BYOD时代:移动安全的演变之路

移动计算近年来已经成为改变企业面貌的重要因素,它不断带来新的生产力提升途径与效率改进机制,并因此成为企业不可忽视的关键性辅助手段。

不过远离内部环境的计算终端也带来了无穷无尽的风险管理挑战,管理者不得不对企业范围内的移动计算安全流程进行重新组织。一旦失去此类管理政策,即使是最微不足道的小事(例如设备丢失)都可能带来严重后果。

“目前发生频率最高的问题在于设备丢失,”云安全联盟(简称CSA)移动工作组联席主席David Lingenfelter指出。“员工如今开始广泛将业务数据保存在个人设备当中,这就大大增加了信息泄露的可能性。”

CSA移动工作组最近刚刚发布了一篇名为《移动计算关键领域安全指南》的报告,其中汇总了当下移动设备在业务环境中的使用状况以及移动计算安全所面临的各类严重威胁。

除了设备丢失或被盗所引发的数据泄露,移动计算安全的关注重点还包括恶意软件信息窃取、第三方应用数据丢失、高危网络访问以及移动管理工具缺失等情况。

随着员工越来越多地利用消费级平台(例如Android及苹果设备)处理业务工作,企业在处理移动安全问题时的难度也随之水涨船高,CSA移动工作组联席主席Cesare Garlati指出。

“这些新平台属于消费级平台;它们在安全性与可管理性方面根本无法与我们之前使用的方案相提并论,”Garlati解释道。“企业IT无法通过服务人员培训的方式为普通员工提供个人设备的安装、维护以及修复等帮助,管理者甚至根本不知道这些接入的陌生设备来自何方。”

另一种状况则加剧了安全问题的处理难度,这就是企业往往缺乏对内部移动设备进行风险评估与合规性检查的能力,Garlati指出。这种缺失直接导致移动设备的安全漏洞成为最令消费者与企业头痛的麻烦,而且如今我们已经无法阻止其进军业务环境的脚步。

“我真的希望能有相关管理者站出来与互联网服务供应商进行沟通,提醒他们如此糟糕的风险状况根本无法接受,”Garlati补充称。

BYOD管理政策的重要性

在移动计算安全规则真正被部署到位之前,坚实的自带设备(简称BYOD)管理政策显然能够切实成为员工与企业免受滋扰、放心处理业务信息的重要基础。这类政策应当定义企业在哪些情况下有权控制移动设备、企业又该如何将业务信息与个人信息区分开来。

不止如此,Lingenfelter建议称BYOD政策应该拿出可靠的机制,从而在出现安全事故时迅速清除设备中的业务信息。要实现这一目标,我们需要借助工具或者移动设备管理产品,实现对设备中业务应用的全面控制同时又不涉及员工的个人信息。

“作为一套合格的管理政策,我认为大家首先需要建立控制措施无论是对移动设备本身进行管理还是对应用加以控制这样IT团队才能保证设备中的应用始终处于监管之下。”只有利用这种集中式控制手段,IT管理者才能在不影响任何个人数据的前提下实现业务应用清理。

在部署BYOD政策时,个人隐私问题也是个不容忽视的大问题。企业需要认真考虑并妥善处理任何潜在的员工隐私内容,只有这样安全监管工作才能得以顺利开展。

当员工们通过个人设备接入企业网络时,公司很可能希望或者需要追踪并过滤往来信息,从而保证业务活动安全性。为此,我们恐怕必须建立起新的在线隐私规则,欧洲最近就在这方面取得了广泛进展。

隐私问题正是Garlati所提出的“BYOD阴暗面”中的重要组成部分,企业需要有针对性地将传统甚至有些陈旧的管理模式替换为新型、以个人移动设备为主要对象的方案。

“企业需要了解一点在BYOD领域,所有效果出色的管理政策都会或多或少与法律法规发生抵触,”Garlati表示。“企业需要在建立新政策的同时采取标准化表达方式,帮助员工们理解自己在将设备接入企业网络时可以做什么、不能做什么。”

移动策略与移动设备安全仍然是IT部门的首要关注目标

员工所持有的智能手机已经成为企业业务流程中的重要组成部分,随之而来的管理、风险以及合规性事务就成了必须首先处理好的前提条件。根据最近由SearchCompliance发布的一份调查报告,有96%的受访者在谈到自带设备以及IT消费化时最先想到“安全性”概念。

报告同时指出,“合规性”则是BYOD与消费化趋势需要考虑的第二大重点。此次调查涵盖了参与SearchCompliance 2013网络安全状况大会中24个虚拟研讨环节的773位IT专家。

“这是又一种我们必须紧随其后的发展趋势,”美国众议院监察长 Theresa M. Grafenstine指出。由于移动设备所涉及的信息越来越多,Grafenstine认为保障数据安全的难度也在逐步提升。“作为安全专家,我们希望尽可能严格控制手中的信息;而这势必给业务流程带来更高的复杂性。”

新技术改变了我们处理业务的方式通常是以积极的方式,Grafenstine与其它与会者纷纷表示。有41%的调查受访者认为IT消费化确实帮助所在机构“提高了员工的生产力水平”。

不过更重要的是,我们要清楚地意识到这些小设备身上蕴藏的潜力是无穷无尽的。企业不得不重新规划业务流程并采用安全工具,旨在缓和移动设备中的安全风险。

“我们安全专家的工作不是对可能存在风险的事物一概否定,而是提醒机构领导者或者企业CEO目前我们面临着哪些风险、将技术引入业务又会带来哪些问题,”与会者Ron Ross博士解释道,他现任美国国家安全技术局高级计算机科学家兼信息安全研究员。

目前就移动技术在业务领域的应用已经引发了激烈的争论,Ross指出,但IT安全领导者需要与高管层共同了解目前已经存在哪些移动设备安全控制方案、这些方案的侧重点又在哪里。举例来说,28%的受访者认为BYOD项目预算中的大头应该被用于改进“网络安全”。

“我们必须拥有广阔的观察视角,并有能力回答这样的问题:如果决定采用新型移动设备技术,我们需要为其配备哪些以标准化形式部署在笔记本或者工作站中的安全机制?”Ross表示。

复杂性令移动安全难以实现

移动设备安全之所以如此复杂,是因为消费者们能够选择的设备种类及数量实在太过繁杂。员工们所购买的不同型号及品牌的移动设备在业务环境下可能暴露出多种多样的安全缺陷,J.Gold协会创始人兼首席分析师Jack E. Gold表示。

员工其实并不希望业务数据由于进入个人设备而面临安全隐患,他们只是不了解如何避免这种状况,Gold补充道。

“消费者主要关注产品的便捷性,”Gold指出。“他们通常只考虑到自己想要什么、何时购买,但却没有考虑过自身在风险知识及使用规范方面的弱点。”

有鉴于此,BYOD管理政策及策略应该在部署的同时向员工们清晰传达其运作机制,Gold提醒道。调查受访者们对他的建议也表示认可:68%的受访者已经针对个人设备在业务环境中的普及建立了管理政策,另有19%正在着手部署之中。

Gold告诉我们,缺乏BYOD策略及相关政策很可能导致数据泄露事故的出现机率达到夸张的程度。

“在缺乏策略辅助的情况下,我们很可能失去对移动设备及移动基础设施的控制能力,”Gold总结称。

Gold建议各机构将注意力集中在应用程序安全性方面,而非移动设备本身。

“目前越来越多的企业允许用户从应用软件商店中下载程序并用于业务处理实际上我们应该推出一系更限制措施,”Gold指出。“我并不太在意应用程序运行在哪些设备上,倒是更关心应用程序到底具备哪些功能、这些功能会对安全环境造成何种影响。”

相较于移动趋势在业务领域的横行无忌,调查发现受访者在企业处理移动设备的基本立场上存在严重差异:31%的受访者表示所在机构允许员工利用个人智能手机处理业务,但IT部门并未提供相应的技术支持;只有17%的受访者表示所在机构为用户的个人设备配备了IT支持措施。

26%的受访者表示所在机构“严禁”员工利用个人设备处理业务当然,这主要是出于安全考量。不过只要部署得当,移动环境的复杂性完全可以被维持在能够被终端用户所接受的程度,Gold表示。

“新型移动技术与新型用户模式自然需要新型管理机制这是大家在采取行动之前必须认真思考的问题,”Gold告诉我们。