現(xiàn)在���,大屏智能手機(jī)���、平板電腦���,以及逐漸熱賣的超級(jí)本等移動(dòng)類IT產(chǎn)品,在中國(guó)消費(fèi)者中的普及度越來越高���。隨著移動(dòng)設(shè)備性能的不斷提升和其自身優(yōu)良的便攜特性���,消費(fèi)者對(duì)它們的依賴也從純粹的娛樂���、影音和游戲等自用范圍擴(kuò)展到了日常的辦公生活中。
全球范圍內(nèi)���,BYOD( Bring Your Own Device )也已成為大勢(shì)所趨���,越來越多的員工希望使用自己的設(shè)備在任何地方辦公。SOHO(Small Office Home Office���,家居辦公)和移動(dòng)辦公的確可以提升工作效率���,但同時(shí)也對(duì)企業(yè)的IT安全管理提出了新的挑戰(zhàn):不同的設(shè)備,運(yùn)行在不同的平臺(tái)上���,并同時(shí)獲取不同的資訊���,而所有的流量又都蜂擁到公司統(tǒng)一的出口上,網(wǎng)絡(luò)性能及安全該如何保證?
在移動(dòng)類IT產(chǎn)品在中國(guó)的消費(fèi)普及化的背景下���,僅對(duì)移動(dòng)設(shè)備提供保護(hù)是遠(yuǎn)遠(yuǎn)不夠的���。我們需要更重視敏感數(shù)據(jù)的問題,因?yàn)橐坏┕镜目稍L問數(shù)據(jù)被下載到員工的設(shè)備上���,這些數(shù)據(jù)也將成為保護(hù)的重點(diǎn)對(duì)象���。
考慮到國(guó)內(nèi)外的企業(yè)文化及網(wǎng)絡(luò)環(huán)境差異,Websense的安全專家就BYOD的發(fā)展趨勢(shì)���,給中國(guó)IT人員如下建議:
實(shí)施移動(dòng)設(shè)備管理(MDM)
MDM是保護(hù)數(shù)據(jù)安全中最基本的步驟���。無論員工的移動(dòng)設(shè)備屬于蘋果、安卓���、塞班或其他平臺(tái)���,一般都可以從設(shè)備供應(yīng)商處尋得對(duì)應(yīng)的管理方案���,但所引入的MDM方案需要滿足如下要求:
應(yīng)用程序管理--在必要時(shí)候限制設(shè)備所下載或者運(yùn)行的內(nèi)容���;
配置管理和資源控制--可以控制設(shè)備所連接的硬件資源及獲取的內(nèi)容���,如防止手機(jī)攝像頭拍攝密碼;
檢測(cè)越獄的或其他非法刷機(jī)的設(shè)備--這些設(shè)備自身更加危險(xiǎn)���;
設(shè)備恢復(fù)及減低損失--可以跟蹤���、鎖定和清除非法入侵;
支持與服務(wù)管理--所采用技術(shù)手段可以在長(zhǎng)期內(nèi)保持優(yōu)勢(shì)���。
但僅僅依靠MDM本身是不夠的���,用戶也是關(guān)鍵的環(huán)節(jié)。尤其是在中國(guó)的企業(yè)環(huán)境中���,制定及貫徹相關(guān)政策���,并通過簽訂協(xié)議讓員工明確自己的權(quán)利、責(zé)任和義務(wù)是非常重要的���。然而這些仍不能防止所有的威脅���,我們還需要完善附加的安全保障���。
完善附加安全保障
即使員工在移動(dòng)設(shè)備上除了查看郵件外啥也不干,這些設(shè)備還是很可能成為網(wǎng)絡(luò)攻擊的突破口���,我們需要為手持設(shè)備提供附加的數(shù)據(jù)保護(hù)���。最有效的方法就是在第一時(shí)間監(jiān)控進(jìn)入移動(dòng)設(shè)備的數(shù)據(jù),如使用統(tǒng)一實(shí)施的監(jiān)控防護(hù)軟件���。
另外���,不斷爆出的移動(dòng)網(wǎng)絡(luò)及應(yīng)用程序本身的漏洞也應(yīng)當(dāng)引起注意,隨著時(shí)代發(fā)展���,在移動(dòng)設(shè)備的數(shù)量已超過手提電腦的今天���,這些潛在的威脅都將成為網(wǎng)絡(luò)犯罪中的下一批目標(biāo),作為IT安全人員���,我們也需要實(shí)時(shí)了解最新的漏洞資訊���,以免應(yīng)對(duì)不及。
關(guān)注新的安全技術(shù)
當(dāng)然���,最新的尖端技術(shù)都支持BYOD���,它們大都經(jīng)過苛刻環(huán)境的檢驗(yàn),可以應(yīng)對(duì)敏感數(shù)據(jù)的安全問題���,以下例舉的技術(shù)都是我們考慮的范圍:
應(yīng)用程序及桌面的虛擬化--虛擬化通常只允許僅限查看的訪問方式���,可以防止敏感數(shù)據(jù)在最初的位置泄露出去,這樣可以提升安全防護(hù)等級(jí)���;
開發(fā)自我防護(hù)的應(yīng)用程序--在預(yù)算充足的情況下���,在各類應(yīng)用程序最初的設(shè)計(jì)階段,就可以把加密及密鑰管理考慮在內(nèi)���,使得這些應(yīng)用程序本身就具備更高的安全性���。這類應(yīng)用不怎么依賴本地平臺(tái)���,也不會(huì)因安全等級(jí)而犧牲過多的本地存儲(chǔ)資源。
數(shù)據(jù)代理或云服務(wù)--通過高信賴度的托管服務(wù)���,提升額外的威脅防護(hù)和提供數(shù)據(jù)保護(hù)能力���;
沙箱技術(shù)--殺毒軟件常提到的一個(gè)概念,也可以用到BYOD領(lǐng)域���,即部署一個(gè)獨(dú)立的空間���,供移動(dòng)設(shè)備有效利用企業(yè)資源;
VPN技術(shù)--可以創(chuàng)建一個(gè)始終開放的通道將所有流量返回總部或者通過一個(gè)加密的通道將流量傳送到云端���。
其實(shí)���,我們完全沒有必要禁止員工使用自己的移動(dòng)設(shè)備,這也難以做到?��,F(xiàn)階段最關(guān)鍵的任務(wù)是提高行業(yè)對(duì)BYOD安全問題的警覺度���,然后再去考慮移動(dòng)設(shè)備與原有架構(gòu)的融合問題���,中國(guó)的IT安全人員應(yīng)當(dāng)保持對(duì)BYOD的持續(xù)關(guān)注,了解各設(shè)備供應(yīng)商所能提供的方案及最新的技術(shù)方法���,只有這樣,才能在必要的時(shí)候用較低的成本為企業(yè)打造較高的安全等級(jí)���。
