企业信息安全体系.pptx

1、2014年6月19日企企业业信息安全体系建信息安全体系建设设交流交流讨论讨论材料材料第二部分第二部分目目录录第一部分第一部分 企企业业面面临临的信息安全的信息安全环环境境企企业业信息安全的体系架构信息安全的体系架构第三部分第三部分 企企业业信息安全体系的建信息安全体系的建设设第四部分第四部分 企企业业信息安全管理的信息安全管理的实实践践23超超级级互互联联的商的商业业世界与极其复世界与极其复杂杂的的IT环环境境超超级级互互联联的商的商业业世界：世界：激增的数字业务信息存储在消费者和企业所使用的虚拟云和社交平台、仪器、移动设备中，且可供访问。这就创造了一个极其复杂的 IT环境 可能的攻击点几乎是

2、无限的高高级级持持续续性的安全威性的安全威胁胁：最有经验的对手现在正带来高级持续性威胁，他们通过密切的关注的坚持不懈来获取敏感业务信息的访问权限。这些攻击利用尖端的方法，可持续无限长的时间且具有专门的目标传统传统IT防御的有效性：防御的有效性：如今，愈加多样的威胁侵蚀着传统 IT防御(比如防火墙和防病毒软件)的有效性，甚至在许多情况下完全避开了这些控制企企业业面面临临的安全挑的安全挑战战：所有企业都迫切希望找到信任、透明度和隐私之间的绝佳平衡。企业实现这种更具挑战性的平衡而面临的三大压力：攻击面扩大攻击模式扩散且手法熟练威胁和解决方案异常复杂*根据思科2014年安全报告，IBM安全报告4业务业

3、务业务业务IT支撑支撑IT支撑支撑客客户户企企业业IT技技术术客客户户企企业业IT技技术术传统业务传统业务模式模式新新业务业务模式模式传统传统的企的企业业运作模式运作模式 信息安全仅作为后台数据的保障 基本与业务无关的信息安全需求新的安全考新的安全考虑虑 安全是一个企业整体需求 风险评估和企业连续战略都是今天董事会上讨论的话题 企业对受过安全培训的人员需求越来越高业务业务模式的模式的变变革增加了企革增加了企业业信息安全的信息安全的压压力力新的企新的企业业运作模式运作模式 因客户和IT直接连线导致IT 和业务流程的汇合 安全不是单独的解决方案5企企业业的信息安全的信息安全需求来自以下方面：需求来

4、自以下方面：法律法规与合同条约的要求组织原则目标和规定风险评估的结果风险评风险评估是信息估是信息安全管理的基安全管理的基础础企企业业的信息安全需求与的信息安全需求与风险风险管理管理视视角角安全策略安全策略SecurityPolicy保保护护Protect应应急急计计划划Emergency Plan转转移移Mitigate风险风险分析分析RiskAnalysis预预防防Prevent从从业务业务出出发发才能了解企才能了解企业业的的风险风险关注安全遵守关注安全遵守才能降低企才能降低企业业的的风险风险残余残余风险风险ResidualRisk接受接受Risk第二部分第二部分目目录录第一部分第一部分 企

5、企业业面面临临的信息安全的信息安全环环境境企企业业信息安全的基本框架信息安全的基本框架第三部分第三部分 企企业业信息安全体系的建信息安全体系的建设设第四部分第四部分 企企业业信息安全新信息安全新领领域挑域挑战战67企企业业信息安全框架的基本信息安全框架的基本层层面面战略和治理框架合规和策略遵从安全治理、风险管理与合规风险管理框架安全运维 视视角：角：企业信息安全需要从全方位的视角去管理，而不是通过单一系统或程序来实现 框架：框架：合适的信息安全框架有利于指导安全体系的建设 层层次：次：从体系框架的角度，分为三层：安全治理、风险管理与合规 安全运维 基础安全服务与架构安全事件 安全事件 安全事件

6、 安全策略 安全绩效 安全外包监控 响应 审计 管理 管理 管理安全运维物理安全。机房安全。视频监控安全基础安全服务与架构基础架构安全 应用安全 数据安全 身份与访问安全。网络安全 。开发生命周期 。数据生命周期 。身份验证。主机安全 安全 管理 。访问管理。终端安全 。业务流程安全 。数据泄露保护 。身份生命周期。Web应用安全 。数据加密 管理。应用开发环境 。数据归档、。灾难恢复安全8安全治理、安全治理、风险风险管理与合管理与合规规安全治理、安全治理、风险风险管理与合管理与合规规是企是企业业安全框架的最安全框架的最顶层顶层，是，是业务驱动业务驱动安全的出安全的出发发点点通通过对过对企企业

7、业务业业务和运和运营风险营风险的的评评估，确定其估，确定其战战略和治理框架，略和治理框架，风险风险管理框架，定管理框架，定义义合合规规和策略和策略遵从，确立信息安全文档管理体系遵从，确立信息安全文档管理体系信息安全治理不同于信息安全管理，是在宏信息安全治理不同于信息安全管理，是在宏观层观层面的面的战战略角度上，略角度上，对对信息安全信息安全战战略上的略上的过过程、程、结结构与构与联联系系进进行梳理与行梳理与监监控，以确保控，以确保组织组织信息系信息系统统的安全运的安全运营营管理能管理能够够沿着正确方向演沿着正确方向演进进战略与治理框架为组织的信息安全定义战略框架指明具体安全管理工作的目标和职责

8、范围安全意识培养 宣传教育风险管理对象确立风险评估风险处理审核批准监控审查沟通咨询合规与策略遵从加强对规范策略了解确立企业需要合规的具体内容和实现方式合规性建设，从管理与技术面落实规范与策略要求合规性审计，提供综合性评述9相关相关标标准准规规范：范：ISO27002与与ISMS信息安全管理体系信息安全管理体系ISMS信息安全管理体系框架ISO27002是一个完整的信息安全控制模型，包含了是一个完整的信息安全控制模型，包含了11个主个主题题，可以，可以为为企企业带业带来：来：受受业业界广泛界广泛认认同的方法同的方法论论 按按业业界最佳界最佳实实践方践方针针开展开展信息安全信息安全评评估、估、实实

9、施、施、维维护护和管理和管理 为为定定义义策略、策略、标标准、流程准、流程提供框架指南提供框架指南10信息安全运信息安全运维维安全事件安全事件监监控控安全事件收集安全事件归并过滤安全事件标准化安全事件关联分析安全事件显示安全事件响安全事件响应应记录日志分析确认事件处理系统恢复事后分析与跟踪安全事件安全事件审计审计全面的日志采集审计记录的规范化工作基于策略的日志过滤本地与网络结合的审计体系多维关系分析工作符合法案的内控报表工作安全策略管理安全策略管理主策略技术标准和规范管理规定和办法操作流程用户协议培训资料和用户手册安全安全绩绩效管理效管理安全绩效考核计划安全绩效考核方法人员角色成熟度安全外包服

10、安全外包服务务提供安全防护设备提供运营维护与安全事件监控服务制定安全运营策略及流程提供综合网络安全服务提供专级监控 安全运安全运维维是指在安全策略的指是指在安全策略的指导导下，安全下，安全组织组织利用安全技利用安全技术术来达成安全保来达成安全保护护的的过过程程安全运安全运维维与与IT运运维维相相辅辅相成、互相成、互为为依托、共享信息和依托、共享信息和资资源源安全运安全运维维与安全与安全组织紧组织紧密密联联系，融合在系，融合在业务业务管理和管理和IT管理体系中管理体系中基基础础安全服安全服务务与架构与架构基基础础安全服安全服务务与架构定与架构定义义了企了企业业信息安全框架中的五个核心的基信息安全

11、框架中的五个核心的基础础技技术术架构和相关服架构和相关服务务基基础础安全服安全服务务于架构是安全运于架构是安全运维维和管理的和管理的对对象，其功能由各自的子系象，其功能由各自的子系统统提供保提供保证证身份和身份和访问访问安安全全身份验证访问管理身份生命周期数据安全数据安全数据生命周期安全数据泄露防护数据加密数据归档灾难备份及恢复11应应用安全用安全应用开发生命周期安全业务流程安全应用开发环境安全Web应用安全基基础础架构安全架构安全网络及周边安全主机安全终端安全物理安全物理安全机房物理安全视频监控安全 第二部分第二部分目目录录第一部分第一部分 企企业业面面临临的信息安全的信息安全环环境境企企业

12、业信息安全的基本框架信息安全的基本框架第三部分第三部分 企企业业信息安全体系的建信息安全体系的建设设第四部分第四部分 企企业业信息安全新信息安全新领领域挑域挑战战12企企业业信息安全体系信息安全体系总总体建体建设设方法方法企业业务需求企业信息安全框架安全需求信息安全运维体系企企业业信息安全框架参考和吸取了行信息安全框架参考和吸取了行业经验业经验与与实实践，可作践，可作为为建建设设的参照的参照从企从企业业需求出需求出发发，参照企，参照企业业信息安全框架，通信息安全框架，通过评过评估和估和风险风险分析等方法，定分析等方法，定义义企企业业安全需求安全需求根据企根据企业业安全需求，定安全需求，定义义企

13、企业业信息安全建信息安全建设设的内容与方向的内容与方向信息安全管理体系信息安全技术体系1314企企业业参照安全框架模型来帮助信息安全体系的建立参照安全框架模型来帮助信息安全体系的建立专业专业服服务务ProfessionalServices管理服管理服务务ManagedServices软软硬件硬件Hardware&Software网网络络、服、服务务器、器、终终端端Network,Server,andEnd-point物理安全物理安全 Physical Facilities共同的策略、事件处理与报告人人员员与身份与身份People andIdentity实现实现方式方式管控与管控与风险风险管理管

14、理 Governance and Risk Management结构化的控制框架支持性能、风险与符合性管理 Structured control frameworksupporting performance,risk and compliance management.安全架构安全架构威胁缓解与业务支持 Threat Mitigation and Business Enablement数据与信息数据与信息 流程与流程与应应用用Data and Process andInformation Application 管理上：管理上：管控与风险管理是安全的基础，它包括策略定义、遵从与合规、以及与审

15、计相关的活动 技技术术上：上：威胁缓解与业务支持包括5大类安全功能，构成了安全技术架构 安全管理与技安全管理与技术术：通过专业服务、管理服务、软硬件部署三种形式来提供组织与人员流程安全管理架构安全管理架构技术安全技安全技术术架构架构业务逻辑业务逻辑15IT 基基 础础 架架 构构执执行行企企业业信息安全体系建信息安全体系建设设是人是人员员、流程与技、流程与技术术的整合的整合越来越多的企越来越多的企业认识业认识到：必到：必须须整合企整合企业组织业组织与人与人员员、管理体系与流程、技、管理体系与流程、技术术手段三手段三方面因素，方面因素，设计设计一致完整的安全架构、并持一致完整的安全架构、并持续实

16、续实施才能施才能获获得理想的安全管控效果得理想的安全管控效果若干若干误误区：区：网络安全和信息安全概念的混淆 重视技术，轻视管理 重视产品功能，轻视人为因素 重视对外安全，轻视内部安全 静态不变的观念 缺乏整体性信息安全体系的考虑流程 全架构作业 准 Product16企企业业信息安全管理架构信息安全管理架构应应包含的内容包含的内容企企业业信息安全金字塔描述了企信息安全金字塔描述了企业业安全架构的构安全架构的构成成 安全原则：描述信息安全的业务需求价值安全政策：描述信息安全的目地、方向、愿景及责任安全标准：信息安全实施规则，包括技术、方法及其它细节安全流程：于跨单位实施政策标准的活动、工作及程

17、序安全步骤：描述个人在流程上的详细工作安全架构：信息安全技术如何结合的细节安全产品：信息安全解决方案所选的产品及工具ISO27001要求企要求企业业建立起建立起PDCA的模型，确的模型，确保信息安全的持保信息安全的持续发续发展。展。产品步骤 建议策略安标原则事件事件汇总汇总17企企业业信息安全技信息安全技术术架构架构应应包括的内容包括的内容完整性完整性审计审计信任管理信任管理信息流控制信息流控制接入控制接入控制授授权权管理管理信任关系信任关系确确认认管理管理审计审计系系统统接口接口认证认证管理管理接入控制接入控制接入控制接入控制策略策略审计审计系系统统接口接口信息流策略服信息流策略服务务信息流

18、管理信息流管理数据流控数据流控图图数据流数据流过滤过滤、边边界防界防护护审计审计系系统统接口接口信任关系信任关系库库 信息关系分信息关系分发发信任关系信任关系生命周期管理生命周期管理信任管理信任管理-单单点登点登陆陆审计审计分析分析审计报审计报告告生成生成审计审计事件事件产产生生事件收集事件收集实时实时事件分析事件分析审计审计管理管理系系统统安全安全优优化、可用性化、可用性应应用安全用安全测试测试管理管理灾灾难难恢复恢复审计审计系系统统接口接口物理防物理防护护18企企业业信息安全管理体系的建信息安全管理体系的建设设信息安全管理体系是信息安全保障体系的重要信息安全管理体系是信息安全保障体系的重要

19、组组成部分成部分信息安全管理体系框架从企信息安全管理体系框架从企业业管理的管理的层层面出面出发发，按照多，按照多层层防防护护的思想，的思想，为实现为实现信息安全信息安全战战略而略而搭建搭建安全政策，标准 管理规定安全意识培养 宣传教育安全组织 管理控制审计 监督风险评估 发现问题19企企业业信息安全运信息安全运维维体系的建体系的建设设包含的内容包含的内容威胁分析与预警安全状态和时间的监控安全事件或事故的响应基于安全管控目标的操作行为与日志审计系统达到的效果达到的效果统一的管理模式规范化的管理流程自动化的管理操作高级的维护管理量化的评估标准科学的考核体系防患于未然20企企业业信息安全技信息安全技

20、术术体系的建体系的建设设合适的安全技合适的安全技术术解决方案，不但需要理解安全管理的要求，同解决方案，不但需要理解安全管理的要求，同时时也也为为安全运安全运维维管理提供易于操管理提供易于操作的平台作的平台企企业业安全技安全技术术体系的建立原体系的建立原则则是要建是要建设设与管理制度与管理制度对应对应的企的企业业的安全架构的安全架构设计设计解决方案解决方案设计设计与具体的安全技与具体的安全技术术的的应应用上，要考用上，要考虑虑当前企当前企业应业应用系用系统统能能够够中常中常见见的安全弱点的安全弱点安全技术规划的原则整体安全性的规划功能整合以统一管控考虑同时进行项目的影响从负面影响最小措施入手具有

21、未来扩充性信息安全架构的对应接入控制信任管理信息流控制审计完整性安全技术体系的建设物理安全技术基础架构安全应用安全技术数据安全技术身份和访问管理21企企业业信息安全框架的信息安全框架的应应用用为应对为应对企企业业信息安全建信息安全建设设的需求，企的需求，企业业信息安全的各个信息安全的各个层层次可以次可以对应对应到相到相应应的安全服的安全服务务在技在技术术体系的建立体系的建立过过程中，可程中，可对应对应提供技提供技术术架构的参考架构的参考第二部分第二部分目目录录第一部分第一部分 企企业业面面临临的信息安全的信息安全环环境境企企业业信息安全的基本框架信息安全的基本框架第三部分第三部分 企企业业信息

22、安全体系的建信息安全体系的建设设第四部分第四部分 企企业业信息安全管理的信息安全管理的实实践践22的安全意识，改进政策和培训。保保护护企企业应业应用：用：具备端到端的能力以保障 不 可 抵 赖实 流体 量认 填证 充23企企业业信息安全体系的信息安全体系的实实践：确保有效的信息安全践：确保有效的信息安全须须做到五点做到五点安全性安全性风险风险和薄弱和薄弱环节环节的的评评估及管理：估及管理：分析系统所面临的威胁，制定并实施正确的应对策略，治理和组织能力用以管理各种风险，并确保符合监管规范的要求。技技术术和网和网络络基基础设础设施的保施的保护护：保证端点的安全性和完整性，提供流量管理和配置管理。企

23、企业业持持续续性性经营经营和灾和灾难难恢复：恢复：确保能够从严重的技术故障和/或安全漏洞中迅速恢复，并做到从一开始就主动预防故障的发生。应用层传输层网际层网络接口层数据保密性数据加密数字签名访问控制路由控制安 全 机制数据完整性TCP/IP参考模型安 全 服身份身份认证认证和和访问权访问权限管理：限管理：为安全、有效 认证服务地访问关键应用和资源提供支持，包括用 访问控制户管理、供应和访问权限，以及增强用户 数据完整性应用层面的安全此方法集技术、控 性 务制、流程和管理于一体。流程 全架构作业产品244.分两类进行产品的布置，并完成相应的作业指南：A.基本类：防毒软件、补丁工具、个人防火墙。企

24、业身份管理平台与资产管理工具；B：符合与审计类：同步或提前布置符合与审计工具5.在实际的工作中，对第2步的规范、管理流程，进行修订。包括部署、执行、检查、培训、通知、符合与审计流程及相应的角色定位6.定期根据执行情况进行相应的改进与变更，包括对基本类产品的更换与日常支持，开发并部署一些符合与审计的工具。企企业业信息安全管理信息安全管理实实践：践：IT安全和使用安全和使用标标准及运准及运营营的制定的制定基基础础是建立企是建立企业业的信息安全架构模型的信息安全架构模型1.参考企业的安全政策，企业IT安全准则，和信息安全分类与控制2.制定终端安全标准：员工电脑的安全和使用标准；相关的执行流程、组织架

25、构等3.根据企业的安全架构设计，进行桌面安全产品的功能定位、确定选择标准并进行测试。步骤 建议原则策略安标准 Product25企企业业信息安全管理信息安全管理实实践：培践：培训训是安全是安全实实践中的重要践中的重要环节环节在企在企业业的安全培的安全培训训中的中的“保障保障IT安全的服安全的服务实务实施施”应该应该包括基本的安全主包括基本的安全主题题课程主题安全概述员工的安全责任内部系统的安全标准安全与外包客户事件管理用户ID管理受众学习本课程的所有人所有员工支持业务或为和外部企业提供企业间服务的多用户系统、应用、中间件和网络基础设施的所有者和系统管理员负责管理信息科技服务实施的全球服务实施中

26、心所有服务实施人员在内部或外部客户中负责下列任何系统、服务器或应用的人员：删除员工帐号 建立员工帐号 维护员工帐号更新员工帐号重建员工帐号密码脆弱性管理不符合事件追踪系统使用“不符合事件追踪系统”负责保证设备遵从内部系统的安全标准的系统管理员和如其他人员业务线管理者、安全管理员或任何其他由业务线管理者安排的人员；任何负责网络或服务以保证与业务线管理和安全管理相关业务执行的人员26企企业业信息安全技信息安全技术实术实践：根据践：根据风险评风险评估与估与业务发业务发展的安全需求分析展的安全需求分析为确保公司的整个网络系统能够安全稳定的运行，需要对重要服务器、重要子网进行安全保护，对传输的数据进行加

27、密，用户的身份进行鉴别等，主要须解决以下方面的安全问题：平台安全平台安全：包括网站服务器、邮件服务器、Intranet服务器和内部服务器等。网网络络安全安全：防备来自Internet的攻击，如：病毒、木马和黑客等用用户户安全安全：包括公司员工、网站访客和网络会员的身份认定等数据安全数据安全：数据的灾备，总部与分支机构之间、内部网用户到服务器、移动用户和家庭用户到服务器等的数据传输等管理安全管理安全：如研发中心有公司产品源代码等重要的资料需特别的管理措施安全需求分析安全需求分析安全现状梳理安全风险分析安全目标确认安全策略制定安全策略制定技术策略管理策略产产品品选择选择与部署与部署安全管理与服安全

28、管理与服务务27企企业业信息安全技信息安全技术实术实践：策略制定遵循一定的原践：策略制定遵循一定的原则则，并分，并分门别类门别类策略制定的原策略制定的原则则 适应性原则：在一种情况下实施的安全策略到另一环境下就未必适合 动态性原则：用户在不断增加，网络规模在不断扩大，网络技术本身的发展变化也很快 简单性原则：安全的网络是相对简单的网络 系统性原则：应全面考虑各类用户、各种设备、各种情况，有计划有准备地采取相应的策略 最小特权原则：每个用户并不需要使用所有的服务；不是所有用户都需要去修改系统中的每一个文件；每一个用户并不需要都知道系统的根口令等安全策略的分安全策略的分类类 物理安全策略：如机房环

29、境、门禁系统、设备锁、数据备份、CMOS安全设置等。访问控制策略：为公司总部内部网与Internet网之间、公司总部与分支机构之间、Internet用户与公司网络之间等需要进行互连的网络制定访问控制规则。安全配置及更新策略：对操作系统、应用系统、安全产品等进行升级更新、设置用户访问权限及信任关系等。管理员和用户策略：制定机房出入管理制度、实行安全责任制等。安全管理策略：安全规则设置、安全审计、日志分析、漏洞检测及修补等。密码安全策略：密码复杂度、密码更改周期、密码有效期等 紧急事件策略：针对攻击和入侵可能导致的结果制定应急处理流程和灾难恢复计划。企企业业信息安全技信息安全技术实术实践：践：产产

30、品品贯彻贯彻策略，策略，产产品与管理有机品与管理有机结结合合交换机：划分VLAN进行子网隔离、抵抗嗅探类程序和提高网络传输效率防火墙：解决内外网隔离及服务器安全防范等问题，主要部署在网络的Internet接点和重要部门的子网与其它内部子网之间，其中个人防火墙系统安装在客户端。虚拟私有网：解决网络间数据传输的安全保密，主要部署需要安全保密的线路两端的节点处，如：防火墙和客户端。身份认证：解决用户身份鉴定问题，主要部署在专用认证服务器或需要认证的服务器系统中。反病毒：防范病毒、木马、蠕虫等有害程序的感染与传播，主要部署在服务器系统和客户机系统。入侵检测系统：安全监控和黑客入侵实时报警拦截，主要部署

31、在需要保护的服务器主机和需要保护的子网。灾备系统：2829安全安全风险风险安全安全需求需求解决解决措施措施业务业务影响影响或中断或中断网网络络可可用性用性.网络流量监控及DoS服务防护.核心服务器等采用负载均衡和容错备份系统恶恶意入侵意入侵和破坏和破坏系系统统可用可用性性.应用系统安全评估.网站安全加固.网页防篡改系统.WEB应用防火墙.数据库安全审计非法非法访问访问访问访问的的可控性可控性.CA认证系统.防火墙.安全控制中心.入侵监测系统.网络扫描系统.网络防病毒系统.信息审计系统数据泄漏数据泄漏数据机数据机密性密性.构建虚拟专用网VPN.基于SSL协议的应用加密系统灾灾难难性破坏性破坏灾灾

32、难难恢复恢复能力能力.灾备中心企企业业信息安全技信息安全技术实术实践：企践：企业业典型信息安全典型信息安全风险风险及解决措施及解决措施30技技术发术发展与信息安全：云展与信息安全：云计计算、算、SOA安全安全总总体原体原则则适用于任何适用于任何环环境，不境，不论论是云是云计计算算还还是是SOA，如：身份，如：身份验证验证，授，授权权，机密性，完整，机密性，完整性，性，审计审计和遵守和遵守安全性、可靠性和安全性、可靠性和经济经济性是性是“云云”最大的关注点最大的关注点基于基于SOA的企的企业业关注身份关注身份识别识别及相关安全挑及相关安全挑战战云计算的安全关注点关键业务应用的可靠性数据暴露给非授

33、权用户访问的风险法规要求将某些应用在云计算平台上的使用云计算供应商必须提供防火墙与安全配置的管理方式云计算降低了组织对资源的控制，需要足够的安全透明度SOA环境下的安全挑战跨组织服务与服务的身份识别基本事务需要不同组织间实时无缝对接确保整合应用有足够的安全措施对新旧技术混合而成系统和服务进行身份和安全管理保护数据在整个生命周期中的安全政府、行业、企业本身在合规方面的安全要求技技术发术发展与信息安全：展与信息安全：大数据大数据激增的企激增的企业业数据既数据既带带来了巨大的管理挑来了巨大的管理挑战战，又，又带带来了用于来了用于获获取安全洞察的巨大机会。取安全洞察的巨大机会。前瞻性的前瞻性的组织组织

34、正正转转向大数据平台，如基于向大数据平台，如基于Hadoop的平台，帮助解决各种高的平台，帮助解决各种高级级安全挑安全挑战战。这这些些平台提供的分析平台提供的分析类类型通常使用型通常使用历历史基史基线线、统计统计和可和可视视化功能来化功能来发现过发现过去的欺去的欺诈诈或安全漏洞或安全漏洞证证据据数据的种类和数量正在推动实现新的大数据用例，帮助企业保持安全性通过大数据分析捕获各种来源的数据，并使用现有规则以及客户定义的规则将这些数据缩小为一个可管理的攻击列表3132技技术发术发展与信息安全：移展与信息安全：移动设备动设备BYOD与与MDM原本原本为为个人消个人消费费者者设计设计的智能手机和平板的

35、智能手机和平板电脑电脑正在不断被企正在不断被企业业用于承用于承载载关关键业务键业务及核心及核心应应用，同用，同时时，BYOD的的策略也被大量引入企策略也被大量引入企业业，传统传统的的IT管理在管理在针对针对不断涌不断涌现现的新的新兴兴移移动设备动设备管理方面受到巨大的挑管理方面受到巨大的挑战战BYOD策略需要涵盖以下内容：策略需要涵盖以下内容：可以可以访问访问哪一哪一类设备类设备，如安卓，如安卓，iPad，MacBook，Wintel;需要什么版本的操作系需要什么版本的操作系统统你的用你的用户户群需要什么群需要什么级别级别的的访问权访问权限限用用户户需要安装什么需要安装什么应应用用最重要的一点，需要使用公共最重要的一点，需要使用公共wifi网网络络的个人用的个人用户户要安装要安装VPN最后，要最后，要让让用用户户知道知道设设置密置密码码的重要性的重要性利用Citrix XenMobile、MobileIron等产品对BYOD设备进行MDM管理提供完整的移动设备生命周期管理;从设备注册、激活、使用、淘汰各个环节进行全面管理;实现用户及设备管理，配置管理，安全管理，资产管理等功能。33相关案例与相关案例与讨论讨论谢谢谢谢！