指掌易 -尊龙凯时注册

事件：
据外媒thereg报道，ibm全球信息安全官shamlanaidoo颁行新的政策，要求ibm全球各地的员工不得在公司内使用移动存储设备进行数据传输。这些可移动存储设备，简单来说就是u盘、sd存储卡、移动硬盘等。naidoo称，在ibm的部分办公区域，移动存储设备的禁令已经推行了，现在决定扩展到全球所有分支。对于原因，ibm解释，此举可以将因乱放、丢失、误用u盘等造成的经济和名誉损失降到最低。

分析：
ibm作为企业信息化产业中的蓝色巨人，拥有极强的传统安全咨询能力及传统安全防护能力，可到了“移动”时代，依然饱受移动安全事件的侵扰。在移动端，安全风险变得更为复杂及碎片化，我们需要新的思维方式去应对移动端的安全风险。

但除了这种“一概禁用"这种“粗暴”的方式，我们有没有更好的方式去解决这个问题呢，既能让员工方便地利用移动设备办公，又能有效防止信息泄密？
尤其是手机作为越来越常见的移动存储设备，该用什么方式来防止泄密呢？

我们可以简单做一个区分：强管控场景 非强管控场景

强管控场景：在某些涉密的场景中，例如，通常以金属检测门、或对手机摄像头粘贴”易碎贴“等防止人员拍摄企业的机密数据。但这种物理检测方式势必依赖于人的检查，而一旦依赖于人的操作，就势必会存在失误及漏洞。

指掌易的建议：
凡强制必遭应对，不让员工用“移动”，员工总会去寻找管理上的漏洞去应对，甚至还会发生一些员工维权案。不如放开限制，利用技术手段去实现安全闭环来确保敏感数据的不泄密：

1.事前有防范：通过适度的限制，降低安全事件发生的可能性，例如，企业可以利用地理围栏技术感知到移动设备进入敏感区域并下发策略，这个策略可以禁用员工手机的摄像头、蓝牙等传感功能。

2.事中有响应：通过实时的监测，一旦发现员工有违规操作行为，立即告警，将安全事件扼杀在摇篮内，例如，通过对设备地理位置、设备使用状态、应用操作行为等数据进行监测，员工一旦使用拍照、转发等违规行为，立即通知管理员，以便及时响应。

3.事后有处置：通过远程处置及溯源能力，降低安全事态的进一步扩大，例如，通过远程设备数据擦除等能力，一旦员工设备丢失或确定员工拍摄敏感数据后，可以及时擦除员工手机上的敏感数据；或者一旦安全事件发生，通过日志、水印等记录，可以有效追溯事件缘由并确定相关责任人。

非强管控场景：一旦涉及到非强管控场景，企业所处安全环境更为复杂。例如员工通过复制、粘贴等转发企业敏感数据，员工使用不安全的wi-fi接入企业办公系统，员工下载不合规的应用等。

指掌易的建议：
1.终端管理：终端管理涉及3个层面，设备管理、应用管理、数据管理，设备管理与工厂端的思路类似，通过适度的限制，实时的监测，远程处置能力应对安全风险；而在办公端，更为重要的是应用管理及数据管理，例如通过应用黑白名单控制哪些员工可以下载哪些应用，通过企业移动应用商店可以做应用版本的管理，对于同一应用，哪些员工可以使用哪种版本；对于数据管理，企业可以通过技术手段防止员工在某些办公应用中的复制、粘贴、截屏、录屏、转发等行为，可以对存储、传输、使用中的数据加密，甚至有些使用过的数据要能做到阅后即焚。

2.网络通道管理：网络通道管理涉及到准入、加密、审计。例如，有些员工要使用专用的网络通道连接企业内部办公系统，以防通过不安全的wi-fi连入后带来泄密；而传输中的数据要进行加密，保证即使数据被恶意拦截，也不会被查阅其中的内容；并且，企业要对传输于互联网中的数据进行审计，避免出现不合规的敏感词而带来违规风险。