移动安全:在设备中还是在网络中?

Fortinet公司高级产品经理Kevin Flynn表示,网络是最重要的元素,移动设备存在各种各样的形式,在企业来来去去的穿梭,并且这些移动设备往往不归公司所有。

Imation公司移动安全部总经理Lawrence Reusing则认为,如果你忽略了设备级的安全,后果自负。毕竟,你可以将大量机密信息存储在智能手机中,如果智能手机没有被加密,这可能泄露大量企业信息。

网络是完善的移动安全策略的基础

Fortinet公司高级产品经理Kevin Flynn

最好同时采用设备级和网络级安全来应对移动设备(例如智能手机和平板电脑)带来的威胁,但任何移动战略的基础必须从网络开始,以下是六个原因:

*从过往的经验来看,网络已经被证明是最佳安全起始点。员工在工作中使用新技术并不是一种新现象。二十多年以来,IT部门一直在处理企业内部对新技术的需求。早在20世纪80年代中期,会计和桌面出版方面的应用程序开始在家庭网络流行,后来被带入办公场所,迫使IT部门支持这些应用。后来随着互联网的普及,IT部门不得不向员工提供对Web的访问以及安全通信。而现在,Web 2.0应用程序成为企业的重要组成部分。随着企业信息被动态地发布到Web,数据泄露保护和应用程序控制成为关键。在上述的每种情况中,IT部门都不得不适应不断变化的环境以及利用网络安全技术(例如VPN、防火墙和IPS)来满足用户访问信息的需求,同时确保其安全性。移动设备将继续这一趋势。

*虽然在台式机、笔记本电脑和移动设备中运行的杀毒软件和VPN客户端在安全“武器库”中占有一席之地,但它们从来不是且永远不应该是IT安全策略的基础。安全保护始终应该从网络安全解决方案开始,网络安全解决方案囊括各种各样的技术以构成一个多层安全保护,包括防火墙、VPN、IPS和应用程序控制,统一威胁管理和下一代防火墙将多种功能整合到单个设备中,使IT管理员可以轻松地监控数据流量以及设备和用户(当连接到企业网络时)的行为。

*个人设备正变得更具多样化和分散性:这些设备的“个人”性质和快速发展使平台标准化变得非常困难。更重要的是,鉴于设备的变化速度以及移动设备行业存在的系统分化,单纯依靠代理来解决移动安全挑战将非常困难。存在太多操作系统、设备和硬件平台,很难使这些代理对每个设备采取相同的安全保护方式。现在,用户可能拥有来自五个不同手机制造商的五个智能手机,即使这些手机都运行相同的Android操作系统,安装相同的安全套件,这设备仍然可能存在不同水平的政策和合规要求。从安全的角度来看,这是不可以接受的,也使符合监管要求和最佳做法存在风险。

*几乎不可能将一个客户端安装在需要访问网络中信息的每一个设备上:大多数企业都需要处理来自WAN和LAN访问其网络的专门附件,例如承包商。企业不可能成功地将客户端部署在需要访问必要信息的每个设备上。基于网络安全的政策能够应对大量需要访问网络的访客、承包商等。

*从简单的VPN连接到虚拟桌面,到移动设备管理(MDM)客户端,再到企业所拥有的设备,重点在于,为用户、企业和企业预算提供一个最佳方法。以网络为中心的方法能使企业轻松地将移动用户和设备纳入他们现有的安全架构中。强制执行企业移动政策几乎是不可能的:根据Fortinet公司对 3500名员工的最新调查显示,大部分受访者表示,携带自己的设备到工作场所是一种权利,而不是一项特权。将近三分之一的受访者表示他们将会违背禁止他们将个人设备用于工作目的的企业安全政策。当然,对移动设备安全采取以客户端为中心的方法将会存在困难,因为有如此多的员工积极地想办法规避企业安全政策。而在IT部门授权下的网络将提供可视性和控制来保护企业资产。

*简单地说,网络始终且将永远对发自或发往设备的信息持有最终决定权。最终,只有网络安全技术可以回答保护业务数据的三个关键问题。

由于所有流量都必须通过网络,因此,网络是保护所有信息流安全的最佳场所。

设备安全是保护移动办公员工的关键

Imation公司移动安全部总经理Lawrence Reusing

无论是企业持有还是员工持有,移动设备已经开始在企业范围内蔓延,这给IT部门带来不小压力。你应该如何保护这些设备使用的企业数据(静态和动态数据)呢?

根据我的经验,移动设备安全应该始于强大的身份验证。诚然,对于整个安全战略而言,网络安全也是非常重要的。分层安全无疑是最佳做法,但单纯地依赖网络安全来保护企业数据的企业往往忽略了来自移动设备和笔记本电脑的重大漏洞,移动设备和笔记本都是网络中的接入点。

移动设备正在以惊人的速度蔓延,根据IDC称,全球移动办公人员的数量预计将从2010年的10亿人增长到2015年的13亿人。现在的移动办公人员(无论是合同制还是企业员工)通常不在企业范围内工作,这种办公灵活性给企业带来了生产效益,并帮助企业留住人才。

但尽管如此,每个移动办公人员都给企业的重要数据构成威胁。更糟糕的是,很多这些员工都是使用个人设备而不是企业配备的设备来访问企业网络,并且他们在不安全的硬盘上共享数据,企业非常需要移动安全战略来解决端点问题。

此外,很多员工使用不安全的无线网络(例如星巴克、酒店网络,甚至家庭网络)来接入企业网络和访问企业防火墙内的资源。如果没有一个良好的设备安全计划,身份信息、密码和登录信息都可能被这些不受保护的网络中的不法分子拦截。企业必须部署强大的设备安全。

当移动员工位于企业网络外时,他们拥有的唯一保护来自于他们所使用的设备。你必须能够管理所有这些移动设备,并且部署必要的安全措施。

这种需求只会越来越大。现在针对智能手机和移动设备的恶意软件威胁日益复杂,便携式存储设备上的动态数据存在丢失和被盗的风险。移动设备管理(MDM)、多因素身份验证和端点加密必须纳入整个IT安全战略中。

事实上,使用内容级加密能够提供抵御大多数威胁的最佳保护;安全的USB便携式工作空间能为移动员工提供高层次的保护,特别是当需要身份验证来访问内容时。虽然多因素身份验证不能阻止所有威胁,但它绝对是一个很好的保护方法,强烈推荐企业采用多因素身份验证,将其用于保护数据和对系统的访问。

你应该如何保护最重要的信息呢?

从最基本的开始,用户身份验证是安全的最前线。如果身份验证很薄弱,无论你的加密系统如何强大,或者保护加密密钥的硬件如何坚不可摧,都将无济于事。如果没有身份验证,可能没有任何加密。可以说,身份验证是“关键中的关键”。

其次,部署用户将遵守的端点安全解决方案—自动加密,基本不需要用户来做决定。最起码,你的解决方案应该为智能手机、平板电脑和USB存储设备提供设备控制、设备保护、设备管理和数据丢失防护。

最后,没有MDM软件的设备保护是不完整的,在MDM软件中,IT部门可以审核、控制和(如果必要的话)禁用可能给企业带来风险的设备。设备安全保护应该包括自动设备和数据加密、数据丢失防护功能、脱机身份验证控制、预防字典攻击的解决方案、远程杀毒功能、取证审计功能和用户行为政策识别(当用户复制一定数量的文件到驱动器,IT将会收到警报信息)等。

网络安全和设备安全必须结合起来,但安全应该从考虑端点安全开始。