如何用移动应用评估来提高企业安全性?

移动应用市场正在高速发展,截至2017年3月,Android用户可使用280万款应用,同时苹果App Store则提供220万款应用。

面对如此海量的应用,对企业来说,确定哪些应用用于企业用途是十分困难的。即使是最有用的应用都可能会增加企业安全风险,因此,安全团队需要将移动应用评估作为其工作的一部分。

应用评估可帮助安全团队了解应用的功能以及它如何与移动设备中的数据进行交互。根据评估的结果,安全团队可确定应用是否适合在其业务环境中使用。

评估应用的运作方式可让安全团队主动识别潜在的风险。在这样做时,他们能够通过禁止不可接受的应用来防止数据丢失以及未经授权的修改或数据访问。尽管应用评估有诸多好处,但很多安全团队没有进行评估,仅仅是因为他们缺乏相关的技能。因此,企业在没有监督的情况下允许移动应用使用,这可能给企业带来巨大风险。

确定什么是(不)可接受的

在进行应用评估时有两种建议的方法。第一种方法是实现确定的“红旗”行为,如果应用表现出这些行为,则不能被使用,并且没有必要进行进一步评估,这些“红旗”行为包括:

访问联系人并将其从设备复制

跟踪用户位置并发送出去

访问用户的照片或照片流

发送或登录用户账户凭证(以纯文本形式)

第二种方法是对每个应用更彻底详细的检查。每个应用都进行单独评估,以确定其一切活动。根据调查结果,对每个应用是否适合商业用途进行决策。

建议使用应用报告卡作为研究结果的分级机制,以及评估是否允许特定应用用于商业环境。报告卡应涵盖:

权限

可执行的漏洞

本地数据存储和保护,包括机密性和完整性

保护网络通信

进程间通信

“红旗”方法是评估应用更简单的方法,这种方法在大多数时候都可行。然而,如果应用具有企业需要的功能,在发现红旗行为时,建议对该应用进行全面应用评估,以了解潜在风险以及是否可以解决。

企业与BYOD

在面对企业持有或发布的设备时,可限制和控制用户下载的应用。iOS手机比Android设备更容易被锁定,锁定手机的功能是安全团队管理企业持有和受管设备的另一种方法。在BYOD的情况下,这些工作变得更加困难。

在BYOD情况下,常见的策略是使用Gmail账户。员工被要求为所有企业相关的通信设置Gmail账户,但出于明显的安全和控制原因,非常不建议采用这一策略。

在BYOD中,更安全更受控制的方法是使用容器应用。这种策略使员工可控制自己的手机,同时将业务数据隔离到安全容器。所有业务通信都是通过容器应用来完成,由于并非所有容器应用都相同,建议在强制员工使用特定应用之前,对容器应用进行应用评估。

面对每天引入的新应用,企业不能再对应用使用视而不见。安全团队必须提高自己的技能,开始学习如何对移动应用进行评估。

对于真正认真对待移动安全的企业来说,结合移动应用安全评估与SANS“有效移动安全的8大步骤”是很好的策略。这些步骤是按最简单和最有益到部署最复杂的顺序排列,无论设备是企业持有还是BYOD,都可以遵循这些步骤。

这些步骤包括:

强制执行设备密码身份验证

监控移动设备接入和使用

修复移动设备

阻止未经批准第三方应用商店

控制物理访问

评估应用安全性

为丢失或被盗设备准确事件响应计划

部署管理和运营支持

SANS的《有效移动安全8大步骤》是由该社区驱动的项目,旨在提高移动安全性,它体现了专家的一致想法。

本文转自d1net(转载)

时间: 2024-10-23 10:38:43

如何用移动应用评估来提高企业安全性?的相关文章

整合CRM与ERP 提高企业运营效率

CRM系统和ERP软件相结合给互联网和电商类企业创造不小的优势,特别是销售.营销和管理方面,CRM管理系统作为前台运用可以解决客户的服务方面的多个流程,ERP软件作为后台管理系统则可以帮助公司更好的利用资源,缩短了以往企业的管理时间,提高了从前到后整体的运营效率. 不仅如此,CRM客户关系管理系统还为企业提供了多个发展渠道,因此对于客户资料的管理,市场的分析,客户的投诉.服务的评估,以及产品管理等,而且CRM管理系统还可以与呼叫中心相对接,利用多个渠道来收集获取市场和客户的信息,并把这些信息全部

提高企业站长尾关键词转化率:文章结构技巧

提高企业站长尾关键词转化率:文章结构技巧 长尾关键词,就是对现有关键词进行一些定语和状语的修饰;其优点是增加流量和目标客户的准确性.长尾关键词在企业网站中的运用是十分重要的,大量以往文章研究都集中在如何写或设计长尾关键词.但是对于长尾关键词转化率的问题,很少有文章涉及.我们在长期的客户转化率分析中发现,不同质量长尾关键词引入的客户大致可分为三大类.我们按照这三类客户的特点,进行相关页面文章结构的调整,取得了不错的转换效果.现报道如下: 公司网站背景介绍:本公司是一家专业的代理记账公司.目标客户:

浅析怎么提高企业网站排名

从学校出来到学习SEO也有一段时间了,还记得以前家人总是会问我这么件事:学计算机以后出来能干嘛,谁要你们?现在回家,家人就会说:丫头,你的技术怎么样,要不你也给我开个企业网站,这样别人在百度里也能搜到我们家公司.互联网发展的今天,就连开机关机都不会的家人也想能在互联网上占有一席之地.那对于企业做网站,我们站在要从哪些方面考虑?怎么做才能提高企业网站的排名?网站优化博客给大家分析下自己的观点. 第一:企业做网站的目的 互联网普及大众人们的生活,传统的销售已经不能满足人们的生活需求,大家都想通过网络

如何用分表存储来提高性能 推荐_数据库其它

首先,童家旺介绍了他认为的什么是优化:第一.做任何事情最快的方法就是什么也不做. ▲支付宝资深数据库架构师童家旺 第二.不访问不必要的数据:使用B*Tree/hash等方法定位必要的数据.使用column Store或分表的方式将数据分开存储.使用Bloom filter算法排除空值查询. 第三.合理的利用硬件来提升访问效率:使用缓存消除对数据的重复访问.使用批量处理来减少磁盘的Seek操作.使用批量处理来减少网络的Round Trip.使用SSD来提升磁盘访问效率. 响应时间和吞吐量之间的关系

借助通信力量 提高企业效率

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 很多企业都认识到,通信是企业运营和业务的生命线.企业能否成为领导者,往往取决于它是否有一个完整的通信策略.因此,越来越多的企业正在把通信应用到其重要业务流程当中,使业务发生深远改变,并实现生产效率和赢利能力的又一次飞跃. 从根本上讲,通信是企业寻求提高应变能力和竞争优势的一个新途径.其最终目标是员工效率更高,业务流程更加智能,顾客更加满意,企

发挥SEO作用提高企业网络营销业绩

中介交易 SEO诊断 淘宝客 云主机 技术大厅 企业在现实中面临的竞争越来越激烈,越多越多的传统企业已经把目光投向了互联网,把传统的商业战场转移到网络之上.毕竟,在传统的地域生意中销售的对象多是面对当地的消费者,而利用网络刚可以面向全国甚至全世界的消费者,由此产生的效果截然不同,机会也因此会成倍增加. 然而,在互联网上进行营销却也并非易事,伴随着当前网络推广竞争的加剧,公司网站想从千千万万的网站中杀出一条血路,打出自己的品牌和名气并不会那么简单和顺利.特别是面对搜索引擎所提供的浩瀚的互联网信息,

如何提高企业生产力:企业系统管理是关键

对任何一个企业而言,企业生产力都是关键.而正如们看到的,互联网的发展让人们的工作方式发生了改变,从原来的朝九晚五公司工作,到现在移动办公的流行,员工自购用于工作的移动设备逐渐增加.当人们的工作方式发生变化,与其相关的整个IT环境都需要发生相适应的转变,企业系统管理就是其中关键之一. 如何提高企业生产力:企业系统管理是关键 企业系统管理十分重要 IDC表示:就绪未来的企业持续扩展IT基础架构及应用开发创新.现代数字转型战略协助众多组织进入新的市场,更直接地接触客户.与此同时,这些方法乃是通往创新及

提高企业站流量法宝之挖掘关键词

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 经常听到很多的企业站的老板们在抱怨网站流量太少,每天就那么些固定的IP,很难突破一个标准,遭殃的自然就是我们这些可怜的站长们,老板们嫌网站流量少,找我们要原因,那作为企业站的SEO人员应该要怎么办呢?稍微有点经验的SEO人员就会说,从网站的长尾关键词入手,那么,我们应该要怎么选择关键词呢?究竟哪些关键词才能真正的企业站带来流量呢?下面A5站长

生产计划与物料控制系统优化和提高企业核心竞争力

随着市场竞争的 激烈,工厂品种不断增多,批量不断减少, 生产计划不但要以http://www.aliyun.com/zixun/aggregation/10241.html">市场需求和客户个性化的要求来确定,还要根据企业制造资源的实际能力和库存.生产进度的动态变化来调整,制造过程的优化和监控成为提高企业核心竞争力不可回避的环节.   APS生产计划与物料控制系统帮助企业提高生产计划的柔性,以应对 复杂多变的市场环境.通过优化排产体系和流程, 改善物流管理与车间现场控制,提高生产系统的快速