移動安全成熟度提升實踐指南

近日，看到很多企業安全負責人在尋找企業信息安全成熟度模型，這類模型在百度上搜索有很多，絕大多數遵從著Gartner的經典理論框架。但如何將理論框架應用於具體的領域中，卻仍需企業信息安全負責人自己摸索。我將結合自己對於移動安全領域的理解，依照Gartner經典理論框架的指導，為大家剖析如何提升企業在移動安全領域的安全管理成熟度。

首先，我們先來看一下garter信息安全成熟度模型：

等級1：初始等級2：發展等級3：定義等級4：管理等級5：優化

（理論模型具體釋義已放在文末，我就不在主要章節在各位專家面前班門弄斧了）

而結合到移動安全領域來看，由於移動辦公發展時間尚處於比較端的時期，國內企業更多的是處於從初始發展階段過渡，在這個階段，企業對於移動安全的認知不足，多數知道「移動」帶來了風險，但不知道移動安全的具體風險點有哪些，更多的是導入一些零散的IT技術來降低風險。作為企業信息安全負責人，在這個階段，有幾個關鍵任務要完成：

1.理清移動安全的風險點

2.尋求相應的IT技術支撐

3.獲得領導及業務部門的支持

4.確定可落地的安全行動計劃。

一

移動安全的風險點有哪些：

1.設備：設備被非合規人員控制（如員工設備丟失，敏感數據泄露；惡意攻擊者控制員工設備等），移動設備感測功能發達帶來的信息擴散隨意風險（如員工使用手機拍攝敏感內容，隨意用藍牙、Airdrop轉發企業敏感數據等）；

2.應用和數據：應用被攻擊（例如員工下載第三方不合規應用，黑客以此為跳板進行攻擊；合規應用被黑客攻破等），管理分險（例如企業移動應用分發混亂、版本管理混亂等）；操作風險（員工複製、粘貼、截屏、錄屏後轉發企業敏感數據等）；

3.傳輸：接入風險（例如員工通過不安全的WiFi接入，導致數據泄露等）；數據被攔截（例如惡意攻擊者在數據傳輸過程中，截取企業敏感數據）；非合規敏感詞傳輸至外部（例如，金融、醫藥等銷售在與客戶的聊天中出現不合規國家要求的敏感詞等）。

二

需要哪些關鍵IT技術支撐：

1.設備管理：身份驗證（確定設備使用者的身份）；禁止設備的某些功能（如禁用攝像頭、藍牙、WiFi等）；遠程擦除（例如設備丟失後，管理員可以遠程擦除該設備中關於企業的數據）；

2.應用和數據管理：企業應用商店（管理不同應用及同一應用不同版本的合理分發）；應用黑白名單（能禁止員工下載不合規的應用）；應用加固（在應用外加上一層防禦，防止惡意攻擊者攻擊）；數據防泄露（某些核心業務應用中，要禁止用戶複製、粘貼、截屏等）；

3.傳輸管理：准入（讓員工通過合規的網路通道接入）、加密 （對數據進行加密，即使數據被外人獲取，也無法閱讀）；審計（對重要數據的流轉進行審計，能監控員工在發送什麼內容，當員工發送不合規的內容後可以即時報警）。

三

如何向領導及其他業務高管講故事：

1.提高領導及同事的安全意識：搜集安全事件，向領導發送報告，這個過程是持續性的，進行演練，如模擬在移動辦公場景中，某些敏感數據丟失，進行應急演練，給予領導及同事最直觀的感受；

2.定義清晰的安全職責：你如果不將所有人納入到問責體系中，大多數人的態度就是事不關己高高掛起，而且在安全與業務體驗相悖的情況下，他們不會支持你；

3.合規驅動：合規政策是安全落地最有效的推動力，但目前，移動安全相關政策/標準是缺失的。這並不意味著企業安全負責人沒辦法以合規政策驅動，網路安全法是有跡可循的，企業安全負責人可以向廠商、向第三方機構諮詢，在這方面，他們有整個團隊在研究政策的動向，讓他們幫助你講這個故事。

四

確定可落地的安全行動計劃：

1.成本可控是前提：面對移動設備、應用等的快速更新，移動安全供應商產品/技術也在快速更新迭代，企業用戶要移動安全具體的實現上要輕量化，以保障自身安全建設的快速迭代，否則移動安全的實現落不了地，實施的時候要與資金、運營能力相匹配；

2.不要一蹴而就，從局部突破：先依據組織各業務部門的安全訴求分級別，不能一概而論，安全要求高的業務部門很少，這樣做一是減少成本的投入，二是降低推廣難度。三是考慮基層員工的體驗 ，從安全意識濃的部門先入手，先從最容易的教育好，以點及面；

3.評估反饋是關鍵：要有相應的評估機制把不好的功能和廠家淘汰出去，並對業務做分析。

以上，僅代表我的個人觀點，希望對於在讀的企業信息安全負責人有所幫助，如您有不同的看法，期望留言分享，感激不盡！

Gartner信息安全成熟度模型等級釋義

等級1：初始 - 企業管理層意識到信息安全性薄弱，信息安全風險高。在大多數情況下，沒有正式的信息安全計劃，信息安全活動是臨時性的，通常以IT為重點。

等級2：發展 - 具有與CISO類似的非正式責任的個人正在努力制定計劃計劃和政策。不同的利益相關者開始就信息安全問題進行非正式溝通。

等級3：定義 - 制定了政策和規則，並建立了一些信息安全形色和職責; 然而，問責制或執法很少。信息安全工作仍以IT為主，企業安全意識仍然有限。

級別4：管理 - 現在信息安全形色和職責已經明確規定，企業具有由CISO領導，業務部門領導共同參與的信息安全委員會。企業正在從以IT為中心的方式轉向信息安全;，但是，業務領導尚未接受對風險的明確責任。

等級5：優化 – 業務領導已明確接受與其使用信息和技術有關的風險，並對安全故障和政策違規負全部責任。持續的自我改進實踐已經在多個領域實施，並建立獎勵機制，以提高組織的安全意識。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！