tǒng)應(yīng)為移動(dòng)安全的控制、審查及報(bào)告提供單一管 理控制臺(tái)，并可在各種類型的移動(dòng)和外部存儲(chǔ)設(shè)備上使用 管理員能針對(duì)所有移動(dòng)端點(diǎn)控制、自動(dòng)執(zhí)行及更新安全政 策。 系統(tǒng)能從現(xiàn)有的 LDAP 目錄（如微軟活動(dòng)目錄）繼 承角色（群組）和用戶，這樣就不需要管理員重新輸入、單 獨(dú)維護(hù)這些信息。 系統(tǒng)能提供不同的管理角色（

8、從技術(shù)支持部門到安 全管理員），以控制管理員權(quán)限。 系統(tǒng)能提供詳細(xì)的移動(dòng)端點(diǎn)報(bào)告和審查信息。 系統(tǒng)能夠生成詳細(xì)報(bào)告，表明移動(dòng)端點(diǎn)的使用情況包括同步軟件） 、保護(hù)和安全狀態(tài)第四關(guān)安全解決方案應(yīng)迅速、可靠地支持最終用戶，能及時(shí)恢 復(fù)加密數(shù)據(jù)。企業(yè)在選擇合適的移動(dòng)安全解決方案時(shí)，往往會(huì)忽視日 常支持、維護(hù)和數(shù)據(jù)恢復(fù)帶來(lái)的影響。許多解決方案保護(hù)數(shù) 據(jù)的方法似乎異常簡(jiǎn)單，一旦到了需要它的時(shí)候，就會(huì)發(fā)現(xiàn) 局限性變得如此地明顯。合理的移動(dòng)安全解決方案應(yīng)確保系 統(tǒng)一旦出了問(wèn)題，能夠迅速可靠地支持最終用戶、能夠重新 設(shè)置口令及恢復(fù)加密數(shù)據(jù)等，在這一過(guò)程中幾乎不用改變現(xiàn) 有的支持基礎(chǔ)設(shè)施，也幾乎不會(huì)影響最終用戶。

9、 該方案要適用于 IT 部門既有的維護(hù)和恢復(fù)流程，而 不需要改變或者延長(zhǎng)處理或恢復(fù)時(shí)間。 方案需提供密鑰生成和托管功能，以便立即、全面 地恢復(fù)數(shù)據(jù)。許多解決方案要求在目標(biāo)設(shè)備上生成密鑰，然 后交給集中服務(wù)器進(jìn)行托管。要是托管過(guò)程出現(xiàn)延誤，或者 完全失效，而用戶需要恢復(fù)密鑰時(shí)，會(huì)出現(xiàn)嚴(yán)重后果。密鑰 應(yīng)當(dāng)在數(shù)據(jù)加密之前進(jìn)行托管，不需要最終用戶采取任何措 施。 系統(tǒng)應(yīng)防范內(nèi)部威脅有人未經(jīng)授權(quán)就訪問(wèn)多用 戶操作系統(tǒng)，所以應(yīng)把針對(duì)加密數(shù)據(jù)的訪問(wèn)與針對(duì)操作系統(tǒng) 的訪問(wèn)隔離開(kāi)來(lái)。 系統(tǒng)允許通過(guò)自助服務(wù)來(lái)重置口令以及通過(guò)電話重 置口令 ; PIN/ 口令恢復(fù)不需要網(wǎng)絡(luò)連接。 系統(tǒng)允許手持設(shè)備的用戶不必為設(shè)備開(kāi)

10、鎖，即可撥 打及接聽(tīng)呼叫。不過(guò)解決方案應(yīng)當(dāng)足夠靈活，要是用戶想從 機(jī)密的公司“全局地址列表”向外撥打呼叫，就需要驗(yàn)證。 管理員在操作系統(tǒng)升級(jí)、修復(fù)和打補(bǔ)丁時(shí)，不用擔(dān) 心操作系統(tǒng)是否經(jīng)過(guò)加密、不用“虛假”登錄，也不用擔(dān)心 隨之而來(lái)的數(shù)據(jù)受損問(wèn)題。 系統(tǒng)必須提供與現(xiàn)有的 IT 恢復(fù)流程和工具協(xié)同工作 的數(shù)據(jù)恢復(fù)選項(xiàng)。 系統(tǒng)必須提供讓安全管理員可以訪問(wèn)加密數(shù)據(jù)、不 需要最終用戶任何幫助或者協(xié)作的數(shù)據(jù)恢復(fù)選項(xiàng)。 在實(shí)時(shí)性方面，系統(tǒng)應(yīng)提供自動(dòng)、實(shí)時(shí)的安全政策 和軟件更新，確保迅速堵住安全漏洞、繼續(xù)符合法規(guī)以及保 證移動(dòng)員工的工作效率。 該方案要能夠?qū)崿F(xiàn)無(wú)線部署及激活。 方案部署完畢之后，能與第三方設(shè)備管

11、理及同步提 供商協(xié)同工作?？傊?，移動(dòng)數(shù)據(jù)安全解決方案的初始設(shè)置不需要最終用 戶的任何操作，它應(yīng)當(dāng)是自動(dòng)化、可執(zhí)行的，能夠立即提供 安裝進(jìn)度方面的反饋，并提供隨后的數(shù)據(jù)保護(hù)措施。一旦設(shè) 置完成，安全解決方案應(yīng)當(dāng)不需要任何最終用戶的日常操 作，而是盡可能地在后臺(tái)運(yùn)行。鏈接 : 移動(dòng)數(shù)據(jù)安全生命周期 移動(dòng)數(shù)據(jù)安全必須是具有戰(zhàn)略性的、涵蓋整個(gè)公司的計(jì) 劃，以便針對(duì)多種設(shè)備類型審查和執(zhí)行多個(gè)安全政策。解決 方案必須處理移動(dòng)數(shù)據(jù)安全的所有部分，同時(shí)讓用戶能夠隨 時(shí)隨地工作，并盡量減小企業(yè)面臨的風(fēng)險(xiǎn)、降低總體擁有成 本。移動(dòng)數(shù)據(jù)安全生命周期包括檢測(cè)、保護(hù)、管理、支持四 大部分。1. 檢測(cè)及執(zhí)行： 系統(tǒng)應(yīng)自動(dòng)識(shí)別使用的設(shè)備和數(shù)據(jù)； 控 制數(shù)據(jù)從 PC 直接同步到未授權(quán)移動(dòng)設(shè)備的過(guò)程，或控制電 子郵件從微軟 Exchange Server 無(wú)線同步到未授權(quán)移動(dòng)設(shè)備 的過(guò)程。 IT 管理部門要利用預(yù)先設(shè)定的 IT 政策來(lái)執(zhí)行規(guī)則。2. 執(zhí)行及保護(hù)： 確保敏感數(shù)據(jù)安全地進(jìn)行加密， 同時(shí)提 供用戶驗(yàn)證、受控制的端口訪問(wèn)及應(yīng)用