iPhone、黑莓和其它掌上设备等高级移动设备已经为企业、个人通讯和娱乐创造了一个日益增长的无线移动环境。然而，这些移动设备日益增多的应用也导致了移动安全威胁在深度和广度方面更加迅速地增长。如果没有采取保护措施或者正确地使用，使用移动设备访问企业信息系统有可能给企业安全制造一个漏洞。

　　CSI最近发表的一篇报告称，由移动设备造成的企业专有信息和客户信息的被窃和丢失等事故占全部安全事故原因的将近一半。数据突破对于跨国公司以及中小型企业等各种规模的企业都是真正的威胁。这些威胁包括设备丢失、被窃、滥用以及未经授权访问企业网络和数据泄漏。

　　在享受到生产率、效率和灵活性等许多好处的同时，机构中目前的许多安全努力也许都落后于数据泄漏和风险。机构或者是没有完全了解他们目前面临的安全问题，或者是简单地把安全问题当作一项单独的IT任务对待。这些问题很可能使IT经理调查许多技术或者软件工具，如防火墙、杀毒软件、文件加密等等。毫不奇怪，这种情况经常会导致不充分的努力或者失败的努力。仅仅把重点放在技术方面不能解决员工行为、政策和管理流程本身的缺陷等弱点。

　　移动技术和应用的迅速发展已经越来越多地改变了企业做生意的方式并且改变了企业的风险管理环境。要有效地减少机构的安全风险需要在安全战略、政策制定、员工培训和修改的IT基础设施等方面的整个企业范围的努力。下面是有效地实现移动安全治理的五个步骤：

　　1.了解你的移动环境的风险

　　使用移动设备在你移动的任何地方都能完成工作任务对于许多机构都有很大的好处。但是，现实是机构同时还面临各种各样的前所未有的信息泄露和风险。这些风险是利用技术、机构和员工中的薄弱环节的结果。每一年都有数百万个移动设备丢失、被窃或者废弃的手机中仍然在设备内存中有个人信息。包含个人身份和网络接入证书的移动设备的丢失会为非授权的网络访问和入侵机构敞开大门。企业保密信息和个人记录的移动数据泄漏会使企业面临很高的法律风险和遵守法规的风险。

　　要制定一个有效的移动安全战略，重要的是理解一个机构的移动安全风险的特征。基本的问题包括：

　　·需要保护的企业移动数据资产是什么?

　　·移动员工应该在什么地方、采取什么方式和访问什么企业数据系统?

　　·移动设备是如何使用、保护和管理的?

　　·员工知道对事件做出反应的程序吗?

　　要全面地确定一个机构的移动安全态势，需要对具体业务环境做一个全面的安全评估。

　　2.制定一个有效的移动安全政策

　　缺少一个有效的移动安全政策是引起许多失败的安全努力的根源。这个政策必须是以风险为基础的，涵盖移动设备上所有的已知的风险，包括机构配发的和个人拥有的移动设备，以及包括正常的员工和临时合同工在内的所有的用户群的移动设备。

　　政策的制定过程应该确定哪些应用程序应该提供给哪一个移动用户群或者根据什么类型的设备提供。典型的移动应用程序包括电子邮件、销售队伍自动化、现场服务也能够用程序、派遣和扩展的CRM等。如果安全地部署和管理，这些应用程序能够推动生产率和销售收入的增长。

　　一个有效的安全政策需要明确地把遵守法规的要求转变为机构的风险管理流程以及防止数据丢失或被攻破的程序。有效的政策还需要明确说明用于对于设备设置、使用、数据备份和保护等方面的责任。存储在移动设备上的信息应该仅限于在移动办公中必须使用的信息。

　　此外，这些政策必须是能够通过积极的IT监视和软件工具强制执行的。机构必须定期评估这些政策，考虑与业务环境变化有关的任何新的威胁。

　　3.保证员工的责任和认识

　　员工对于移动安全的好与坏是一个重要的因素。在CSO最新的一项调查中，28%的移动用户使用自己的移动设备访问互联网。其中86%的人承认没有移动安全问题。粗心大意或者不重视安全的用户很容易使机构的保密信息处于风险之中。

　　缺乏移动用户培训和认识是造成许多用户错误和事故的主要因素。一个缺少培训的用户甚至都不知道处理安全问题的程序。在某些情况下，一个移动用户为了完成任务也许会绕过一些必要的配置程序。

　　员工教育和认识应该成为一个有价值的企业文化。一个经过良好培训的员工能够帮助机构最大限度地减少移动安全风险。各级业务领导、最终用户和整个机构的技术支持团队接受全部的安全政策是非常重要的。

　　机构在实施有效的安全治理方面应该把员工放在重要的位置上。在任何缓解风险的战略中，员工都应该是最重要的一层安全防线。

　　4.建立一个基准的安全配置

　　随着移动技术在企业应用的增长，在共享的无线网络上将收集、处理和传输越来越多的重要业务信息和敏感的个人信息。移动设备需要充分地配置以保护设备本身的安全和设备上的数据的安全，防止非授权的使用、数据泄漏和恶意攻击。

　　在移动设备部署的规划阶段，所有的设备都应该考虑以满足企业安全政策的基本要求。基准的安全配置应该包括：

　　·开机口令保护

　　·文件和目录加密

　　·电子邮件和内部网络接入的虚拟专用网

　　·设备上的防火墙

　　·杀毒软件

　　·最新的安全补丁

　　对于所有的设备强制执行基准安全配置能够帮助机构为每一个设备建立一个基本的防御。同增强的面相互联网的设备一样，设备上的资源、无线接口、WiFi、蓝牙、RFID、无线打印机和应用程序功能应该减小以减少无线攻击的可能性。

　　5.建立一个熟悉移动的IT基础设施

　　机构应该很好地定义IT工具以便管理企业系统(如服务器、网络和存储)随着高级移动设备越来越多地应用到商业应用程序中，它们的任务已经迅速从电子邮件接入转变为拥有后台数据库系统(如，ERP、CRM和SFA)的面向业务的处理。与此同时，日益增长的商业移动性将在机构的环境外边有一个传统的IT边界。

　　机构需要实施强大的身份识别和基于用户角色的数据访问和发布。应该采用强大的强制执行口令(包括软件令牌在内的用户特定用户群以增强安全性的双因素身份识别)。现有的基于网络的隔离或者分区应该修改为以数据为中心并且扩展到移动用户和设备。

　　为了避免增加的集成成本以及以后的软件技术支持和升级的挑战，机构应该在设备部署的时候计划一个集中的设备管理解决方案，理想地与网络、应用程序、服务器和设备等现有的IT系统直接集成在一起。目前存在的许多高级的解决方案能够在一个集中的企业控制台上支持多个平台。IT管理员能够对设备使用、配置设置、软件更新和安全补丁进行预防性的控制。在许多情况下，远程口令重新设置、设备锁定和删除都是必要的功能。这些解决方案应该在没有用户参与或者很少参与的情况下部署，很容易集成到现有的目录结构中，并且有很好的伸缩性以适应在不同的无线网络上的使用多种设备的大量的用户的需求。

　　结论

　　日益增长的移动性已经让许多机构取得了令人难以置信的进步，使机构现在能够随时随地做生意。然而，正如我们研究的那样，移动性的增长还伴随着安全威胁的日益增长，从而可能把移动性的好处转变为灾难性的安全问题。采取适当的步骤并且制定一个风险控制流程以阻止这些事情发生能够有很大的帮助。但是，重要的是要记住，对于机构来说事情还没有结束。企业和员工两者都需要尽自己的努力保证遵守非常好的的做法和提供教育以提高安全防范意识。如果机构中的每一个人都担负起管理这项任务的责任，一个机构就能够实现其有效地移动安全治理的目标。