从十多年前开始CIO们就面临着移动设备的安全问题。首先是黑莓手机,然后是上网本之后出现的诸多智能手机,直到现在苹果(以iPad和iPad2引领了平板设备的潮流)的产品。由于这些产品已经被客户所广泛使用,所以CIO们除了考虑内部设备的使用,还必须关注客户用自己设备连接网络时所带来的安全风险。
那么关于移动战略CIO最关注的是什么?要注意哪些风险?下面就是在移动设备安全策略涉及的四个主要方面:
升级:在管理智能手机、平板电脑、上网本及其他设备时,最大的挑战就是及时的升级维护。当设备厂商、操作系统厂商和运营商发布各自新功能的同时,新的安全威胁也在每天涌现。对此已经存在一些工具比如微软的System Center Configuration Manager 和Mobile Device Manager,它们可用在一定程度上缓解安全风险。但是对于流行的设备诸如iPhone、Android和iPad来说就必须加倍小心了,因为这些设备没有集中式的升级方式,你只能寄希望于用户和苹果公司了。
供给:你是否允许用户用自己的移动设备连接到你的网络?你是否进行了设备的标准化并统一分发给用户?不同级别的员工是否需要在设备联网时拥有不同的权限?用户是否拥有对敏感信息的访问权限(这要求能够在设备被窃或丢失时进行远程擦除)?如果设备可能落在不适当的人手里,你有什么办法清除其上的数据?如何管理设备和证书向客户的交付?对于所有这些问题,需要复杂的移动策略来给出答案。
合同和锁定:如同技术领域内的任何事物一样,智能手机和移动设备总是处在变化之中 – 可能在你还没来得及调整相应策略之前,眼下最先进的设备已经落伍了。
就这一点而言,美国国内的厂商确实谈不上是你的朋友 – 他们的主要目标就是通过服务协议和合同来增加你的用户开销,这些协议或者合同所造成的厂商锁定时间可能是一年、两年甚至三年。因此,在谈判过程中一定要谨慎细致,反复拉锯是艰苦的,但是可以使你避免束手无策的窘境。要尽量避免厂商的锁定,不要让你所签署的合同完全是按照运营商的意志拟定的。
控制:移动设备安全的第一道防线包括对所支持设备的梳理并确定哪些设备才能获准连入企业网络。对很多企业而言,这最终会导致一个所有权的问题:是否由企业购买设备并分发给授权用户?是否允许用户自行购买设备并访问企业的邮件服务器和其他网络资源?一些公司用诸如黑莓企业服务器之类的产品来管理移动邮件访问,这种特定设备的选用为中型企业的设备选择提供了明确的界定。这种方式提供了强制性的策略 – 设备必须首先向服务器注册,否则无法访问相应资源。