現在,大屏智能手機、平板電腦,以及逐漸熱賣的超級本等移動類IT產品,在中國消費者中的普及度越來越高。隨著移動設備性能的不斷提升和其自身優良的便攜特性,消費者對它們的依賴也從純粹的娛樂、影音和游戲等自用范圍擴展到了日常的辦公生活中。
全球范圍內,BYOD( Bring Your Own Device )也已成為大勢所趨,越來越多的員工希望使用自己的設備在任何地方辦公。SOHO(Small Office Home Office,家居辦公)和移動辦公的確可以提升工作效率,但同時也對企業的IT安全管理提出了新的挑戰:不同的設備,運行在不同的平臺上,并同時獲取不同的資訊,而所有的流量又都蜂擁到公司統一的出口上,網絡性能及安全該如何保證?
在移動類IT產品在中國的消費普及化的背景下,僅對移動設備提供保護是遠遠不夠的。我們需要更重視敏感數據的問題,因為一旦公司的可訪問數據被下載到員工的設備上,這些數據也將成為保護的重點對象。
考慮到國內外的企業文化及網絡環境差異,Websense的安全專家就BYOD的發展趨勢,給中國IT人員如下建議:
實施移動設備管理(MDM)
MDM是保護數據安全中最基本的步驟。無論員工的移動設備屬于蘋果、安卓、塞班或其他平臺,一般都可以從設備供應商處尋得對應的管理方案,但所引入的MDM方案需要滿足如下要求:
• 應用程序管理——在必要時候限制設備所下載或者運行的內容;
• 配置管理和資源控制——可以控制設備所連接的硬件資源及獲取的內容,如防止手機攝像頭拍攝密碼;
• 檢測越獄的或其他非法刷機的設備——這些設備自身更加危險;
• 設備恢復及減低損失——可以跟蹤、鎖定和清除非法入侵;
• 支持與服務管理——所采用技術手段可以在長期內保持優勢。
但僅僅依靠MDM本身是不夠的,用戶也是關鍵的環節。尤其是在中國的企業環境中,制定及貫徹相關政策,并通過簽訂協議讓員工明確自己的權利、責任和義務是非常重要的。然而這些仍不能防止所有的威脅,我們還需要完善附加的安全保障。
完善附加安全保障
即使員工在移動設備上除了查看郵件外啥也不干,這些設備還是很可能成為網絡攻擊的突破口,我們需要為手持設備提供附加的數據保護。最有效的方法就是在第一時間監控進入移動設備的數據,如使用統一實施的監控防護軟件。
另外,不斷爆出的移動網絡及應用程序本身的漏洞也應當引起注意,隨著時代發展,在移動設備的數量已超過手提電腦的今天,這些潛在的威脅都將成為網絡犯罪中的下一批目標,作為IT安全人員,我們也需要實時了解最新的漏洞資訊,以免應對不及。
關注新的安全技術
當然,最新的尖端技術都支持BYOD,它們大都經過苛刻環境的檢驗,可以應對敏感數據的安全問題,以下例舉的技術都是我們考慮的范圍:
應用程序及桌面的虛擬化——虛擬化通常只允許僅限查看的訪問方式,可以防止敏感數據在最初的位置泄露出去,這樣可以提升安全防護等級;
開發自我防護的應用程序——在預算充足的情況下,在各類應用程序最初的設計階段,就可以把加密及密鑰管理考慮在內,使得這些應用程序本身就具備更高的安全性。這類應用不怎么依賴本地平臺,也不會因安全等級而犧牲過多的本地存儲資源。
數據代理或云服務——通過高信賴度的托管服務,提升額外的威脅防護和提供數據保護能力;
沙箱技術——殺毒軟件常提到的一個概念,也可以用到BYOD領域,即部署一個獨立的空間,供移動設備有效利用企業資源;
VPN技術——可以創建一個始終開放的通道將所有流量返回總部或者通過一個加密的通道將流量傳送到云端。
其實,我們完全沒有必要禁止員工使用自己的移動設備,這也難以做到。現階段最關鍵的任務是提高行業對BYOD安全問題的警覺度,然后再去考慮移動設備與原有架構的融合問題,中國的IT安全人員應當保持對BYOD的持續關注,了解各設備供應商所能提供的方案及最新的技術方法,只有這樣,才能在必要的時候用較低的成本為企業打造較高的安全等級。
京公網安備 11010502049343號