企业移动设备策略的制定

企业移动设备策略的制定Sponsor：TTCIO技术手册之企业移动设备策略的制定Page2of13企业移动设备策略的制定随着企业移动连通性越来越普及，IT组织面临着制定移动策略的挑战，这些策略需要可以提高用户的生产力，同时也要保护企业资产。本技术手册将帮助企业开发和制定移动策略。移动安全策略在这部分中，我们将讨论企业策略中的安全因素。由于移动设备和网络被攻击将会带来安全事故，所以组织了解移动安全的重要性非常必要。安全的主要问题不是物理设备，而是存储在其上的数据和他们在网络上使用的数据的传输。必须从数据的角度考虑移动安全性，而且需要包含针对静态数据和动态数据的保护策略。移动安全策略：如何保护静态数据移动安全策略：如何保护动态数据移动策略的责任和培训和安全性同等重要的是企业和用户责任划分，以及确保用户受到了公司移动策略的相关培训，并完全理解。认真地分配责任，并寻找合适的时间对用户进行企业移动策略的培训。在这一部分中，我们讨论企业移动策略相关的责任分配和企业用户培训。企业移动策略中的责任分配企业移动策略的用户培训移动策略的实施TTCIO技术手册之企业移动设备策略的制定Page3of13前两个部分介绍了移动策略的安全性以及责任分配和用户培训，这些都很重要，但是如果没有实施，移动策略就像是没牙的老虎。当制定移动策略的时候，需要考虑到策略条款的实施。理想的状况是所有的策略条款都是可行的。但是事实并不总是如此，在开发移动策略的时候实施要总是放在第一位。在这部分中，我们将讨论移动策略的实施。移动策略实施：技术控制移动策略实施：强制数据加密和安全连接移动策略实施：限制访问和限制费用移动策略实施：违反的后果TTCIO技术手册之企业移动设备策略的制定Page4of13移动安全策略：如何保护静态数据在本系列文章中，TechTarge的专家将讨论企业移动策略中的安全因素。由于移动设备和网络被攻击将会带来安全事故，所以组织了解移动安全的重要性非常必要。安全的主要问题不是物理设备，而是存储在其上的数据和他们在网络上使用的数据的传输。必须从数据的角度考虑移动安全性，而且需要包含针对静态数据和动态数据的保护策略。保护静态数据任何优秀的移动策略都包括的一个部分是如何解决“静态数据”的保护问题。这包括了存储在移动设备上的所有数据，不管是笔记本电脑、PDA、移动手机还是移动存储设备（比如，USB驱动或者SD存储卡）。通常有人认为这是没办法实施的，特别是在员工使用的设备上。这是一种误解，但是企业也必须把策略和存储了移动设备上的数据的企业环境结合起来。移动策略应该包括一项声明：强大的用户授权，例如128-bitAdvancedEncryptionStandard(AES)，在拥有存储数据功能的所有移动设备上执行加密。有些企业有能力采用集中管理的加密解决方案执行授权，而有的企业可能必须依赖于用户才能保证数据的加密。本系列文章的以下部分将介绍更多策略实施的技巧。理想的状态下，对移动设备上的企业数据的保护将会使用在所有设备上的强制数据加密技术，而这些设备上的数据可能或者已经包含了企业数据。不管这种可能存在不存在，移动策略中必须包含保护数据和用户责任的条款。以下是在移动数据安全条框中包含的用户对数据安全的责任：“移动计算和存储设备的用户必须努力保护这些设备，防止设备丢失和用户所拥有或者所维护的隐私信息的泄漏，他们必须每年完成350（theymustannuallycompletetheTTCIO技术手册之企业移动设备策略的制定Page5of13350）。在把移动计算和存储设备连接到网络之前，用户必须确保它已经在ISD发布的以承认设备清单上了。”来源；SANSInstitute移动计算和存储设备策略模板。除了策略上加密静态数据的条框，企业还应该采用远程擦除设备上的数据内容的技术，这是为了防止设备丢失或者被窃。出于这个原因，在策略条框中说明任何丢失或者被窃的设备都应该立即向IT部门报备。(作者：TechTarget译者：TinaGuo来源：TT中国)（本文链接：）TTCIO技术手册之企业移动设备策略的制定Page6of13移动安全策略：如何保护动态数据保护动态数据移动设备可能和企业IT部门控制之外的几个网络进行连接。出于这个原因，确定明确了合适的移动设备连接实践的可执行策略也非常重要。在很多情况下，技术可以在移动策略中强制执行法规，但是如果没有执行法规的基础架构，企业就必须依赖于用户可以理解并遵守策略。以下是策略条框的例子：“拥有企业网络远程访问权限的员工、承包商、厂商和代理商必须保证他们的远程访问连接和用户的现场连接，给予同样的考虑。”来源：SANSInstitute远程访问策略模板策略中必须说明用于商业目的的任何移动设备在任何时间都必须使用机密的网络连接。可以采取IPSec或SSLVPN连接,或者采取WPA2保护的WLAN连接。(作者：TechTarget译者：TinaGuo来源：TT中国)（本文链接：）TTCIO技术手册之企业移动设备策略的制定Page7of13企业移动策略中的责任分配和安全性同等重要的是企业和用户责任划分配，以及确保用户受到了公司移动策略的相关培训，并完全理解。认真地分配责任，并寻找合适的时间对用户进行企业移动策略的培训。在这一部分中，我们讨论企业移动策略相关的责任分配和企业用户培训。不要留任何机会，清楚地描述企业的责任和用户的责任。当策略定稿的时候，不能只是把策略复制一份放在用户眼前，让他们阅读并签字。所有的移动用户必须接受策略培训，清楚地明晰他们的角色和责任、权利和义务，以及违反策略的后果。只有在培训后，才能要求用户在策略上签字。责任分配在开发企业的移动策略的时候需要考虑很多问题。出现的最大问题是谁应该负责策略的内容。例如，策略的创建者应该问：IT部门支持哪些移动设备？员工持有的设备能够用于工作吗，还是公司应该指定所有移动设备？公司应该直接向服务提供商交纳无线费用吗，还是应该员工支付费用？公司应该支付移动设备的所有费用，还是有一个每月的费用上限？如果有费用上限，超过上限的部分，用户如何偿还公司？如果移动设备丢失、被盗或者损坏了，谁应该负责替换，公司还是员工？如果移动设备丢失、被盗或者损坏了，确实移动设备上的数据安全的流程是怎样的，这时候，责任是否从用户移给公司？企业是否有方法或者架构确保静态或者动态数据已经加密而且是安全的，或者应该是员工的责任？TTCIO技术手册之企业移动设备策略的制定Page8of13所有这些问题都应该毫无疑问的上升到中等问题。关键是考虑正确的问题，因为答案会因公司和公司的不同而产生巨大的差异。不管问题和答案是什么，都要确保这里不是“狂野的西部”，而且需要有必须遵守的良好规则。(作者：TechTarget译者：TinaGuo来源：TT中国)（本文链接：）TTCIO技术手册之企业移动设备策略的制定Page9of13企业移动策略的用户培训保护有价值的信息资产不受移动安全威胁的影响要求公司承担对所有用户进行移动技术的培训。现实的情况是移动设备被窃或者被滥用的后果太大了，可能包括企业网络的泄漏、关键数据的丢失或者被攻击，以及对合适的行业法规规则的违反。因为一次安全泄漏就可能超过员工培训的成本，这在最近的新闻中已经大量出现了——对用户进行移动安全最佳实践的培训，应该被视为有效的防范措施，和企业的先期投入。不断强调移动设备滥用、丢失或者被窃带来的后果可以极大地鼓励用户遵守企业策略，但是对这些用户进行具体策略的培训还是需要的。其中，企业的移动培训计划还应该解决以下关键问题：1.设备保护。用户应该受到遵守合适的存放和传送设备的流程的指导，而他们也应该受到不要把设备放在办公室、机场和酒店等敏感位置的指导。2.数据加密。对数据安全和远程管理及护送的高层概况目前已在一些公司中采用，这将驱动更多有责任的使用。用户应该了解复制服务器上的数据，用于解密本地设备存储的就是违反了企业规则，对个人讲产生严重的影响。这些数据包括机密的用户信息和企业IP等。3.密码管理。用户应该接受服务台流程的培训，遵守变更或设置移动设备密码的要求，这也是现有的企业密码策略的要求。确保用户已经接受了合适的移动策略指导，将对减少安全泄漏的频率和严重性方面产生深远的影响。(作者：TechTarget译者：TinaGuo来源：TT中国)（本文链接：）TTCIO技术手册之企业移动设备策略的制定Page10of13移动策略实施：技术控制这一部分将介绍移动策略的执行。这部分的技巧涉及应该合理分配的责任，已经用户必须理解他们的责任。移动策略培训非常重要，不允许被忽视。前两个部分介绍了移动策略的安全性以及责任分配和用户培训，这些都很重要，但是如果没有实施，移动策略就像是没牙的老虎。当制定移动策略的时候，需要考虑到策略条款的实施。理想的状况是所有的策略条款都是可行的。但是事实并不总是如此，在开发移动策略的时候实施要总是放在第一位。在这部分中，我们将讨论移动策略的实施。没有实施的移动策略和打印到纸上的策略一样毫无用处，所以企业必须在创建移动策略的时候，认真考虑那些策略可以实施，那些不可以。执行的部分是以使用技术执行积极法规遵从的方式出现的，而其他部分则是确定没有遵守法规的后果。需要理解技术合适使用在那里，而且需要理解违反后的后果的必要性。技术控制技术可以保证一栋策略在以下四个方面的执行：对移动设备上存储的数据进行强制加密。强制执行在不安全的公共网络上的安全连接。确保非授权的移动设备不能访问企业网络或者公司数据。确保移动用户的支出和移动策略保持一线，而附加成本可以恢复。(作者：TechTarget译者：TinaGuo来源：TT中国)（本文链接：）TTCIO技术手册之企业移动设备策略的制定Page11of13移动策略实施：强制数据加密和安全连接移强制数据加密有一些可以进行集中管理的存储加密产品可以对移动设备上存储的所有数据进行加密。而大部分的移动设备都有加密保护的选择和对设备上的数据进行加密的功能。这些选择通常需要用户打开加密选项并管理密码的访问。理想的状态下，IT部门应该集中管理数据加密，并对用户接触不到的部分负责。CheckPoint(acquiredPointsec)、GuardianEdge、McAfee和Utimaco都提供了集中管理解决方案。使用集中管理的移动数据加密解决方案来保证移动设备上存储的数据非常安全。强制安全连接当移动用户连接到IT部门控制不到的不安全网络的时候，确保网络连接的安全性非常重要。有几个办法可以确保动态数据的加密，包括IPSecVPNtunnels、SSLVPN借口和移动VPN连接。技巧就是强制加密连接，特别是当使用移动网络处理业务的时候。AirDefense和AirtightNetworks的产品可以保护企业笔记本电脑的安全连接，而BirdstepTechnology、BluefireSecurity和NetMotionWireless的移动VPN产品可以帮助保护PDA和智能收集等移动设备的安全连接。(作者：TechTarget译者：TinaGuo来源：TT中国)（本文链接：）TTCIO技术手册之企业移动设备策略的制定Page12of13移动策略实施：限制访问和限制费用限制访问确保用户和设备通过移动网络连接到企业而没有构成威胁非常重要。执行移