企业移动终端安全管理:员工自带手机办公的安全解决方案
员工使用个人手机处理工作事务已经成为普遍现象,但个人手机缺乏企业级的安全管控,员工手机中存储的邮件、联系人、即时通讯记录和云存储文件都是潜在的泄密渠道,企业需要同时从技术管控和制度建设两个层面入手解决自带设备办公带来的信息安全挑战。
某企业的销售总监在使用个人手机处理工作邮件时,手机不慎丢失。虽然手机设置了锁屏密码,但面对专业的数据恢复工具,简单的密码保护并不可靠。手机中存储了近两年的业务邮件、客户联系信息、历史报价记录和合同扫描件。总监发现手机丢失后立即联系IT部门希望能够远程清除手机数据,但手机是企业未纳入管理的个人设备,IT部门没有部署任何移动设备管理工具,无法执行远程擦除指令。企业只能在通知客户可能的信息泄露风险后,接受这一事件带来的各种不确定性。
这个案例展示了企业管理员工个人手机时面临的困境。一方面,企业不可能禁止员工使用手机处理工作事务,这在互联网深度渗透的今天已经不现实。另一方面,个人手机在安全管控、数据保护和远程管理方面存在天然的不足。
企业移动终端安全管理通常采用移动设备管理解决方案。移动设备管理平台在企业服务器端安装管理系统,员工在手机上安装代理应用。通过代理应用,企业可以对已注册的手机实施安全策略控制。
移动设备管理的核心功能包括以下几个方面。第一是设备注册和策略下发。员工手机安装代理应用后按照策略要求完成注册,注册成功后系统会向手机下发安全策略。策略内容包括要求手机设置锁屏密码,密码长度和复杂度要求,自动锁屏时间不能超过设定值等。第二是数据加密要求。手机内置的存储加密功能必须开启,以防止手机丢失后数据被直接读取。第三是企业数据与个人数据分离。这是一个关键功能,在企业应用中的数据受企业策略管控,而个人应用中的照片、通讯录和聊天记录等不受影响。第四是远程数据擦除。当员工手机丢失或员工离职时,管理员可以触发远程擦除指令,清除手机上的企业数据,同时保留员工的个人数据不受影响。
除了移动设备管理技术方案外,企业还需要在制度层面做好相应的建设。
第一是制定清晰的员工自带设备政策。政策应当明确哪些工作数据可以存储在个人手机上、企业如何在手机丢失时处置企业数据以及员工离职时如何处理手机上的工作信息。政策文本需要员工确认并签署。
第二是建立设备合规检查计划。定期对已注册的设备进行远程合规检查,检查设备是否安装了最新的安全补丁,是否开启了加密功能和锁屏密码是否符合策略要求。不合规的设备需要限制其访问企业资源的权限。
第三是建立数据分类管理机制。根据数据敏感受限程度对员工手机可以访问的企业数据进行分类。核心商业机密不建议在个人手机上处理。普通的业务邮件和日程安排可以在受管控的个人手机上使用。高度敏感的数据只能通过企业配发的专用设备处理。
问:员工不愿意在个人手机上安装管理应用怎么办? 答:这是一个需要在安全与效率之间取得平衡的问题。企业可以采取灵活的策略,即允许员工选择是否使用个人手机办公。选择不使用个人手机办公的员工,企业为其配备工作手机。选择使用个人手机的员工,需要安装管理应用并遵守安全策略。这种选择权可以提升员工对安全管理的接受度。
问:移动设备管理平台会不会监控员工个人隐私? 答:合规的移动设备管理平台的设计原则是只管理企业应用和企业数据,不获取员工的个人隐私信息。平台可以看到设备的基本信息,如设备型号和操作系统版本,但不会读取个人通讯录、照片和聊天记录。企业在选择移动设备管理平台时应当选择有数据隔离能力的产品。
问:如何平衡用户体验和安全要求? 答:采用风险自适应策略。对于只查看公司内部新闻和日程安排的轻度使用,安全策略可以适当放宽。对于需要处理敏感邮件和文档的重度使用,安全策略需要加强。自动化的风险评估机制根据用户行为动态调整安全要求,在保障安全的前提下尽量不影响用户体验。
移动终端安全管理的目标不是让员工的操作变得复杂繁琐,而是在员工几乎无感知的情况下实现安全管控。好的安全方案应当让员工在正常使用手机的过程中不知不觉地遵守了企业的安全策略,不需要额外的学习成本也不会感受到额外的操作负担。
