科羅拉多州博爾德的Enterprise Management Associates Inc.的安全老將，也是研究主管Scott Crawford解釋了CIO們如何防止用戶回避遠程訪問安全策略，并勾畫出了CIO們可以采取的技術路徑以安全地管理移動設備。

SearchCIO.com：為了開發遠程訪問安全策略，CIO們應該如何開始確定他們的要求?

Crawford：您不僅需要知道數據位于哪里，而且要知道如何訪問它以及它在您的整個IT組織范圍內是如何流轉的。這將幫助您確定您需要關注的重點?？匆豢磸哪睦镆约巴ㄟ^什么類型的終端訪問數據，您將有更好的主意。它會給您用例場景，這些用例將有助于您確定合適的策略應該是什么。然后您就可以開始評估將幫助您解決這些問題的技術。

您需要了解在您的組織中，數據是如何流轉的。人們注意到這一點了嗎?

Crawford：嗯，這是幾年前采用DLP[數據丟失防護]技術的一部分原因——事實上，有如此多的內容圍繞組織在流轉，在組織內部，流向員工、商業伙伴、與企業沒有關系的組織。我們如何控制它?DLP可以讓您看到這些活動，但它也有局限性。確定高度結構化的類似帳戶號碼的數據，的確是很好的;當談到非結構化的數據時，它面臨著一些非常嚴重的挑戰。

IT部門怎樣才能阻止用戶避開遠程訪問安全策略?

Crawford：您可以從您遇到的最常見用例開始。電子郵件可能會是***個。這并不是說，DLP[工具]是良方;這意味著您需要洞察，在您的組織中，內容是如何流轉的。也需要考慮出口路徑，數據如何離開并落入壞人之手。移動化的確加劇了這一點。問題是，您必須首先考慮，這些設備的真實數量以及人們想要從它們訪問的內容。并且，順便說一下，如果只處理在您的組織中大量出現的消費者設備，您很可能不會獲得額外的人頭數。

另一個典型的出口路徑是對應用程序本身的訪問，這就是您可以施加一些更多控制的地方。作為訪問其他資源的一種手段的對網絡的訪問，顯然會給您相當廣泛的訪問權，以訪問在環境中的大范圍的內容，但不是所有的訪問都和從移動設備上的訪問等價。當然，大多數[移動設備]有一個瀏覽器，但問題是，您如何保證先訪問Web應用程序呢。所以，手機更多的是催化劑的作用，而不是***可以考慮的事情。

對于BYOD[員工攜自帶設備]方案，您看到什么樣的方法?

Crawford：有一些廠商能夠真正使BYOD策略成為可能，并就員工允許帶入或訪問什么，給組織很多自主權。對于VDI[虛擬桌面基礎設施]供應商，這是他們的談話要點之一。如果您使用VDI技術，數據不會發現到端點的路徑。

當人們開始著手選擇用于遠程訪問安全的技術時，您有什么建議?

Crawford：對于這一點，人們就是否介入移動設備管理左右為難，如果確定要介入，對于企業應用或者將成為一個敏感點的應用，可以采取容器化的方法。換句話說，您能隔離這些應用并給移動用戶訪問業務內容的權限，而且您也能保護他們免受和其他應用或者移動設備本身之間的未想到的或惡意的交互。虛擬化技術是對付它的一種辦法，但在今天的市場上，也有一些容器方法。還有一些NAC[網絡接入控制]廠商，他們深刻了解網絡環境的真正的細粒度的、也了解對包含移動因素的網絡環境的訪問上基于策略的控制。