為幫助企業(yè)解答B(yǎng)YOD的安全困惑,并走上高效、安全的移動(dòng)信息化之路,IT專家網(wǎng)記者近日采訪了知名移動(dòng)信息化安全專家、北京明朝萬(wàn)達(dá)科技有限公司(以下簡(jiǎn)稱“明朝萬(wàn)達(dá)”)董事長(zhǎng)兼總裁王志海,探討了在BYOD時(shí)代企業(yè)信息安全存在的安全隱患,以及企業(yè)應(yīng)當(dāng)如何來(lái)防范這些新的安全威脅。
從BYOD工作模式的特點(diǎn)出發(fā),王志海分析了傳統(tǒng)應(yīng)對(duì)方式存在的一些不足之處。并表示:BYOD是移動(dòng)信息化一個(gè)重要的部分,不能將BYOD安全與移動(dòng)信息安全割裂,還要把移動(dòng)安全置于整個(gè)企業(yè)的移動(dòng)信息化策略之中考慮。
換言之,傳統(tǒng)的企業(yè)信息安全范式必須被打破,企業(yè)要從實(shí)際的移動(dòng)業(yè)務(wù)系統(tǒng)建設(shè)需要出發(fā),構(gòu)建一個(gè)技術(shù)平臺(tái),從數(shù)據(jù)、應(yīng)用、網(wǎng)絡(luò)和設(shè)備等多個(gè)層面來(lái)整體管理BYOD時(shí)代的信息安全。
移動(dòng)信息化安全專家、明朝萬(wàn)達(dá)董事長(zhǎng)兼總裁 王志海
BYOD:三大安全隱患待解決
我國(guó)BYOD的安全形勢(shì)不容樂(lè)觀。根據(jù)產(chǎn)業(yè)情報(bào)研究所(MIC)針對(duì)國(guó)內(nèi)企業(yè)移動(dòng)資安投資需求的調(diào)查結(jié)果顯示,85%以上的企業(yè)認(rèn)為,有必要鎖定BYOD行為,再加強(qiáng)企業(yè)內(nèi)部的移動(dòng)資安防護(hù)。但目前只有12%的大型企業(yè)建置移動(dòng)安全解決方案,60%以上的大型企業(yè)表示,將在考量BYOD的資安問(wèn)題下增加對(duì)移動(dòng)資安的投資。
BYOD究竟如何不安全?王志海指出,相比傳統(tǒng)信息化的模式,BYOD環(huán)境主要存在三個(gè)方面的安全隱患:首先是通過(guò)移動(dòng)網(wǎng)絡(luò)鏈路接入,天然處在一個(gè)開(kāi)放的網(wǎng)絡(luò),而傳統(tǒng)重要的信息系統(tǒng)都是通過(guò)企業(yè)內(nèi)網(wǎng)接入;其次,使用的環(huán)境與傳統(tǒng)信息化模式不一樣,傳統(tǒng)的大部分時(shí)間都在固定的辦公場(chǎng)所,設(shè)備丟失可能性很小,BYOD通常使用移動(dòng)智能終端,更加容易丟失;第三,BYOD使用的個(gè)人設(shè)備上往往同時(shí)安裝很多個(gè)人的APP,而個(gè)人APP市場(chǎng)上的惡意軟件多如牛毛,這就將企業(yè)數(shù)據(jù)置于安全隱患之中。
他進(jìn)一步解釋說(shuō),鏈路接入方面,除了傳統(tǒng)的防火墻,還要防止VPN、鏈路加密、接入認(rèn)證等方面的安全,畢竟通過(guò)運(yùn)營(yíng)商網(wǎng)絡(luò),還有通過(guò)公用WIFI接入,如果沒(méi)有加密技術(shù)的保護(hù),任何人都可能無(wú)障礙地訪問(wèn)到企業(yè)的數(shù)據(jù)。而在終端方面,因?yàn)橛泻芏嗥髽I(yè)數(shù)據(jù)如包含企業(yè)重要信息的電子郵件,落到個(gè)人手機(jī)上,這樣不管是惡意軟件或者設(shè)備丟失,都有可能發(fā)生信息泄密的問(wèn)題。
MIC的調(diào)查佐證了王志海的觀點(diǎn)。調(diào)查發(fā)現(xiàn),將近4%的大型企業(yè)曾經(jīng)遭遇過(guò)移動(dòng)資安事件,主要是受到“設(shè)備失竊(42.1%)、員工將機(jī)密資料存于手機(jī)設(shè)備后外泄(36.8%)、以拍照方式外泄(31.6%)”等因素所引起。
傳統(tǒng)局限:未關(guān)注數(shù)據(jù)安全
雖然上述調(diào)查數(shù)據(jù)顯示移動(dòng)安全事件的比例并不大,但斯諾登的陰影讓我們難以安心:若BYOD的應(yīng)用真正普及之后,傳統(tǒng)的防護(hù)措施將會(huì)捉襟見(jiàn)肘,大抵算是開(kāi)門(mén)揖盜了。
對(duì)于傳統(tǒng)安防措施的不足之處,王志海從技術(shù)角度分析了其不足之處。首先,他認(rèn)為,傳統(tǒng)的安全防護(hù)軟件通常聚焦于防病毒、防火墻、IDS、鏈路加密等,并沒(méi)有真正關(guān)注到數(shù)據(jù),當(dāng)數(shù)據(jù)落地到BYOD設(shè)備上,就再也無(wú)法進(jìn)行管理。另一方面,現(xiàn)在的惡意軟件很難用傳統(tǒng)被動(dòng)防護(hù)的方式來(lái)防御,一些看似合理讀取數(shù)據(jù),往往會(huì)侵害到企業(yè)的信息安全,卻不能被傳統(tǒng)防毒措施所查殺。再者,比如IPsec VPN甚至一些SSL VPN,也難以兼容復(fù)雜多樣的移動(dòng)終端操作系統(tǒng)。
而從設(shè)備管理角度來(lái)說(shuō),BYOD最大的特色是使用個(gè)人的設(shè)備,而目前比較受到關(guān)注的是MDM(移動(dòng)設(shè)備管理)的管理方式。但王志海指出,MDM用傳統(tǒng)的企業(yè)管理PC的模式來(lái)管控這些個(gè)人的設(shè)備,在個(gè)人設(shè)備上安裝和企業(yè)設(shè)備一樣的監(jiān)控系統(tǒng),由于涉及到個(gè)人設(shè)備大量的個(gè)人隱私,會(huì)導(dǎo)致最終用戶的反感,從而影響B(tài)YOD的設(shè)備實(shí)際使用量,這就違反了BYOD部署的初衷。
也就是說(shuō),這種方式只是把個(gè)人設(shè)備當(dāng)成一個(gè)整體來(lái)管,沒(méi)有真正關(guān)注BYOD時(shí)代企業(yè)最關(guān)心的應(yīng)用和企業(yè)的數(shù)據(jù)。
避免誤區(qū):純MDM本質(zhì)上傷害BYOD
從實(shí)踐來(lái)說(shuō),王志海認(rèn)為,國(guó)內(nèi)的企業(yè)做得還并不完善,由于缺乏整體規(guī)劃,終端安全方面的實(shí)踐固然還存在不足,數(shù)據(jù)安全方面也處于開(kāi)始反思、整理、上升的階段。
由于BYOD時(shí)代接入企業(yè)業(yè)務(wù)系統(tǒng)的移動(dòng)設(shè)備的情況相當(dāng)復(fù)雜,企業(yè)也感受到,不論在設(shè)備的管理和維護(hù)還是企業(yè)的信息安全方面,都給企業(yè)IT部門(mén)帶來(lái)了相當(dāng)大的挑戰(zhàn)。在此背景下,許多供應(yīng)商提供了移動(dòng)設(shè)備管理的MDM解決方案,有一些部署MDM解決方案的企業(yè)也自認(rèn)為具有應(yīng)對(duì)BYOD的遠(yuǎn)見(jiàn)。
然而,王志海強(qiáng)調(diào),沒(méi)有關(guān)注到企業(yè)數(shù)據(jù)的MDM,是治標(biāo)不治本的,不能作為移動(dòng)安全防護(hù)的主力軍。“單純的MDM本質(zhì)上對(duì)BYOD是一種傷害,并不是一種助力。”王志海表示,“要慎重采用。”他認(rèn)為,對(duì)MDM的一些公開(kāi)的宣傳與用戶的需求有些脫節(jié)。
另外一個(gè)誤區(qū)就是跨平臺(tái)性。例如,一些企業(yè)做移動(dòng)信息化,出于各種各樣的原因,往往會(huì)找開(kāi)發(fā)移動(dòng)應(yīng)用廠商順便做安全的東西,或者是找終端硬件供應(yīng)商同時(shí)提供一些安全的產(chǎn)品。王志海指出,這樣的做法在初期可能會(huì)節(jié)省成本并縮短部署時(shí)間,但由于設(shè)備和移動(dòng)應(yīng)用的更新很快,這種安全產(chǎn)品往往會(huì)很快就跟不上企業(yè)更新?lián)Q代之后的實(shí)際需求。
王志海強(qiáng)調(diào),明智的策略是明確目標(biāo),進(jìn)行總體規(guī)劃,關(guān)注企業(yè)應(yīng)用和應(yīng)用中的數(shù)據(jù)安全,把邊界給明確。另外,企業(yè)移動(dòng)信息安全是一個(gè)整體,安全同時(shí)包括了BYOD設(shè)備和企業(yè)的設(shè)備、還包括一些企業(yè)的
物聯(lián)網(wǎng)設(shè)備,都是通過(guò)移動(dòng)互聯(lián)網(wǎng)接入,因此,企業(yè)應(yīng)當(dāng)從整體來(lái)規(guī)劃。
明智策略:整體規(guī)劃構(gòu)建安全平臺(tái)
如何進(jìn)行整體規(guī)劃呢?王志海指出,移動(dòng)安全有和企業(yè)的整個(gè)移動(dòng)信息化分不開(kāi),因此企業(yè)首先需要明確哪些業(yè)務(wù)將要放在移動(dòng)信息化的范疇之中,先把業(yè)務(wù)整理清楚,然后不管在移動(dòng)安全,還是整個(gè)移動(dòng)APP應(yīng)用平臺(tái)上,都要以平臺(tái)的方式來(lái)建設(shè)。
他認(rèn)為,技術(shù)平臺(tái)更重要的含義是把一些安全管理的規(guī)范落實(shí)到平臺(tái)上,要求所有的移動(dòng)應(yīng)用按照規(guī)范接入到企業(yè)內(nèi)部的信息系統(tǒng)中來(lái)。
企業(yè)移動(dòng)安全平臺(tái)應(yīng)當(dāng)包括哪些內(nèi)容?王志海說(shuō),首先是MAM(Mobile Application Management,移動(dòng)應(yīng)用管理)。企業(yè)級(jí)的移動(dòng)應(yīng)用發(fā)布,如果通過(guò)公共的App Store或者安卓商店,很容易中木馬,員工要獲取可信可控的APP,可以通過(guò)結(jié)合企業(yè)內(nèi)部App Store的MAM技術(shù)。
其次是鏈路和網(wǎng)絡(luò)安全。除了新技術(shù),包括傳統(tǒng)的防火墻、VPN等方式也要升級(jí)。VPN在沒(méi)有入口、跨平臺(tái)、跨設(shè)備的情況下如何使用?王志海說(shuō),VPN要作為應(yīng)用級(jí)的安全鏈路,這就打破了傳統(tǒng)簡(jiǎn)單的IP層鏈路跨設(shè)備能力弱的瓶頸。
對(duì)于一些有更高級(jí)的要求的企業(yè),王志海建議,可以要求一旦接入企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí)斷開(kāi)其他的網(wǎng)絡(luò),以防止木馬擺渡。
第三,數(shù)據(jù)安全方面,包括數(shù)據(jù)在本地落地的保護(hù),防止木馬,防止第三人拿到設(shè)備看到企業(yè)的數(shù)據(jù),王志海之處,一旦設(shè)備丟失,應(yīng)當(dāng)可以遠(yuǎn)程銷(xiāo)毀。
最后,輔助性的終端管理,即MDM。比如有些企業(yè)可能需要禁止不安全的WIFI,王志海認(rèn)為,可以做到當(dāng)企業(yè)級(jí)應(yīng)用開(kāi)始運(yùn)行的時(shí)候,才會(huì)啟用該策略,當(dāng)企業(yè)級(jí)應(yīng)用關(guān)閉時(shí),就是個(gè)人設(shè)備作為滿足個(gè)人的需求使用,無(wú)須干涉。
基本原則:勿忘獨(dú)立性與合規(guī)性
建設(shè)移動(dòng)安全平臺(tái)需要注意的事項(xiàng),王志海指出,應(yīng)當(dāng)堅(jiān)持兩個(gè)基本的原則,首先是移動(dòng)安全管理的獨(dú)立性,即獨(dú)立于軟硬件的廠商,對(duì)各種應(yīng)用和各種終端平臺(tái),都可以支撐。其次,要考慮合規(guī)性,尤其是一些大型的國(guó)企,必須選擇符合安全法規(guī)的產(chǎn)品,以確保安全并避免投資浪費(fèi)。
專家簡(jiǎn)介
王志海先生是中國(guó)領(lǐng)先的內(nèi)網(wǎng)安全、數(shù)據(jù)安全與移動(dòng)安全產(chǎn)品廠商北京明朝萬(wàn)達(dá)公司主要?jiǎng)?chuàng)始人,現(xiàn)任北京明朝萬(wàn)達(dá)董事長(zhǎng)兼總裁。王志海先生畢業(yè)于清華大學(xué)和中國(guó)科學(xué)院,曾由清華大學(xué)出版專著《OpenSSL與網(wǎng)絡(luò)信息安全》。此外,王志海先生還擔(dān)任中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)常務(wù)委員、《信息安全技術(shù)》編委會(huì)委員的職務(wù)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:BYOD時(shí)代移動(dòng)信息安全:必須關(guān)注數(shù)據(jù)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839618250.html