如何规划企业内部的智能手机安全

首席信息官面临的主要挑战之一就是如何配置企业内部的智能手机和保障他们的安全。对于首席信息官来说评定他们企业在保护员工用来访问企业资源的智能手机的安全级别是很重要的。在此Knowledge Center的著名撰稿人Chris De Herrera向读者解释了如何处理与企业内部配置智能手机有关的常规安全问题,Apple iPhone, RIM BlackBerry, Windows Mobile, Google Android和Palm Pre等智能手机设备都被包括在内。

如果你是一名首席信息官,那么在提及企业内部配置智能手机的问题时就面临几个挑战。其中最重要的挑战是,你必须对企业内部的安全需求做出正确的判断。就像企业中使用的笔记本电脑和超便携笔记本电脑一样,智能手机经常也包含企业数据,能访问你饿不企业资源。由于这些设备可以作为笔记本电脑或者桌面系统的替代品或延伸产品使用,因此他们必须和桌面系统及笔记本电脑一样的安全级别上进行保护和管理。

在多数企业中,IT安全政策已经开始强调笔记本电脑和超便携式笔记本电脑的移动安全性。这些计算机中应用的安全政策应该被用作企业内部使用和配置智能手机安全的政策的基础。在你完全定义好自己的安全需求以后,你必须用最具代表性的五项原则-谁,什么,那里,何时和如何做来保障企业内部智能手机的安全。

最初所需的配置之一是定义谁是你的企业员工用来完成工作的设备的所有者,谁对他们的智能手机合同负责。然后你必须判断设备中存储了什么数据。有了这些信息,你就可以判断对智能手机设定什么样的安全级别。

目前大约有一半的智能手机属于"个人负责制"设备,这意味着他们的用户购买了智能手机并对他们的服务合同承担连带责任。另外一半是"企业负责制"设备。当个体用户购买了他们的设备,公司也就承担了保护这些设备中用户数据和其中存储的企业数据的责任(因为安全作为一个整体被应用到智能手机上)。当企业并不拥有员工使用的设备或者电话号码时,情况就变得更加复杂。

当这些设备的用户在离开公司时还保留着智能手机和电话号码的话,安全问题就会凸显。当你判断那种方法最适合你的企业时要谨记这些问题。使用企业责任制设备,你就能控制智能手机购买,服务和安全的各个方面。

内容是关键
当你在考虑如何保护企业内部移动设备安全时,需要关注访问企业网络的智能手机和员工使用的可移动闪存卡中存储的内容。根据设备的不同,这些内容被保护的方式也有所不同。

你的选择可以包括:要求员工使用开机密码,这样在N次尝试登录的密码失效后,设备中存储的数据就会被擦除。或者你可以考虑对设备或者任何使用的闪存卡中存储的数据加密,或者一旦是被出现丢失或者被盗,可以使用设备管理解决方案来帮助管理员远程擦除数据。

除了数据存储外,你应该考虑对设备中安装的那种应用软件进行控制。举例来说,一些智能手机安全解决方案可以允许"接收清单"和"拒绝清单"来限制移动设备中运行那种应用软件。不过要谨记的是:尽管控制用户能够运行的应用软件种类是有帮助的,但是它不能完全保护智能手机不受危险程序的威胁。

你也可以限制操作系统只允许有数字签名的应用软件在智能手机上运行。这些应用软件可以被企业签名或者被操作系统制造商验证。包含病毒和木马的第三方应用软件在这种设定下将无法在智能手机设备商运行,因为他们没有公司许可的签名。这种方法提供了最高级别的安全属性,由此你可以在应用软件到应用软件的基础上实施控制。

一些智能手机也可以配置公司内部的权限管理系统。在企业中,这些系统被用来阻止未经授权的数据访问,对于智能手机来说,不管他们身在何处都可以阻止未经授权的用户查看数据。另外,当员工雇佣期满,用户设备商通过权限管理系统控制和存储的所有访问权限都应该被立即终止,不能再被用户使用。

管理连接风险
当用户使用智能手机访问电子邮件,企业内部网等内部系统和互联网时,就给企业带来了额外的安全风险。因此,你必须管理设备连接性来减少第三方应用软件和病毒及木马程序带来的风险。

另外,你应该考虑如何控制哪个网站的用户可以访问他们的智能手机。通过网站过滤器通过使用虚拟个人网络访问企业代理服务器来完成工作,这样也将同样的控制延伸到企业内部的网站控制。

这种虚拟个人网络就像超便携笔记本用户从现场访问数据一样,也可以用来访问企业内部网或者行业类应用软件。可选的是,一些设备可以使用本地应用软件来执行网站过滤。不过用这种方法不能集中登录。

事实上可以插入笔记本电脑来实现数据同步的智能手机也带来了安全风险。你应该判断你的企业是否希望用户来将智能手机插入桌面系统来与企业内部的数据保持同步或者运程操作。然后你必须制定相应的安全政策。要谨记的是当智能手机同步功能被禁止,用户让然可以将设备插入个人电脑或者Mac来控制它。

企业与他们的智能手机相结合的功能之一是企业即时信息。最新的即时信息解决方案也可以和IP语音通话和视频会议结合起来。通过执行企业即时信息标准,企业可以记录所有的谈话记录,包括与智能手机的对话。即时信息功能可以通过虚拟个人网络或者SSL来执行,选择那一种取决于用户配置的喜好。