作者:建华
目前,制定一套管理雇员个人移动设备并保障企业网络安全的策略已迫在眉睫。iPhone、黑莓、Windows Mobile等智能电话在工作场所出现的机会日益增多。不管公司的策略是否准许移动设备访问公司网络,员工们正将这种设备带入到办公室中。
许多公司不得不接受个人所拥有的设备能够访问公司网络的观念,或者为某些设备访问网络提供完全的支持,或者在个人设备访问公司网络时进行限制。
这些公司正认识到,如果准许雇员们用个人所拥有的设备访问公司的邮件及其它资源,这些雇员的工作效率将会更高。此外,在如今的经济环境中,准许个人设备访问公司资源还有助于公司减轻某些成本,因为用户们要为自己的这些设备付钱。
自然地,公司的IT部门对于开放网络并准许移动设备访问网络都是小心翼翼的。IT需要控制移动设备如何以及在何种情况下可以访问公司的系统。公司需要制定一种策略,既可以恰当地保持网络的安全性,又准许为提高工作效率的应用程序用户更容易地访问资源,这会为公司的未来带来更具有竞争力的优势。IT部门能够保证移动设备在访问公司网络的同时,又不危害公司的资产。下面介绍的这七条最佳方法可以保护公司的环境,向雇员们提供使用其个人设备的灵活性,同时又不损害关键的企业资源:
一、确认网络上的移动设备
一个很好的出发点是IT管理人员的一个要确认谁在访问或试图访问网络。通常,可以通过审核现有的系统,如Exchange服务器、ISA日志以及表明存在着本地同步软件的桌面系统和笔记本电脑等。
如果你认为公司网络上并没有什么移动设备,不妨考虑下面这个例子。一家全国性大型零售商部署了Sybase Exchange服务器,在公司总部安装了门控软件。仅用几天工夫,其IT部门就做出决定,认为公司网络上存在着1000多部未授权的移动电话。
二、确定需要访问公司网络后台办公系统的员工
记住,每一个用户绝对不能自动地访问网络中的任何资源。你不妨花点儿时间调查一下你的部门和雇员,确定他们希望从移动性中获得什么?与个人设备有关的趋势正受到“信息员工”的驱使,许多员工都将移动设备看作是一种生产力工具。
这些用户真得需要访问企业的邮件及内联网站吗?他们希望访问特定的应用程序吗?例如,你可以为销售代表提供对其销售应用程序的访问,而准许管理人员访问其购入认证系统,对于信息员工则仅准许其访问企业的邮件。
三、使用户的类型标准化并设置策略
你要根据上一步所掌握的情况,评估用户,创建用户组,并决定每个用户组的管理策略。这些策略将为每个用户组定义所谓的“喜欢访问什么”和“需要访问什么”。IT可以建立符合这些策略的管理和安全草案。还可以为每个组应用不同的设备管理任务和安全级别。
四、准备采取行动
行动的起点应当是增加一个过滤器,以控制对后端系统的访问。所谓的过滤器是指一个可以收集和分析数据的软件,你可以借以评估进入网络的个人移动设备。你的选择之一是监视谁在访问,并阻止移动设备上并未安装管理客户端的访问。如果厂商提供了一个Exchange ISAPI过滤器,如果移动设备不满足预定义的标准集,就可以确认并拒绝对后端电子邮件系统的访问。
五、增加口令和加密策略以及远程擦除功能
保障个人设备的安全有助于保障企业数据的安全。为此,至少要考虑口令强化及移动设备上的数据加密。其它的关键方案包括远程擦除丢失设备上的数据的能力,以及能够确认哪些设备在任何特定时间连接到网络的设备目录管理。
六、考虑将个人数据与企业数据分开
不少公司还采用“沙箱方法”。该方法涉及将企业数据(包括电子邮件和应用程序)存储到设备的一个特别区域,并仅对这种数据进行加密和保护。其它的所有文件,包括个人音乐、视频及照片等,在无需用户登录到设备的情况下即可访问。
七、让用户们能够自给自足
因为多数IT部门的扩展问题,让所有的调整都适应公司策略的最佳方法即是尽可能地保持简单。单位可以不必增加需要查看网络状态的IT管理员的负担,而是给用户们一种自给自足的方法,以便于与公司的策略保持一致。
例如,不必使用一台交换机以完全阻止个人设备,单位可以指引用户下载一个管理客户端的软件,使其管理移动设备以保障与公司策略的一致性。这种自助策略将IT人员花费在管理个人移动设备上的时间解放出来,并有助于保障网络的安全。