企業(yè)實(shí)現(xiàn)移動辦公安全需注重10大要素
移動性和攜帶自己設(shè)備到工作場所(BYOD)正在改變?nèi)藗児ぷ鞯姆绞揭约捌髽I(yè)員工工作的方式。移動性不只是簡單的遠(yuǎn)程訪問,移動設(shè)備也多種多樣。智能手機(jī)和平板電腦可以用于幾乎任何業(yè)務(wù)任務(wù),也能像傳統(tǒng)計算機(jī)一樣訪問、存儲和傳輸應(yīng)用程序和數(shù)據(jù)。為了發(fā)揮移動的全部潛力,IT需要讓人們自由地從任何設(shè)備無縫和方便地訪問他們所有的應(yīng)用程序以及數(shù)據(jù)。
由于移動設(shè)備被用在更多位置,通常使用不受信任的網(wǎng)絡(luò),它們更有可能丟失或被盜,因此企業(yè)應(yīng)該對移動設(shè)備部署正確的方法來保護(hù)企業(yè)信息。IT必須保持合規(guī)性和保護(hù)敏感信息,無論這些信息在什么地方以及如何被存儲和使用,甚至是當(dāng)業(yè)務(wù)和個人應(yīng)用位于同一臺設(shè)備中。另外,可穿戴設(shè)備到物聯(lián)網(wǎng)等新興移動趨勢也帶來新的考慮因素。現(xiàn)在,制定真正全面和安全意識的移動戰(zhàn)略成為所有企業(yè)的頭等大事。
本文中介紹的10個關(guān)鍵要素可以幫助你制定企業(yè)移動戰(zhàn)略,包括安全性、用戶體驗(yàn)、IT運(yùn)營和BYOD。總之,這些指導(dǎo)意見、最佳做法和技術(shù)可以幫助你的企業(yè)意識到移動性的全部優(yōu)勢。
1.管理和保護(hù)重要性
隨著人們訪問多臺設(shè)備(包括個人擁有的智能手機(jī)和平板電腦)的數(shù)據(jù)和應(yīng)用程序,IT不太可能控制和管理環(huán)境的各個方面。企業(yè)應(yīng)該專注于最重要的方面,并選擇最適合你的業(yè)務(wù)和移動用例的移動管理方式。下面有四種管理方式可以選擇:
移動設(shè)備管理(MDM) – MDM讓你可以管理和控制用來訪問企業(yè)資源的移動設(shè)備。在設(shè)備(無論是企業(yè)所有還是個人擁有的設(shè)備)進(jìn)入企業(yè)網(wǎng)絡(luò)之前,你應(yīng)該確保它沒有被越獄或者受到感染。加密、遠(yuǎn)程鎖定和擦除、移動VPN、應(yīng)用黑名單以及選擇性禁用本地設(shè)備功能都可以實(shí)現(xiàn)高水平的安全性。
移動虛擬機(jī)管理程序和容器 – 這種方式可以讓你管理設(shè)備中容器內(nèi)的應(yīng)用、數(shù)據(jù)、政策和設(shè)置,而不需要與任何個人內(nèi)容交互,這很適合支持BYOD。實(shí)際上,單個移動設(shè)備變成兩個獨(dú)立的虛擬設(shè)備:一個用于工作,一個用于個人生活。
移動應(yīng)用程序 (MAM) – 基于容器方法,MAM讓你可以集中化任何移動應(yīng)用及其數(shù)據(jù)和設(shè)置的管理、安全性和控制,作為容器的一部分。應(yīng)用級政策可以包括身份驗(yàn)證、網(wǎng)絡(luò)、位置、通行碼和加密。應(yīng)用程序和桌面虛擬化,虛擬化的固有安全性也適用于移動應(yīng)用。企業(yè)應(yīng)用可以為移動設(shè)備而優(yōu)化,并按需交付,而數(shù)據(jù)仍然保存在數(shù)據(jù)中心內(nèi)。
#p#
2.優(yōu)先考慮“用戶體驗(yàn)”
移動設(shè)備是企業(yè)消費(fèi)化的主要驅(qū)動力,它們?yōu)槿藗兲峁┝藦?qiáng)大的新方式來使用應(yīng)用以及信息。而這也給IT帶來挑戰(zhàn),IT現(xiàn)在必須確保用戶使用的自由和便利性。IT有必要與用戶坐下來談?wù)劊粤私馄湫枨蠛拖埠茫瑏泶_保你的移動戰(zhàn)略給他們真正想要的東西。
在你試圖提供卓越的用戶體驗(yàn)時,你應(yīng)該尋求為用戶提供他們可能還沒有想到的有用功能,例如:
允許用戶在他們使用的任何設(shè)備來訪問其應(yīng)用程序和數(shù)據(jù),保持他們的個性化設(shè)置,這樣他們就可以立即開始工作
● 讓人們可以通過單點(diǎn)登錄企業(yè)應(yīng)用程序商店來對他們需要的應(yīng)用進(jìn)行自助式配置
● 提供共享的瘦客戶端或者其他企業(yè)級設(shè)備,讓人們在發(fā)現(xiàn)某些應(yīng)用程序因?yàn)榘踩枨蠖豢捎脮r可以簡單地切換
●自動化對數(shù)據(jù)共享和管理的控制,例如在應(yīng)用程序之間復(fù)制數(shù)據(jù)的能力,這樣人們就不必記住具體政策
● 在應(yīng)用程序的基礎(chǔ)上定義允許的設(shè)備功能,這樣人們?nèi)匀豢梢允褂媚承?yīng)用程序的打印、拍照和本地數(shù)據(jù)存儲功能,如果IT需要為其他應(yīng)用程序關(guān)閉這些功能的話
● 讓人們可以通過發(fā)送鏈接從任何設(shè)備共享和同步文件,以及與外部人員共享文件
通過與用戶合作來制定移動戰(zhàn)略,你可以更好地滿足他們的需求,同時有很好的機(jī)會來設(shè)置期望,并確保人們了解IT自己的需求來確保合規(guī)性,例如保護(hù)應(yīng)用和數(shù)據(jù)、控制網(wǎng)絡(luò)訪問和適當(dāng)?shù)毓芾碓O(shè)備的需要。
3. 避免用戶使用不受企業(yè)管理的應(yīng)用而泄露敏感數(shù)據(jù)
這是企業(yè)移動用例中最糟糕的情況:使用消費(fèi)類設(shè)備的BYOD用戶將敏感數(shù)據(jù)轉(zhuǎn)移到云計算中。這種做法完全繞過了IT的控制和可視性,這在現(xiàn)在的企業(yè)中很常見。當(dāng)然,這樣做的理由很充分。云計算應(yīng)用程序可以幫助人們節(jié)省時間以及更容易地完成工作,他們還可以為企業(yè)創(chuàng)造價值。但如果錯誤地使用了云計算應(yīng)用程序,這可能帶來安全和合規(guī)性問題。
IT政策和用戶教育并不能完全避免這種問題,IT會發(fā)現(xiàn),如果云計算應(yīng)用是滿足用戶需求的最佳解決方案,他們還是會選擇使用它們。因此,IT有必要吸引用戶使用其基礎(chǔ)設(shè)施,特別是涉及敏感數(shù)據(jù)和應(yīng)用程序時,最好的激勵是出色的用戶體驗(yàn)、比云計算替代品更好地滿足人們的需求。
#p#
4.注重服務(wù)交付方法
移動用戶依賴于多種應(yīng)用程序類型,不只是定制的移動應(yīng)用程序,還有第三方本地移動應(yīng)用程序、移動化Windows應(yīng)用程序和SaaS解決方案。在開發(fā)你的移動應(yīng)用戰(zhàn)略時,你應(yīng)該考慮用戶使用的混合應(yīng)用程序,以及它們應(yīng)該如何在移動設(shè)備被訪問。
下面是人們訪問移動設(shè)備中應(yīng)用程序的四種方法:
本地設(shè)備體驗(yàn) –在這種情況下,用戶的設(shè)備完全不受管理。人們購買自己的應(yīng)用程序,可以同時交融企業(yè)和個人數(shù)據(jù),并可以使用任何網(wǎng)絡(luò)。與上述問題一樣,這是具有風(fēng)險的不安全的方法,應(yīng)該禁止敏感數(shù)據(jù)。
虛擬化訪問體驗(yàn)– 虛擬應(yīng)用程序和數(shù)據(jù),以及虛擬桌面都托管在數(shù)據(jù)中心,并通過遠(yuǎn)程顯示協(xié)議來呈現(xiàn)。IT可以管理訪問并確保安全性,同時讓人們可以在移動平臺運(yùn)行Windows應(yīng)用程序。沒有數(shù)據(jù)會離開數(shù)據(jù)中心,這消除了設(shè)備本身對數(shù)據(jù)保護(hù)的需要。這種方法依賴于連接性,而這限制了離線使用場景。
容器化體驗(yàn) – .企業(yè)在設(shè)備創(chuàng)建一個容器,其中所有企業(yè)移動應(yīng)用程序(包括定制和第三方本地移動應(yīng)用程序)將會與其他內(nèi)容分離。IT可以管理容器內(nèi)的應(yīng)用程序和數(shù)據(jù),同時允許用戶從配置自己的應(yīng)用程序。應(yīng)用程序可以基于IT政策來進(jìn)行升級、配置和修改。SSL、加密和應(yīng)用程序特定的VPN也可以包含在容器中,以讓人們在任何設(shè)置中簡單地進(jìn)行連接。在設(shè)備丟失、被盜、設(shè)備升級或員工離職的情況下,容器還可以被遠(yuǎn)程擦除。
完全托管企業(yè)體驗(yàn) – 這種方法可以對移動設(shè)備進(jìn)行完全的控制,并具有嵌入式政策來進(jìn)行遠(yuǎn)程擦除、地域限制、數(shù)據(jù)失效等安全措施。所有移動應(yīng)用程序都由IT選擇和配置,而沒有個性化。雖然這種方法對于某些企業(yè)和用例是非常安全和適用的方法,但這會限制用戶體驗(yàn),并不兼容BYOD。
對于大多數(shù)企業(yè)來說,虛擬化訪問和容器化經(jīng)驗(yàn)的結(jié)合將會支持人們使用的各種應(yīng)用程序和用例。這還可以讓IT來維持可視性和控制,同時提供卓越的用戶體驗(yàn)。人們可以通過統(tǒng)一的企業(yè)單點(diǎn)登錄來訪問托管應(yīng)用程序和本地移動應(yīng)用程序,例如SaaS應(yīng)用程序。當(dāng)員工離開企業(yè)時,IT可以立即禁用該員工的賬戶來刪除其對所有移動、托管和SaaS應(yīng)用程序的訪問權(quán)限。
5. 自動化設(shè)置
自動化不僅簡化了IT的工作,還可以提供更好的體驗(yàn),讓我們看看自動化給解決常見移動性需求帶來的差異:
● 員工更換丟失的設(shè)備或者升級到新的設(shè)備。通過點(diǎn)擊一個URL,用戶的所有業(yè)務(wù)應(yīng)用程序和工作信息都可以轉(zhuǎn)移到新設(shè)備,完全配置和個性化,并隨時可以使用。新員工或者承包商同樣可以容易地聯(lián)網(wǎng),所有企業(yè)移動應(yīng)用程序被配置到個人擁有或企業(yè)設(shè)備中的容器內(nèi)。單點(diǎn)登錄(SSO)可以實(shí)現(xiàn)對托管和SaaS應(yīng)用程序的無縫訪問。
● 當(dāng)員工轉(zhuǎn)移位置或者網(wǎng)絡(luò)時,情境和自適應(yīng)訪問控制可以自動重新配置應(yīng)用程序來確保安全性,并對用戶完全透明。
● 董事會成員帶著平板電腦來開會。所有本次會議的文件都會被自動加載到該設(shè)備,由IT進(jìn)行只讀訪問的配置,并限制在容器化應(yīng)用程序。特別機(jī)密的文件可以設(shè)置為在董事會成員離開房間后自動從設(shè)備消失。
● 當(dāng)員工在企業(yè)中的角色發(fā)生變化,當(dāng)前職位的相關(guān)應(yīng)用程序會自動提供,同時不需要的應(yīng)用程序會自動消失。第三方SaaS許可也會立即回收用于再分配。
執(zhí)行這種自動化的一種方法是通過Active Directory。首先,連接特定職位到相應(yīng)的容器。這個職位定義的任何人都可以自動使用該容器以及相關(guān)的應(yīng)用、數(shù)據(jù)和設(shè)置等。在設(shè)備本身,你可以使用MDM來集中設(shè)置Wi-Fi密碼、用戶證書、雙因素身份驗(yàn)證等來支持這種自動化流程。
#p#
6.明確定義網(wǎng)絡(luò)
不同的應(yīng)用程序和用例有著不同的網(wǎng)絡(luò)要求,從內(nèi)聯(lián)網(wǎng)或微軟SharePoint站點(diǎn),到外部合作伙伴的門戶網(wǎng)站,到要求相互SSL身份驗(yàn)證的敏感應(yīng)用程序。在設(shè)備級執(zhí)行最高的安全設(shè)置會降低用戶體驗(yàn);在另一方面,要求人們?yōu)槊總€應(yīng)用程序采用不同的設(shè)置會讓他們厭煩。
通過鎖定網(wǎng)絡(luò)到特定容器或應(yīng)用程序,為每個定義不同設(shè)置,你可以讓網(wǎng)絡(luò)針對每個應(yīng)用程序,而不需要給用戶增加麻煩。人們只需要點(diǎn)擊應(yīng)用就可以使用,而登錄、接受證書或打開應(yīng)用程序特定的VPN會自動在后臺執(zhí)行。
7. 保護(hù)敏感數(shù)據(jù)高于一切
在很多企業(yè),IT并不知道最敏感的數(shù)據(jù)所在,并對所有數(shù)據(jù)采取相同的保護(hù)水平,效率低下的昂貴的方法。移動為你提供了一個機(jī)會讓你可以更具選擇性地基于分類模式保護(hù)數(shù)據(jù),來滿足你獨(dú)特的業(yè)務(wù)和安全需求。
很多企業(yè)使用相對簡單的模式來將數(shù)據(jù)分為三類:公共數(shù)據(jù)、機(jī)密數(shù)據(jù)和受限制數(shù)據(jù),并會考慮所使用的設(shè)備和平臺,而其他企業(yè)則有更復(fù)雜的分類機(jī)制,也考慮了更多其他因素,例如用戶角色和位置。部署簡單模式的方法如下:
公開數(shù)據(jù)是指不包含機(jī)密、隱私或合規(guī)信息的數(shù)據(jù),這些數(shù)據(jù)可以在任何地方使用任何設(shè)備支持無限制的數(shù)據(jù)移動性和無限制的使用。人們不需要通過企業(yè)基礎(chǔ)設(shè)施,你可以配置應(yīng)用程序特定的網(wǎng)絡(luò)設(shè)置來允許人們以最方便的方式來訪問這些數(shù)據(jù)。
機(jī)密數(shù)據(jù)是不能公開的數(shù)據(jù),當(dāng)泄露時會給企業(yè)帶來風(fēng)險,這些數(shù)據(jù)需要更高水平的保護(hù)。在這種情況下,你可以通過企業(yè)網(wǎng)絡(luò)在BYOD或消費(fèi)類設(shè)備提供虛擬化訪問,而僅允許在具有MDM功能(例如加密和遠(yuǎn)程擦除)的企業(yè)級設(shè)備提供完整的數(shù)據(jù)移動性。
有些公司可能會認(rèn)為基于容器的方法已經(jīng)足以處理這種類型的數(shù)據(jù)。在這種情況下,只要數(shù)據(jù)存儲在單獨(dú)容器內(nèi),受到IT的保護(hù)和控制,就可以讓數(shù)據(jù)在任何移動設(shè)備完全移動。
受限制數(shù)據(jù)可能會帶來違反合規(guī)、聲譽(yù)受損、業(yè)務(wù)損失和其他物質(zhì)影響,這些數(shù)據(jù)應(yīng)該引起企業(yè)的高度重視。完整的數(shù)據(jù)移動性應(yīng)該限于任務(wù)級設(shè)備,企業(yè)級設(shè)備可進(jìn)行虛擬訪問。而BYOD和其他消費(fèi)類設(shè)備不應(yīng)該授予訪問權(quán)限,或者在某些情況下可以考慮和審查虛擬化和基于容器的方法。
上述模式考慮了數(shù)據(jù)分類和設(shè)備類型。你可能還想要額外的考慮到你的安全政策中,例如設(shè)備平臺、位置以及用戶角色。有些公司和很多政府組織建立了更具體的數(shù)據(jù)分類,每個類別都有自己的規(guī)則。
通過你的企業(yè)基礎(chǔ)設(shè)施為機(jī)密和受限制數(shù)據(jù)配置網(wǎng)絡(luò)訪問,你可以獲取完整的信息,了解人們?nèi)绾问褂眯畔碓u估你的數(shù)據(jù)敏感性模式和移動控制政策的有效性。
#p#
8.明確角色和所有權(quán)
在你的企業(yè)誰掌控企業(yè)移動性?在大多數(shù)公司,移動性仍然是通過專門的方式來解決,通常是由一個委員會來監(jiān)督IT職能,從基礎(chǔ)設(shè)施和網(wǎng)絡(luò)到應(yīng)用程序。鑒于移動性在企業(yè)的戰(zhàn)略性作用,以及復(fù)雜的用戶和IT需求,重要的是要明確圍繞移動性的組織架構(gòu)、角色和流程。人們應(yīng)該了解誰負(fù)責(zé)移動性,以及如何跨不同IT職能來管理?
當(dāng)涉及移動設(shè)備本身時,需要明確所有權(quán)。你的BYOD政策應(yīng)該解決完全受管理、企業(yè)自有設(shè)備和用戶自有設(shè)備之間的灰色地帶,例如:
● 誰負(fù)責(zé)對BYOD設(shè)備進(jìn)行備份?誰為設(shè)備提供支持和維護(hù),以及如何支付?
●當(dāng)法院要求從個人設(shè)備獲取數(shù)據(jù)或日志時,發(fā)現(xiàn)將如何被處理?
● 當(dāng)有人使用相同設(shè)備用于工作時,個人內(nèi)容的隱私問題是什么?
用戶和IT都應(yīng)該明白自己的角色和責(zé)任以避免誤解。明確定義你的BYOD計劃,讓用戶開始使用個人設(shè)備用于工作之前簽字。
9選擇符合合規(guī)性的解決方案
在全球范圍內(nèi),企業(yè)面對著超過300個安全和隱私相關(guān)的標(biāo)準(zhǔn)、法規(guī)和法律,還有超過3500個特定控制。企業(yè)不僅需要滿足這些要求,還要能夠記錄合規(guī)性,并允許全面審核。更不用提企業(yè)自己的內(nèi)部政策。你可能已經(jīng)解決了你網(wǎng)絡(luò)內(nèi)的合規(guī)挑戰(zhàn)。你想要做的最后一件事情是讓企業(yè)移動性創(chuàng)造巨大的新問題來解決。請確保你的移動設(shè)備和平臺支持無縫合規(guī)性,以及政府規(guī)定、行業(yè)標(biāo)準(zhǔn)和企業(yè)安全政策,從基于政策和分類的訪問控制到保護(hù)數(shù)據(jù)存儲。你的解決方案應(yīng)該提供完整的日志記錄和報告來幫助你快速有效且成功地響應(yīng)審計。
10. 為物聯(lián)網(wǎng)做好準(zhǔn)備
在制定政策時,不要局限于現(xiàn)在,還要注意未來幾年企業(yè)移動的發(fā)展。可穿戴設(shè)備(例如Google Glass和智能手表)將繼續(xù)改變?nèi)藗兪褂靡苿蛹夹g(shù)的方式,提供更加人性化的直觀的體驗(yàn),同時帶來新的用例。聯(lián)網(wǎng)車輛(包括無人駕駛汽車)將以新的方式使用數(shù)據(jù)和云服務(wù)來幫助人們更容易更有效地去他們想去的地方。工業(yè)控制系統(tǒng)(ICS)將使用和交換數(shù)據(jù)作為人力工作流的一部分。這樣的發(fā)展還將繼續(xù)擴(kuò)展移動的潛力,但這也給安全、合規(guī)、管理和用戶體驗(yàn)帶來新的挑戰(zhàn)。
企業(yè)應(yīng)該關(guān)注業(yè)界關(guān)于這些新興技術(shù)的討論,并圍繞適用于任何類型的移動設(shè)備和用例的核心原則來設(shè)計你的移動戰(zhàn)略。這樣,你就可以最大限度地減少頻繁的政策變化和迭代。
總結(jié)
企業(yè)移動性已經(jīng)不再是針對特定群體和用例,而已經(jīng)成為企業(yè)IT的基本要素。在你制定企業(yè)移動戰(zhàn)略時,請確保你考慮了用戶和IT的要求。人們想要對其數(shù)據(jù)和應(yīng)用程序的無縫方便的訪問,以及比他們個人生活中更好的用戶體驗(yàn)。IT則需要為美中類型的數(shù)據(jù)提供正確的控制、保護(hù)和合規(guī)性,而同時不限制人們工作的方式。通過有效利用可用的模式和技術(shù)來確保移動設(shè)備的應(yīng)用和數(shù)據(jù)訪問,你提供的全面的移動戰(zhàn)略將可以滿足現(xiàn)在企業(yè)和今后歲月里的要求。
