五大方法 保護你的移動數據
Juniper網絡公司的最近一項調查顯示,40%的員工正使用自己的移動設備來處理個人或商業事務,其中80%的人承認他們未經允許就訪問了所在公司的網絡。除非企業實施控制,用來防止這些員工所持設備的損失、盜竊或是非法使用,否則任何一件諸如此類的安全事件都可能會使相當多的業務數據承受巨大風險。
保護企業移動設備數據的措施是眾所周知的,包括從實施加密到擦除遺失設備上的數據。但是,與員工設備有關的業務數據必須得到相關保障,而不是依賴于IT采購和用戶,同時還需要尊重用戶對個人隱私和選擇的期望。
以下介紹五個對員工移動設備和平板電腦上重要數據進行保護的最佳方法。
1. 移動設備鎖
設備鎖是IT業界的第一道防線,防止那些未經授權,對儲存在員工移動設備或平板電腦上的業務數據和賬戶的訪問。然而,員工購買的消費電子設備通常不具備足夠強大的設備鎖。還有,用戶可能會重置復雜的密碼而不方便個人設備的使用。這種業務需求可以通過一個三步驟方法得以解決。
實施一個程序讓用戶注冊自己的移動設備和平板電腦,并按照最低安全要求檢查它們。這樣可以防止設備去進行不合標準的商業運用,而允許那些可以支持IT范疇內的安全政策。
自動配置已注冊的設備以啟動內部的PIN或密碼鎖,執行復雜的規則并自動鎖定待機的設備。專注于那些可以減少商業風險而不會使之過于嚴格的規則。
實施無線設備配置監測以保證設置沒有被改動。例如,對設備每一次試圖訪問一個企業賬戶的行為進行檢查,從而阻止或修復不兼容設備。
如果員工移動設備中包含交互環境搭建(EAS)或多操作系統移動設備管理軟件(MDM),那么就可以采取這些措施。目前這些軟件已經由諸如AirWatch、BoxTone、Good Technology、MobileIron、Odyssey Software、Sybase和 Zenprise這些公司推出。那些沒有MDM也不想安裝MDM的公司可以使用托管MDM服務。
2. 移動設備的遠程數據擦除
當以前注冊過的設備遺失/被盜或者它的主人離開了你的公司,遠程數據擦除可以防止將來對存儲在設備當中的所有業務數據和賬務進行訪問。然而,擦除員工的設備資料在沒有明確的許可下是不應該的,且在理想情況下,不應對個人數據造成影響或者給用戶帶來不便。這些業務需求可以解決,方法如下:
作為設備可以注冊的條件,員工必須被要求正式同意一些可接受的使用條款。移動設備條款還應該明確,在什么情況下可以調用遠程擦除,怎樣擦除才不會影響個人設備的使用和數據,以及數據備份/恢復的責任。
考慮使用數據加密工具來區分業務數據、賬戶和應用程序。例如,使用自加密(self-encrypting)企業信息應用程序能夠將電子郵件、通訊錄、日歷及其他數據保存到一個需要認證的加密沙箱里,這個箱子能夠輕易的被移除而不需要擦除整個設備。
實施能夠遠程擦除員工的設備的流程。為了防止逃避技術,在經過重復登錄失敗,長時間脫機使用或者移除了SIM/USIM卡的情況下,通過自動擦除可以完善無線命令確認機制。確保密切注意留在移動媒體設備(如Android設備)上的企業數據。
使用EAS、任何MDM,或許多供個人使用的免費或便宜的應用程序(如,蘋果的MobileMe,邁克菲WaveSecure),可以實現基本的無線遠程擦除。然而,更大的IT控制和可見性可以按照下面這種MDM的用法來實現:例如,報告哪部設備將被擦除,或者自動移除MDM之前已安裝的企業應用程序和賬戶。
3. 移動定位和跟蹤
在任何移動設備的使用壽命里,關于它的使用情況的大量信息可能會被記錄,其中包括地理位置。持續跟蹤能(On-going tracking)夠幫助IT迅速恢復丟失的設備,或產生有關盜竊信息的漫游警報,警告IT可能發生的威脅。然而,員工對于隱私權的要求可能會阻礙持續的跟蹤。此外,一些用戶的設備可能不容易定位(例如,斷開或禁用的設備)。最后,如果要追蹤涉及到頻繁的SMS信息,所需的成本可能相當大。
強調商業需求并且考慮到個人和成本的敏感性,決定是否真正需要將持續追蹤應用到員工的設備上。如果是這樣,你需要在可接受的使用政策中描述定位追蹤的業務理念和具體做法,這在注冊個人設備為商業使用時需要得到員工的同意。如果定位僅僅只是用來找回遺失的設備,那么你需要將這條陳述寫入到可接受的使用政策中,并堅持使用這個有限制的做法。
按需制定的定位服務對每個主要的移動操作系統(例如,蘋果的 MobileMe, Lookoutd的Find My Phone(安卓),微軟的My Phone,和黑莓的Wheres My Phone)均可免費使用。但在這里,通過使用移動設備管理器來實施這一做法能夠得到更集中的可視性和控制效果。#p#
4. 移動設備的存儲數據加密
在一些情況下,設備鎖加上遠程擦除就足以減輕用于有限業務的個人設備的風險了。如果移動設備被用于檢查無毒的電子郵件且不保存附件,或者只是一臺用以進行遠程桌面訪問的平板電腦,那么它不需要儲存那些永久保護的業務數據。然而,在處理敏感信息或者需要更多的功能時,員工還需要對被存儲的數據進行加密。不幸的是,一些消費設備并不支持全設備加密。為了解決這一業務需求,可以采取以下步驟:
擴展上述注冊流程來檢查依托于存儲數據加密需求的個人移動設備,在擴展中要使用工作人員已認證的身份來確定移動數據的需求和風險。如果必須加密但設備卻不支持,那么需要為員工提供適合設備的指導,條件允許的話,甚至可以提供一個有IT安全保障的公司設備。
自動配置已注冊的設備,從而在任何可能的地方都能支持全設備加密或者可去掉的媒體加密方式。凡是需要需求和風險允許的地方,都可以配置個人加密應用程序來提供另一層保護,從而使公司的數據和個人的數據分隔開。最后,還可以配置設備的設置和應用程序來最小化存儲在設備中的數據量。
使用無線設備配置的監測來確保用戶遵守了所有的數據加密政策。此外,要小心關注設備顯示出的有被干擾的跡象(即,獲得了Android設備的Root權限,或破解了iPhone手機),因為這些可能潛藏著木馬,從而訪問和傳播用其他方式加密的數據并發送給遠程攻擊者。
為了實現第一步,需要將你的注冊過程同公司的目錄、現有身份認證登錄,以及使用群組隸屬關系等整合起來,從而確定業務的需求和風險。第二步,你需要配置安全的移動應用程序,如Good for Enterprise 和 NitroDesk TouchDown,或者替換門戶網站和遠程桌面訪問,這些措施可以用來減少某些員工的設備存儲,他們其實并不需要對業務數據進行離線或分離訪問。
5. 移動活動監測和審計
請注意,不斷的監測對這些最優做法而言是很重要的,單單配置一個員工設備就希望業務數據可以長期安全是不現實的。即使IT可能不會選擇或擁有員工移動設備,公司仍然需要監測和審計業務數據和活動,以確保它們在整個生命周期內都一直符合規定。然而,這必須通過無線方式來實現,從而不會對個人使用產生干擾。
從監測未經IT允許而用于商業場合的員工設備的工作環境開始,網絡訪問控制、設備指紋識別工具和無線/有線網絡IPS等操作,都是幫助IT部門發現移動設備或平板電腦的理想工具。這些工具的有些監測機制甚至可以防止未知設備接入企業。
其次,記錄包含已注冊移動設備的每一個商業系統的交互操作,包括電子郵件/聯系方式/日歷的同步、網絡會議、虛擬專用網(VPN)連接、在線配置更新和MDM應用程序安裝。這些記錄對日常報告和審計來說是很重要的,因此應該在設備被擦除或取消注冊后長期保留。理想情況下,設備應該以某種可以防止被詐騙或克隆的方式來進行身份識別,比如說設備可以使用SCEP來進行授權。
最后,為每個注冊的員工設備定期執行符合規定的檢查。至少應該在正常交互操作中進行檢查(例如,在每次進行電子郵件同步時,使用EAS來驗證設置)。不過,MDM產品通常提供了更加豐富的移動設備審計和報告功能,比如在某些情況下所進行的預定和按需設備的設置檢索以及IT指定策略的自動對比等操作。
通過實施這五項基本移動設備數據保護最優措施,許多公司都可以接納個人移動設備的商業化使用趨勢。公司需要把注意力集中在業務數據上,并且制定出所需的最低控制,從而保障這些數據的安全。例如,很少有用戶會同意白名單措施,這樣會阻止他們安裝個人應用程序;然而,許多用戶會接受,甚至歡迎——對被盜的個人設備進行擦除的IT幫助。為了實現接受度最大化并避開陷阱,你需要確定一個測試組,并按照安全策略和控制對它進行初始設置,還要在公司全范圍推廣之前進行任何有必要的改進。
