如何在企业笔记本电脑上建立移动安全策略
Harris Interactive 2012年一项研究显示,尽管智能手机和平板电脑在企业中开始普及,仍有26%的员工使用办公电脑处理业务。其中61%的人会将关键数据包括公司和客户的敏感信息存储在他们的系统上。
鉴于不断上升的笔记本盗窃案件数数量,IT承受着确保企业笔记本电脑安全的巨大压力。然而设计和实施一个有效的移动安全政策是一项艰巨的任务。IT必须实现强健的使用政策,管理物理设备,采取措施保护数据,执行密码请求和控制企业资源访问。
定义移动安全政策和合理的使用
无论IT部门采取什么措施来保护公司的笔记本电脑,这些步骤的有效性依赖于终端安全政策,终端安全政策明确定义了员工如何实用和保护这些笔记本电脑。
使用策略必须经过沟通并详细定义。一个很好的起点是囊括如何对笔记本电脑进行物理保护信息,如当没人时进行物理锁定来确保安全。
移动安全策略还应该包括网络连接信息。例如,员工应该知道何时何地可以使用蓝牙或点对点网络,这些特性是否已经被禁用。IT应该向员工说明未加密的无线网络的危害以及可以确保网络连接安全的外部设备,如保护以太网访问的旅行路由器。
笔记本电脑安全政策应该涉及到危险的做法,如无担保上网,点开链接并打开不认识的邮件的附件,以及安装第三方软件和服务。
此外,组织应该指定在笔记本电脑丢失或被盗或者数据被破坏的情况下应该执行哪些步骤。公司所有使用笔记本电脑的员工应该普及安全培训并了解公司政策。
管理设备
在发放笔记本电脑之前,IT必须为它们配置域策略和管理软件以确保每台设备可持续维护。管理员必须能够安装安全补丁、更改配置设置并定期监控和审计笔记本电脑来评估风险和确保法规遵从性。
此外,管理员应该禁用任何有安全风险的功能,如蓝牙、对等网络或CD或USB驱动器启动功能。
IT还必须为每台笔记本电脑配置反恶意软件和基于云的服务来预防破坏威胁。终端防护应该包括内核级主机入侵防护、防火墙安全以及其他满足组织特定要求的保障措施。
除了保护它们免受来自恶意软件的威胁,桌面管理员还应该配置笔记本电脑的软件或服务,以跟踪和禁用设备和远程删除敏感数据。
保护数据
归根结底,保护敏感数据是终端保护的终极目标。尽管硬件可以用高价替代,但由此产生的费用跟潜在的企业数据保护成本相比根本不值一提。预防措施首选是全盘加密,使用256位高级加密标准,并且需要预启动用户认证。
即使有全盘加密,关键数据也不应存储在笔记本电脑上。除非需要这些数据开展业务。敏感数据应该存储在一个安全的数据中心,该数据中心提供安全的访问方式。
外围设备如便携式外部硬盘和USB闪存也应加密,或者对笔记本进行配置以防止使用。笔记本电脑数据也应该定期备份,以防数据丢失或受损。
强制密码需求
这应该是显而易见的,然而员工继续共享和重复利用密码、使用较弱的密码或某些情况下甚至不使用密码。因此,所有企业笔记本电脑应该在启动或唤醒时要求员工输入强密码。
此外,笔记本电脑应该在几分钟之后锁定。密码应该关联全盘加密系统。注意,生物认证可能影响密码使用和政策。
应该鼓励员工设置难以破译并且在别的地方不会使用的密码。他们应该习惯保密自己的密码。IT应该将这些在使用政策中指明,并提供给所有笔记本电脑用户。
控制公司访问
当员工有自己的办公室笔记本电脑,有可能会通过WiFi连接到公司网络,这种情况适用公司的保障措施。然而,当员工将这些移动终端带出办公室时,这些保障措施可能会无能为力。然而他们仍然需要从外部通过公司的防火墙访问公司资源。
虚拟专用网(VPN)仍是提供远程访问企业资源的最安全、最有效的方法之一。VPN可以让员工通过一个公共网络--最明显的是互联网--从任何地点与企业网络通信。笔记本电脑和公司网络之间的数据传输被加密,因此黑客在公共网络上不能拦截敏感数据。
如果员工无法与组织的网络建立VPN,在这种情况下,他们可能仍然需要发送和接收电子邮件。因此,IT应确保笔记本电脑发送和接受的信息使用Secure Sockets Layer或Transport Layer Security.
维护笔记本电脑
保护企业笔记本电脑是一个持续的任务,安全威胁是不断发展的。一个好的移动安全政策管理不仅涉及笔记本电脑,还包括许多其他便携设备。终端保护还应该考虑数据保护、密码控制和网络访问。
环境中的危险越多就越无法保证笔记本电脑的安全。公司的可信度也极易因此丢失。重新树立名声可比任何企业笔记本电脑的安全措施都昂贵。