移动设备管理

移动设备的类型

这些指南描述了移动设备（如移动电话、平板电脑和笔记本电脑）的使用和保护。有关便携式计算机的进一步指南，请参阅系统强化指南和系统管理指南。

移动设备管理策略

由于移动设备通常会离开办公环境及其提供的保护，因此制定移动设备管理策略以确保它们以适当的方式受到保护非常重要。

开发并实施了移动设备管理策略。

移动设备管理解决方案用于确保移动设备管理策略应用于所有移动设备。

使用批准

由于提供密钥材料的要求，所有处理、存储或传输 SECRET 或 TOP SECRET 数据的移动设备都需要经过批准才能使用，然后才能发布密钥材料。

移动设备在获得 ACSC 批准使用 之前，不会处理、存储或传输 SECRET 或 TOP SECRET 数据。

私人拥有的移动设备

允许私人拥有的移动设备访问组织的系统或数据可能会增加责任风险。组织应寻求法律建议，以确定这种情况是否会影响对相关法规（例如1988年《隐私法》和《1983年档案法》）的遵守，并考虑增加的责任风险是否为组织所接受。风险将取决于每个组织的移动设备使用政策及其实施情况。

如果组织选择允许人员使用私有移动设备访问其组织的系统或数据，则应确保它不会带来不可接受的安全风险。有关允许使用私有移动设备的安全风险和建议的安全控制措施的更多信息，请参阅 ACSC 的企业 移动性风险管理（包括自带设备 （BYOD） 出版物）。

在允许私人拥有的移动设备访问系统或数据之前，需要寻求法律建议。

使用私有移动设备访问官方和受保护系统或数据的人员使用ACSC批准的平台，根据ACSC指南进行安全配置，并强制将工作数据与任何个人数据分开。

私人拥有的移动设备不会访问 SECRET 和 TOP SECRET 系统或数据。

组织拥有的移动设备

如果组织选择向人员发放组织拥有的移动设备来访问其组织的系统或数据，则应确保它不会带来不可接受的安全风险。

使用组织拥有的移动设备访问系统或数据的人员使用 ACSC 批准的平台，该平台具有符合 ACSC 指南的安全配置。

存储加密

加密移动设备的内部存储和任何可移动介质将防止对手在丢失或被盗时轻松访问存储在其上的任何敏感或机密数据。

Mobile 设备会加密其内部存储和任何可移动媒体。

通信加密

如果没有适当的加密来保护传输中的数据，则传输敏感或机密数据的移动设备将带来安全风险。

移动设备对通过公共网络基础设施传输的所有敏感或机密数据进行加密。

蓝牙功能

为了降低与移动设备与其他蓝牙设备配对相关的安全风险，蓝牙版本 4.1 引入了蓝牙经典版的安全连接功能，而蓝牙版本 4.2 引入了低功耗蓝牙的安全连接功能。此功能使用使用椭圆曲线 Diffie-Hellman 加密生成的密钥，因此与以前的密钥交换协议相比，可提供更高的安全性。此外，工作人员应考虑他们配对蓝牙设备的位置和方式（例如，避免在公共场所配对设备），并在不再需要使用蓝牙设备时删除所有蓝牙配对。

最后，蓝牙协议对在移动设备和其他蓝牙设备之间通信的秘密和绝密数据提供了充分的保护。因此，蓝牙功能不适合与 SECRET 和 TOP SECRET 移动设备一起使用。

移动设备配置为除蓝牙配对时间外，其他蓝牙设备无法发现。

蓝牙配对使用安全连接执行，最好使用数字比较（如果支持）。

蓝牙配对的执行方式使得仅在预期的蓝牙设备之间建立连接。

当不再需要使用蓝牙配对时，将删除蓝牙配对。

未在 SECRET 和 TOP SECRET 移动设备上启用蓝牙功能。

维护移动设备安全

安全性较差的移动设备更容易受到损害，并为对手提供进入任何连接系统的潜在接入点。尽管组织最初可能会提供安全的移动设备，但如果人员能够安装或卸载未经批准的应用程序，或者禁用或修改安全功能，则其安全状况可能会随着时间的推移而降低。此外，重要的是，一旦安全更新可用，就应立即将其应用于移动设备，以保持其安全状态。

移动设备可防止人员在预配后安装或卸载未经批准的应用程序。

移动设备可防止人员在配置后禁用或修改安全功能。

安全更新一旦可用，就会立即应用于 mobile 设备。

将移动设备连接到互联网

将移动设备连接到互联网时，最佳做法涉及建立与组织的互联网网关的虚拟专用网络（VPN）连接，而不是直接连接到互联网。在此过程中，移动设备将受到其他安全功能的保护，例如由其组织的互联网网关提供的Web内容过滤。

拆分隧道VPN可以允许从其他网络（如互联网）访问组织的网络。如果未禁用拆分隧道，则VPN连接容易受到来自其他网络的入侵的安全风险增加。组织可以参考适用于移动设备的相关 ACSC 安全配置指南，了解如何管理此安全风险。

移动设备通过 VPN连接到一个组织的互联网网关而不是通过直接连接到互联网来访问互联网。

通过 VPN 连接访问组织的网络时，将禁用拆分隧道。

移动设备使用情况

移动设备使用策略

由于移动设备通常会离开办公环境及其提供的保护，因此组织制定管理其使用的移动设备使用策略非常重要。

开发并实施了移动设备使用策略。

人员意识

移动设备可以同时具有语音和数据通信组件。在这种情况下，人员应了解移动设备已获准处理、存储和通信的语音和数据的敏感性或分类。

在使用移动设备时，将告知工作人员语音和数据通信允许的敏感性或分类。

寻呼、消息服务和消息传递应用程序

由于寻呼、消息传递服务和许多消息传递应用程序 无法充分加密传输中的数据，因此不能依赖它们来通信敏感或机密数据。

寻呼、彩信服务、短消息服务和消息传递应用程序不用于传输敏感或机密数据。

在公共场所使用移动设备

工作人员应了解他们使用移动设备查看或传达敏感或机密数据的环境，特别是在公共交通、中转休息室和咖啡店等公共区域。在这些地点，工作人员应注意确保其他各方不遵守敏感或机密数据。在某些情况下，隐私过滤器可以应用于移动设备的屏幕，以防止旁观者从屏幕上阅读内容。

此外，工作人员应保持对他们进行敏感或机密电话呼叫的环境以及他们的对话被偷听的可能性的认识。

敏感或机密数据不会在公共场所查看或传达，除非注意减少移动设备屏幕被观察的机会。

隐私过滤器应用于 SECRET 和 TOP SECRET 移动设备的屏幕。

敏感或机密的电话呼叫不会在公共场所进行，除非注意减少对话被偷听的机会。

保持对移动设备的控制

由于移动设备本质上是便携式的，并且很容易丢失或被盗，因此强烈建议人员在积极使用移动设备时保持对它们的持续直接监督，并在不使用活动时以安全状态（即加密处于活动状态）携带或存储它们。请注意，虽然移动设备可能已加密，但如果它们在睡眠模式下丢失或被盗，或者在锁定屏幕下打开电源，则加密的有效性可能会降低。

移动设备在被积极使用时，将受到持续的直接监督。

移动设备在未被主动使用时以安全状态携带或存储。

如果无法在安全状态下携带或存放移动设备，则会将其放入安全公文包或经批准的多用途挎包、小袋或运输袋中。

移动设备紧急消毒流程和程序

在紧急情况下对移动设备进行清理有助于减少对手破坏数据的可能性。这可以通过使用远程擦除功能或加密密钥归零或清理功能（如果存在）来实现。

制定并实施了多功能设备紧急消毒流程以及支持的移动设备紧急消毒程序。

如果为 SECRET 或 TOP SECRET 移动设备上的加密密钥提供了加密归零或消毒功能，则该功能将用作移动设备紧急消毒过程和程序的一部分。

使用移动设备出国旅行之前

与国内旅行相比，携带移动设备出国旅行的人员面临额外的安全风险，尤其是在前往高风险或极端风险国家/地区时。因此，应采取适当的预防措施。工作人员还应该意识到，当他们离开澳大利亚边境时，他们也留下了任何对隐私的期望。

当工作人员使用移动设备出国旅行时，请注意隐私和安全风险。

如果携带移动设备出国旅行到高风险或极端风险国家/地区，人员包括：

1.从专用旅行设备池中发放新配置的帐户、移动设备 和可移动媒体，这些设备仅用于与工作相关的活动

2.就如何对移动设备的关键区域应用和检查防拆封条提供建议

3.建议避免携带任何个人 移动设备 ，尤其是在植根或越狱的情况下。

在使用移动设备出国旅行之前，工作人员会采取以下措施：

4.记录正在使用的移动设备的所有详细信息，例如产品类型、序列号和国际移动设备标识号

5.更新 所有 操作系统 和应用程序

6.删除所有不必要的帐户、应用程序和数据

7.应用安全配置设置，如锁定屏幕

8.配置远程定位和擦除功能

9.启用加密，包括对任何 可移动媒体的 加密

10.备份所有重要数据和配置设置。

使用移动设备出国旅行时

人员在不在本人身上时随时会失去对移动设备和可移动媒体的控制。这包括将移动设备和可移动媒体放入托运行李中或将其留在酒店客房（包括酒店客房保险箱）中时。此外，允许不受信任的人访问移动设备为他们提供了被篡改的机会。

携带移动设备出国旅行时，工作人员应采取以下预防措施：

1.切勿将 移动设备 或 可移动 介质置于无人看管的状态，包括将其放入托运行李中或将其留在酒店保险箱中

2.切勿将凭据存储在他们授予访问权限的移动设备中，例如笔记本电脑包中

3.切勿将 移动设备 或可移动媒体 借给不受信任的人，即使只是短暂地

4.绝不允许不受信任的人连接 其 移动设备 或 可移动 媒体，包括充电

5.切勿使用指定的充电站、壁式插座充电端口或不受信任的人提供的充电器

6.避免将 移动设备 连接到开放或不受信任的 Wi-Fi 网络

7.使用 VPN 连接 加密所有 移动设备通信

8.使用加密的消息应用程序进行通信，而不是使用外国电信网络

9.在不使用时禁用移动设备的任何通信功能，例如蜂窝数据、无线、蓝牙和近场通信

10.避免可移动介质一旦与其他方的系统或移动设备一起使用，可重复使用

11.确保事先彻底检查用于数据传输的任何可移动介质是否存在恶意代码

12.旅行或旅行归来时，切勿使用任何有天赋的移动设备，尤其是可移动媒体。

工作人员会尽快向其组织报告移动设备、可移动介质或凭据的潜在危害，尤其是在他们：

1. 向外国政府官员提供证书

2.为外国政府官员解密移动设备

3. 将移动设备从外国政府官员的视线中取出

4.移动设备或可移动媒体被盗，但后来被退回

5.丢失以后发现的移动设备或可移动媒体

6.观察移动设备的异常行为。

使用移动设备出国旅行后

在使用移动设备出国旅行后，人员应采取适当的预防措施，以确保他们不会对组织的系统和数据构成不必要的安全风险。在大多数情况下，清理和重置移动设备（包括所有可移动介质）就足够了。但是，从高风险或极端风险国家返回后，可能需要采取额外的预防措施。

从使用移动设备出国旅行回来后，工作人员将采取以下措施：

1.清理和重置 移动设备 ，包括所有 可移动媒体

2.停用旅行期间留下的任何实物凭证

3.如果对任何移动设备 或可移动媒体的完整性存在重大疑问，请报告。

如果从携带移动设备的海外旅行返回高风险或极端风险国家/地区，工作人员将采取以下额外措施：

4.重置用于移动设备的用户凭据，包括用于远程访问其组织系统的用户凭据

5.监视账户是否有任何入侵指标，例如失败的登录尝试。