隨著智能終端快速融入人們的生活,
BYOD(Bring Your Own Device,攜帶自己的設備辦公)成為了很多白領的選擇。
雖然公司領導支持這種個性化的辦公方式,
但是個人設備的多樣化,給公司內部的網絡安全帶來了新的威脅。
如何在增效節支與網絡安全可控之間找到平衡點,
成為很多公司要解決的問題。
Gartner日前發布的一項針對CIO人群的調查顯示,到2016年,將有38%的企業不再提供任何個人辦公設備給員工使用;到2017年,將有50%的企業要求員工自帶辦公設備上班。將BYOD和移動辦公拒之門外,對于企業來說顯然是十分不明智的。如洪水般的移動辦公和BYOD潮流,對于 企業來說,堵不如疏。更新自己的安全架構以適應移動辦公和BYOD時代,是企業最好的應對措施。這樣既保證了企業可以為用工提供高效、靈活的辦公環境,又保證了企業的信息安全。
BYOD勢不可當
Gartner副總裁兼特聘分析師大衛·威爾斯(David Wills)在Gartner發布的報告中表示,BYOD不僅帶動企業內部使用移動App的人數大幅增加,而且還推動企業IT部門開發有別于傳統郵件或即時通信的移動App,例如時間表、代辦清單、員工自我服務的人事程序等。Gartner預計,到2016年,隨著企業內部移動App需求的增加和云計算的發展,將有40%的移動App放置到云端。
不過,大衛·威爾斯在其對CIO的調查中發現,大部分企業的CIO對BYOD可以給企業帶來的效益不甚了解,只有22%的CIO認為,他們已成功通過BYOD為企業創造效益。大衛·威爾斯建議,就像其他IT趨勢一樣,雖然BYOD還沒有清楚定義或可量化的標準,但是CIO還是要把握機會,展現BYOD業務帶來的效益。
BYOD所帶來的安全隱患是企業最關心的問題。根據大衛·威爾斯的調查,大部分企業認為它們有能力應對企業內部的移動設備。
大衛·威爾斯表示,面對BYOD,企業應該做的是定義要支持哪個平臺、如何提供服務來支持、員工會獲得哪些服務、員工對自己的裝置管理職責與風險是什么,以及員工自帶設備的類別限制等。
雖然推行BYOD的困難不少,但是Gartner的報告顯示,到2017年,90%的企業將在一定程度上支持BYOD。到2018年,員工自有辦公設備將是企業提供辦公設備的兩倍多。
BYOD可以為企業節省開支
說到BYOD可以為企業節省開支,最直觀的理解就是企業無需再為員工購置辦公設備,剩下的預算可以用來維護IT設備或者添置新的IT設備。
“對于一般公司而言,它們需要花費50萬美元來購買和支持1000臺企業自購的平板電腦,而對于相同的預算,它們可以支持2745臺用戶持有的平板電腦。” Gartner研究主管費德里卡·特羅尼(Federica Troni)表示,“因為不需要支付津貼,所以員工的平板電腦的直接成本要比公司購買的低64%。當企業有些用戶想要使用平板電腦來方便工作時,提供BYOD選項是控制成本的最好選擇。”
Gartner的調查顯示,企業對IT設備增加的投資數與對BYOD的支持度成正比。移動設備管理(MDM,Mobile Device Management)、總體基礎設施擴展、文件共享和同步是支持BYOD需要的三個主要技術投資,如果企業需要更高水平的安全性和可管理性,還需要在桌面虛擬化和安全隔離方面進行投資。
雖然目前已經有不少廠商開始提供BYOD的管理解決方案,但是因為網絡、操作系統、應用程序和安全問題等因素的限制,目前BYOD還沒有能夠全面實現安全性和便利性的解決方案,當然這也是廠商的努力方向。
BYOD的安全問題可以解決
具體來說,需要解決BYOD所帶來的問題,首先要明確有哪些問題是因為BYOD所產生的。開放BYOD后員工的設備能否與現有工作環境有效融為一體?是否能確保公司數據的安全性?移動設備一旦丟失,如何防止公司的數據不泄露?公司是否要投入大量的IT維護費用?
上述幾個問題是大多數IT部門主管在討論是否開放BYOD時最先考慮的問題。
不受管理的移動設備可能會導致企業數據和服務遭到外部入侵。離職人員或者入侵者可能會把某位員工丟失的辦公設備帶入辦公區域,通過WLAN訪問敏感企業數據。當然這不僅是BYOD的問題,使用公司設備同樣也存在這樣的風險。
目前來看,這個問題已經可以很好地解決。現在已經有公司可以提供一種能夠分辨使用個人iPad的員工和使用公司提供的PC機的員工的網絡系統。它允許使用標準方法進行身份驗證,如果客戶端是一臺個人移動設備,網絡會對其采用不同的安全策略。借助這種識別功能,IT管理員可以看到網絡中所有用戶的自有設備和它們的類型和所有者。通過驗證的設備可以在任何地方連接到公司的系統,即便是在外地出差時。
值得一提的是,這套系統還可以將員工丟失或者被盜的設備添加到黑名單中,這樣這些設備就無法在WLAN中通過身份認證,從而防止因為辦公設備丟失或者被盜產生的安全風險。
在BYOD剛剛興起的時候,公司為了控制員工的自有的辦公設備都會在其中按照相應的管理軟件,讓公司具有遠程管理用戶設備的能力,比如當員工智能設備丟失或者被盜時,可以遠程刪除智能設備內的數據。但是這樣做帶來了侵犯個人隱私的風險,因為用戶自己的智能設備之中不僅存有公司的資料,還有大量的個人信息。
在解決如何在保障用戶個人設備上公司信息安全的同時,保障用戶個人隱私不受侵犯是公司在推行BYOD時要考慮的問題。
也許采用虛擬化是解決問題的手段之一,虛擬化能隔離企業敏感信息,具有與生俱來的安全特性,其所有系統和數據都存儲在后臺,前端設備與虛擬機之間傳輸的只是鍵盤、鼠標動作和顯示界面的刷新部分,而非完整的數據包,再加上多種加密技術,可有效保障企業信息安全。
SEMCO能源公司IT經理馬特·科斯特(Matt Kosht)的做法可能值得很多公司借鑒。“大多數IT主管都傾向于對BYOD采取控制措施。他們通常認為如果我控制了BYOD,我就能保證它的安全。我比用戶有更多的權限,這樣就能保證安全。”但事實上并不是這樣的。控制并不意味著一定安全。
“我不得不承認大多數IT部門都會在某種意義上喜歡懲罰用戶。用戶選擇了BYOD,那么很抱歉,用戶的設備將被鎖定,以防止訪問一些不該訪問的服務。可如果用戶不喜歡IT部門的所作所為,那么他們很可能會不斷地替換設備,這樣可能會導致其他更多的問題。對用戶控制得越多,他們越可能制造問題。” 馬特·科斯特強調。
“并不是說不重視終端的安全。終端的安全也有很多事情需要IT管理人員去做,比如數據加密、PIN碼鎖定等。但是最重要的還是關注數據安全,數據才是重中之重。終端不過是數據處理的一種方式。” 馬特·科斯特這樣認為。
事實上,數據加密或屏蔽設備并不難,真正難的是如何對數據進行分類,識別哪些是需要保護數據,為不同設備制定不同的安全策略,以及如何高度自動化地實現這一目標,而不至于大幅度增加IT維護的成本和員工負擔。
馬特·科斯特認為,雖然用戶并不喜歡MDM,但是對于公司來說MDM是必要的,所以需要IT管理人員將其打包安裝到移動設備里。而且需要教會員工在不同地方使用數據時該如何保護數據。
硬件安全問題
MDM可以提供全生命周期的移動設備管理。從設備注冊、激活、使用、淘汰各個環節進行全面管理。MDM能實現用戶和設備管理、配置管理、安全管理、資產管理等功能。MDM還能提供全方位安全體系防護,同時在移動設備、移動App、移動文檔三方面進行管理和防護。
MDM確保企業移動安全通常涉及以下四個階段。
第一階段,MDM配置設備。由負責企業移動的移動IT部門和安全工程師決定哪種設備會被保留。這個階段包括利用所有現有的公司網絡設施以此幫助避免資源復雜化和重復化。
第二階段,MDM管理所有的設備。包括筆記本電腦、智能手機、平板電腦等用戶自帶的辦公設備。員工被允許訪問企業特定的資源,包括應用程序、電子郵件,確保目錄安全和基于云的文件存儲IT部門可以向使用移動設備的員工發布公告,告知他們什么是被允許的和什么是不允許的,明確使用規則非常重要。
第三階段,MDM管理使用者的移動應用程序。在這個階段,必須解決幾乎無限的應用程序管理問題。設備、人員和操作系統平臺都是有限、相對可控的,但是應用程序數量、種類卻是時刻都在發生變化。MDM可以幫助企業解決一系列相關的問題,包括提供一個私人的、公司特定的應用程序商店等。一個這樣的公司應用程序庫對于整個公司的部門,以及應用程序的保存和發布都是方便有效的,并且提供最嚴格的安全和最佳的最終用戶體驗。
第四階段,移動設備管理控制成本。由于MDM設計的應用程序接口可以監測用戶的情況,這樣企業就可以有效地減少非必要的電話和數據流量開支。
IDC的數據顯示,智能移動終端將超過電腦成為訪問互聯網時使用最多的終端,企業用戶對移動應用程序的需求也從最初的收發電子郵件、辦公自動化,拓展到業務類應用程序的移動化。企業面臨著大量內部和外部移動應用程序的管理和分發。因此,移動應用管理(MAM,Mobile Application Management)應運而生。
應用程序安全問題
MAM可以制定針對員工移動設備應用程序的安全保護、分發、訪問、配置、更新、刪除等策略和流程。通過企業應用商店控制和推送應用程序,MAM能集中監控應用程序的使用情況,對應用程序設置相應策略以滿足企業的要求。
MAM的大原則是不能干擾員工個人的應用程序,不觸犯其個人隱私權,這也是員工最在乎的。當然MAM要在保障員工個人隱私的同時,保證用戶在存取公司的系統或檔案時嚴格控管。這種情況下的管理復雜度相當高,員工的移動設備有各式各樣的平臺,有各式各樣的應用程序,MAM平臺要有辦法應對各種平臺,而不只是管理或限制設備本身的功能。
MAM能夠防止惡意軟件攻擊,并在企業內部建立一個可信的應用商店,對企業內部的應用程序進行管理和分發。要知道,木馬應用程序是公共移動應用商店存在的一個大問題,企業移動應用商店同樣可能受到這些惡意軟件的攻擊,例如來自心懷不滿的員工的內部攻擊,或者來自內部企業應用程序捆綁的第三方軟件和服務包。IT部門要在企業內部搭建一個應用商店,對企業應用程序進行管理和分發。
為防止企業移動應用商店含有惡意軟件,MAM能夠提供對上架前的應用軟件進行安全掃描服務功能。企業移動應用商店通過惡意軟件檢測平臺對應用程序進行快速安全檢測,對于返回有安全隱患的應用程序由管理員決定是否上架。
移動打印 BYOD的突破口
說到BYOD的應用程序,移動打印可以說是走在了所有的應用程序之前。柯尼卡美能達已經向市場推出了云打印解決方案以滿足基于移動設備的輸出需求,如:向客戶免費提供的PageScope Mobile Utility,它很好地解決了移動辦公文印的輸出需求。在解決打印輸出需求的同時,柯尼卡美能達也會在近期上市一些能滿足基于云端應用程序的解決方案,該解決方案能夠幫助客戶將文檔更為快速方便地上傳到云端,并可以直接與目前在企業流行的如DropBox、Evernote、SkyDrive和SharePoint 等云應用文檔掃描解決方案進行整合,便于企業更為便捷地分享文檔。
理光也早已開始以云打印和云存儲為核心的解決方案的開發,目前理光利用自己開發的Smart Device Print等軟件幫助一些具有基礎需求的BYOD用戶實現iPad、iPhone等移動設備與數碼復合機的無縫連接。未來隨著相關的應用程序的增多和成熟,理光將推出更多云復合機解決方案。
惠普提供了相應的惠普云打印解決方案來服務客戶。惠普企業級云打印解決方案(HP ePrint Enterprise 2.1)是一種基于私有云的服務。私有云保證了企業內部的分享,不用擔心信息安全的風險,這個物理隔斷阻止了外部入侵,支持員工在外出途中也能安全打印重要的業務文檔。借助與企業網絡的無縫集成,隨時隨地進行打印。借助嵌入式AirPrint,也可以輕松使用iPad、iPhone和iPod Touch進行無線打印,從而大幅提高文印效率。
京公網安備 11010502049343號