Erik Greenwood表示暑假的结束常常意味着恶意软件肆虐的季节即将来临
【51CTO专稿】大家不妨想象一下这样一家企业,每位员工都能在一年中得到连续数月假期。听起来像是在做梦,但随着BYOD时代的来临,这完全有可能成为现实,并且成为IT管理者最恐怖的噩梦。
阿纳海姆联合高中学区(简称AUHSD,其中包含加州21所学校以及33000名网络访问用户)CTO Erik Greenwood表示,暑假的结束常常意味着恶意软件肆虐的季节即将来临。
教职员工们在悠闲的夏日中随意浏览网页、自由点击链接、毫无顾忌地打开电子邮件附件并很少对软件进行更新,Greenwood指出。如此一来,当员工带着自有设备返回校园时,病毒也将尾行而至。
有一种病毒会强迫学区整套邮件系统进行全面重新安装及更新。而在另一次状况下,学区的IT部门不得不“隔离并断开子网,借以尝试对病毒加以定位,”Greenwood无奈地表示。
每次意外状况的出现都导致技术部门拿出额外的“数百个小时”进行处理,他解释道。“我们本可以把这部分时间和精力用在更具建设性的新项目上,但现在却不得不用来处理烂摊子,”Greenwood补充称。
Greenwood接下来又聊起网络访问控制话题。“我们遭遇到一种特定病毒,现有杀毒软件在对其进行查杀以防止大规模爆发时面临着严峻挑战,”Greenwood表示。“而且我们已经开始将网络访问控制视为基础设施中的必要组成部件,这不仅是为了解决员工带来的安全隐患,希望在校园网络中使用自有设备的新生也是我们关注的重点。”
但安全还不是Greenwood关注的惟一对象。他回忆称学区网络曾多次被恶意设备弄到崩溃——一所学校无法为接入设备提供足够的IP地址。还有一回,一台接入网络的恶意设备开始取代DHCP服务器进行运作,成功将学区内的真正DHCP服务器挤到一边并接手了IP地址的分配工作。
该学区部署了一套来自Bradford网络公司的网络访问控制方案,并通过自定义调整让这套方案适应学区的独特需求。目前校区网络需要接纳来自一万两千多台设备的访问流量——对象从PC到打印机一应俱全——并需要有能力容纳由外来设备接入所引发的流量波动状况。
Greenwood指出最初这套方案只针对应用层,而后又将通信应用涵盖了进来。该项目涉及到设定政策、限制哪些用户可以通过哪些设备访问网络以及允许用户访问哪类内容等等。由于移动市场中新应用与内容交付格式始终处于变化之中,Greenwood表示他已经开始采取更加严格的规定,并通过扩展让这些规定始终与用户可能出现的新需求相契合。
“由于我们的规模仍在不断扩大,因此系统对于带宽的占用与争夺也在持续加剧,”Greenwood表示。“这种趋势无法改变,因此我们必须努力发展自身网络,这将成为一项长期而艰巨的挑战。”
#p#
失物招领
Greenwood并不是惟一一位肩负BYOD后续困扰的管理者。非营利组织人类发展资源(简称RHD)CTO Endre Walls也指出,员工个人智能手机丢失的现象屡屡发生,由于这些手机很可能通过业务账户进行后台信息同步,这就使得许多重要数据面临泄露的风险。
“设备丢失对我们来说显然是个很大的安全问题,因为如果用户在我们的MDM及管理政策实施之前就在移动设备上使用了业务邮件,那么由该设备发起的访问活动将无法被有效监控,”Walls指出。“这对我们来说始终是个老大难问题。很多情况下我们需要通过讲解帮助用户将两种情况结合起来进行理解——首先,我丢了设备;其次,这对于整个机构而言是个潜在的隐患:二者其实是一回事。”
但几乎没有多少丢过设备的员工会想到把情况汇报给IT部门,即使在设备已经与企业应用自动同步的情况下也是如此。对于这类员工,我们几乎不能指望他们会在个人设备上设置验证及解锁机制,“因为没有哪条政策会事无巨细地提醒员工‘为手机设定PIN码’,”Walls解释道。
“在软件与相关政策落实到位之前,大家往往会花几天时间进行讨论,但却根本不知道究竟会发生哪些意外情况,”Walls表示。
RHD目前已经有能力对员工个人设备上的业务数据及应用进行远程清除,如果员工本人允许,管理者甚至能够彻底清除设备上的所有资料。同样重要的是,IT部门的所有员工都清醒地意识到,任何能够与企业应用同步的设备——无论它属于谁——都需要在丢失时得到严格而及时的处理。
然而,员工们的设备即使不发生丢失,也同时有可能将敏感业务数据泄露出去。MDM供应商MobileIron公司战略部门副总裁Ojas Rege告诉我们,很多消费级设备会针对云端文档的开启、查看与保存进行优化。由此引发的风险可能根本不会引起消费者的丝毫防范。
“iPad上引发数据丢失的首要根源就是邮件附件,”Rege表示。“因此从传统意义上讲,当我们在iOS系统中使用电子邮件并点击附件时,系统会自动将所打开的文档信息保存在云端并展示给设备的所有使用者。因此只要我们点击一下Dropbox,业务数据就已经面临丢失风险了。每个邮件附件的泄露很可能都源于用户的轻轻一点。”
当然,这些严峻问题已经引起了IT管理者的重视,技术团队会抓紧部署移动设备管理、网络访问控制或移动数据保护软件。不过要想部署软件,首先得创建一套策略,而策略本身也会带来安全风险。
#p#
法律问题
MobileIron公司客户咨询服务部经理Ann Marie Cullen指出,法律问题应该成为任何一家有计划推出全新BYOD方案的企业所考虑的首要内容。Cullen与MobileIron公司的客户们直接接触,并帮助他们制定推出移动规划的具体方案。
“我们看到客户最常犯的一大错误在于没有将确切的利益相关者纳入到计划制定中来,”Cullen指出。“因此他们需要借助外界IT资源,并由此引发了法律、人力资源、财务及项目开发合规性等一系列麻烦。”
在列举的一个实例中,Cullen发现某个IT部门已经及时完成了策略的构建工作,但却在着手部署之前被法律部门紧急叫停。
“这个项目给企业带来太多责任负担,因此IT部门不得不重新返回草案阶段并在法律人士的介入下二次规划,”她指出。
尽管这种回炉事件令人沮丧,但法律团队的介入对IT部门而言未尝不是一种幸运。在2012年《今日美国》发布的一份报告中,调查人员发现针对薪资及工作时长的诉讼案件数量从2008年到2012年增长了32%。员工们在家中通过个人智能手机访问业务信息及应用的行为突然变成了加班活动,由于从未因此获得经济补偿,很多人不惜将企业告上法庭。在去年的一次案件中,某位医药销售代表甚至将东家告上了最高法院。
隐私问题也成为一大困扰。任何一款GPS监测应用,尤其是能够追踪员工位置的应用,都很可能从法律角度引发严重纠纷。Rege认为,任何一家尊重员工隐私的企业都应该提前将责任划分清晰。
“用户可能会担心‘IT部门会不会看我的私人照片,或者读我的短信内容,’”Rege表示。“其中很多顾虑从技术角度上看根本不存在。虽然不属于技术问题,但这却成为企业与员工之间的一层重要隔阂。”
另一项更具技术气息的难题在于,企业该如何在合理范围内使用远程数据清除功能。设备丢失造成威胁,最常见的解决方案自然是采用远程数据清除工具。它允许管理者将被员工遗失的设备中的所有数据加以删除并关闭。在企业用户大规模使用黑莓产品的时候,这项工作进行得非常顺利,但在使用个人手机的员工群体中却也引发过不少现实问题。
去年在组织家庭假期旅行时,Mimecast公司CEO Peter Bauer五岁大的女儿意外拿到了他的iPhone。他一直以来都使用这台设备进行拍照并处理业务信息。悲剧的是,他的小女儿连续五次办理错了PIN码,由Bauer亲自批准的MDM方案毫不留情地发挥作用,把设备上的照片和数据一股脑删了个精光。
虽然多数IT部门都倾向于只清除设备上的业务数据,但Bauer认为企业最好还是采取全部清除的方案,因为员工常常会把会议上的板书或演示报告中的屏幕内容直接拍照保存。在这种情况下,部分清除可能会遗漏掉移动设备上的某些敏感信息。
Bauer的遭遇虽然非常罕见,但它却反映出了我们在制定BYOD策略时进行主动沟通的重要性。每家企业都有自身的特殊情况,这就需要以与众不同的方式解决移动性难题。尤其是在处理与员工个人财产方面,沟通与反馈是实现成功部署的关键。处理BYOD事务时,IT部门不应惧怕变更自身在企业中的角色定位,Rege指出。
“一拍脑门就喊出‘我要给用户更多自由空间、我要专注于培训和沟通’根本不会IT部门任何实质性指导,”他解释道。“我知道很多IT部门由于不了解如何设定条条框框而显得步履维艰,但他们会在实践中逐渐摸索出经验并找到明确的执行方针。”
事实上,Walls认为BYOD战略对于他的IT部门而言是个很好的机会,技术人员可以介此与机构中的其它部门开展前所未有的协作与交流。这种与IT部门之间的亲密友谊在前BYOD时代几乎是不可想象的,正是这种协作关系才能帮助整个机构免受移动员工所带来的意外困扰。
“这正是安全意识、用户培训与交流沟通如此重要的原因所在。我认为无论怎么强调都不过分,”Walls补充道。“这是我第一次面对如此重要的战略性专业机遇,我认为成功打造起BYOD运营体系将给企业带来远超过其它环境的优势执行效率。”