隨著網(wǎng)絡(luò)互聯(lián)的興起，員工能否自攜設(shè)備進(jìn)行工作，對(duì)企業(yè)來(lái)說(shuō)是一道嚴(yán)峻的考驗(yàn)。本期專家支招，力求保護(hù)員工移動(dòng)設(shè)備和企業(yè)數(shù)據(jù)庫(kù)的安全。

    從智能手機(jī)到筆記本電腦，具備上網(wǎng)功能的移動(dòng)設(shè)備更新速度十分迅猛，它們的改朝換代迅速改變著消費(fèi)者的互動(dòng)方式和專業(yè)人士開(kāi)展業(yè)務(wù)的渠道。

    但是，這種移動(dòng)設(shè)備快速升級(jí)的現(xiàn)象引發(fā)了一系列諸如安全、便捷、生產(chǎn)效率和費(fèi)用等嚴(yán)重問(wèn)題，特別是越來(lái)越多的公司開(kāi)始考慮是否需要配置移動(dòng)設(shè)備或允許員工自帶移動(dòng)設(shè)備上班。Javelin戰(zhàn)略與研究中心的風(fēng)險(xiǎn)、安全和詐騙分析師湯姆·威爾士(Tom Wills)認(rèn)為，問(wèn)題沒(méi)有那么簡(jiǎn)單。目前來(lái)講，不同公司對(duì)移動(dòng)設(shè)備市場(chǎng)的看法不同，有些公司傾向于增加個(gè)人設(shè)備的使用，而有些則相反。

    威爾士說(shuō)：“不過(guò)，更多具有安全意識(shí)的組織趨向于裝備一套獨(dú)立的、可以局域鎖定的設(shè)備，如銀行和政府機(jī)構(gòu)。隨著基于公司發(fā)行的設(shè)備不斷出現(xiàn)，我們可以實(shí)行一項(xiàng)政策，表示用戶沒(méi)有權(quán)利對(duì)設(shè)備上的信息進(jìn)行輸人、刪除或儲(chǔ)存。”但是員工自己的設(shè)備能否在工作場(chǎng)合使用?這又是另一個(gè)問(wèn)題。

用戶需求響應(yīng)

    自2011年秋天發(fā)布了一項(xiàng)新的移動(dòng)應(yīng)用政策后，特拉華州開(kāi)始努力尋找企業(yè)關(guān)注點(diǎn)和員工靈活性之間的平衡。

    該政策允許特拉華州的員工在開(kāi)展與工作有關(guān)的交互時(shí)使用個(gè)人移動(dòng)設(shè)備，比如接收和發(fā)送工作電郵。但前提條件是員工必須接受7條限制，其中一條是員工允許該州監(jiān)管等相關(guān)部門遠(yuǎn)程監(jiān)控他們的移動(dòng)交互情況。

    特拉華州首席安全官伊萊恩·斯塔基(Elayne Starkey)認(rèn)為，安全政策有助于規(guī)范企業(yè)的移動(dòng)交互。因此，特拉華州針對(duì)移動(dòng)設(shè)備制定了如下幾項(xiàng)管制：設(shè)置復(fù)雜密碼；如果設(shè)備被破壞或登錄失敗次數(shù)超過(guò)7次，遠(yuǎn)程取消；如果可能，設(shè)備加密。

    斯塔基解釋道：“防范于未然，所以我們正在努力保證整個(gè)特拉華州網(wǎng)絡(luò)的數(shù)據(jù)安全并防止數(shù)據(jù)泄露和丟失。”

    阿拉巴馬大學(xué)已經(jīng)在伯明翰衛(wèi)生系統(tǒng)發(fā)現(xiàn)它自身正處于這種狀況。半年前，阿拉巴馬大學(xué)推出了_一種被稱為混合型的移動(dòng)應(yīng)用模型，該模型混合了企業(yè)網(wǎng)絡(luò)和個(gè)人移動(dòng)設(shè)備。該大學(xué)信息安全人員特雷爾·赫齊格(Terrell Herzig)說(shuō)：“目前我們正在尋找端點(diǎn)安全。”

    員工自然是想要攜帶一臺(tái)便攜設(shè)備。但從阿拉巴馬大學(xué)的角度來(lái)看，與設(shè)備丟失、無(wú)法遠(yuǎn)程銷毀設(shè)備相比，相關(guān)的安全和法律問(wèn)題可能比便捷更重要。

    赫齊格說(shuō)：“目前，我們正在尋找一種能夠設(shè)置安全控制的工具，這樣我們才能同時(shí)在企業(yè)模式里使用。”不過(guò)事情都有個(gè)底線，比如密碼保護(hù)，還有員工與阿拉巴馬大學(xué)之間簽署的允許遠(yuǎn)程控制設(shè)備的協(xié)議等。

    大多數(shù)員工只是想訪問(wèn)公司的電子郵件，但也有一些希望有更深入的移動(dòng)接入，比如讓他們的移動(dòng)設(shè)備與企業(yè)數(shù)據(jù)庫(kù)同步，這涉及一個(gè)更大的安全問(wèn)題。赫齊格表明：“在我們的政策里是不允許這樣的事情發(fā)生的。我們希望大多數(shù)的數(shù)據(jù)保持在服務(wù)器，而不是移動(dòng)設(shè)備上。”

    不過(guò)，Javelin研究室的執(zhí)行副總裁兼研究室主任瑪麗·莫納漢(Mary Monahan)認(rèn)為，對(duì)員工來(lái)說(shuō)解決掉一些公司設(shè)置的限制很容易，這對(duì)企業(yè)來(lái)說(shuō)是一個(gè)更為嚴(yán)重的安全問(wèn)題。比如說(shuō)，允許用戶從云里下載文件的Dropbox軟件，就可以輕易地繞開(kāi)這些限制。

    莫納漢說(shuō)：‘鹼業(yè)應(yīng)該界定并限制可以存儲(chǔ)在移動(dòng)設(shè)備上的數(shù)據(jù)類型，從而控制它們的泄露和其他不利條件。”

    強(qiáng)大的加密方式是降低風(fēng)險(xiǎn)最有效的方法。

責(zé)任的轉(zhuǎn)變?

    特拉華州和阿拉巴馬大學(xué)的例子表明目前許多公司面臨的困境。威爾士認(rèn)為，這是安全性和實(shí)用性之間的一個(gè)經(jīng)典權(quán)衡。

    為了增加公司設(shè)備的安全性，你要么為個(gè)人和工作場(chǎng)所分別裝配一臺(tái)設(shè)備，要么允許攜帶個(gè)人設(shè)備辦公。威爾士認(rèn)為，嚴(yán)重削減設(shè)備的功能會(huì)刺激到其擁有者。

    然而，安全必須放在首要位置，公司永遠(yuǎn)不能寄希望于員工自覺(jué)養(yǎng)成良好的安全習(xí)慣。威爾士補(bǔ)充道：“總是有很多人使用手機(jī)越獄，在后臺(tái)輸入他們的密碼，而當(dāng)新的補(bǔ)丁發(fā)出時(shí)卻無(wú)法更新自己的應(yīng)用程序。”

    還有一個(gè)問(wèn)題，手機(jī)是一項(xiàng)獨(dú)特的技術(shù)，唯一真正馴服它的實(shí)體是移動(dòng)運(yùn)營(yíng)商。這是一個(gè)有趣的難題，因?yàn)橐苿?dòng)運(yùn)營(yíng)商過(guò)去從來(lái)沒(méi)有關(guān)注過(guò)移動(dòng)用戶和企業(yè)網(wǎng)絡(luò)之間的安全問(wèn)題。

    FatSkunk是一家密切關(guān)注手機(jī)在企業(yè)領(lǐng)域應(yīng)用演變的移動(dòng)安全公司，它的首席執(zhí)行官和聯(lián)合創(chuàng)始人之一馬克·格朗克拉(MarkGrandcolas)說(shuō)：“我們現(xiàn)在正處在一個(gè)十字路口。”

    傳統(tǒng)的操作系統(tǒng)補(bǔ)丁對(duì)保護(hù)PC的安全運(yùn)轉(zhuǎn)一直行之有效，但在移動(dòng)設(shè)備上并不能得到很好的應(yīng)用。因此，移動(dòng)運(yùn)營(yíng)商不得不負(fù)責(zé)分發(fā)補(bǔ)丁'但它們并沒(méi)有設(shè)置分發(fā)補(bǔ)丁的網(wǎng)絡(luò)。馬克說(shuō)：“這將會(huì)占用移動(dòng)運(yùn)營(yíng)商幾個(gè)月的時(shí)間來(lái)分配所有的補(bǔ)丁，所以他們不得不勻出—定的時(shí)間來(lái)處理此事。”

    此外，在移動(dòng)設(shè)備上也很難檢測(cè)到惡意軟件。馬庫(kù)斯·雅格布松(Markus Jakobsson)博士認(rèn)為：“如果手機(jī)上時(shí)刻運(yùn)行著反病毒或惡意軟件檢測(cè)程序，將會(huì)非常耗費(fèi)電量。這是一個(gè)結(jié)構(gòu)性難題，現(xiàn)有模式在短時(shí)間內(nèi)是無(wú)法克服的。”

    一些新興的移動(dòng)安全供應(yīng)商正在致力于為運(yùn)營(yíng)商和企業(yè)研究解決方案。總體而言，這些供應(yīng)商提供給企業(yè)的移動(dòng)管理解決方案是，給它們提供一臺(tái)可以跟蹤員工手機(jī)和手機(jī)使用情況的軟件服務(wù)器。它們同樣給予企業(yè)遠(yuǎn)程配置的權(quán)限，而且當(dāng)移動(dòng)設(shè)備損害或丟失時(shí)，允許企業(yè)自行消除。

移動(dòng)管理技巧

    隨著各公司發(fā)力移動(dòng)設(shè)備，是否允許員工自己攜帶設(shè)備工作的問(wèn)題就開(kāi)始困擾企業(yè)，以下是一些需要考慮的安全問(wèn)題。

    第一，規(guī)范移動(dòng)選項(xiàng)。保衛(wèi)、支持、配置和更新大規(guī)模的移動(dòng)設(shè)備是一項(xiàng)困難而且費(fèi)時(shí)的事晴。莫納漢認(rèn)為，指定標(biāo)準(zhǔn)移動(dòng)設(shè)備或統(tǒng)—員工的設(shè)備很容易。他說(shuō)：“假如沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，很可能連管理員都不能準(zhǔn)確地知道公司內(nèi)部在使用哪些技術(shù)和軟件，從而導(dǎo)致其不能采取有效的措施來(lái)減輕各種網(wǎng)絡(luò)威脅。”如果統(tǒng)一設(shè)備標(biāo)準(zhǔn)不現(xiàn)實(shí)，公司應(yīng)該采取分層的安全結(jié)構(gòu)，這樣可以建立特定級(jí)別的訪問(wèn)并支持特定的設(shè)備。

    第二，制定和實(shí)施明確的政策。無(wú)論移動(dòng)互聯(lián)是否通過(guò)試點(diǎn)給全體員工提供個(gè)人設(shè)備，一旦某個(gè)公司決定支持個(gè)人設(shè)備，那么它就必須針對(duì)數(shù)據(jù)和控制方面制訂嚴(yán)格的政策。赫齊格表示：“然后，組織需要對(duì)員工進(jìn)行培訓(xùn)，幫助他們了解個(gè)人設(shè)備面臨的風(fēng)險(xiǎn)，并且應(yīng)與員工簽署雙方均可接受的使用協(xié)議。”

    第三，惡意軟件：建立備用計(jì)劃。隨著惡意軟件的猖獗，公司需要對(duì)能夠影響移動(dòng)設(shè)備的特定應(yīng)用程序作出及時(shí)的反應(yīng)。移動(dòng)運(yùn)營(yíng)商并不能對(duì)受影響的移動(dòng)設(shè)備作出及時(shí)的修正，所以公司必須確保有一套合適的備用方案，以便能夠在移動(dòng)設(shè)備受到影響時(shí)第一時(shí)間切斷它們與網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)之間的聯(lián)系。

    第四，了解隱性成本。向員工提供移動(dòng)設(shè)備的費(fèi)用是高昂的，但是公司不應(yīng)該迅速卷入讓員工“使用自帶設(shè)備工作”的浪潮。不要忽視后臺(tái)維修支持的成本，如果更多員工使用個(gè)人設(shè)備，這個(gè)費(fèi)用還將繼續(xù)增加。赫齊格解釋道：“如果員工使用的是一臺(tái)有問(wèn)題的設(shè)備，他們其實(shí)并不知道到底是應(yīng)用程序還是軟件出現(xiàn)了故障。我認(rèn)為，公司的后臺(tái)網(wǎng)絡(luò)部門將最先收到他們的求助，而這將會(huì)產(chǎn)生一筆費(fèi)用。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：移動(dòng)支付：如何對(duì)安全說(shuō)YES

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1083954239.html