隨著網絡互聯(lián)的興起，員工能否自攜設備進行工作，對企業(yè)來說是一道嚴峻的考驗。本期專家支招，力求保護員工移動設備和企業(yè)數(shù)據庫的安全。

    從智能手機到筆記本電腦，具備上網功能的移動設備更新速度十分迅猛，它們的改朝換代迅速改變著消費者的互動方式和專業(yè)人士開展業(yè)務的渠道。

    但是，這種移動設備快速升級的現(xiàn)象引發(fā)了一系列諸如安全、便捷、生產效率和費用等嚴重問題，特別是越來越多的公司開始考慮是否需要配置移動設備或允許員工自帶移動設備上班。Javelin戰(zhàn)略與研究中心的風險、安全和詐騙分析師湯姆·威爾士(Tom Wills)認為，問題沒有那么簡單。目前來講，不同公司對移動設備市場的看法不同，有些公司傾向于增加個人設備的使用，而有些則相反。

    威爾士說：“不過，更多具有安全意識的組織趨向于裝備一套獨立的、可以局域鎖定的設備，如銀行和政府機構。隨著基于公司發(fā)行的設備不斷出現(xiàn)，我們可以實行一項政策，表示用戶沒有權利對設備上的信息進行輸人、刪除或儲存�！钡�是員工自己的設備能否在工作場合使用?這又是另一個問題。

用戶需求響應

    自2011年秋天發(fā)布了一項新的移動應用政策后，特拉華州開始努力尋找企業(yè)關注點和員工靈活性之間的平衡。

    該政策允許特拉華州的員工在開展與工作有關的交互時使用個人移動設備，比如接收和發(fā)送工作電郵。但前提條件是員工必須接受7條限制，其中一條是員工允許該州監(jiān)管等相關部門遠程監(jiān)控他們的移動交互情況。

    特拉華州首席安全官伊萊恩·斯塔基(Elayne Starkey)認為，安全政策有助于規(guī)范企業(yè)的移動交互。因此，特拉華州針對移動設備制定了如下幾項管制：設置復雜密碼；如果設備被破壞或登錄失敗次數(shù)超過7次，遠程取消；如果可能，設備加密。

    斯塔基解釋道：“防范于未然，所以我們正在努力保證整個特拉華州網絡的數(shù)據安全并防止數(shù)據泄露和丟失�！�

    阿拉巴馬大學已經在伯明翰衛(wèi)生系統(tǒng)發(fā)現(xiàn)它自身正處于這種狀況。半年前，阿拉巴馬大學推出了_一種被稱為混合型的移動應用模型，該模型混合了企業(yè)網絡和個人移動設備。該大學信息安全人員特雷爾·赫齊格(Terrell Herzig)說：“目前我們正在尋找端點安全�！�

    員工自然是想要攜帶一臺便攜設備。但從阿拉巴馬大學的角度來看，與設備丟失、無法遠程銷毀設備相比，相關的安全和法律問題可能比便捷更重要。

    赫齊格說：“目前，我們正在尋找一種能夠設置安全控制的工具，這樣我們才能同時在企業(yè)模式里使用。”不過事情都有個底線，比如密碼保護，還有員工與阿拉巴馬大學之間簽署的允許遠程控制設備的協(xié)議等。

    大多數(shù)員工只是想訪問公司的電子郵件，但也有一些希望有更深入的移動接入，比如讓他們的移動設備與企業(yè)數(shù)據庫同步，這涉及一個更大的安全問題。赫齊格表明：“在我們的政策里是不允許這樣的事情發(fā)生的。我們希望大多數(shù)的數(shù)據保持在服務器，而不是移動設備上。”

    不過，Javelin研究室的執(zhí)行副總裁兼研究室主任瑪麗·莫納漢(Mary Monahan)認為，對員工來說解決掉一些公司設置的限制很容易，這對企業(yè)來說是一個更為嚴重的安全問題。比如說，允許用戶從云里下載文件的Dropbox軟件，就可以輕易地繞開這些限制。

    莫納漢說：‘鹼業(yè)應該界定并限制可以存儲在移動設備上的數(shù)據類型，從而控制它們的泄露和其他不利條件�！�

    強大的加密方式是降低風險最有效的方法。

責任的轉變?

    特拉華州和阿拉巴馬大學的例子表明目前許多公司面臨的困境。威爾士認為，這是安全性和實用性之間的一個經典權衡。

    為了增加公司設備的安全性，你要么為個人和工作場所分別裝配一臺設備，要么允許攜帶個人設備辦公。威爾士認為，嚴重削減設備的功能會刺激到其擁有者。

    然而，安全必須放在首要位置，公司永遠不能寄希望于員工自覺養(yǎng)成良好的安全習慣。威爾士補充道：“總是有很多人使用手機越獄，在后臺輸入他們的密碼，而當新的補丁發(fā)出時卻無法更新自己的應用程序�！�

    還有一個問題，手機是一項獨特的技術，唯一真正馴服它的實體是移動運營商。這是一個有趣的難題，因為移動運營商過去從來沒有關注過移動用戶和企業(yè)網絡之間的安全問題。

    FatSkunk是一家密切關注手機在企業(yè)領域應用演變的移動安全公司，它的首席執(zhí)行官和聯(lián)合創(chuàng)始人之一馬克·格朗克拉(MarkGrandcolas)說：“我們現(xiàn)在正處在一個十字路口�！�

    傳統(tǒng)的操作系統(tǒng)補丁對保護PC的安全運轉一直行之有效，但在移動設備上并不能得到很好的應用。因此，移動運營商不得不負責分發(fā)補丁'但它們并沒有設置分發(fā)補丁的網絡。馬克說：“這將會占用移動運營商幾個月的時間來分配所有的補丁，所以他們不得不勻出—定的時間來處理此事�！�

    此外，在移動設備上也很難檢測到惡意軟件。馬庫斯·雅格布松(Markus Jakobsson)博士認為：“如果手機上時刻運行著反病毒或惡意軟件檢測程序，將會非常耗費電量。這是一個結構性難題，現(xiàn)有模式在短時間內是無法克服的�！�

    一些新興的移動安全供應商正在致力于為運營商和企業(yè)研究解決方案。總體而言，這些供應商提供給企業(yè)的移動管理解決方案是，給它們提供一臺可以跟蹤員工手機和手機使用情況的軟件服務器。它們同樣給予企業(yè)遠程配置的權限，而且當移動設備損害或丟失時，允許企業(yè)自行消除。

移動管理技巧

    隨著各公司發(fā)力移動設備，是否允許員工自己攜帶設備工作的問題就開始困擾企業(yè)，以下是一些需要考慮的安全問題。

    第一，規(guī)范移動選項。保衛(wèi)、支持、配置和更新大規(guī)模的移動設備是一項困難而且費時的事晴。莫納漢認為，指定標準移動設備或統(tǒng)—員工的設備很容易。他說：“假如沒有統(tǒng)一的標準，很可能連管理員都不能準確地知道公司內部在使用哪些技術和軟件，從而導致其不能采取有效的措施來減輕各種網絡威脅�！比绻�統(tǒng)一設備標準不現(xiàn)實，公司應該采取分層的安全結構，這樣可以建立特定級別的訪問并支持特定的設備。

    第二，制定和實施明確的政策。無論移動互聯(lián)是否通過試點給全體員工提供個人設備，一旦某個公司決定支持個人設備，那么它就必須針對數(shù)據和控制方面制訂嚴格的政策。赫齊格表示：“然后，組織需要對員工進行培訓，幫助他們了解個人設備面臨的風險，并且應與員工簽署雙方均可接受的使用協(xié)議。”

    第三，惡意軟件：建立備用計劃。隨著惡意軟件的猖獗，公司需要對能夠影響移動設備的特定應用程序作出及時的反應。移動運營商并不能對受影響的移動設備作出及時的修正，所以公司必須確保有一套合適的備用方案，以便能夠在移動設備受到影響時第一時間切斷它們與網絡和數(shù)據庫之間的聯(lián)系。

    第四，了解隱性成本。向員工提供移動設備的費用是高昂的，但是公司不應該迅速卷入讓員工“使用自帶設備工作”的浪潮。不要忽視后臺維修支持的成本，如果更多員工使用個人設備，這個費用還將繼續(xù)增加。赫齊格解釋道：“如果員工使用的是一臺有問題的設備，他們其實并不知道到底是應用程序還是軟件出現(xiàn)了故障。我認為，公司的后臺網絡部門將最先收到他們的求助，而這將會產生一筆費用。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.oesoe.com/

本文標題：移動支付：如何對安全說YES

本文網址：http://www.oesoe.com/html/consultation/1083954239.html