不久之前，典型的企業(yè)IT用戶的辦公桌上是一臺(tái)臺(tái)式電腦，有些人可能還會(huì)得到一臺(tái)筆記本電腦用于出差和偶爾的遠(yuǎn)程辦公，或者可能還有企業(yè)發(fā)放的黑莓手機(jī)用于手機(jī)服務(wù)和訪問(wèn)電子郵件及即時(shí)消息。

[[116984]]

然而，現(xiàn)在的情況已經(jīng)發(fā)生了很大的變化：很多企業(yè)為每個(gè)用戶配備一臺(tái)筆記本，而不是臺(tái)式機(jī)，并且，很多員工還可以得到功能強(qiáng)大的智能手機(jī)和平板電腦。除此之外，隨著BYOD趨勢(shì)的興起，用戶開(kāi)始使用自己的筆記本、智能手機(jī)和平板電腦進(jìn)行工作，而最終的結(jié)果是，一個(gè)員工通常要使用多種設(shè)備用于工作。

可以說(shuō)，多樣化移動(dòng)設(shè)備的崛起突然而劇烈。對(duì)于企業(yè)網(wǎng)絡(luò)和安全管理人員而言，在設(shè)備連接到企業(yè)網(wǎng)絡(luò)后，他們經(jīng)常會(huì)看到設(shè)備中的平臺(tái)是他們從未見(jiàn)過(guò)的新平臺(tái)，這是很普遍的現(xiàn)象。

不幸的是，移動(dòng)設(shè)備安全已經(jīng)遠(yuǎn)遠(yuǎn)落后于移動(dòng)設(shè)備技術(shù)的進(jìn)步。智能手機(jī)和平板電腦的漏洞水平逐漸趕上臺(tái)式機(jī)和筆記本，因?yàn)樗鼈兌际腔谙嗤能浖?，但智能手機(jī)和平板電腦缺乏臺(tái)式機(jī)和筆記本的內(nèi)置安全控制，例如基于主機(jī)的防火墻和入侵檢測(cè)系統(tǒng)。為了緩解這個(gè)漏洞問(wèn)題，企業(yè)應(yīng)該添加適當(dāng)?shù)牡谌桨踩刂频揭苿?dòng)設(shè)備作為移動(dòng)設(shè)備管理(MDM)戰(zhàn)略的一部分。本文提供了關(guān)于MDM安全戰(zhàn)略做法的幾個(gè)實(shí)用的技巧，以期更好地保護(hù)移動(dòng)設(shè)備和數(shù)據(jù)。

使用MDM軟件

MDM軟件已經(jīng)成為移動(dòng)設(shè)備的首選基本安全控制，并且，在部署你的MDM戰(zhàn)略時(shí)必須要考慮它。它為移動(dòng)設(shè)備安全提供了集中管理，可以保護(hù)存儲(chǔ)在移動(dòng)設(shè)備上的和由移動(dòng)設(shè)備訪問(wèn)的敏感數(shù)據(jù)。它可以“照顧”所有基本操作系統(tǒng)安全控制，例如安全地安裝補(bǔ)丁和配置操作系統(tǒng)。它還添加了不同的數(shù)據(jù)安全控制，包括存儲(chǔ)加密、設(shè)備控制和數(shù)據(jù)丟失防護(hù)(DLP)技術(shù)。對(duì)于企業(yè)控制的移動(dòng)設(shè)備(包括筆記本)而言，MDM軟件是最容易部署和使用的軟件，但MDM也可以為有限數(shù)量的BYOD設(shè)備部署和使用。

專注于數(shù)據(jù) 而不是操作系統(tǒng)

盡管移動(dòng)操作系統(tǒng)帶來(lái)了很大的安全挑戰(zhàn)，企業(yè)已經(jīng)能夠相對(duì)較好地保護(hù)它們，當(dāng)然，這主要?dú)w功于MDM軟件的崛起。同時(shí)，數(shù)據(jù)已變得更有價(jià)值，特別是財(cái)務(wù)數(shù)據(jù)和個(gè)人身份信息。毫不奇怪，攻擊者已經(jīng)將其重點(diǎn)從利用操作系統(tǒng)漏洞轉(zhuǎn)變?yōu)楂@取數(shù)據(jù)。單個(gè)數(shù)據(jù)泄露事故可能讓企業(yè)損失數(shù)百萬(wàn)美元，而單個(gè)移動(dòng)設(shè)備的丟失或被盜就可能導(dǎo)致這種事故。

企業(yè)需要考慮其數(shù)據(jù)可能的位置，并保護(hù)這些數(shù)據(jù)，抵御多種威脅。DLP技術(shù)和介質(zhì)加密(包括內(nèi)置和可移動(dòng)介質(zhì))已成為關(guān)鍵。幸運(yùn)的是，移動(dòng)操作系統(tǒng)已經(jīng)開(kāi)始提供介質(zhì)加密，而DLP技術(shù)和介質(zhì)加密都可通過(guò)MDM技術(shù)提供。

讓敏感數(shù)據(jù)遠(yuǎn)離移動(dòng)設(shè)備

這個(gè)規(guī)則可能看起來(lái)很簡(jiǎn)單，但企業(yè)通常會(huì)因?yàn)闆](méi)有堅(jiān)持這個(gè)規(guī)則而遭受重大泄露事故：確保企業(yè)敏感數(shù)據(jù)遠(yuǎn)離用戶的移動(dòng)設(shè)備。如果敏感數(shù)據(jù)從來(lái)沒(méi)有駐留在移動(dòng)設(shè)備上，這些設(shè)備的丟失或被盜對(duì)企業(yè)的影響要小得多。企業(yè)不應(yīng)該將敏感數(shù)據(jù)存儲(chǔ)在移動(dòng)設(shè)備上，而應(yīng)該集中存儲(chǔ)敏感數(shù)據(jù)，并僅為移動(dòng)設(shè)備用戶提供必要的數(shù)據(jù)，最好是該數(shù)據(jù)的圖像。這最大限度地減少了數(shù)據(jù)暴露風(fēng)險(xiǎn)。

阻止基于Web的惡意軟件

惡意軟件的威脅逐漸成為移動(dòng)設(shè)備的噩夢(mèng)，特別是對(duì)于基于web的惡意軟件。企業(yè)通常會(huì)依賴web安全網(wǎng)關(guān)來(lái)檢測(cè)和阻止這種惡意軟件。不幸的是，隨著移動(dòng)性的增加，這些網(wǎng)關(guān)并沒(méi)有什么用，因?yàn)橐苿?dòng)設(shè)備通常在外部網(wǎng)絡(luò)，并且通常不使用這些網(wǎng)關(guān)。我們有兩個(gè)辦法來(lái)解決這個(gè)問(wèn)題：為移動(dòng)設(shè)備部署web安全控制(可能通過(guò)MDM策略)或者強(qiáng)迫企業(yè)的移動(dòng)設(shè)備通過(guò)中央代理服務(wù)器“路由”流量，這可能包括網(wǎng)絡(luò)安全控制，例如web安全網(wǎng)關(guān)。雖然后面這種方法可以提供很高的安全性，通過(guò)對(duì)所有移動(dòng)設(shè)備流量部署企業(yè)級(jí)網(wǎng)絡(luò)安全控制，但這也會(huì)帶來(lái)顯著的成本和性能問(wèn)題，因此，企業(yè)在部署這種解決方案之前需要進(jìn)行仔細(xì)評(píng)估。