曾经拥有一款智能手机可是奢侈的事情,今天几乎每个人都可以拥有一款了,并且已经到了没有其不能办公的地步。随着智能手机应用的丰富,IT安全部门面临着新的问题,如何才能保证这些移动手机的恶意软件不会进入公司的网络呢?
以下我们收集了手机安全领域的3位专家的建议。
迈克菲公司CISSP信息系统安全工程师Joe Brown:
对于大部分的智能手机来说都有5个AV包。
你需要像使用个人电脑一样查看手机的注意事项。
如果没有发件人,或者存在可疑附件的话,请不要打开这些文件。
留意你上网的地方,一些网络代理确实是可以支持移动设备的。
蓝牙也不是什么好东西!控制你的蓝牙踪迹。在iPhone方面, Droid和BB现在可以控制新增应用程序的使用(就像白名单或常用的操作环境)。
澳大利亚奥兰治县一家公司的高级安全架构师Derek Schatz:
可以做的:
1.只部署那些支持密钥功能的设备,如具有加密、远程清除和密码锁功能。
2.为移动设备制定特殊的安全策略和程序项目,对它们的操作和权责进行规范(如果设备丢失或被盗该怎么做)。
3.监测安全漏洞并对移动设备的新型攻击做好防范。
4.确保设备所在的地方可以很快修复安全漏洞。
不可以做的:
1.确保智能手机只提供给高级管理者,认为许多员工级别的人有了这些工具会更加具有生产力。其实这是错误想法。
2.部署企业用户使用的设备,但是没有适当的保护和控制。专有信息的丢失与商业机密损失无异。
芝加哥地区一位系统管理人员Michael Schuler
可以做的:
1.在公司环境中确定员工享有智能手机的目的。
2.为公司环境中的智能手机确定出最佳的角色非配。
例如,人力资源应该占有一大部分。特别是在那些需要领薪水的雇员身上。
3. 对产品的安全和性能情况做出适合你的市场的评价。
例如,某款产品或设备可能没有达到金融或政府机构的安全需求。
再如,这款产品与我们现有的基础设施整合得如何?
4.在第三步的基础上实施安全策略。
5. 如果部署了不同款的智能手机,确定你可以提供几种支持。
6.在已经部署了你想部署的设备的同类公司吸取经验。
如,问他们已经使用多久了?问他们是否遇到了没有想到的问题。
7. 建立一个不仅是IT员工的小组来测试你的POC。收集IT和非IT员工的有用信息。
不可以做的:
1.要知道所有的设备面临的威胁都是相似的。
2. 给公司的每位员工一部智能手机。这样做可能是有帮助的,但是HR需要担忧的是,他们能否在公司的管理范围内使用智能手机。
|
