本博客摘录自 GovLoop 最近的行业观点,即正确的身份验证如何使政府高效和安全。请在此处下载完整观点。
接入点的激增增加了信息安全保护的问题。IT 经理只需担心办公楼内桌面的日子已经一去不复返了。现在,远程工作中心、员工家中或现场位置以及移动设备等都可以访问数据。
以下是需要注意的四个主要接入点:
远程访问
政府各部门的远程办公和绿色计算计划促进了远程访问的发展,也带来了挑战。如今,联邦政府工作人员的分布比以往更加分散。
“整个想法是能够正确验证远程工作者的身份,然后确保数据是端到端加密安全的,”McPeak 说。“因此,在基础设施方面,有静态数据、传输中的数据和存储中的数据。能够管理这些显然很复杂。”
软件即服务
SaaS 是一种许可和交付模式,软件以订阅方式授权并集中托管。本质上,用户是在借用软件,而不是将其安装在自己的计算机上。由于政府机构通常也只为他们使用的东西付费,因此 SaaS 应用程序的吸引力显而易见:它们节省了金钱和空间,因为需要的机器更少。但也有缺点。
McPeak 表示:“当你拥有不同的软件组件时,每个组件都需要进行管理、修补、更新和跟踪,以进行版本控制。各机构还必须确保这些基于云的软件组件不会为敌对对手提供额 印度手机号码格式 外的复杂攻击面,并能够识别攻击面是什么以及如何保护它。”
基于云的文件共享应用程序
Dropbox 和 Google Drive 等热门应用允许数据自由流动,而安全性通常取决于供应商。Ponemon Institute 于 2014 年 1 月发布的一份报告发现,69% 的 IT 和 IT 安全受访者不太可能知道员工是否在使用未经批准且存在风险的文件共享工具。
基于云的文件共享归根结底是管理权限——哪些用户应该有权访问哪些文件。McPeak 表示,机构需要询问云基础设施提供商是否提供联邦风险和授权管理计划认证的控制措施,以及他们是否履行了服务水平协议。
自带设备 (BYOD)
政府工作人员是否可以使用自己的移动设备开展政府工作(包括通过移动设备访问政府网络)的问题多年来一直存在。随着智能手机和平板电脑的普及以及这些设备功能的不断增强,如何处理这个问题的争论仍在继续。
赛门铁克安全和移动架构师 Kevin McPeak 在谈到 BYOD 时表示:“这对大型企业,尤其是联邦政府,提出了许多有趣的挑战。”
“例如,如果设备受到管理,那么员工可能会担心即使下班后他们的位置也会被追踪。”
另一个问题是将个人内容和应用程序与政府内容和应用程序分开。答案是通过移动设备管理或提供联邦机构应用商店,将特定应用程序提供给该端点。这样,与工作相关的应用程序就被包装起