BYOD的盛行使得企业移动应用管理已经成为企业CIO、CSO需要高度关注的一个问题。解决不好这个问题,将会使得员工工作效率低下,企业应用存在安全隐患或者风险。因此,企业急需要制定一套企业移动应用管理体系,在该体系中,数据、应用和设备管理是非常关键的三个要素。本文将详细介绍这方面的安全管理最佳实践。
实践一:数据隔离是核心 企业移动应用管理最核心的关键是进行数据管理。用户在移动设备中使用的不仅仅是个人数据,还会大面积地使用企业数据,那么如何进行有效的进行企业和用户的数据隔离是非常重要的问题。“数据隔离”是指用户在指定的企业应用内阅览和编辑的所有内容都不能拷贝到该应用外部,也不能把外部的数据拷贝到……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
BYOD的盛行使得企业移动应用管理已经成为企业CIO、CSO需要高度关注的一个问题。解决不好这个问题,将会使得员工工作效率低下,企业应用存在安全隐患或者风险。因此,企业急需要制定一套企业移动应用管理体系,在该体系中,数据、应用和设备管理是非常关键的三个要素。本文将详细介绍这方面的安全管理最佳实践。
实践一:数据隔离是核心
企业移动应用管理最核心的关键是进行数据管理。用户在移动设备中使用的不仅仅是个人数据,还会大面积地使用企业数据,那么如何进行有效的进行企业和用户的数据隔离是非常重要的问题。“数据隔离”是指用户在指定的企业应用内阅览和编辑的所有内容都不能拷贝到该应用外部,也不能把外部的数据拷贝到该应用里面来。从企业的角度看,返种手段既保证企业数据不被外泄,也防范个人数据中可能存在的信息(如新闻、娱乐信息)以及病毒、木马等非法程序在企业内部的传播和感染。从用户的角度看,用户个人数据都被隔离在“安全沙箱”之外,因此,不必担心BYOD设备中的个人数据会在移动办公的过程中流入企业内网而引起个人隐私的泄露。
当然,安全的要求不能够以牺牲用户体验和办公效率为前提。所以为了保证数据隔离后的文档可使用性,企业移动应用在文档办公方面有一定的要求,企业应用一方面可以通过文档转换将主流的Windows Office文档转换成移动终端系统可识别的格式,并呈现给用户,譬如,将PowerPoint格式转换为图片格式;也支持对ZIP、RAR压缩包的解压、PDF文档的呈现、GIF等图片格式的呈现。 文档转换模块为安全浏览器和安全邮件客户端提供方便快捷的文件在线浏览能力,通过这个转换,用户可以用安全浏览器直接浏览公司文档,也可用安全邮件客户端打开邮件附件中的各类文档,而不必担心手机或平板不识别Office文档的问题,也不必安装第三方的文字处理软件。
实践二:应用管理需强化
企业应对应用实现细粒度的管理,主要是对企业移动应用的管理。由于实现了实践一中介绍的数据隔离,则不需要对个人移动应用实现太大强度的管理,否则容易造成用户可用性的丧失,当然,对于安全意识较好的用户来说,也可以对其采取相关的机制来进行保障,而在一般情况下,仅对企业应用进行控制也是可行的,毕竟已经进行了数据的隔离,应该将安全的力度放在企业数据区的安全防护上比较合理。
企业应用管理较常采取黑白名单的方法。其中,黑名单是通过禁止用户将黑名单中出现的应用安装在企业数据区来实现安全;而白名单是明确地给出用户可以将哪些应用安装在企业数据区。具体黑白名单的定义由企业根据实际情况决定,这个没有统一的规定。
实践三:设备管理打基础
设备管理是移动安全方案的一个核心组件,通过MDM(移动设备管理,Mobile Device Management)可以避免用户在移动终端上操作可能带来的安全隐患,防止移动终端不慎丢失后造成数据泄露。企业需要明确使用MDM来达到如下安全管控效果:
- 资产管理和策略管理:在对BYOD设备执行MDM安全管控前,首先要将用户的BYOD设备注册到企业的MDM管理平台,可与员工签署相关使用协议,然后将MDM客户端安装到BYOD设备。然后,企业便可根据双方的协议,通过管理平台对移动终端进行状态查询、安全管控策略下发、应用分发等操作。管理员可据企业的实际情况和协议要求,通过MDM策略管理后台对终端进行“设备硬件硬件控制”、“越狱检测”、“远程锁定”、“GPS定位”、“远程擦除”、“应用一键配置”等操作。若员工需更换办公终端或离职,也可将终端仍管理平台注销,脱离企业的MDM安全管控。
- 设备硬件控制:MDM提供对移动终端设备摄像头/蓝牙/Wi-Fi/USB网络共享/GPS/VPN/蓝牙扫描/热点功能/USB存储模式/麦克风/云服务和备份服务/截屏的控制能力,管理员可根据企业的实际情况下发策略,在员工使用移动终端接入企业内网期间,禁用其中的部分或全部功能。 用户通过移动客户端登录企业移动网关时,网关根据用户和设备信息下发相应的控制策略,客户端根据这些策略进行控制。移动终端会把这些对系统硬件接口的修改记录下来,在用户在退出移动应用时,根据记录自动将这些配置恢复到登录前的状态,不影响用户在非办公期间对BYOD设备的使用体验。
- “越狱”检测:越狱会对企业移动应用带来较大的安全威胁。越狱检测策略是网关在用户登录时下发给移动客户端的,如果检测到越狱,移动客户端可根据策略的指示作出不同级别的响应:审计、提示、告警或断网。
- 设备远程锁定/GPS定位/远程擦除:若终端丢失,员工可以登录企业的自助管理Portal或者通过移动设备管理员下发控制命令,对自己的BYOD设备进行远程锁定和GPS定位,若确认无法找回,也可远程擦除终端上的数据。在员工离职、更换办公终端等场景下,管理员也可通过管理后台给BYOD终端下发选择性数据擦除的指令,即仅仅擦除企业数据和卸载企业移动应用,而保留BYOD终端上所有的个人数据和个人应用,这样既保证企业数据不外泄,又不破坏用户个人的数据和应用,用户完全可以继续正常的使用自己的个人终端。
- 应用一键配置:管理员可以通过MDM管理后台为所有员工的移动办公终端下发统一的应用配置,譬如,企业邮箱、微信、VPN软件等的配置,这样既保证所有员工的办公软件的配置是安全的、一致的,也免去了每个员工分别去手工配置应用的麻烦。
- 企业应用商店管理:对于能够提供大量企业移动应用的企业,应该需要配套提供企业应用的下载、升级、查询、搜索等功能,以方便员工使用,并确保该商店的安全性,防止和减少员工从其他渠道下载相关应用进行企业办公的安全风险。
- 自助管理Portal:若用户不希望管理员干涉,则可以登录自助管理Portal,在终端丢失时,通过GPS定位功能,在地图上直观地查看终端的物理位置,并进行远程锁定、远程擦除等操作。
相关推荐
-
下一个网络挑战:保护SD-WAN
随着软件定义的广域网(SD-WAN)逐渐成为企业主流,这项技术越来越为人所熟知,尽管仍然存在大量令人眼花缭乱的 […]
-
通过数字化转型改造传统网络
云计算网络和安全厂商Zscaler本周在拉斯维加斯举办了其首次用户会议ZenithLive。该会议共吸引约60 […]
-
区块链技术可以用于网络管理吗?没那么快
有IT分析人士称,区块链技术用于网络管理价值不大。他们还分析了物联网安全以及灾难发生时AI会发生的事。 Glo […]
-
Cyphort分析技术助力Juniper Security Director
瞻博网络在去年收购Cyphort公司,近日瞻博网络公司便推出第一款整合其安全产品与Cyphort威胁检测技术的 […]