BYOD的盛行使得企業移動應用管理已經成為企業CIO、CSO需要高度關注的一個問題。解決不好這個問題,將會使得員工工作效率低下,企業應用存在安全隱患或者風險。因此,企業急需要制定一套企業移動應用管理體系,在該體系中,數據、應用和設備管理是非常關鍵的三個要素。本文將詳細介紹這方面的安全管理最佳實踐。
實踐一:數據隔離是核心
企業移動應用管理最核心的關鍵是進行數據管理。用戶在移動設備中使用的不僅僅是個人數據,還會大面積地使用企業數據,那么如何進行有效的進行企業和用戶的數據隔離是非常重要的問題。“數據隔離”是指用戶在指定的企業應用內閱覽和編輯的所有內容都不能拷貝到該應用外部,也不能把外部的數據拷貝到該應用里面來。從企業的角度看,返種手段既保證企業數據不被外泄,也防范個人數據中可能存在的信息(如新聞、娛樂信息)以及病毒、木馬等非法程序在企業內部的傳播和感染。從用戶的角度看,用戶個人數據都被隔離在“安全沙箱”之外,因此,不必擔心BYOD設備中的個人數據會在移動辦公的過程中流入企業內網而引起個人隱私的泄露。
當然,安全的要求不能夠以犧牲用戶體驗和辦公效率為前提。所以為了保證數據隔離后的文檔可使用性,企業移動應用在文檔辦公方面有一定的要求,企業應用一方面可以通過文檔轉換將主流的Windows Office文檔轉換成移動終端系統可識別的格式,并呈現給用戶,譬如,將PowERPoint格式轉換為圖片格式;也支持對ZIP、RAR壓縮包的解壓、PDF文檔的呈現、GIF等圖片格式的呈現。 文檔轉換模塊為安全瀏覽器和安全郵件客戶端提供方便快捷的文件在線瀏覽能力,通過這個轉換,用戶可以用安全瀏覽器直接瀏覽公司文檔,也可用安全郵件客戶端打開郵件附件中的各類文檔,而不必擔心手機或平板不識別Office文檔的問題,也不必安裝第三方的文字處理軟件。
實踐二:應用管理需強化
企業應對應用實現細粒度的管理,主要是對企業移動應用的管理。由于實現了實踐一中介紹的數據隔離,則不需要對個人移動應用實現太大強度的管理,否則容易造成用戶可用性的喪失,當然,對于安全意識較好的用戶來說,也可以對其采取相關的機制來進行保障,而在一般情況下,僅對企業應用進行控制也是可行的,畢竟已經進行了數據的隔離,應該將安全的力度放在企業數據區的安全防護上比較合理。
企業應用管理較常采取黑白名單的方法。其中,黑名單是通過禁止用戶將黑名單中出現的應用安裝在企業數據區來實現安全;而白名單是明確地給出用戶可以將哪些應用安裝在企業數據區。具體黑白名單的定義由企業根據實際情況決定,這個沒有統一的規定。
實踐三:設備管理打基礎
設備管理是移動安全方案的一個核心組件,通過MDM(移動設備管理,Mobile Device Management)可以避免用戶在移動終端上操作可能帶來的安全隱患,防止移動終端不慎丟失后造成數據泄露。企業需要明確使用MDM來達到如下安全管控效果:
資產管理和策略管理:在對BYOD設備執行MDM安全管控前,首先要將用戶的BYOD設備注冊到企業的MDM管理平臺,可與員工簽署相關使用協議,然后將MDM客戶端安裝到BYOD設備。然后,企業便可根據雙方的協議,通過管理平臺對移動終端進行狀態查詢、安全管控策略下發、應用分發等操作。管理員可據企業的實際情況和協議要求,通過MDM策略管理后臺對終端進行“設備硬件硬件控制”、“越獄檢測”、“遠程鎖定”、“GPS定位”、“遠程擦除”、“應用一鍵配置”等操作。若員工需更換辦公終端或離職,也可將終端仍管理平臺注銷,脫離企業的MDM安全管控。
設備硬件控制:MDM提供對移動終端設備攝像頭/藍牙/Wi-Fi/USB網絡共享/GPS/VPN/藍牙掃描/熱點功能/USB存儲模式/麥克風/云服務和備份服務/截屏的控制能力,管理員可根據企業的實際情況下發策略,在員工使用移動終端接入企業內網期間,禁用其中的部分或全部功能。 用戶通過移動客戶端登錄企業移動網關時,網關根據用戶和設備信息下發相應的控制策略,客戶端根據這些策略進行控制。移動終端會把這些對系統硬件接口的修改記錄下來,在用戶在退出移動應用時,根據記錄自動將這些配置恢復到登錄前的狀態,不影響用戶在非辦公期間對BYOD設備的使用體驗。
“越獄”檢測:越獄會對企業移動應用帶來較大的安全威脅。越獄檢測策略是網關在用戶登錄時下發給移動客戶端的,如果檢測到越獄,移動客戶端可根據策略的指示作出不同級別的響應:審計、提示、告警或斷網。
設備遠程鎖定/GPS定位/遠程擦除:若終端丟失,員工可以登錄企業的自助管理Portal或者通過移動設備管理員下發控制命令,對自己的BYOD設備進行遠程鎖定和GPS定位,若確認無法找回,也可遠程擦除終端上的數據。在員工離職、更換辦公終端等場景下,管理員也可通過管理后臺給BYOD終端下發選擇性數據擦除的指令,即僅僅擦除企業數據和卸載企業移動應用,而保留BYOD終端上所有的個人數據和個人應用,這樣既保證企業數據不外泄,又不破壞用戶個人的數據和應用,用戶完全可以繼續正常的使用自己的個人終端。
應用一鍵配置:管理員可以通過MDM管理后臺為所有員工的移動辦公終端下發統一的應用配置,譬如,企業郵箱、微信、VPN軟件等的配置,這樣既保證所有員工的辦公軟件的配置是安全的、一致的,也免去了每個員工分別去手工配置應用的麻煩。
企業應用商店管理:對于能夠提供大量企業移動應用的企業,應該需要配套提供企業應用的下載、升級、查詢、搜索等功能,以方便員工使用,并確保該商店的安全性,防止和減少員工從其他渠道下載相關應用進行企業辦公的安全風險。
自助管理Portal:若用戶不希望管理員干涉,則可以登錄自助管理Portal,在終端丟失時,通過GPS定位功能,在地圖上直觀地查看終端的物理位置,并進行遠程鎖定、遠程擦除等操作。
轉載請注明出處:拓步ERP資訊網http://www.lukmueng.com/
本文標題:企業如何制定一套安全的移動應用管理體系
相關文章
