加快安全移动企业部署

《加快安全移动企业部署》由会员分享，可在线阅读，更多相关《加快安全移动企业部署（8页珍藏版）》请在金锄头文库上搜索。

1、X = -1.297 mm Y = 111 mm % = 111%IBM 软件思想领导力白皮书加快安全移动企业部署成熟的企业移动安全性可在追求商业利益的同时减轻风险2加快安全移动企业部署内容2简介2移动设备、应用程序、访问以及威胁的不同之处3移动性是用户的福音，却是 IT 人员的噩梦5建立更安全移动企业的四个步骤7结论8了解更多信息简介 在长达二十余年的时间里，各企业一直在无线工作场所的安全 性挑战中苦苦挣扎。当年，笔记本电脑的出现，首次模糊了传 统环境的界限，而时至今日，智能手机和平板电脑成为移动办 公的新宠，正逐渐成为专业工具的绝佳之选。2011 年，智能 手机的销量首次超越 PC，据此，

2、分析师预测，到 2016 年， 智能手机的销量将突破 15 亿台。1同年，预计将有超过 3.5 亿 的用户使用自己的智能手机工作。2由于使用移动设备（包括员工使用个人设备工作）可加快响应 速度、增强灵活性并提高生产力，因此全球范围内的企业正在 充分利用这一趋势。但是，随着越来越多的员工将移动设备接 入企业网络 - 将专为消费者市场设计的设备引入商业环境、采 用通常用于个人通信的更多非正式行为，并往往将业务和个人 数据一起保存在同一平台上，因此整个企业 IT 环境的安全性 变得日益重要和复杂。由于企业环境中目前存在着各种层次的漏洞且复杂攻击呈急剧 增长的趋势，因此企业负责人要求 IT 部门采取主

3、动方式保护 关键数据和基础架构。本白皮书明确了企业所面临的主要挑战 并介绍了降低风险的战略，同时对能够使企业在移动技术的使 用方面变得更加安全的方法进行了检验。移动设备、应用程序、访问以及威胁的不同之处 移动设备、应用程序和访问模式正在改变企业与客户、员工和 合作伙伴的互动方式。全球各企业正在纷纷利用日益增长的移 动能力，以求抓住新机遇和转变业务模式，同时拓展现有能力 以随时随地加以运用。然而，在此过程中，企业需要实施各种 新流程，用于管理移动设备、应用程序和访问，以及保护移动 企业免受威胁的侵扰。这是由于移动性（无论在安全的企业虚拟专用网络 （VPN） 还是在公共 Wi-Fi 热点中）涉及不

4、同于办公环境内的行为、 技术和威胁所致。其中一些独特的挑战包括：移动设备在多个地点使用。移动设备通常在企业网络外使 用，用户可能会通过多种网络来访问账户。身份验证至关重 要 - 由于交易或通信的完整性可轻易遭到破坏，因此应基于 可识别因素（如位置环境、设备特性、应用信息、时间和网 络）授予访问权限。3IBM 软件移动设备及其所支持的应用程序多种多样。用户通常拥有多 个设备，而且设备的状态也在不断变化。不同的操作系统可 能支持不同的安全措施，并且员工可能会在设备上安装不同 的应用程序。他们还可能存储敏感的商业信息，因此一旦设 备丢失或员工流失，造成的危害与攻击之类的威胁等同。企 业需要全面掌控所

5、拥有的设备和应用程序，才能对威胁状况 做到全方位的了解。移动设备已成为众多用户的主要交互渠道。移动设备或者其 应用程序一旦被恶意利用，就可能导致企业网络遭受攻击或 者使系统受到感染。移动设备数量的激增还会增加 IT 管理 和保护的成本与复杂性。移动设备处于共享状态，可供多个用户访问。由于智能手机 和平板电脑可在家人和同事之间进行共享，因此这些设备需 要具有不同的安全配置文件。例如，某员工与他 5 岁的女儿 均可访问个人照片，但其中应该只有一人有权查看上一季度 的盈利信息。在这种情况下，只对用户或设备进行认证和授 权可能无法提供必要的安全控制与保护。移动性优于用户体验。用户基于个人喜好选择设备和

6、应用程 序，由此产生的安全控制不适合移动性，可能会导致不合规 或者不参与的情形出现。与用户体验紧密相连的安全措施， 例如，安全性高却易于管理的密码以及可控却简单的应用程 序安装，可增强合规性并提高用户生产力。 因此，如何在不影响员工使用移动设备和应用程序的热情的前 提下，探索到抵抗潜在安全威胁的办法，这正是核心挑战所在。 通过采用主动的分层方法保护移动企业安全，IT 组织成为业务推动者，而不是阻碍新技术使用的“秘密警察”。企业在部 署集成式安全解决方案和自适应安全框架后，将使员工能够随 时随地完成更多的工作。移动性是用户的福音，却是 IT 人员的噩梦 IT 操作遭遇移动设备、应用程序和访问的独

7、特特性时，将会 迅速出现一系列特定挑战。它们通常在三个方面导致令 CIO 和 IT 管理员头疼的难题 - 用户行为、技术漏洞和不断演变的威 胁环境。用户行为 由于智能手机和平板电脑被迅速应用于商业用途，它们已加入 现有终端设备（例如，笔记本电脑和台式机）的行列。新增移 动产品包括 iPhone、Android 和黑莓智能手机；iPad、基于 Android 或者其他系统的平板电脑；纯语音/文本手机（即无数 据计划的手机）；上网本或超轻笔记本电脑；其他坚固耐用、 用于特定工作的移动设备。然而谁拥有这些设备？许多企业正在制定“携带自己的设备办 公”（BYOD） 计划，准备授权员工使用自己的移动设备

8、访 问公司电子邮件、数据和应用程序。BYOD 计划有助于降低 IT 运营和设备成本，提高员工生产力，以及打造竞争优势。 然而，在工作场所中引入数量庞大、访问速度飞快的新设备， 将会带来令 IT 人员抓狂的管理控制问题，而设备的使用方式 又会给负责保护公司数据安全和维护政策合规性的人员带来大 伤脑筋的安全问题。4加快安全移动企业部署IT 部门的移动安全难题用户行为难题40%86%69%44%的企业设备将会是移动设备1到 2015 年，的企业已允许或 计划允许员工携带自 己的设备办公2的员工借助个人 设备访问网络3的成年人通过免费或 者不安全的 Wi-Fi 连接 访问电子邮件448%44% 79%

9、80%技术漏洞难题的企业未使用专业工 具克制手机恶意软件2的企业凭借员工的常 识来确保安全性5的企业仅依靠密码保护 来访问企业数据或网 络的移动设备2的企业受某种形 式的法规制约265%129,000 36%62%逐渐演变的威胁难题预计到 2012 年年底， 运行的恶意应用程序数量 将达到 129,000 个7的移动应用恶意软件导致高 达每年 29% 的收费欺诈81 IBM 预测。2 Michael Finneran，2012 State of Mobile Security（2012 移动安全声明）InformationWeek（信息周刊） ， 2012 年 5 月。 http:/ Info

10、rmation Security FS，CISO - Chief Information Security Officer Role:From Digital Bouncer to Strategist（CISO - 首席信息安全官角色 ： 由数字保镖向战略家转变） 。http:/ Symantec，2012 North Cybercrime Report（2012 北部网络犯罪报告） 。http:/ Jim Rapoza，Buyers Guide to Mobile Device Management（移动设备管理购买者指南）InformationWeek（信息周刊） ， 2011 年 11

11、 月。 http:/ 国际商业机器公司， IBM X-Force 2011 Trend and Risk Report（IBM X-Force 2011 趋势与风险报告） ， 2012 年 3 月。http:/ Trend Micro，Behind the Android Menace:Malicious Apps（Android 威胁的背后：恶意应用） ，Security Intelligence Blog （安全智能博客） ， 2011 年。http:/ Lookout Mobile Security，State of Mobile Security 2012（2012 移动安全声明） ，

12、 2012 年。https:/ 式的社交媒体政策6的社交网络用户接受过 来自陌生人的好友请求4目前有5IBM 软件技术漏洞 与以往相比，当前企业中的每一个人，从 IT 人员至高级管理 人员，都付出更多的精力关注设备、应用程序和访问安全。事 实上，许多企业将设备丢失或者被盗列于其移动安全问题列表 的首位，3这是由于数据受损或被盗会导致商业信誉或竞争优 势遭到严重损害。然后，有效的移动安全超越了设备对端到端安全状态的要求。 IT 人员需要解决种类繁多的移动风险，从不安全的数据存储 和薄弱的服务器端控制，到欠缺的传输层保护、客户端注入和 表现不佳的授权和身份认证，不一而足。为抵抗外部威胁，关 键在于

13、通过两种途径降低风险，即实施针对移动设备的强大数 据安全控制，以及为控制网络访问而采取强大的身份验证措施。不断演变的威胁环境 传统的 IT 组织在被动模式下运作，仅在问题出现后才会应对 安全风险。但是，由于移动技术日新月异以及移动用户对即时 工作访问的依赖性增强，被动模式的速度显得捉襟见肘，或者 说是安全性不足。由于大多数企业对移动技术仍然相对陌生， 因此现有安全措施往往无法提供足够的安全保护。目前，潜在风险的来源为特定用户行为或技术漏洞，这些漏洞 的背后是利用社交工程的移动漏洞、身份盗窃、恶意应用、中 间人攻击或拒绝服务。对此，企业需要更加妥善地管理诸如员 工社交网络使用之类的领域，因为在社

14、交网络中，个人对于分 享信息显得过于随意。他们需要对设备进行监控，以确保操作 系统未越狱或者未获得根权限。此外，他们还需要对应用程序 的下载进行管理。因为这些应用程序可能包含恶意代码，暴露 敏感的公司数据和个人信息，以及对基础架构造成损害。建立更安全移动企业的四个步骤 随着智能手机和平板电脑在企业中的广泛使用，以及移动设备、 应用程序和访问安全受到的威胁日益增长，IT 组织将面临一 场定义全面安全标准和控制的艰苦战斗。尽管如此，组织可以 采取某些方式进行解决。安全的移动设备：安全环境的基础 移动设备管理通常是企业移动战略的基石，而且往往是企业所 做的第一笔投资。这是因为只有了解试图保护的范围才能轻松 自如地管理风险。IT 人员可借助移动设备管理解决方案跟踪 并监控整个企业内所使用的设备数量。使用相同的终端设备管 理解决方案，可同时管理员工拥有的设备和企业拥有的设备。建立更安全移动企业的四个步骤专业 细粒度安 全访问优化 自适应移动 安全智能基础或专业 移动设备 管理专业 安全应 用程序自动手动被动主动安全智能优化专业基础6加快安全移动企业部署采用此类技术部署的安全控制不应使用户体验大打折扣，相反， 这些控制措施应该支