移動計(jì)算近年來已經(jīng)成為改變企業(yè)面貌的重要因素����,它不斷帶來新的生產(chǎn)力提升途徑與效率改進(jìn)機(jī)制,并因此成為企業(yè)不可忽視的關(guān)鍵性輔助手段����。
不過遠(yuǎn)離內(nèi)部環(huán)境的計(jì)算終端也帶來了無窮無盡的風(fēng)險管理挑戰(zhàn),管理者不得不對企業(yè)范圍內(nèi)的移動計(jì)算安全流程進(jìn)行重新組織���。一旦失去此類管理政策���,即使是最微不足道的小事(例如設(shè)備丟失)都可能帶來嚴(yán)重后果。
“目前發(fā)生頻率最高的問題在于設(shè)備丟失���,”云安全聯(lián)盟(簡稱CSA)移動工作組聯(lián)席主席David Lingenfelter指出��。“員工如今開始廣泛將業(yè)務(wù)數(shù)據(jù)保存在個人設(shè)備當(dāng)中�����,這就大大增加了信息泄露的可能性�。”
CSA移動工作組最近剛剛發(fā)布了一篇名為《移動計(jì)算關(guān)鍵領(lǐng)域安全指南》的報告,其中匯總了當(dāng)下移動設(shè)備在業(yè)務(wù)環(huán)境中的使用狀況以及移動計(jì)算安全所面臨的各類嚴(yán)重威脅��。
除了設(shè)備丟失或被盜所引發(fā)的數(shù)據(jù)泄露�,移動計(jì)算安全的關(guān)注重點(diǎn)還包括惡意軟件信息竊取、第三方應(yīng)用數(shù)據(jù)丟失��、高危網(wǎng)絡(luò)訪問以及移動管理工具缺失等情況����。
隨著員工越來越多地利用消費(fèi)級平臺(例如Android及蘋果設(shè)備)處理業(yè)務(wù)工作,企業(yè)在處理移動安全問題時的難度也隨之水漲船高�����,CSA移動工作組聯(lián)席主席Cesare Garlati指出�。
“這些新平臺屬于消費(fèi)級平臺;它們在安全性與可管理性方面根本無法與我們之前使用的方案相提并論,”Garlati解釋道��。“企業(yè)IT無法通過服務(wù)人員培訓(xùn)的方式為普通員工提供個人設(shè)備的安裝�、維護(hù)以及修復(fù)等幫助,管理者甚至根本不知道這些接入的陌生設(shè)備來自何方�。”
另一種狀況則加劇了安全問題的處理難度�,這就是企業(yè)往往缺乏對內(nèi)部移動設(shè)備進(jìn)行風(fēng)險評估與合規(guī)性檢查的能力��,Garlati指出���。這種缺失直接導(dǎo)致移動設(shè)備的安全漏洞成為最令消費(fèi)者與企業(yè)頭痛的麻煩,而且如今我們已經(jīng)無法阻止其進(jìn)軍業(yè)務(wù)環(huán)境的腳步���。
“我真的希望能有相關(guān)管理者站出來與互聯(lián)網(wǎng)服務(wù)供應(yīng)商進(jìn)行溝通�����,提醒他們?nèi)绱嗽愀獾娘L(fēng)險狀況根本無法接受��,”Garlati補(bǔ)充稱�。
BYOD管理政策的重要性
在移動計(jì)算安全規(guī)則真正被部署到位之前�����,堅(jiān)實(shí)的自帶設(shè)備(簡稱BYOD)管理政策顯然能夠切實(shí)成為員工與企業(yè)免受滋擾��、放心處理業(yè)務(wù)信息的重要基礎(chǔ)���。這類政策應(yīng)當(dāng)定義企業(yè)在哪些情況下有權(quán)控制移動設(shè)備����、企業(yè)又該如何將業(yè)務(wù)信息與個人信息區(qū)分開來。
不止如此����,Lingenfelter建議稱BYOD政策應(yīng)該拿出可靠的機(jī)制,從而在出現(xiàn)安全事故時迅速清除設(shè)備中的業(yè)務(wù)信息�。要實(shí)現(xiàn)這一目標(biāo),我們需要借助工具或者移動設(shè)備管理產(chǎn)品��,實(shí)現(xiàn)對設(shè)備中業(yè)務(wù)應(yīng)用的全面控制同時又不涉及員工的個人信息�����。
“作為一套合格的管理政策�����,我認(rèn)為大家首先需要建立控制措施無論是對移動設(shè)備本身進(jìn)行管理還是對應(yīng)用加以控制這樣IT團(tuán)隊(duì)才能保證設(shè)備中的應(yīng)用始終處于監(jiān)管之下��。”只有利用這種集中式控制手段�����,IT管理者才能在不影響任何個人數(shù)據(jù)的前提下實(shí)現(xiàn)業(yè)務(wù)應(yīng)用清理�����。
在部署B(yǎng)YOD政策時,個人隱私問題也是個不容忽視的大問題���。企業(yè)需要認(rèn)真考慮并妥善處理任何潛在的員工隱私內(nèi)容�����,只有這樣安全監(jiān)管工作才能得以順利開展。
當(dāng)員工們通過個人設(shè)備接入企業(yè)網(wǎng)絡(luò)時��,公司很可能希望或者需要追蹤并過濾往來信息���,從而保證業(yè)務(wù)活動安全性���。為此,我們恐怕必須建立起新的在線隱私規(guī)則�����,歐洲最近就在這方面取得了廣泛進(jìn)展���。
隱私問題正是Garlati所提出的“BYOD陰暗面”中的重要組成部分�����,企業(yè)需要有針對性地將傳統(tǒng)甚至有些陳舊的管理模式替換為新型����、以個人移動設(shè)備為主要對象的方案。
“企業(yè)需要了解一點(diǎn)在BYOD領(lǐng)域�����,所有效果出色的管理政策都會或多或少與法律法規(guī)發(fā)生抵觸�,”Garlati表示。“企業(yè)需要在建立新政策的同時采取標(biāo)準(zhǔn)化表達(dá)方式�����,幫助員工們理解自己在將設(shè)備接入企業(yè)網(wǎng)絡(luò)時可以做什么���、不能做什么��。”
移動策略與移動設(shè)備安全仍然是IT部門的首要關(guān)注目標(biāo)
員工所持有的智能手機(jī)已經(jīng)成為企業(yè)業(yè)務(wù)流程中的重要組成部分���,隨之而來的管理、風(fēng)險以及合規(guī)性事務(wù)就成了必須首先處理好的前提條件。根據(jù)最近由SearchCompliance發(fā)布的一份調(diào)查報告�����,有96%的受訪者在談到自帶設(shè)備以及IT消費(fèi)化時最先想到“安全性”概念����。
報告同時指出,“合規(guī)性”則是BYOD與消費(fèi)化趨勢需要考慮的第二大重點(diǎn)���。此次調(diào)查涵蓋了參與SearchCompliance 2013網(wǎng)絡(luò)安全狀況大會中24個虛擬研討環(huán)節(jié)的773位IT專家����。
“這是又一種我們必須緊隨其后的發(fā)展趨勢�,”美國眾議院監(jiān)察長 Theresa M. Grafenstine指出���。由于移動設(shè)備所涉及的信息越來越多����,Grafenstine認(rèn)為保障數(shù)據(jù)安全的難度也在逐步提升���。“作為安全專家����,我們希望盡可能嚴(yán)格控制手中的信息;而這勢必給業(yè)務(wù)流程帶來更高的復(fù)雜性。”
新技術(shù)改變了我們處理業(yè)務(wù)的方式通常是以積極的方式����,Grafenstine與其它與會者紛紛表示。有41%的調(diào)查受訪者認(rèn)為IT消費(fèi)化確實(shí)幫助所在機(jī)構(gòu)“提高了員工的生產(chǎn)力水平”�。
不過更重要的是,我們要清楚地意識到這些小設(shè)備身上蘊(yùn)藏的潛力是無窮無盡的�����。企業(yè)不得不重新規(guī)劃業(yè)務(wù)流程并采用安全工具���,旨在緩和移動設(shè)備中的安全風(fēng)險�����。
“我們安全專家的工作不是對可能存在風(fēng)險的事物一概否定���,而是提醒機(jī)構(gòu)領(lǐng)導(dǎo)者或者企業(yè)CEO目前我們面臨著哪些風(fēng)險、將技術(shù)引入業(yè)務(wù)又會帶來哪些問題�����,”與會者Ron Ross博士解釋道,他現(xiàn)任美國國家安全技術(shù)局高級計(jì)算機(jī)科學(xué)家兼信息安全研究員����。
目前就移動技術(shù)在業(yè)務(wù)領(lǐng)域的應(yīng)用已經(jīng)引發(fā)了激烈的爭論,Ross指出���,但I(xiàn)T安全領(lǐng)導(dǎo)者需要與高管層共同了解目前已經(jīng)存在哪些移動設(shè)備安全控制方案��、這些方案的側(cè)重點(diǎn)又在哪里�����。舉例來說��,28%的受訪者認(rèn)為BYOD項(xiàng)目預(yù)算中的大頭應(yīng)該被用于改進(jìn)“網(wǎng)絡(luò)安全”���。
“我們必須擁有廣闊的觀察視角�,并有能力回答這樣的問題:如果決定采用新型移動設(shè)備技術(shù),我們需要為其配備哪些以標(biāo)準(zhǔn)化形式部署在筆記本或者工作站中的安全機(jī)制?”Ross表示�����。
復(fù)雜性令移動安全難以實(shí)現(xiàn)
移動設(shè)備安全之所以如此復(fù)雜�,是因?yàn)橄M(fèi)者們能夠選擇的設(shè)備種類及數(shù)量實(shí)在太過繁雜。員工們所購買的不同型號及品牌的移動設(shè)備在業(yè)務(wù)環(huán)境下可能暴露出多種多樣的安全缺陷,J.Gold協(xié)會創(chuàng)始人兼首席分析師Jack E. Gold表示��。
員工其實(shí)并不希望業(yè)務(wù)數(shù)據(jù)由于進(jìn)入個人設(shè)備而面臨安全隱患����,他們只是不了解如何避免這種狀況,Gold補(bǔ)充道���。
“消費(fèi)者主要關(guān)注產(chǎn)品的便捷性�,”Gold指出�。“他們通常只考慮到自己想要什么、何時購買����,但卻沒有考慮過自身在風(fēng)險知識及使用規(guī)范方面的弱點(diǎn)。”
有鑒于此���,BYOD管理政策及策略應(yīng)該在部署的同時向員工們清晰傳達(dá)其運(yùn)作機(jī)制����,Gold提醒道���。調(diào)查受訪者們對他的建議也表示認(rèn)可:68%的受訪者已經(jīng)針對個人設(shè)備在業(yè)務(wù)環(huán)境中的普及建立了管理政策����,另有19%正在著手部署之中。
Gold告訴我們����,缺乏BYOD策略及相關(guān)政策很可能導(dǎo)致數(shù)據(jù)泄露事故的出現(xiàn)機(jī)率達(dá)到夸張的程度。
“在缺乏策略輔助的情況下�����,我們很可能失去對移動設(shè)備及移動基礎(chǔ)設(shè)施的控制能力����,”Gold總結(jié)稱。
Gold建議各機(jī)構(gòu)將注意力集中在應(yīng)用程序安全性方面����,而非移動設(shè)備本身。
“目前越來越多的企業(yè)允許用戶從應(yīng)用軟件商店中下載程序并用于業(yè)務(wù)處理實(shí)際上我們應(yīng)該推出一系更限制措施���,”Gold指出。“我并不太在意應(yīng)用程序運(yùn)行在哪些設(shè)備上����,倒是更關(guān)心應(yīng)用程序到底具備哪些功能�、這些功能會對安全環(huán)境造成何種影響�。”
相較于移動趨勢在業(yè)務(wù)領(lǐng)域的橫行無忌,調(diào)查發(fā)現(xiàn)受訪者在企業(yè)處理移動設(shè)備的基本立場上存在嚴(yán)重差異:31%的受訪者表示所在機(jī)構(gòu)允許員工利用個人智能手機(jī)處理業(yè)務(wù)�����,但I(xiàn)T部門并未提供相應(yīng)的技術(shù)支持;只有17%的受訪者表示所在機(jī)構(gòu)為用戶的個人設(shè)備配備了IT支持措施���。
26%的受訪者表示所在機(jī)構(gòu)“嚴(yán)禁”員工利用個人設(shè)備處理業(yè)務(wù)當(dāng)然��,這主要是出于安全考量���。不過只要部署得當(dāng),移動環(huán)境的復(fù)雜性完全可以被維持在能夠被終端用戶所接受的程度�,Gold表示。
“新型移動技術(shù)與新型用戶模式自然需要新型管理機(jī)制這是大家在采取行動之前必須認(rèn)真思考的問題�����,”Gold告訴我們���。
