移动办公设备的保密管理要点 - 保密网

智能手机和平板电脑早就成了大家离不开的办公工具。但说实话，在保密管理上，这些移动设备恰恰是最容易被忽略的盲区。我在日常工作中见过太多企业只盯着电脑的安全，对手机和iPad基本处于放任自流的状态，这个漏洞可不小。

先说说移动办公设备一个很突出的安全问题：设备丢失。一个不争气的现实是，手机和iPad比笔记本电脑更容易丢失。你有过随手放在咖啡桌上、落在出租车上、忘在会议室的经历吗？大多数人都遇到过。一旦设备落到别人手里，里面的邮件、通讯录、聊天记录、工作文档、VPN证书，全部都有被翻看的风险。更麻烦的是，很多人的手机没有设置锁屏密码，或者用的是极其简单的图案锁。就算设了密码，三星和iPhone上也有人不愿意开加密。设备丢失后，数据相当于裸奔。

然后是公共WiFi的风险。移动办公的一个显著特点就是网络环境不固定，员工可能在咖啡店、酒店大堂、机场候机厅等场所连接公共WiFi处理工作。公共WiFi的安全性大家都懂，没有密码的WiFi或者共享密码的WiFi，通讯内容很容易被监听。即使是需要密码的WiFi，如果密码写在前台的黑板上或者贴满了整个餐厅的墙上，那这个网络的安全性也经不起推敲。攻击者可以在同一个WiFi网络里发起中间人攻击，截获你发送的所有数据。如果你在那时登录了公司邮箱或者打开了内部系统，账号密码就可能被悄悄记录下来。

还有一个经常被忽视的点是手机上的应用程序权限管理。很多企业员工手机里同时安装了工作相关的应用和个人应用，两者完全混在一起。那些个人应用可能申请了访问通讯录、读取短信、读取存储空间的权限。如果你工作的邮件和文件存在手机上，一个恶意App就有办法把它们偷走。有些App的隐私政策里明确写着会收集设备上的联系人信息和短信内容，你不知道哪些数据会跑到哪里去。

移动设备的系统更新也是个问题。很多人手机收到系统推送就随手点延迟，一等就是几个月。系统更新不只是带来新功能，很多时候修复了重要的安全漏洞。如果你的手机一直不更新，那些已知的安全漏洞就会一直存在。还有手机的App版本也是，太多人忽略App更新，把有安全风险的旧版本一直用着。

那怎么做好移动办公设备的保密管理呢？根据我多年的实践，有几个措施比较管用。第一个是实施设备管理。对于公司配发的设备，通过移动设备管理平台统一下发安全策略：强制要求锁屏密码、开启设备加密、配置远程擦除能力、禁止越狱或root。一旦设备丢失，可以远程锁定和擦除数据。对于员工自带的设备，可以通过移动应用管理的方式，把工作数据放在一个沙箱化的容器里，容器内的数据跟个人数据物理隔离，IT部门只管控这个容器，无权触碰员工的个人隐私。

第二个是网络连接的安全管控。建议在公司内部配发企业VPN证书，员工在公共网络中必须先建立VPN加密连接再访问公司资源。同时制定安全规范，严禁在公共WiFi环境中登录核心业务系统。如果条件允许，为员工提供随身WiFi设备或者移动热点，从根源上减少公网WiFi的接触。

第三个是数据在移动设备上的存储管理。工作文件不要在移动设备上长期保留，处理完及时上传公司系统或者删除。如果文件必须保存，确保存放在开启了加密的设备中。通过企业云盘或虚拟桌面方案，让工作数据在服务器端处理，移动设备只是显示端，数据不落本地，这是目前比较理想的安全方案。

第四个是定期清理和审计算法。建议员工定期检查手机上安装的应用列表，移除那些不用的或者来源不明的App。检查各个应用的权限设置，不需要的权限不要给。检查手机的蓝牙和WiFi功能，不用的时段记得关闭。这些习惯看起来很小，但对移动办公安全来说意义重大。

Q: 员工不愿意让公司管理自己的个人手机怎么办？ A: 可以用移动应用管理方案代替移动设备管理方案，只管控工作应用容器，不涉及员工的个人数据和隐私。或者直接给员工配发工作专用手机，工作手机和个人手机分开管理。

Q: 移动设备丢失后数据已经不保怎么补救？ A: 第一时间通过移动设备管理平台远程锁定和擦除设备数据，同时紧急修改所有与设备关联的账号密码，尤其是企业邮箱、VPN和内部系统的密码。还要评估设备上可能存有哪些敏感数据，做好后续的风险应对准备。

Q: 手机上的双因素认证App被盗用怎么办？ A: 立即联系IT部门注销所有与该设备绑定的双因素认证授权，重新生成新的密钥并更新到新的设备上。同时检查所有使用该双因素认证的系统有没有异常登录记录。