信息安全:BYOD切忌安全过头

BYOD概念的提出,唤醒了企业员工追求更为自由办公体验的愿望。但是,这种萌芽往往会被IT部门扼杀在摇篮里,他们提出的理由是,办公自由往往意味着数据会面临安全风险。殊不知,对安全的管控过于严苛,也会影响企业业务。在BYOD方面,我们同样要倡导“以人为本”。

美国政治家和科学家本杰明·富兰克林说过这样一句话:“放弃基本的自由以换取苟安的人,终归会失去自由,也得不到安全。”

来自250多年前的这一警句可能还会适用于当前业界所热议的BYOD(Bring Your Own Device,自带设备)趋势:一方面BYOD思想所倡导的是“让移动终端在办公室里更自由”,另一方面企业需要尽可能消除由此带来的安全威胁,IT部门是否能够“鱼与熊掌兼得”?

当前IT消费化的潮流越来越明显,这意味着,没有受到企业管理的设备正在被员工带入到企业环境,用于访问业务数据。IT消费化是一种新的模式;而且与大多数新模式一样,无论我们喜不喜欢,这股潮流已不可逆转。

这种认可来自于一些不同因素的推动作用。首先,企业需要提高生产效率,加速客户、部署以及销售流程之间的衔接;其次,越来越多的企业开始在海外开展业务,全球化的趋势使得企业需要更加简便、快捷的沟通方式;最后,企业在移动应用方面的努力也会改善其与客户之间的关系。ZK Research 2012年所进行的一项调查显示,有82%的受访企业已经允许员工自带设备上班,并允许员工将消费级的产品应用于工作之中。其中有23%的企业不会为员工的自带设备提供技术支持,有39%的企业会提供有限的技术支持,而会为员工自带的设备提供技术支持的企业占据了整个调查的39%。在这一报告所调查的所有样本中,只有18%的企业表示在办公室中不允许自带消费类设备。

无独有偶,来自思科的调研报告同样反映了这种趋势。这一调查显示,大多数企业目前正在采用BYOD模式,其中95%的受访者表示他们的企业允许在工作场所中以某种方式使用员工自有的设备。调查还得出结论称,截至2014年,每名员工的连接设备数量将有望从2012年的平均值 2.8台增长到3.3台。调查同时表示,BYOD趋势很可能带来显著的成本和生产效益。超过3/4(76%)的受访IT主管认为:BYOD虽然给IT部门带来了巨大挑战,但是对他们的公司却产生了比较积极甚至是非常积极的影响。这些调查结果彰显了BYOD存在的意义。IT主管们认为,我们需要一个更加全面的方案,这种方案具有伸缩性,可用于解决移动性、安全性、虚拟化以及网络政策管理,进而在提供最佳体验的同时有效控制管理成本,实现最大程度的节约。同事,IT主管们也表示,企业需要解决BYOD所带来的安全和系统支持方面的隐患,并在企业效益和安全之间进行平衡。

企业业务正在开始对移动应用产生一些依赖。由于业务的需要,使得企业员工也可以更加“光明正大”地将自己的设备带入办公室,获得更多的“自由”。同样是在业务的推动下,企业也不得不需要解决更多BYOD所带来的安全问题。

尽管都是自由与安全的话题,不过实际上,BYOD如今所面临的挑战要比富兰克林当初面临的挑战来得更加直接。对我们来说,重要的不是道德层面的自由与否,而是如何最大限度地使企业及其员工提高效率。然而,要知道,加强BYOD安全方面的任何工作一定要掌握一个“度”,过犹不及只会适得其反。

BYOD的前提

不容忽视

要想实施BYOD,我们首先要对系统访问密码的使用订下规则。这并不是个老生常谈的问题。首先,提高密码安全性的措施之一是将其设计得长而复杂,而且含有组合使用的大小写字母外加数字和标点符号。

此外,在企业应用中,我们还应该保证内部系统实施了单点登录策略,也就是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。否则,要合理确保安全,用户就必须为使用密码的每个系统和每个网站设置不同的密码。这是很繁琐的一项工程。

从信息安全的角度来看,第三条常识性的小贴士是,不要把密码写在纸上,以免安全信息遭到泄露。

为什么我们要在这里重新拿出“做好密码保护”这个谈了多年的问题进行讨论呢?因为很多公司限制员工使用新技术的理由就是:安全和合规考虑。其实,这并不是一个理由,做好密码保护就已经在很大程度上确保了安全。

因此,如果企业对BYOD感兴趣并打算向公司内部推广的话,先向员工普及一些密码知识吧。

信息安全

不能因噎废食

BYOD概念的热议引申出了这样一个观点:尽管IT部门百般不情愿,但BYOD潮流还是在不断“水涨船高”,我们应该积极支持BYOD潮流。其实,实施BYOD对大多数公司来说并非难事。

另有一种观点认为,BYOD会加大数据盗窃以及泄漏的风险,而且有可能会触动“合规”这个敏感的神经。

然而,我们不能为了实现信息安全和法规遵从就“因噎废食”。实际上,想完美地保护数据,最省事的办法就是断开互联网,禁用USB端口,以及采取其他各种可能的措施,禁止数据从一台计算机传输到另一台计算机,显然如今这是不可能的。

说到数据,IT部门要明白,员工所接触的每一个数据字节都有可能包含恶意代码,而且很难筛选剔除出来。

因此,IT部门更需要打起十二万分的注意力。特别是,针对内网信息系统的访问请求,开始越来越多地来自身处企业外部的远程工作人员、业务合作伙伴和客户,因此,我们必须要知道,保护资产方面的重心绝不仅限于加固企业网络边界就可以了,这一点极其重要。也就是说,企业加密数据库和笔记本电脑硬盘所获得的安全性比升级防火墙要强得多。