安全管理之:移动IT大众化的风险与回报

今天,移动操作系统的强大与方便性已经是有目共睹,如:iOS、Android、Windows Phone 7以及WebOS。这些系统可让用户浏览网络、查看电子邮件、使用应用程序、轻易就能和朋友保持连系。

无需惊讶,越来越多人会想在工作上使用这些移动设备。许多情况下,员工都是自掏腰包购买这些设备,并且自己负担月租费,而非由公司出钱。在目前人力、预算都吃紧的经济条件下,许多IT部门都乐见这一点。根据Computerworld在2010年9月所做的一项调查显示:在所有受访企业当中,有 75% 都同意员工使用自己的移动设备,因为双方都有好处。员工很高兴可以使用自己偏爱的设备,而老板则很开心员工自行负担移动设备的成本与月租费。

除了传统的企业导向移动平台(BlackBerry OS)之外,许多公司现在也都支持其他移动平台 (如较新的iOS和Android OS)。值得注意的是,不论设备是否获得正式认可,员工还是会在公司网络上使用这些设备。事实上,根据2010年的一项调查,有41%的IT人员表示他们的网络上已经有未获授权的设备。

公司提供什么样的支持?

企业对于这些平台的“支持”程度,差异颇大。企业导向的移动平台传统上都提供强大的移动设备管理功能(Mobile Device Management,简称MDM)。系统管理员可在许多层面上控制这些手机:该采取什么样的设定、须使用何种较安全的密码、可安装/执行什么应用程序等等。在一个企业环境下,这一点非常正常,也在预料之中,因为桌面计算机就是这样管理的。

然而,这样的情况并不适用于员工个人的移动设备。这些个人设备本身或许也具备了必要的MDM功能,但两者之间却存在着一项重大差异:这些销售给一般消费者的设备并未正确设定好这些功能。因此,IT部门必须面对两种选择:仅有限度地支持这些设备 (通常就是规定员工只能存取内部电子邮件),不然就是要求员工必须在自己的设备上开启MDM功能。第一项很容易达成、代价也不高,但第二项就比较困难,而且成本较高。那么,企业要选择哪一种?

为何MDM很重要

缺乏集中化的MDM会是一个很大的问题。因为这等于将手机的安全性交由使用者来承担,但使用者也许了解、也许不了解该如何保护自己的设备。在许多情况下,这类手机本身不仅用于工作而已,也用于娱乐。用户更关心应用程序执行是否顺畅,而非设备是否能在遭窃时可自动销毁数据。除了安全性之外,使用者永远有其他的考虑。

但是,对于IT系统管理员来说,MDM要解决的最大问题是资料外泄。也就是机密信息泄漏给平常无法存取这些信息的人员。如果将设备纳入管理,系统管理员至少可以关闭一些容易造成数据外泄的功能,例如:3G 联机、Wi-Fi联机或者是蓝牙。少了MDM,这些功能关闭与否,决定权在于使用者,而使用者为了方便,当然倾向于开启这些功能。

系统管理员该怎么做?

企业在这样的情况下该如何处理?我们没有简单的答案。要将移动设备锁定、限制只能用于企业用途会非常困难(尤其在消费性平台持续成长的情况下)。要将员工自有的设备纳入集中管理,IT部门必须花费很大力气说服员工,而且还会提高成本。

但另一方面,只让这些移动设备存取公司网络也是个问题。MDM是IT系统管理员目前在移动设备管理上最可用的工具,而且如果不采用的话,会带来严重的安全后果。IT系统管理员将无法防止数据外泄,而且也将移动设备安全交给用户而非受过训练的专业人员来负责。

虽然每一家公司的解决方法不尽相同,但更重要的是,必须一开始就将问题考虑清楚。过程当中,系统管理员必须小心谨慎,并且了解所有允许个人使用移动设备所可能隐含或带来的成本与效益。

注释:作者Warren Tsai现为趋势科技趋势科技产品经理。