AT&T的移动安全控制矩阵：应对CCM要求

"包含CCM控制要求的移动安全控制矩阵是AT&T首席安全办公室（CSO）为企业移动设备安全使用设计的一种标准。这个标准，称为企业移动安全标准（EMSS），旨在应对智能手机威胁的快速增长，提供一套全面的安全控制措施，确保移动应用和平台的安全。" 移动安全控制矩阵，结合了CCM（Cloud Computing Maturity Model，云计算成熟度模型）的控制要求，是针对企业移动设备安全的重要指导工具。CCM通常用于评估和改进云服务的安全性，但在移动设备领域，它被扩展以适应移动环境的独特安全挑战。这些控制要求包括但不限于数据保护、身份验证、访问控制、设备管理、网络通信安全以及安全策略与合规性。 EMSS提供的控制措施分为几个关键领域： 1. **安全策略和治理**：这部分要求企业制定明确的移动设备安全政策，包括用户行为准则、数据分类和处理策略，以及定期审查和更新这些政策。 2. **资产管理**：涉及对移动设备、应用程序和数据的全面管理，包括设备注册、跟踪和退役流程，以及对第三方应用程序的管理。 3. **访问控制**：强调强身份验证机制，如多因素认证，以及基于角色的访问控制，以限制敏感信息的访问权限。 4. **数据保护**：包括加密技术的使用，确保数据在传输和存储时的安全，以及数据泄漏防护措施，防止意外或恶意的数据泄露。 5. **网络和通信安全**：涵盖无线网络的安全配置，防止中间人攻击，以及对移动设备上的网络流量进行监控和审计。 6. **操作安全**：关注设备的固件和操作系统更新，确保及时修补安全漏洞，并实施安全的设备配置。 7. **监控、日志记录和事件响应**：要求建立有效的监控系统，记录设备活动，以便在发生安全事件时迅速响应和调查。 8. **供应商风险管理**：评估和管理移动服务提供商的安全性能，确保他们符合企业的安全标准。 9. **培训和意识**：教育员工关于移动设备安全的最佳实践，提高他们的安全意识，减少人为错误导致的风险。 企业可以按照EMSS提供的控制列表逐步审计和强化其移动应用和供应商的安全性。如果企业选择，也可以利用AT&T咨询服务进行专业化的移动安全审计。 通过实施EMSS，企业可以更好地应对移动设备带来的安全挑战，确保业务连续性和数据完整性，同时平衡员工的生产力和便利性。这份文档不仅提供了控制列表，还可能包含实施指南和最佳实践，帮助企业构建一个强大且适应性强的移动安全框架。