关注BYOD安全 Websense给IT人员的建议

现在,大屏智能手机、平板电脑,以及逐渐热卖的超级本等移动类IT产品,在中国消费者中的普及度越来越高。随着移动设备性能的不断提升和其自身优良的便携特性,消费者对它们的依赖也从纯粹的娱乐、影音和游戏等自用范围扩展到了日常的办公生活中。

全球范围内,BYOD( Bring Your Own Device )也已成为大势所趋,越来越多的员工希望使用自己的设备在任何地方办公。SOHO(Small Office Home Office,家居办公)和移动办公的确可以提升工作效率,但同时也对企业的IT安全管理提出了新的挑战:不同的设备,运行在不同的平台上,并同时获取不同的资讯,而所有的流量又都蜂拥到公司统一的出口上,网络性能及安全该如何保证?

在移动类IT产品在中国的消费普及化的背景下,仅对移动设备提供保护是远远不够的。我们需要更重视敏感数据的问题,因为一旦公司的可访问数据被下载到员工的设备上,这些数据也将成为保护的重点对象。

考虑到国内外的企业文化及网络环境差异,Websense的安全专家就BYOD的发展趋势,给中国IT人员如下建议:

实施移动设备管理(MDM)

MDM是保护数据安全中最基本的步骤。无论员工的移动设备属于苹果、安卓、塞班或其他平台,一般都可以从设备供应商处寻得对应的管理方案,但所引入的MDM方案需要满足如下要求:

• 应用程序管理——在必要时候限制设备所下载或者运行的内容;

• 配置管理和资源控制——可以控制设备所连接的硬件资源及获取的内容,如防止手机摄像头拍摄密码;

• 检测越狱的或其他非法刷机的设备——这些设备自身更加危险;

• 设备恢复及减低损失——可以跟踪、锁定和清除非法入侵;

• 支持与服务管理——所采用技术手段可以在长期内保持优势。

但仅仅依靠MDM本身是不够的,用户也是关键的环节。尤其是在中国的企业环境中,制定及贯彻相关政策,并通过签订协议让员工明确自己的权利、责任和义务是非常重要的。然而这些仍不能防止所有的威胁,我们还需要完善附加的安全保障。

完善附加安全保障

即使员工在移动设备上除了查看邮件外啥也不干,这些设备还是很可能成为网络攻击的突破口,我们需要为手持设备提供附加的数据保护。最有效的方法就是在第一时间监控进入移动设备的数据,如使用统一实施的监控防护软件。

另外,不断爆出的移动网络及应用程序本身的漏洞也应当引起注意,随着时代发展,在移动设备的数量已超过手提电脑的今天,这些潜在的威胁都将成为网络犯罪中的下一批目标,作为IT安全人员,我们也需要实时了解最新的漏洞资讯,以免应对不及。

关注新的安全技术

当然,最新的尖端技术都支持BYOD,它们大都经过苛刻环境的检验,可以应对敏感数据的安全问题,以下例举的技术都是我们考虑的范围:

? 应用程序及桌面的虚拟化——虚拟化通常只允许仅限查看的访问方式,可以防止敏感数据在最初的位置泄露出去,这样可以提升安全防护等级;

? 开发自我防护的应用程序——在预算充足的情况下,在各类应用程序最初的设计阶段,就可以把加密及密钥管理考虑在内,使得这些应用程序本身就具备更高的安全性。这类应用不怎么依赖本地平台,也不会因安全等级而牺牲过多的本地存储资源。

? 数据代理或云服务——通过高信赖度的托管服务,提升额外的威胁防护和提供数据保护能力;

? 沙箱技术——杀毒软件常提到的一个概念,也可以用到BYOD领域,即部署一个独立的空间,供移动设备有效利用企业资源;

? VPN技术——可以创建一个始终开放的通道将所有流量返回总部或者通过一个加密的通道将流量传送到云端。

其实,我们完全没有必要禁止员工使用自己的移动设备,这也难以做到。现阶段最关键的任务是提高行业对BYOD安全问题的警觉度,然后再去考虑移动设备与原有架构的融合问题,中国的IT安全人员应当保持对BYOD的持续关注,了解各设备供应商所能提供的方案及最新的技术方法,只有这样,才能在必要的时候用较低的成本为企业打造较高的安全等级。