移动安全高于PC CIO如何应对移动风险

随着员工个人自带设备的使用范围逐渐超出了最基本的电子邮件访问,IT部门开始试图控制用户个人设备上的应用和数据。那么事实上,IT部门能取得哪些成效呢?

智能手机、平板电脑、社交网络和云服务目前非常流行,并且用处很大,同时它们也存在着安全风险。目前安全焦点在移动设备上,随着这些设备被大量地用于处理公司信息,IT部门已经无法再用管理公司PC的方式管理这些移动设备。因为,这些移动设备使用了不同的平台,它们的安全能力也不尽相同,同时许多移动设备都是员工自己的。

问题不在于频繁受到的黑客攻击,以及安卓市场中泛滥的恶意软件,在抵御黑客方面,移动设备的安全性要高于PC。问题在于不适当的信息使用,员工有时会在无意中泄漏联系人信息,无意中让人们感到尴尬,无意中违反隐私规定,无意中忽略了自己的法规遵从性义务。尽管部分人会小心谨慎地使用它们,但是大部分人会不恰当地使用它们,关键是有人使用了它们。

这让公司陷入到了一个不安的处境中。调查显示,获得技术授权的员工心情更为愉悦,工作效率更高,因此公司希望能够从中获得好处。不过,这些员工必须要保护他们的秘密,遵守相关规定。好消息是,虽然这些做法和工具刚刚出现不久,但是我们已经找到了一些经过验证过的,并且行之有效的管理方法,这些方法可以在不损害消费化所带来的优势的情况下降低这些做法和工具的风险。

对于移动设备,这些工具可以分为以下三大类:数据泄露防护、移动数据管理、移动应用管理。以下我们将为您详细介绍这些工具的功能和提供商。

数据泄露防护

许多公司已经在数据泄露防护(DLP)工具上投资了数百万美元。这些工具可以通过文本分析和元标记对数据访问权进行分类,然后监视信息流(如电子邮件内容)以查找有问题的数据类型。例如,社会保险号或被标记为公司秘密的文件。DLP工具通常被设置用于警告IT部门或用户可能存在的问题,但是它们也可以设置为先阻止信息,然后再进行询问。

DLP工具需要公司制定信息安全规定(通常与用户角色相关),然后对进出企业的信息进行标记。DLP还需要将所有的信息流都汇聚至DLP服务器以确保这些信息都能够被分析。

DLP工具并不是新东西,但是将它们应用于移动信息流中的这种作法却是新的。以下几种移动DLP方法。

让所有的移动流量都流经公司的DLP服务器,例如赛门铁克的解决方案。

提供一个应用以访问公司的信息库,例如SharePoint。这一应用可以识别信息库中文件所设置的访问权限。Zenprise的解决方案为一个针对 SharePoint的工具,当然许多云存储提供商(如Accellion、Box.net、Dropbox和YouSendIt)均提供了可由IT部门管理的云存储服务。

利用由Good Technology、MobileIron和SAP Sybase等公司提供的API在应用程序中加入内容管理。目前被称为移动应用管理的相关技术领域已经延伸至了内容管理。

移动设备管理

如果说2011年是自带设备(BYOD)现象合法化之年,那么2011年就是移动设备管理(MDM)工具被允许作为BYOD安全防护措施之年。目前有许多厂商提供MDM工具并不让人感到意外。

目前,MDM工具已经被部署在金融服务、国防、政府和医疗环境中。这些领域都十分关注信息安全。不过,MDM并不是新鲜事物,企业使用多年的黑莓企业服务器(BES)就是MDM。通过BES,企业可以管理访问权和黑莓信息设备的设备许可权。微软Exchange是使用最为广泛的电子邮件服务器,其也支持通过Exchange ActiveSync(EAS)协议设置适当的策略。

EAS策略能够命令设备加密、设置复杂密码或屏蔽设备摄像头。IT部门在Exchange或谷歌Apps企业版中管理这些策略。不久,微软的 System Center 2012也将拥有这种能力。这种电子邮件服务器与企业识别服务器(通常为微软的Active Directory)结合可确定哪些策略适用用哪些用户。如果用户设备不符合用户相关规定,那么设备被拒绝部分或所有的访问。这些服务器还可以让IT部门远程锁定或删除遗失或被窃设备中的内容。

苹果iOS、已经淘汰的Windows Mobile、部分版本的谷歌安卓、部分版本的诺基亚塞班等移动平台都支持大量EAS策略。与此同时,Windows PC的微软Outlook电子邮件客户端、Mac OS X的Mac和苹果Mail客户端也具有这种能力。相反,微软新推出的Windows Phone 7、部分版本的谷歌安卓和已经淘汰的惠普WebOS等移动平台仅支持有限的EAS策略。(RIM的黑莓设备通过BES产品和连接器实现这一功能,也可以与微软Exchange和谷歌Apps在一定程度上实现这一功能。)

大多数MDM厂商的产品在功能上超过了Exchange和其它邮件服务器所能提供的功能,增加了对移动操作系统可能支持的非EAS策略的访问权。例如,苹果iOS 5有一个可以让IT部门退订其iCloud文件同步服务的策略。

一些MDM厂商除了在多种移动平台中部署额外的策略外,还进一步开发出了一些功能,如探测经过修改(“越狱”)的操作系统。这样,用户能够在其中运行他们的移动应用和本地应用。在这个应用“容器”内的任何东西都必须遵守MDM厂商制定的特殊策略,在用户的设备中为IT部门形成了一个安全区。(这些应用能够设置为不与安全区外共享信息,其实就是将公司信息与设备的其它部分隔离开来。)部分MDM厂商还提供一些功能,这些功能能够为移动用户提供桌面支持,控制通信开销,如在员工的移动设备处于国际漫游状态时对员工进行提醒。

MDM厂商和相关的IT部门所面临的挑战是因为不同的移动平台有着不同的功能,不可能通过一个统一的管理方法管理所有的设备。MDM厂商在这些平台变化时很难时刻跟上它们的功能变化,但是IT部门仍必须要面对一个现实情况,即他们可能需要在策略需求上保持一定的灵性,以支持最为流行的商业级设备。在支持iOS设备当中出现了一个解决办法:苹果需要公司从苹果那里得到他们自己的苹果推送通知服务(APNS)证书,以授权进行MDM管理。这一证书将代你给予MDM工具许可,让其通过苹果的通知服务器访问iOS设备。

一个相关的解决办法是使用网络访问控制探测移动访问并对该访问执行相关的用户策略。例如,F5 Networks已经与多家MDM公司(AirWatch、MobileIron、SilverbackMDM和Zenprise)展开合作,让他们各自的管理工具能够共同工作。Aruba Networks计划在3月份推出一款基于移动设备专用网络控制器的访问管理产品,其能够监控设备访问,并对这些访问执行相关的策略。满足关键移动管理需求的主要厂商

移动应用管理

在控制移动信息访问方面,移动应用管理(MAM)领域发展尚不成熟。目前该领域包括多种类型的方案:

应用分发,例如通过公司的应用商店。这种方案主要把重点放在了管理本地Web和原生应用的分发和许可上,不过它还能够为用户提供公共应用商店中推荐应用的链接。部分方案还能够管理公司为内部使用所开发的原生iOS应用。

安全应用开发,为本地应用内容和公司网络资源访问增加安全与许可控制。该方案通常是一个管理控制台,允许IT部门使用内置的控制权。

应用内容管理,例如限制应用与其它应用共享授权的内容。尽管在一些案例中,商业应用开发者也可以使用这种方案与管理工具进行协作,但是这种方案重点还是本地应用。 这一领域厂商Nukona采用了将权限设置在应用周边这种不寻常的解决方案,而不是需要应用的内部代码以执行相关策略——这有点类似DLP封装。其它一些提供商采取的解决方案是依靠在应用代码内部明确指定策略。

安全应用容器,即创建一个独立的分区、应用容器或虚拟机将公司应用与数据与个人应用与数据了隔离起来。除了通过技术确保几个特定应用中的数据安全外,这种方案允许在容器内的应用之间更为自由的使用数据。这一方案不同于使用虚拟桌面基础设施(VDI)在窗口中呈现远程应用。例如,Citrix Receiver 和VMware View等应用除了键盘和虚拟鼠标外,几乎没有访问移动设备的信息或功能的权限。相关的解决方案是在移动设备中创建独立的分区——一个分区用于存储个人应用和数据,另外的分区用于存储可由IT部门管理的业务应用和数据。

目前MAM解决方案面临的困难是,它们通常都是针对特定的应用。这使得它们在本地开发的应用中受到欢迎,不过许多厂商已经开始与商业开发者共同工作,以内置他们的技术。随着时间的发展,我们可能会看到更多用户安装程序支持这类应用和内容管理。商业开发者仍然需要选取一个API和一个厂商,或在他们的应用中使用多个API,不过这将增加了方案的复杂性。

真正需要的当然是一套常用的内容管理API,所有的应用都能够使用任何管理工具,类似于目前设备管理中的微软EAS协议。在EAS中,厂商能够通过增强功能为独立的应用需求增加核心策略,商业开发者能够决定使用这些增强功能的时机,例如访问高安全性市场。