BYOD来临安全最重要 你家公司有这样么?
扫描二维码
随时随地手机看文章
目前自带设备办公(BYOD,Bring Your Own Device)的现象正席卷全球,BYOD已经不是一个概念,它正以不可阻挡之势改变人们的工作方式,成为传统办公手段的必要补充。据Sail Point的最新研究数据显示:不仅BYOD正在被世界广泛接纳,许多企业也开始接受员工自带移动设备办公以完成他们的工作。BYOD作为移动办公的主要表现形式,虽然给企业带来了全新的管理架构和运维模式,但也带来了数据安全的隐忧。因此,不管愿不愿意,企业已经到必须做好准备、迎接BYOD的时候了……
BYOD浪潮背后暗藏危险
BYOD在几年前兴起,当时消费者只是通过最先进的移动设备如iPad、iPhone、Android智能手机访问社交网络、在线玩游戏和运行其他各类应用程序,后来则延伸到企业网络,如访问公司邮件和数据库,以及运行其他的企业应用程序。借助移动设备,员工能在个人时间工作,在工作时间做点私事,实现工作与生活的完美融合。
BYOD浪潮涌动,成为一种发展趋势
对企业而言,拥抱BYOD可获得更高的生产率和员工满意度。不过对企业IT部门而言,BYOD意味着一种全新的工作场景和方式,这种方式对过去几十年来逐步建立并完善的IT秩序发起了挑战,包括IT架构、管理策略等。特别是CIO应该很清楚,BYOD将把企业的数据安全“裂缝”撕开得更大。BYOD带来的问题就像海面上的冰山,海面以下隐藏的风险更大,开放、智能的移动平台使移动终端成为了新的安全缺口,易引入恶意代码植入、个人应用和企业应用混合、数据泄密、多平台异构管理等问题,这些问题给企业IT管理带来了极大的挑战。
传统的企业IT策略和配置规则与BYOD不适应
首先,IT部门会发现公司的IT策略和配置规则与消费级的应用和设置产生冲突,基于传统PC的安全策略和管理技术很难移植到移动设备,特别是非公司所拥有和管理的员工个人设备。这是因为传统安全设备只是基于IP地址去识别身份,更不要提用户角色、移动设备,而且传统安全设备还是停留在通过TCP Port去控制应用,更无法理解移动化的应用。
另外传统安全设备更多的是面向针对传统操作系统的病毒和威胁防护。在BYOD环境下,黑客可应用恶意APP或弱点攻击等方式,以受害的移动终端为切入点,取得企业数据的存取权限。届时被攻击企业的个人数据或价值更高的机密数据,都可能成为窃贼的囊中之物,这很可能导致企业机密数据外泄,企业信息CIO不能漠视BYOD的影响。
企业CIO要转换思路
曾几何时,企业的CIO或IT经理只是采用简单化一刀切的方式,对员工使用个人移动设备访问企业网络说“不”。但是,这种严格的政策在今天的企业是不现实的。种种调查数据表明,BYOD是未来的必然趋势,企业不应该、也不能阻挡BYOD大潮的到来。因此,企业的CIO不得不积极采用各种应对措施来迎合这一发展趋势,而不是简单地想着禁止,他们现在要思考的问题是如何确保员工“安全访问”。否则,像斯诺登这样使用一个拇指,就能带走来自国家安全局的“棱镜”监控系统程序的高度敏感情报信息泄露的事件将继续发生。
BYOD之所以让企业的信息安全问题变得复杂,主要原因就是员工在工作时可以随时使用自己的移动设备访问公司网络,而这可能是不安全的访问。更加复杂的问题是,许多员工不知道自己公司的信息安全政策。许多年轻的员工,把BYOD当作是一种权利,而不是一种责任,以致会意外或故意违反公司的信息安全政策,这可能导致企业存在破坏性或灾难性的安全漏洞。
因此,企业首先需要规划一份可持续而且灵活BYOD政策,重视合同约束力。BYOD政策作为一份有约束力的合同,所有的员工都需要签署。一个良好的政策便是,“个人设备连接企业网络需要获得许可,从设备基本的使用和数据所有权,到对丢失和被盗的移动设备如何处理都要有特别的说明”。尽管这一方法看上去有些极端,但现实情况是,某位员工的一台未打补丁的平板电脑,就可以很容易地造成企业网络感染恶意病毒或企业机密数据泄露。而有一个有效且恰当的政策,企业或机构就可以以先进的方法来应对BYOD浪潮带来的挑战。
对移动设备的管理成为CIO最关心的问题
另外,企业BYOD管理最核心的问题是进行数据管理,进行相关数据的隔离是核心,毕竟企业最具价值的IT资产是商业数据。用户在移动设备中使用的不仅仅是个人数据,还会大面积使用企业数据,那么如何有效地进行企业和用户的数据隔离呢?这是个非常重要的问题。“数据隔离”是指用户在指定的企业应用内阅览和编辑的所有内容都不能拷贝到该应用外部,也不能把外部的数据拷贝到该应用里面来。从企业的角度看, 这种手段既可以保证企业数据不被外泄,也可防范个人数据中可能存在的信息(如新闻、娱乐信息)以及病毒、木马等非法程序在企业内部的传播和感染。从个人用户的角度看,个人的数据都被隔离在“安全沙盒”外,因此不必担心BYOD设备中的个人数据会在移动办公的过程中流入企业内网,从而引起个人隐私的泄露。
此外,员工培训是保证BYOD设备安全使用的最佳途径。企业应定期举办培训和信息研讨会,教育员工如何适当地使用移动设备、突出的应用程序以及IT基础设施,使公司的网络设备远离恶意软件的侵扰,该措施的关键是要制定日程规划和对所培训的项目作定期检查。另一个关键点是保持所培训的内容是最新的,能适应实际需要的。不过,在BYOD时代,由于接入企业业务系统的移动设备情况相当复杂,仅仅采用传统的技术防护措施,仍为给企业IT部门带来相当大的挑战。在这种背景下,许多供应商提供了MDM(移动设备管理,Mobile Device Management)解决方案。
MDM方案,让被动防护向主动防护转换
面对来自BYOD的新安全威胁,部署MDM方案是最有效的安全防护措施。设备管理是MDM移动安全方案的一个核心组件,通过MDM可以避免用户在移动终端上操作带来的安全隐患,防止移动终端不慎丢失后造成数据泄露。
移动安全和管理本质上要解决的问题可以概括为三个:身份和设备可识别(Identity)、数据不泄密 (Privacy)和设备可管理(Compliance),目前BYOD安全解决方案大多是是围绕这三个关键点,来为企业用户提供业界最广泛的安全性和最简单易用的管理方案。
如华为BYOD移动办公解决方案涵盖终端、基础网络设施、管理、应用和安全五大方面,通过这五个方面的协调联动、相互配合,来满足企业的业务执行者、管理决策者和系统运维者在安全、便捷、体验等多方面的需求。MDM这种方法有助于将关键数据和服务从私人的BYOD设备上转移到企业专用的设备上,可让企业制定和实施更有效的安全策略,有效限制公司的业务应用程序和数据库访问,甚至还可以监控员工通过自有设备下载游戏和应用程序,花多少时间在玩游戏和社交应用上等情况。
目前有数十家移动设备管理系统初创公司如AirWatch,MobileIron、Zenprise进入这一领域,技术中坚力量如华为、微软、思科、IBM、SAP也纷纷推出相关解决方案,帮助企业实施和执行新的移动设备管理和使用策略。事实上,IDC也预估2014年将会出现一个转折,就是企业会开始从消极管理的模式,转变为主动让员工选择移动设备的管理模式。
从信息安全的角度来看,主动管理是比较严谨的做法。当越来越多的使用者,在个人移动设备上处理公司业务时,企业需要思考的范畴除了信息安全之外,还包括跨平台的操作流程与信息流通等。在这种趋势下,企业移动安全也成为了很多安全企业关注的漩涡中心。在Citrix以3.5亿美元收购Zenprise一年后,虚拟化软件公司VMware在年前也宣布以15.4亿美元的“天价”收购移动设备管理和移动安全公司AirWatch,这使得原本属于创业公司的乐园——MDM市场已经初步形成VMware、Citrix和MobileIron三巨头鼎立的局面。
小结:“自带设备or自带危险”?BYOD就像硬币的两面,既能提供创新的工作方式,同时又带来了风险。移动互联网时代是一个快速变化的时代,移动设备变化的速度任何时候不会慢下来,这意味着新的安全威胁也将继续涌现,而企业也必须不断调战略去面对它。事实是,如果缺乏能与这些新移动解决方案结合使用的有效监管模式,一旦企业机密数据被泄露了,一切就太迟了。