移动企业安全防御策略

新的、更小的“无线就绪”掌上电脑和智能手机正在使员工更具流动性和效率,但流动性的增加也意味着风险的增加。

如今,大多数移动设备都内置了对无线局域网、蓝牙和无线广域网的支持。移动用户不再被连接到企业网络和资源的复杂性所困扰,他们可以更方便地访问和交换企业校园、野外或旅行中的任何地方的业务信息。

因此,曾经在网络周界内受到严密保护的宝贵企业数据现在在移动终端(包括笔记本电脑、平板电脑、掌上电脑、聚合手持设备和智能手机)上不受保护。如果不加保护,移动设备将为您最有价值的公司资产之一——信息——敞开大门。而且由于它们的尺寸,这些设备很容易放错地方、丢失或被盗——这使您的组织面临潜在的法律责任、财务损失和品牌损害。

移动设备带来的安全威胁迫使企业从根本上改变其安全边界的理念。当组织只需要担心保护物理连接的计算机不受未经授权的访问时,他们很快就添加了防火墙、防病毒工具、虚拟专用网络和强身份验证来保护外围环境。

然而,当你添加的计算设备甚至比笔记本电脑还小,并且完全独立于网络工作时,保护外围的工作就会变得非常复杂。因为这些设备是在网络控制范围之外使用的,所以它们需要自己的安全策略。为了充分保护您的数字资产,您需要扩展您的安全边界,以包括移动设备及其到您的网络的有线或无线连接。

如果你认为这不是一个大问题,再想想。公司采用移动和无线设备的速度比任何其他平台都快。行业分析公司Gartner Inc.预测,到2007年,全球将有近12万个WLAN“热点”网关,为2亿多个用于商业的移动设备提供私人和公共网络接入。Gartner还预测,到2005年,全球2000家公司中60%以上的员工将拥有企业应用程序的移动访问权限,40%的企业数据将驻留在手持设备上。

管理移动性不再是一种选择——它是网络安全的必要组成部分。您面临的挑战是确定谁正在访问您的网络,他们是如何访问的,以及使用什么类型的移动设备。然后,您需要弄清楚如何保护和有效地管理这些设备和连接选项,以供可能成千上万的用户使用,同时保持成本不变。最好的办法是积极主动。以下防御策略将帮助您制定一个计划,其中包括完善的实践、充分的培训以及实施安全和管理框架,以扩展您的安全网络周界,包括移动设备。

进行风险评估。良好的安全实践取决于您所处的业务和面临的风险。信息安全规划首先要了解您当前存储的信息的价值和敏感性。确定敏感数据的位置、控制者、访问者、存储方式和保护方式。

为移动设备实施安全策略。一旦执行了风险评估,就需要为移动设备实施安全策略。该政策应涵盖合理和谨慎的安全控制,以管理设备上的信息类型;设备的安全配置,包括用于保护企业数据的所有软件;以及允许的操作模式,包括可接受的无线连接选项和可移动媒体的使用。

培训和教育员工。应该让员工意识到移动设备的弱点,以及如果他们落入坏人之手对公司的影响。培训应包括设备的物理安全意识、移动设备安全策略、可存储在设备上的信息类型审查以及设备丢失或被盗时应遵循的程序。

实现强大的设备安全性。很多时候,敏感信息(如客户帐户信息、订单历史记录、定价和产品路线图,以及关键访问权限和网络凭据)在移动设备上存储时不受保护。为了最大限度地保护企业数据,应始终实施安全措施,以确保移动设备无论在线还是离线都受到保护。

至少,从一个需要用户身份验证的策略开始,以防止未经授权的用户从设备获得对设备功能、应用程序或网络访问的访问。启用故障保护选项,当用户超过一定的访问尝试次数时,该选项可以自动锁定访问权限,并启用更激进的措施,自动销毁设备上存储的所有应用程序和数据。

未经授权的用户也可以通过简单地移除设备的硬盘驱动器或可移动媒体,并将其插入未受保护的设备以获取对数据的访问,从而轻松规避安全。为了防止这种情况,应该强制执行加密策略,使数据无法读取,并且无法从未经授权的移动设备访问。

控制员工自有设备的使用。移动设备的廉价特性使工作人员能够并鼓励他们将个人设备带入办公室和网络。这损害了许多健全的安全基础的基本假设。通过检测和阻止个人设备的使用,或通过自动设置安全软件和用户策略来控制员工拥有的设备的使用以及企业数据流向这些设备,以确保这些设备始终受到保护。

在授予对企业数据的访问权限之前对用户和设备进行身份验证。同步软件可用于轻松地将大量敏感数据从无人值守的台式计算机传输到移动设备。要防止恶意同步,请通过强制身份验证和控制用户可以同步的位置的安全策略来管理同步活动。

一个主要问题是wlan在企业环境中的广泛使用。为了防止在防火墙后面的公司局域网的入口点受到流氓攻击,应对所有到网络的临时无线连接实施网络身份验证。

集中策略管理并用软件强制执行。在政策执行方面,合规仍然是安全办公室的责任。很多时候,诸如密码和数据加密之类的安全保护措施会被设备意外或有意的硬重置所规避,而硬重置会自动将设备设置为出厂默认设置(不包括安全性)。实施基于策略的软件,以确保您为保护敏感信息隐私而采取的措施不会失败。确保安全软件能够监视、审计和报告每个用户的网络访问的重要统计信息,以验证是否符合安全策略。

为了减轻跨多个移动操作系统管理可能成千上万个移动设备的负担和成本,策略管理应该是集中化和自动化的。使用能够自动分发安全软件和策略的软件,因为这些软件和策略是为新用户定义的或更新的,以确保持续遵守安全策略--即使是在预期的硬重置的情况下。理想情况下,移动安全策略应与企业目录(如Microsoft Active directory)集成,以便在所有公司系统中保持一致。这些最佳实践确保了所有系统的基本安全级别,并通过消除每次就业状态发生变化时更新多个系统的需要,大大简化了管理。

控制飞行中的流量和安全信息。许多设备都是“无线就绪”的,并支持许多通信选项,如红外光束、蓝牙、无线局域网和WWAN。确保只使用安全、授权的通信机制。建立有关员工使用移动设备时何时、何地以及如何进行通信的控制。

考虑到在公共互联网上传输的信息存在安全风险,请确保在企业数据进出企业网络时,使用SSL或VPN等链路级加密技术保护航空公司。此外,应实施个人防火墙,以进一步控制对移动计算设备的访问。

保护设备免受恶意代码攻击。随着越来越多的设备被用于连接到企业网络,针对移动设备的病毒和特洛伊木马将变得越来越麻烦。应部署并定期更新个人防病毒保护,以防止数据丢失和恶意破坏代码。

平衡信息的可访问性和安全性。使用移动设备的能力要求在信息的安全性和可访问性之间保持微妙的平衡。为了允许业务功能的连续性,设备上的安全控制应该对用户透明,并且不应该妨碍生产效率。例如,包含敏感信息的数据库或文件夹的加密和解密应在请求时实时进行,以减少对用户的影响。并确保授权管理员可以在员工离开公司时恢复加密的数据库或文件。

忘记密码的用户不必通过呼叫服务台或连接到网络来访问设备的功能。使用可确保业务连续性的软件,并允许授权用户重置其PIN或密码,从而简化服务台呼叫。

结论

移动性标志着计算的下一个新浪潮。需求是真实的,技术在这里,效益是巨大的。然而,移动设备和企业局域网的无线接入带来的新的安全威胁正在侵蚀安全的网络外围,这意味着企业安全的基本理念和保护数字资产的方式发生了变化。

在调动员工时,通过有效地扩展您的网络周界,包括移动设备及其到您的网络的有线或无线连接,来解决这一新的计算范式。到2007年,预计将有12万个WLAN热点为超过2亿个移动商务设备提供网络接入,管理和保护移动不再是可选的。为了充分保护您的数字资产,请扩展您的安全边界,以包括移动和无线设备。