如何在企業筆記本電腦上建立移動安全策略

 　　Harris Interactive 2012年一項研究顯示，盡管智能手機和平板電腦在企業中開始普及，仍有26%的員工使用辦公電腦處理業務。其中61%的人會將關鍵數據包括公司和客戶的敏感信息存儲在他們的系統上。

　　鑒於不斷上升的筆記本盜竊案件數數量，IT承受著確保企業筆記本電腦安全的巨大壓力。然而設計和實施一個有效的移動安全政策是一項艱巨的任務。IT必須實現強健的使用政策，管理物理設備，采取措施保護數據，執行密碼請求和控制企業資源訪問。

　　定義移動安全政策和合理的使用

　　無論IT部門采取什麼措施來保護公司的筆記本電腦，這些步驟的有效性依賴於終端安全政策，終端安全政策明確定義了員工如何實用和保護這些筆記本電腦。

　　使用策略必須經過溝通並詳細定義。一個很好的起點是囊括如何對筆記本電腦進行物理保護信息，如當沒人時進行物理鎖定來確保安全。

　　移動安全策略還應該包括網絡連接信息。例如，員工應該知道何時何地可以使用藍牙或點對點網絡，這些特性是否已經被禁用。IT應該向員工說明未加密的無線網絡的危害以及可以確保網絡連接安全的外部設備，如保護以太網訪問的旅行路由器。

　　筆記本電腦安全政策應該涉及到危險的做法，如無擔保上網，點開鏈接並打開不認識的郵件的附件，以及安裝第三方軟件和服務。

　　此外，組織應該指定在筆記本電腦丟失或被盜或者數據被破壞的情況下應該執行哪些步驟。公司所有使用筆記本電腦的員工應該普及安全培訓並了解公司政策。

　　管理設備

　　在發放筆記本電腦之前，IT必須為它們配置域策略和管理軟件以確保每台設備可持續維護。管理員必須能夠安裝安全補丁、更改配置設置並定期監控和審計筆記本電腦來評估風險和確保法規遵從性。

　　此外，管理員應該禁用任何有安全風險的功能，如藍牙、對等網絡或CD或USB驅動器啟動功能。

　　IT還必須為每台筆記本電腦配置反惡意軟件和基於雲的服務來預防破壞威脅。終端防護應該包括內核級主機入侵防護、防火牆安全以及其他滿足組織特定要求的保障措施。

　　除了保護它們免受來自惡意軟件的威脅，桌面管理員還應該配置筆記本電腦的軟件或服務，以跟蹤和禁用設備和遠程刪除敏感數據。

　　保護數據

　　歸根結底，保護敏感數據是終端保護的終極目標。盡管硬件可以用高價替代，但由此產生的費用跟潛在的企業數據保護成本相比根本不值一提。預防措施首選是全盤加密，使用256位高級加密標准，並且需要預啟動用戶認證。

　　即使有全盤加密，關鍵數據也不應存儲在筆記本電腦上。除非需要這些數據開展業務。敏感數據應該存儲在一個安全的數據中心，該數據中心提供安全的訪問方式。

　　外圍設備如便攜式外部硬盤和USB閃存也應加密，或者對筆記本進行配置以防止使用。筆記本電腦數據也應該定期備份，以防數據丟失或受損。

　　強制密碼需求

　　這應該是顯而易見的，然而員工繼續共享和重復利用密碼、使用較弱的密碼或某些情況下甚至不使用密碼。因此，所有企業筆記本電腦應該在啟動或喚醒時要求員工輸入強密碼。

　　此外，筆記本電腦應該在幾分鐘之後鎖定。密碼應該關聯全盤加密系統。注意，生物認證可能影響密碼使用和政策。

　　應該鼓勵員工設置難以破譯並且在別的地方不會使用的密碼。他們應該習慣保密自己的密碼。IT應該將這些在使用政策中指明，並提供給所有筆記本電腦用戶。

　　控制公司訪問

　　當員工有自己的辦公室筆記本電腦，有可能會通過WiFi連接到公司網絡，這種情況適用公司的保障措施。然而，當員工將這些移動終端帶出辦公室時，這些保障措施可能會無能為力。然而他們仍然需要從外部通過公司的防火牆訪問公司資源。

　　虛擬專用網(VPN)仍是提供遠程訪問企業資源的最安全、最有效的方法之一。VPN可以讓員工通過一個公共網絡--最明顯的是互聯網--從任何地點與企業網絡通信。筆記本電腦和公司網絡之間的數據傳輸被加密，因此黑客在公共網絡上不能攔截敏感數據。

　　如果員工無法與組織的網絡建立VPN,在這種情況下，他們可能仍然需要發送和接收電子郵件。因此，IT應確保筆記本電腦發送和接受的信息使用Secure Sockets Layer或Transport Layer Security.

　　維護筆記本電腦

　　保護企業筆記本電腦是一個持續的任務，安全威脅是不斷發展的。一個好的移動安全政策管理不僅涉及筆記本電腦，還包括許多其他便攜設備。終端保護還應該考慮數據保護、密碼控制和網絡訪問。

　　環境中的危險越多就越無法保證筆記本電腦的安全。公司的可信度也極易因此丟失。重新樹立名聲可比任何企業筆記本電腦的安全措施都昂貴。