移動應用市場正在高速發(fā)展,截至2017年3月,Android用戶可使用280萬款應用,同時蘋果App Store則提供220萬款應用。
面對如此海量的應用,對企業(yè)來說,確定哪些應用用于企業(yè)用途是十分困難的。即使是最有用的應用都可能會增加企業(yè)安全風險,因此,安全團隊需要將移動應用評估作為其工作的一部分。
應用評估可幫助安全團隊了解應用的功能以及它如何與移動設備中的數(shù)據(jù)進行交互。根據(jù)評估的結果,安全團隊可確定應用是否適合在其業(yè)務環(huán)境中使用。
評估應用的運作方式可讓安全團隊主動識別潛在的風險。在這樣做時,他們能夠通過禁止不可接受的應用來防止數(shù)據(jù)丟失以及未經(jīng)授權的修改或數(shù)據(jù)訪問。盡管應用評估有諸多好處,但很多安全團隊沒有進行評估,僅僅是因為他們?nèi)狈ο嚓P的技能。因此,企業(yè)在沒有監(jiān)督的情況下允許移動應用使用,這可能給企業(yè)帶來巨大風險。
確定什么是(不)可接受的
在進行應用評估時有兩種建議的方法。第一種方法是實現(xiàn)確定的“紅旗”行為,如果應用表現(xiàn)出這些行為,則不能被使用,并且沒有必要進行進一步評估,這些“紅旗”行為包括:
訪問聯(lián)系人并將其從設備復制
跟蹤用戶位置并發(fā)送出去
訪問用戶的照片或照片流
發(fā)送或登錄用戶賬戶憑證(以純文本形式)
第二種方法是對每個應用更徹底詳細的檢查。每個應用都進行單獨評估,以確定其一切活動。根據(jù)調(diào)查結果,對每個應用是否適合商業(yè)用途進行決策。
建議使用應用報告卡作為研究結果的分級機制,以及評估是否允許特定應用用于商業(yè)環(huán)境。報告卡應涵蓋:
權限
可執(zhí)行的漏洞
本地數(shù)據(jù)存儲和保護,包括機密性和完整性
保護網(wǎng)絡通信
進程間通信
“紅旗”方法是評估應用更簡單的方法,這種方法在大多數(shù)時候都可行。然而,如果應用具有企業(yè)需要的功能,在發(fā)現(xiàn)紅旗行為時,建議對該應用進行全面應用評估,以了解潛在風險以及是否可以解決。
企業(yè)與BYOD
在面對企業(yè)持有或發(fā)布的設備時,可限制和控制用戶下載的應用。iOS手機比Android設備更容易被鎖定,鎖定手機的功能是安全團隊管理企業(yè)持有和受管設備的另一種方法。在BYOD的情況下,這些工作變得更加困難。
在BYOD情況下,常見的策略是使用Gmail賬戶。員工被要求為所有企業(yè)相關的通信設置Gmail賬戶,但出于明顯的安全和控制原因,非常不建議采用這一策略。
在BYOD中,更安全更受控制的方法是使用容器應用。這種策略使員工可控制自己的手機,同時將業(yè)務數(shù)據(jù)隔離到安全容器。所有業(yè)務通信都是通過容器應用來完成,由于并非所有容器應用都相同,建議在強制員工使用特定應用之前,對容器應用進行應用評估。
面對每天引入的新應用,企業(yè)不能再對應用使用視而不見。安全團隊必須提高自己的技能,開始學習如何對移動應用進行評估。
對于真正認真對待移動安全的企業(yè)來說,結合移動應用安全評估與SANS“有效移動安全的8大步驟”是很好的策略。這些步驟是按最簡單和最有益到部署最復雜的順序排列,無論設備是企業(yè)持有還是BYOD,都可以遵循這些步驟。
這些步驟包括:
強制執(zhí)行設備密碼身份驗證
監(jiān)控移動設備接入和使用
修復移動設備
阻止未經(jīng)批準第三方應用商店
控制物理訪問
評估應用安全性
為丟失或被盜設備準確事件響應計劃
部署管理和運營支持
SANS的《有效移動安全8大步驟》是由該社區(qū)驅(qū)動的項目,旨在提高移動安全性,它體現(xiàn)了專家的一致想法。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文網(wǎng)址:http://www.guhuozai8.cn/html/solutions/14019320847.html
相關文章
