【51CTO譯文】近來一系列調(diào)查報告已經(jīng)證實，大多數(shù)企業(yè)都在考慮將移動設(shè)備管理（簡稱MDM）與其它安全類方案納入業(yè)務(wù)環(huán)境。雖然共識已經(jīng)達(dá)成，但只有少數(shù)企業(yè)真正著手部署，顯然大多數(shù)從業(yè)者仍然在與移動安全問題苦苦斗爭。

遺憾的是，許多企業(yè)尚沒有勇氣率先對移動技術(shù)與BYOD給業(yè)務(wù)帶來的影響做出量化評估并尋求最佳實踐與技術(shù)方案，他們大多仍然在如何進(jìn)行預(yù)算分配而舉棋不定。不過專家們提醒稱，一味將資金投入到新型安全產(chǎn)品中而缺乏對采購對象的透徹理解與必要性分析，很可能導(dǎo)致企業(yè)一邊花著冤枉錢、一邊承受著高風(fēng)險。

“管理員們通常都無法向管理層準(zhǔn)確并詳盡傳達(dá)技術(shù)信息，他們說不出我們到底‘為什么要買這個或是買那個’。歸根結(jié)底，IT團(tuán)隊自身都沒能準(zhǔn)確量化移動風(fēng)險，”移動風(fēng)險管理企業(yè)Fixmo公司CSO Dan Ford指出，他的博士結(jié)業(yè)論文正準(zhǔn)備以iOS在企業(yè)領(lǐng)域中的風(fēng)險評估方案為題。

最新的MDM部署狀況統(tǒng)計數(shù)據(jù)也證實了Ford的結(jié)論。盡管Gartner公司的分析師們預(yù)計在未來五年內(nèi)，將有三分之二的企業(yè)正式將MDM解決方案作為員工用戶的必備工具，但就目前來看企業(yè)仍然沒搞清楚自己到底應(yīng)該如何選擇合適的產(chǎn)品。InfromationWeek網(wǎng)站剛剛公布的一篇分析文章《四十家BYOD供應(yīng)商，一片良莠不齊的市場》就明確指出，只有四分之一左右的企業(yè)當(dāng)下已經(jīng)完成MDM方案的部署。

Ford認(rèn)為，對不同移動風(fēng)險加以量化能夠幫助企業(yè)正確選擇適合自身情況的技術(shù)類型以及政策需要支持的實踐方案，這恰恰是風(fēng)險管理工作中最重要的一環(huán)。換言之，與其簡單將潛在風(fēng)險劃分為高、中、低或者紅、橙、綠級別，倒不如下番工夫弄清楚到底有多少種風(fēng)險存在。評估工作的問題在于，如果安全機(jī)制能夠?qū)⒛撤N高危事態(tài)的風(fēng)險程度降低10%，那么處理之后的風(fēng)險仍然屬于高危范疇——IT部門將很難同管理層交代，為什么在花了那么多預(yù)算之后，高危問題仍然“高危”。而在以密碼政策為代表的各類MRM（即移動資源管理）實際規(guī)劃中，最重要的就是功能的專一性與確定性。

“如果我使用四位數(shù)字PIN碼會帶來多大風(fēng)險？如果我只使用六位長度的密碼又會引發(fā)何種麻煩？”他問道，并解釋稱這正是企業(yè)在管理中應(yīng)該詢問并努力追求量化效果的典型議題。

Perimeter E-Security公司首席技術(shù)官Andrew Jaquith指出，企業(yè)應(yīng)該馬上著手對移動實踐進(jìn)行風(fēng)險評估，并針對主要安全問題進(jìn)行三個層面的探討。

“移動風(fēng)險決策應(yīng)該圍繞三大核心展開，即技術(shù)、政策與法律，”他表示。“要保證業(yè)務(wù)的順利運(yùn)轉(zhuǎn)，企業(yè)必須盡早解決這三大問題。”

而從技術(shù)的角度看，企業(yè)應(yīng)該考慮如何為IT基礎(chǔ)設(shè)施的全局安全狀況選擇有針對性的設(shè)備、設(shè)定以及網(wǎng)絡(luò)配置方案。另外，企業(yè)還需要格外關(guān)注風(fēng)險評估與控制工作，把包括身份驗證、數(shù)據(jù)訪問驗證以及加密等機(jī)制部署到位，F(xiàn)ord建議道。

“風(fēng)險評估中的一大重點(diǎn)在于了解讓我們所使用的應(yīng)用程序與MDM工具如何保存許可證書，這是驗證機(jī)制中的關(guān)鍵性環(huán)節(jié)，”他表示。

舉例來說，那些完全將證書存儲交給iOS密鑰或者Android密碼功能的企業(yè)等于是在無形中把敏感數(shù)據(jù)暴露在了薄弱的安全環(huán)境之下，他提醒稱。即使是部署了MDM產(chǎn)品的企業(yè)也還遠(yuǎn)不能高枕無憂——很多工具與上述密碼功能聯(lián)系緊密，這就使得驗證管理政策出現(xiàn)了嚴(yán)重漏洞，他補(bǔ)充道。

在對移動技術(shù)的安全風(fēng)險進(jìn)行整體評估時，F(xiàn)ord建議企業(yè)參考NIST（即美國國家標(biāo)準(zhǔn)暨技術(shù)學(xué)會）發(fā)布的《企業(yè)級移動設(shè)備管理與保護(hù)指南》一文。雖然這篇文章尚未最終完成，但主體部分已經(jīng)撰寫完畢，并為企業(yè)提供了一套優(yōu)秀的風(fēng)險因素考量及決策框架。

而在政策風(fēng)險方面，企業(yè)需要考慮究竟什么樣的移動政策會真正給風(fēng)險帶來影響——無論是拉高還是降低——政策是否允許員工持有的設(shè)備訪問網(wǎng)絡(luò)資源、是否會根據(jù)設(shè)備來源限制其訪問權(quán)限或者說設(shè)備內(nèi)置政策是否能實現(xiàn)包括屏幕鎖定及應(yīng)用使用情況監(jiān)控等功能。

“大家是不是直接把臺式機(jī)那一套安全理論直接搬過來扔給移動手機(jī)，希望同樣的密碼管理等政策能夠發(fā)揮相近的作用？”Jaquith提問道。“答案恐怕是否定的。這就需要我們來為移動風(fēng)險的最佳實踐摸索出一套準(zhǔn)確的定義。”

有一種最佳安全實踐可能長久以來始終被企業(yè)所忽視，這就是歸納開發(fā)實踐如何將風(fēng)險帶入移動應(yīng)用（包括面向客戶或企業(yè)內(nèi)部應(yīng)用）環(huán)境當(dāng)中。如果企業(yè)沒能準(zhǔn)確量化由高危應(yīng)用所帶來的風(fēng)險，他們將很難制定出明確的預(yù)算分配策略、并最終在降低應(yīng)用開發(fā)漏洞方面一敗涂地。

“大家不妨考慮這樣一個問題：在我們創(chuàng)建應(yīng)用程序時，什么樣的風(fēng)險管理會引發(fā)殺雞用牛刀之嫌？而什么樣的風(fēng)險管理手段又會導(dǎo)致安保力度不足？”Jaquith如是說。“多少才是太多、多少才是太少，這是個大問題。”

最后再來聊聊法律風(fēng)險。移動技術(shù)所帶來的并不僅僅是對元數(shù)據(jù)管理合規(guī)性方面的影響，更可能令許多試圖通過追蹤來實現(xiàn)BYOD控制的技術(shù)團(tuán)隊吃個違反隱私權(quán)的官司。

“法律風(fēng)險同樣不容小覷；舉例來說，當(dāng)管理者同意將企業(yè)數(shù)據(jù)保存在個人持有的設(shè)備中時，整套法律環(huán)境真的足夠完備嗎？用戶對這些業(yè)務(wù)數(shù)據(jù)是否擁有所有權(quán)及使用權(quán)？”他提出疑問，并以此來解釋風(fēng)險評估在法律層面上的重要性。我們必須理解執(zhí)法者對于企業(yè)與員工在個人設(shè)備處置權(quán)方面的思路，并以此為基礎(chǔ)建立嚴(yán)密、完善的管理政策。

原文：How Does Mobility Change IT Risk Management?