[[81890]]

【2013年7月31日 51CTO外電頭條】移動(dòng)計(jì)算近年來(lái)已經(jīng)成為改變企業(yè)面貌的重要因素，它不斷帶來(lái)新的生產(chǎn)力提升途徑與效率改進(jìn)機(jī)制，并因此成為企業(yè)不可忽視的關(guān)鍵性輔助手段。

不過(guò)遠(yuǎn)離內(nèi)部環(huán)境的計(jì)算終端也帶來(lái)了無(wú)窮無(wú)盡的風(fēng)險(xiǎn)管理挑戰(zhàn)，管理者不得不對(duì)企業(yè)范圍內(nèi)的移動(dòng)計(jì)算安全流程進(jìn)行重新組織。一旦失去此類管理政策，即使是最微不足道的小事（例如設(shè)備丟失）都可能帶來(lái)嚴(yán)重后果。

“目前發(fā)生頻率***的問(wèn)題在于設(shè)備丟失，”云安全聯(lián)盟（簡(jiǎn)稱CSA）移動(dòng)工作組聯(lián)席主席David Lingenfelter指出。“員工如今開(kāi)始廣泛將業(yè)務(wù)數(shù)據(jù)保存在個(gè)人設(shè)備當(dāng)中，這就大大增加了信息泄露的可能性。”

CSA移動(dòng)工作組最近剛剛發(fā)布了一篇名為《移動(dòng)計(jì)算關(guān)鍵領(lǐng)域安全指南》的報(bào)告，其中匯總了當(dāng)下移動(dòng)設(shè)備在業(yè)務(wù)環(huán)境中的使用狀況以及移動(dòng)計(jì)算安全所面臨的各類嚴(yán)重威脅。

除了設(shè)備丟失或被盜所引發(fā)的數(shù)據(jù)泄露，移動(dòng)計(jì)算安全的關(guān)注重點(diǎn)還包括惡意軟件信息竊取、第三方應(yīng)用數(shù)據(jù)丟失、高危網(wǎng)絡(luò)訪問(wèn)以及移動(dòng)管理工具缺失等情況。

隨著員工越來(lái)越多地利用消費(fèi)級(jí)平臺(tái)（例如Android及蘋果設(shè)備）處理業(yè)務(wù)工作，企業(yè)在處理移動(dòng)安全問(wèn)題時(shí)的難度也隨之水漲船高，CSA移動(dòng)工作組聯(lián)席主席Cesare Garlati指出。

“這些新平臺(tái)屬于消費(fèi)級(jí)平臺(tái)；它們?cè)诎踩耘c可管理性方面根本無(wú)法與我們之前使用的方案相提并論，”Garlati解釋道。“企業(yè)IT無(wú)法通過(guò)服務(wù)人員培訓(xùn)的方式為普通員工提供個(gè)人設(shè)備的安裝、維護(hù)以及修復(fù)等幫助，管理者甚至根本不知道這些接入的陌生設(shè)備來(lái)自何方。”

另一種狀況則加劇了安全問(wèn)題的處理難度，這就是企業(yè)往往缺乏對(duì)內(nèi)部移動(dòng)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估與合規(guī)性檢查的能力，Garlati指出。這種缺失直接導(dǎo)致移動(dòng)設(shè)備的安全漏洞成為最令消費(fèi)者與企業(yè)頭痛的麻煩，而且如今我們已經(jīng)無(wú)法阻止其進(jìn)軍業(yè)務(wù)環(huán)境的腳步。

“我真的希望能有相關(guān)管理者站出來(lái)與互聯(lián)網(wǎng)服務(wù)供應(yīng)商進(jìn)行溝通，提醒他們?nèi)绱嗽愀獾娘L(fēng)險(xiǎn)狀況根本無(wú)法接受，”Garlati補(bǔ)充稱。

BYOD管理政策的重要性

在移動(dòng)計(jì)算安全規(guī)則真正被部署到位之前，堅(jiān)實(shí)的自帶設(shè)備（簡(jiǎn)稱BYOD）管理政策顯然能夠切實(shí)成為員工與企業(yè)免受滋擾、放心處理業(yè)務(wù)信息的重要基礎(chǔ)。這類政策應(yīng)當(dāng)定義企業(yè)在哪些情況下有權(quán)控制移動(dòng)設(shè)備、企業(yè)又該如何將業(yè)務(wù)信息與個(gè)人信息區(qū)分開(kāi)來(lái)。

不止如此，Lingenfelter建議稱BYOD政策應(yīng)該拿出可靠的機(jī)制，從而在出現(xiàn)安全事故時(shí)迅速清除設(shè)備中的業(yè)務(wù)信息。要實(shí)現(xiàn)這一目標(biāo)，我們需要借助工具或者移動(dòng)設(shè)備管理產(chǎn)品，實(shí)現(xiàn)對(duì)設(shè)備中業(yè)務(wù)應(yīng)用的全面控制——同時(shí)又不涉及員工的個(gè)人信息。

“作為一套合格的管理政策，我認(rèn)為大家首先需要建立控制措施——無(wú)論是對(duì)移動(dòng)設(shè)備本身進(jìn)行管理還是對(duì)應(yīng)用加以控制——這樣IT團(tuán)隊(duì)才能保證設(shè)備中的應(yīng)用始終處于監(jiān)管之下。”只有利用這種集中式控制手段，IT管理者才能在不影響任何個(gè)人數(shù)據(jù)的前提下實(shí)現(xiàn)業(yè)務(wù)應(yīng)用清理。

在部署B(yǎng)YOD政策時(shí)，個(gè)人隱私問(wèn)題也是個(gè)不容忽視的大問(wèn)題。企業(yè)需要認(rèn)真考慮并妥善處理任何潛在的員工隱私內(nèi)容，只有這樣安全監(jiān)管工作才能得以順利開(kāi)展。

當(dāng)員工們通過(guò)個(gè)人設(shè)備接入企業(yè)網(wǎng)絡(luò)時(shí)，公司很可能希望或者需要追蹤并過(guò)濾往來(lái)信息，從而保證業(yè)務(wù)活動(dòng)安全性。為此，我們恐怕必須建立起新的在線隱私規(guī)則，歐洲最近就在這方面取得了廣泛進(jìn)展。

隱私問(wèn)題正是Garlati所提出的“BYOD陰暗面”中的重要組成部分，企業(yè)需要有針對(duì)性地將傳統(tǒng)甚至有些陳舊的管理模式替換為新型、以個(gè)人移動(dòng)設(shè)備為主要對(duì)象的方案。

“企業(yè)需要了解一點(diǎn)——在BYOD領(lǐng)域，所有效果出色的管理政策都會(huì)或多或少與法律法規(guī)發(fā)生抵觸，”Garlati表示。“企業(yè)需要在建立新政策的同時(shí)采取標(biāo)準(zhǔn)化表達(dá)方式，幫助員工們理解自己在將設(shè)備接入企業(yè)網(wǎng)絡(luò)時(shí)可以做什么、不能做什么。”

移動(dòng)策略與移動(dòng)設(shè)備安全仍然是IT部門的首要關(guān)注目標(biāo)

員工所持有的智能手機(jī)已經(jīng)成為企業(yè)業(yè)務(wù)流程中的重要組成部分，隨之而來(lái)的管理、風(fēng)險(xiǎn)以及合規(guī)性事務(wù)就成了必須首先處理好的前提條件。根據(jù)最近由SearchCompliance發(fā)布的一份調(diào)查報(bào)告，有96%的受訪者在談到自帶設(shè)備以及IT消費(fèi)化時(shí)***想到“安全性”概念。

報(bào)告同時(shí)指出，“合規(guī)性”則是BYOD與消費(fèi)化趨勢(shì)需要考慮的第二大重點(diǎn)。此次調(diào)查涵蓋了參與SearchCompliance 2013網(wǎng)絡(luò)安全狀況大會(huì)中24個(gè)虛擬研討環(huán)節(jié)的773位IT專家。

“這是又一種我們必須緊隨其后的發(fā)展趨勢(shì)，”美國(guó)眾議院監(jiān)察長(zhǎng) Theresa M. Grafenstine指出。由于移動(dòng)設(shè)備所涉及的信息越來(lái)越多，Grafenstine認(rèn)為保障數(shù)據(jù)安全的難度也在逐步提升。“作為安全專家，我們希望盡可能嚴(yán)格控制手中的信息；而這勢(shì)必給業(yè)務(wù)流程帶來(lái)更高的復(fù)雜性。”

新技術(shù)改變了我們處理業(yè)務(wù)的方式——通常是以積極的方式，Grafenstine與其它與會(huì)者紛紛表示。有41%的調(diào)查受訪者認(rèn)為IT消費(fèi)化確實(shí)幫助所在機(jī)構(gòu)“提高了員工的生產(chǎn)力水平”。

不過(guò)更重要的是，我們要清楚地意識(shí)到這些小設(shè)備身上蘊(yùn)藏的潛力是無(wú)窮無(wú)盡的。企業(yè)不得不重新規(guī)劃業(yè)務(wù)流程并采用安全工具，旨在緩和移動(dòng)設(shè)備中的安全風(fēng)險(xiǎn)。

“我們安全專家的工作不是對(duì)可能存在風(fēng)險(xiǎn)的事物一概否定，而是提醒機(jī)構(gòu)***或者企業(yè)CEO目前我們面臨著哪些風(fēng)險(xiǎn)、將技術(shù)引入業(yè)務(wù)又會(huì)帶來(lái)哪些問(wèn)題，”與會(huì)者Ron Ross博士解釋道，他現(xiàn)任美國(guó)國(guó)家安全技術(shù)局高級(jí)計(jì)算機(jī)科學(xué)家兼信息安全研究員。

目前就移動(dòng)技術(shù)在業(yè)務(wù)領(lǐng)域的應(yīng)用已經(jīng)引發(fā)了激烈的爭(zhēng)論，Ross指出，但I(xiàn)T安全***需要與高管層共同了解目前已經(jīng)存在哪些移動(dòng)設(shè)備安全控制方案、這些方案的側(cè)重點(diǎn)又在哪里。舉例來(lái)說(shuō)，28%的受訪者認(rèn)為BYOD項(xiàng)目預(yù)算中的大頭應(yīng)該被用于改進(jìn)“網(wǎng)絡(luò)安全”。

“我們必須擁有廣闊的觀察視角，并有能力回答這樣的問(wèn)題：如果決定采用新型移動(dòng)設(shè)備技術(shù)，我們需要為其配備哪些以標(biāo)準(zhǔn)化形式部署在筆記本或者工作站中的安全機(jī)制？”Ross表示。

復(fù)雜性令移動(dòng)安全難以實(shí)現(xiàn)

移動(dòng)設(shè)備安全之所以如此復(fù)雜，是因?yàn)橄M(fèi)者們能夠選擇的設(shè)備種類及數(shù)量實(shí)在太過(guò)繁雜。員工們所購(gòu)買的不同型號(hào)及品牌的移動(dòng)設(shè)備在業(yè)務(wù)環(huán)境下可能暴露出多種多樣的安全缺陷，J.Gold協(xié)會(huì)創(chuàng)始人兼***分析師Jack E. Gold表示。

員工其實(shí)并不希望業(yè)務(wù)數(shù)據(jù)由于進(jìn)入個(gè)人設(shè)備而面臨安全隱患，他們只是不了解如何避免這種狀況，Gold補(bǔ)充道。

“消費(fèi)者主要關(guān)注產(chǎn)品的便捷性，”Gold指出。“他們通常只考慮到自己想要什么、何時(shí)購(gòu)買，但卻沒(méi)有考慮過(guò)自身在風(fēng)險(xiǎn)知識(shí)及使用規(guī)范方面的弱點(diǎn)。”

有鑒于此，BYOD管理政策及策略應(yīng)該在部署的同時(shí)向員工們清晰傳達(dá)其運(yùn)作機(jī)制，Gold提醒道。調(diào)查受訪者們對(duì)他的建議也表示認(rèn)可：68%的受訪者已經(jīng)針對(duì)個(gè)人設(shè)備在業(yè)務(wù)環(huán)境中的普及建立了管理政策，另有19%正在著手部署之中。

Gold告訴我們，缺乏BYOD策略及相關(guān)政策很可能導(dǎo)致數(shù)據(jù)泄露事故的出現(xiàn)機(jī)率達(dá)到夸張的程度。

“在缺乏策略輔助的情況下，我們很可能失去對(duì)移動(dòng)設(shè)備及移動(dòng)基礎(chǔ)設(shè)施的控制能力，”Gold總結(jié)稱。

Gold建議各機(jī)構(gòu)將注意力集中在應(yīng)用程序安全性方面，而非移動(dòng)設(shè)備本身。

“目前越來(lái)越多的企業(yè)允許用戶從應(yīng)用軟件商店中下載程序并用于業(yè)務(wù)處理——實(shí)際上我們應(yīng)該推出一系更限制措施，”Gold指出。“我并不太在意應(yīng)用程序運(yùn)行在哪些設(shè)備上，倒是更關(guān)心應(yīng)用程序到底具備哪些功能、這些功能會(huì)對(duì)安全環(huán)境造成何種影響。”

相較于移動(dòng)趨勢(shì)在業(yè)務(wù)領(lǐng)域的橫行無(wú)忌，調(diào)查發(fā)現(xiàn)受訪者在企業(yè)處理移動(dòng)設(shè)備的基本立場(chǎng)上存在嚴(yán)重差異：31%的受訪者表示所在機(jī)構(gòu)允許員工利用個(gè)人智能手機(jī)處理業(yè)務(wù)，但I(xiàn)T部門并未提供相應(yīng)的技術(shù)支持；只有17%的受訪者表示所在機(jī)構(gòu)為用戶的個(gè)人設(shè)備配備了IT支持措施。

26%的受訪者表示所在機(jī)構(gòu)“嚴(yán)禁”員工利用個(gè)人設(shè)備處理業(yè)務(wù)——當(dāng)然，這主要是出于安全考量。不過(guò)只要部署得當(dāng)，移動(dòng)環(huán)境的復(fù)雜性完全可以被維持在能夠被終端用戶所接受的程度，Gold表示。

“新型移動(dòng)技術(shù)與新型用戶模式自然需要新型管理機(jī)制——這是大家在采取行動(dòng)之前必須認(rèn)真思考的問(wèn)題，”Gold告訴我們。