手机端企业数据安全保护

手机端企业数据安全保护

手机已经从单纯的通讯工具转变为企业移动办公的核心终端。员工通过手机收发工作邮件、审批流程、访问企业应用、参加远程会议已经成为常态。然而手机的安全防护能力与个人电脑相比有明显差距，加上手机更容易丢失和被盗，手机端企业数据安全保护的重要性日益凸显。

一、手机面临的独特安全风险

手机的使用场景和习惯决定了它面临的安全风险与企业电脑有显著不同。手机随身携带，频繁连接各种网络，包括家庭无线网络、办公无线网络、公共无线网络、移动数据网络等。每连接一个网络，手机就多了一分被攻击的风险。

手机应用生态的开放性也是一大风险因素。员工可能从非官方应用商店下载应用，这些应用可能包含恶意代码，在后台窃取手机中的信息。即使是从官方应用商店下载的应用，也有一部分会过度索取权限，读取通讯录、短信记录、相册内容、位置信息等与其功能无关的数据。

还有一个容易被忽视的风险是手机中的企业数据与个人数据混在一起。员工用手机拍了方案文档的照片发到工作群，也在手机相册中存有个人照片。企业即时通讯工具中的聊天记录、手机自带邮件客户端中的邮件缓存，都存储在企业无法管控的手机本地环境中。一旦手机失窃，这些数据全部暴露。

二、企业移动设备管理的基本部署

企业应当部署移动设备管理系统，对员工用于办公的手机进行统一管理。移动设备管理系统可以实现设备注册、配置管理、应用管理、安全策略下发等功能。员工手机在访问企业应用前需要进行设备注册，系统可以检查设备的安全状态，包括是否已越狱或获取了最高权限、是否安装了最新的安全补丁、是否开启了屏幕锁定等。

通过移动设备管理系统，企业可以强制员工手机启用屏幕锁定功能，并设置密码复杂度要求。可以设置手机在多次解锁失败后自动擦除数据。可以管理手机上的企业应用安装和更新。当员工手机丢失或员工离职时，可以远程擦除手机上的企业数据。

三、企业容器化方案的选择

在个人手机上实现企业数据保护，容器化方案是比较成熟的做法。企业容器技术可以在员工手机上创建一个独立的加密工作区，企业应用和数据运行在加密容器中，与个人应用和数据隔离。容器内的数据使用企业的加密密钥进行保护，即使手机被越狱，容器内的数据也无法被读取。

容器化方案的优势在于企业无需为员工配备专门的工作手机，员工使用自己的手机即可安全处理工作。容器内的企业邮件、文件、通讯录、日历等应用仅供工作使用，员工不能将容器内的数据复制到手机的个人区域。企业远程擦除数据时也仅影响容器内的内容，不会影响员工的个人数据。

在选择容器化方案时，企业需要关注方案的安全性、兼容性和易用性。安全方面，关注加密算法强度、安全审计能力和漏洞响应机制。兼容性方面，确认方案是否支持员工使用的主流手机型号和操作系统版本。易用性方面，确保员工安装和使用过程不复杂。

四、员工个人手机的自我防护

即使企业没有部署移动设备管理系统，员工也可以采取一些措施提升手机端企业数据的安全性。设置强密码或生物识别是基本操作。手机锁屏密码应当使用六位以上数字或密码组合，开启指纹或面部识别作为辅助验证。不要在手机上保存工作系统的登录密码，不要开启自动填充密码功能。

手机操作系统和应用的及时更新同样是重要的安全措施。操作系统更新通常包含安全漏洞修复，推迟更新意味着手机暴露在已知漏洞的威胁之下。应用软件同样需要保持更新，特别是办公类应用和通讯类应用。

员工应当检查手机中应用的权限设置，关闭不必要的权限。特别注意存储权限、短信读取权限、通话记录读取权限、位置权限等敏感权限的授予情况。已离职或长期不用的应用应当卸载。

五、企业通讯应用的安全使用

企业通讯工具应当选择支持端到端加密的产品。端到端加密确保消息在发送端加密、接收端解密，即使在服务器传输过程中被截获，也无法读取消息内容。企业通讯工具还应支持远程注销功能，员工手机丢失后可以远程退出登录。

员工在使用企业通讯工具时应当注意：不在聊天中发送明文密码、身份证照片、银行卡号等高度敏感信息。不将企业通讯工具的群聊内容截图发送到个人社交平台。不随意添加陌生人为企业通讯工具好友。不在企业通讯工具中讨论未经授权的内部信息。

企业应当对通讯工具中的敏感词进行监控和预警。当员工在聊天中发送疑似敏感信息时，系统可以自动告警。同时对通讯工具中的文件传输进行管控，禁止传输特定类型的文件或超过一定大小的文件。

六、手机丢失后的应急处置

手机丢失或被盗是企业数据安全事件中最常见的场景之一。员工发现手机丢失后应当立即采取一系列措施。首先向运营商挂失手机卡，防止他人使用手机卡接收短信验证码。然后登录手机云服务账号，远程定位手机位置，尝试找回。远程锁定手机，擦除手机中的数据。

通过企业移动设备管理系统，管理员可以远程擦除设备上的企业数据。如果企业未部署移动设备管理系统，员工应当修改手机上登录过的所有业务系统的密码，包括企业邮箱、办公系统、通讯工具等。同时通知公司安全团队，告知设备丢失情况和已采取的措施。

企业应当制定手机丢失的应急响应流程，明确每个环节的责任人和时间要求。定期进行应急演练，确保相关人员知晓操作步骤。准备好应急响应所需的工具和权限，避免在事故发生时因权限问题耽误处理时间。

七、配套制度和培训

手机端企业数据安全保护不能仅靠技术手段，制度建设和员工培训同样重要。企业应当制定移动设备安全管理制度，明确工作手机和个人手机的使用规范、企业数据保护要求、违规处理措施等。员工应当签署移动设备安全承诺书。

企业还应当定期组织移动设备安全培训。培训内容包括手机安全设置方法、应用安全使用知识、网络连接安全要求、手机丢失应急处置流程等。培训应当结合实际案例，让员工真正理解手机安全的重要性，掌握必要的防护技能。

北京企密安专注于企业移动安全领域，为企业提供移动设备管理、企业应用安全容器、数据防泄漏等产品和解决方案。北京企密安从安全评估到方案设计再到部署实施和培训运维，为企业移动办公安全提供全生命周期服务。

手机已经成为企业办公不可替代的一部分，手机端企业数据安全保护也应当成为企业整体信息安全体系的重要组成。只有技术、制度、人员三方面协同配合，才能构建起立体的手机端数据安全防护网。

常见问题 问：员工个人的手机是否应该安装企业安全软件？这会不会侵犯个人隐私？ 答：企业安全软件的安装范围应当限定在工作用途的区域。通过企业移动设备管理系统部署的软件仅管理企业应用和数据，不会收集员工的个人短信、通话记录、位置信息等个人数据。企业应当在制度中明确管理范围和隐私保护承诺。

问：如果员工拒绝在个人手机上安装企业安全软件怎么办？ 答：企业可以提供两个选择：一是员工自愿在个人手机上安装企业安全软件以获取移动办公权限，二是企业为员工配发工作专用的手机，工作手机和个人手机分开使用。两种方式各有优劣，企业可根据自身情况和员工意愿灵活处理。

北京企密安 010-63711822 baomiwang.com