标准化是关键
限定移动策略的范围。移动策略应该与公司的整体安全策略和规章制度相配合。同时,CIO应该对面临的问题持有实际的观点。
在英提格瑞斯卫生署,存储有个人信息的设备最受关注,因此移动策略很简单:任何存储有病人数据的医疗设备必须被加密。但同时必须注意有哪些连带的后果。在登录连续失败时锁定设备将导致帮助中心受理更多求助电话。更合理的办法是限制用户在设备上安装应用软件或摄像头。
显然,CIO必须保证公司的移动设备无论何时何地都符合公司的政策法规。没有发送状态报告的设备必须被视为没有遵守规定并中断该设备对公司网络的访问。报告内容还应包括设备上存储信息的详细情况和设备的合法使用性。这些都要求在移动设备和公司系统之间进行双向沟通和集中管理。
移动技术风险解决方案还是个新事物,但这个市场已经在迅猛发展。根据高德纳公司(Gartner)于2006年8月发布的一份报告,这个市场中约有20家厂商,因此正确选择厂商很重要。首先,关于实现公司的商业目标需要哪些功能,应在公司内部达成一致意见。对于某些公司来说,保护隐私是最迫切的事情。对于另一些公司而言,减少帮助中心接到的求助电话数量更为重要。此外,还有合规的情况。通过进行评估,CIO可以获得宝贵的参考意见,从而正确理解哪些问题需要被解决,哪些缺陷必须被弥补。
除了业务能力,CIO们尤其需要注意厂商服务的可操作性。例如,厂商很难和每种最新的移动设备保持同步,这就造成安全支持滞后于用户使用。即使明知存在更大的风险,你也应该在员工要求下允许他们使用最新式、最先进的设备吗?厂商可以提供什么样的保证,以便在最短时间内降低风险?即便公司其他部门没有提出这些关键问题,运营复杂性还是会给CIO们制造两难困境,从而让他们不得不在严格执行政策和承担一定风险之间进行抉择。
已经来不及让魔鬼重新回到瓶子里了。很多公司已经认识到移动技术的好处并且已经无法离开移动设备。然而巨大的商业风险也不容忽视。设想这么一种情况:保险理赔师可以使用一台移动智能手机拍照并立刻提交证据。在这种情况中,如果智能手机丢失,则意味着失去生产力,并且由于丢失数据而造成高额的直接和间接成本。
CIO们不能只依靠用户来保护移动设备上的数据,而应该和不同的职能部门合作,制订可实施的移动技术风险战略。那些成功地管理风险的CIO们将收获商业利润,并通过移动技术推动公司业务发展。
Nalneesh Gaur是钻石管理和技术咨询公司(Diamond Management and Technology Consultants)的主要负责人,Bob Kiep是该公司合伙人。
行之有效的安全策略
对照以下清单,制订你的移动安全方案
全面的移动安全策略应该在移动设备大量增加时还能保持对设备功能的控制。如下所示:
* 设备类型。除了笔记本电脑,监管对象还必须包括PDA、智能手机、USB和GPS设备。
* 获得许可的技术。对获得许可的移动运营系统和无线网络协议进行归纳。目的在于增加而不是减少网络访问。
* 可靠的设备。公司对哪些移动设备可以信任?确立这一标准。
* 数据保护办法。着眼于静态数据和使用中的数据。当设备丢失,大多数情况下数据的价值大大高于设备本身。使用强大的认证和加密功能。定期更换密匙,在一定次数的连续登录失败后锁定用户。
* 可访问的信息。根据业务需求,限制对信息的访问。一台不被信任的移动设备等于一个不被信任的用户。
* 丢失的设备。当移动设备丢失或被盗后,会产生什么后果?补救办法包括切断对所存信息的访问或销毁全部数据。
* 业务运营软件。如果移动设备安装了业务运营相关的应用软件,必须高度重视被这些软件访问并处理的信息--包括设备上安装的业务运营软件和公司信息系统软件。
巧 巧 读 书:http://www.qqread.com/net-saft/i361193.html
更多内容请看路由安全配置专题、系统安全设置、配置安全的操作系统专题,或进入讨论组讨论。
相关专题
- 基础知识 黑客域名劫持攻击详细步骤 (0次浏览)
- CISSP的成长之路(十八):详述网络威胁类型 (0次浏览)
- 个人用户的网络安全防范 (0次浏览)
- 驱逐威胁 六把安全利剑清除僵尸网络 (0次浏览)
- CISSP的成长之路(十九):详述安全威胁控制手 (0次浏览)
- 07年电脑安全大盘点:蠕虫网络威胁Web 2.0 (0次浏览)
- Web应用安全的全新探索 (0次浏览)
- 到底谁需要网络访问控制 (NAC)? (0次浏览)
- 针对性的防御手段 十招应对邮件欺诈 (0次浏览)
- 跨站打印攻击 网络打印机成攻击新途径 (0次浏览)
