原创作品,未经Julian 本人授权不得转载,侵权必究。 上次虽然和大家说咱这个漫谈的技术第一趴以及结束,这次要转向管理类第二趴了,但是技术出身的小主还是忍不住想和大家这次先来分享一下,最近上马的一套MobileIron的企业 BYOD 管理项目。通过参与项目和培训,我不但了解到了诸如企业文件同步及分享(EFSS),企业移动化管理(EMM)等概念,同时也进一步深入了解了移动设备管理 (MDM)产品的基本功能。因此特插播一下我的理解。
项目其实很简单,就是将一套EMM软件分服务器端和客户端安装并部署到企业内部及用户移动设备上。软件产品的特别涉及如下方面:
1. 用户管理:通过与企业现有活动目录结合,将现有用户和组的角色和权限信息进行一一映射。需要特别说到的一个特点是:通过和AD以及证书的结合与联动,MDM可以做到当用户的邮件登录密码更新时可以自动同步到移动设备上,而不是像以前那样要更新两处。
2. 设备管理:包括设备基本信息、状态、激活、锁屏、松绑、擦除、GPS定位、摄像头、WIFI、SD卡等。关于擦除,想必大家都能意识到,应该是有选择地擦除用户设备上的商业数据,包括商务电子邮件、应用、内容、设置和证书,而不会擦除该设备所含的个人内容。
3. 策略管理:日志记录,Proxy、邮箱、VPN配置等。
4. 应用管理:除了实现基本的SSO以外,还能通过“沙箱”技术的安全App平台向用户提供企业定制的移动应用,如此各种应用都变成了一个安全的容器,在实现统一推送和更新以及数据加密的同时防止未授权的数据访问和删除。
最后说一个项目心得,我们发现用户移动设备上第一次部署了MDM的一到两天内会出现触屏响应延时和耗电快的现象。通过后台跟踪我们发现是因为MDM在后台同步邮件,日历和联系人列表等操作所致。因此我们及时告知了用户。这里也特别提请读者您注意提请告知用户这个情况,以免像我这样反复低声吟唱“啊,多么痛的领悟”。
好,现在正式进入本漫谈的第二部分:管理层面。先来谈谈人员管理。
很多企业管理者都容易忽视一个情况:虽然企业的命脉是自身所拥有的信息,但是信息存储、使用和流转等方面的安全却是被企业人员所执行操作的。因此信息资源的掌控和人员的管理才是整个企业日常运营中的基础与核心。
1.人员分类
为了方便管理,我们需对企业人员进行分类。分类的方法有很多。常用的有如下几种:
1. 按照地理位置,可分为工作在企业内,如办公区或厂房的;工作企业外,如出差或在家里办公的人员。
2. 按照雇用属性,可分为有劳动聘用关系的内部员工和外包过来的服务人员。
3. 按照专业性质,可分为一般用户和IT人员。
而从管理的周期来看,我们可以将企业人员分成雇用前,雇用中,雇用终止以及岗位调动四个阶段(如下图所示)。下面我们详细讨论一下上述各类人员的不同阶段的信息安全管理。
1.1. 企业内用户
1.1.1. 雇用前
一个岗位在雇用员工或聘请外包商前,应该做好该岗位的文字描述,特别要包含在信息处理过程中所对应的安全角色和职责的陈述,例如:
1. 所有访问敏感信息的人员应在能访问信息处理设施前签署保密或不泄密协议。
2. 具体陈述该岗位人员对哪些信息系统、服务以及资产的访问内容和程度。
3. 如果合适,甚至可以将某些安全条款或职责条件延伸至雇用期结束后一段规定的时间,以免该岗位人员跳到竞争对手公司工作后造成泄密。
在招聘过程中,人力资源部门应根据相关的法律、法规对所有的求职者(或外包商)进行申请人履历(或外包商背景)真实性和准确性的验证和检查。
雇用前如果能重视上述三点,基本上在尽职免责方面就已经算是比较到位的了。
细心的童鞋有点赞我说每隔一周都能写出一篇妙趣横生的技术文章,且不谈技术水准有多高,就凭这“坚持刷存在感”的精神也是让人醉了。其实呢,我觉得:写文章呢,最重要是要开心。最近由于造访了一次宝岛,所以更新的频率减缓,不过我尽量做到“山不在高有仙则灵,量不在多有质才行”。
最后,咱也应个景吧。感谢一直以热情来回帖发文的那些几个大V同学们。其他的小伙伴们不要矜持和等待了,咱这漫谈可不如朋友们对待HBO的美剧那样,把剧养肥了再撸。所以大家还是快来撕吧。我保证我在这里be nice(耐撕)。