科羅拉多州博爾德的Enterprise Management Associates Inc.的安全老將，也是研究主管Scott Crawford解釋了CIO們?nèi)绾畏乐褂脩艋乇苓h(yuǎn)程訪問安全策略，并勾畫出了CIO們可以采取的技術(shù)路徑以安全地管理移動設(shè)備。

SearchCIO.com：為了開發(fā)遠(yuǎn)程訪問安全策略，CIO們應(yīng)該如何開始確定他們的要求?

Crawford：您不僅需要知道數(shù)據(jù)位于哪里，而且要知道如何訪問它以及它在您的整個IT組織范圍內(nèi)是如何流轉(zhuǎn)的。這將幫助您確定您需要關(guān)注的重點(diǎn)。看一看從哪里以及通過什么類型的終端訪問數(shù)據(jù)，您將有更好的主意。它會給您用例場景，這些用例將有助于您確定合適的策略應(yīng)該是什么。然后您就可以開始評估將幫助您解決這些問題的技術(shù)。

您需要了解在您的組織中，數(shù)據(jù)是如何流轉(zhuǎn)的。人們注意到這一點(diǎn)了嗎?

Crawford：嗯，這是幾年前采用DLP[數(shù)據(jù)丟失防護(hù)]技術(shù)的一部分原因——事實(shí)上，有如此多的內(nèi)容圍繞組織在流轉(zhuǎn)，在組織內(nèi)部，流向員工、商業(yè)伙伴、與企業(yè)沒有關(guān)系的組織。我們?nèi)绾慰刂扑?DLP可以讓您看到這些活動，但它也有局限性。確定高度結(jié)構(gòu)化的類似帳戶號碼的數(shù)據(jù)，的確是很好的;當(dāng)談到非結(jié)構(gòu)化的數(shù)據(jù)時，它面臨著一些非常嚴(yán)重的挑戰(zhàn)。

IT部門怎樣才能阻止用戶避開遠(yuǎn)程訪問安全策略?

Crawford：您可以從您遇到的最常見用例開始。電子郵件可能會是***個。這并不是說，DLP[工具]是良方;這意味著您需要洞察，在您的組織中，內(nèi)容是如何流轉(zhuǎn)的。也需要考慮出口路徑，數(shù)據(jù)如何離開并落入壞人之手。移動化的確加劇了這一點(diǎn)。問題是，您必須首先考慮，這些設(shè)備的真實(shí)數(shù)量以及人們想要從它們訪問的內(nèi)容。并且，順便說一下，如果只處理在您的組織中大量出現(xiàn)的消費(fèi)者設(shè)備，您很可能不會獲得額外的人頭數(shù)。

另一個典型的出口路徑是對應(yīng)用程序本身的訪問，這就是您可以施加一些更多控制的地方。作為訪問其他資源的一種手段的對網(wǎng)絡(luò)的訪問，顯然會給您相當(dāng)廣泛的訪問權(quán)，以訪問在環(huán)境中的大范圍的內(nèi)容，但不是所有的訪問都和從移動設(shè)備上的訪問等價(jià)。當(dāng)然，大多數(shù)[移動設(shè)備]有一個瀏覽器，但問題是，您如何保證先訪問Web應(yīng)用程序呢。所以，手機(jī)更多的是催化劑的作用，而不是***可以考慮的事情。

對于BYOD[員工攜自帶設(shè)備]方案，您看到什么樣的方法?

Crawford：有一些廠商能夠真正使BYOD策略成為可能，并就員工允許帶入或訪問什么，給組織很多自主權(quán)。對于VDI[虛擬桌面基礎(chǔ)設(shè)施]供應(yīng)商，這是他們的談話要點(diǎn)之一。如果您使用VDI技術(shù)，數(shù)據(jù)不會發(fā)現(xiàn)到端點(diǎn)的路徑。

當(dāng)人們開始著手選擇用于遠(yuǎn)程訪問安全的技術(shù)時，您有什么建議?

Crawford：對于這一點(diǎn)，人們就是否介入移動設(shè)備管理左右為難，如果確定要介入，對于企業(yè)應(yīng)用或者將成為一個敏感點(diǎn)的應(yīng)用，可以采取容器化的方法。換句話說，您能隔離這些應(yīng)用并給移動用戶訪問業(yè)務(wù)內(nèi)容的權(quán)限，而且您也能保護(hù)他們免受和其他應(yīng)用或者移動設(shè)備本身之間的未想到的或惡意的交互。虛擬化技術(shù)是對付它的一種辦法，但在今天的市場上，也有一些容器方法。還有一些NAC[網(wǎng)絡(luò)接入控制]廠商，他們深刻了解網(wǎng)絡(luò)環(huán)境的真正的細(xì)粒度的、也了解對包含移動因素的網(wǎng)絡(luò)環(huán)境的訪問上基于策略的控制。