当前移动智能终端的能力日进千里,企业移动解决方案随着移动互联网的发展渐渐成熟,BYOD(携带自己的设备办公)也趁势走俏。BYOD模式对于提升企业工作效率和满足员工个性化需求方面具有莫大的优势,但也不可避免地带来新的安全威胁。
为帮助企业解答BYOD的安全困惑,并走上高效、安全的移动信息化之路,近日记者采访了知名移动信息化安全专家、北京明朝万达科技有限公司(以下简称“明朝万达”)董事长兼总裁王志海,探讨了在BYOD时代企业信息安全存在的安全隐患,以及企业应当如何来防范这些新的安全威胁。
从BYOD工作模式的特点出发,王志海分析了传统应对方式存在的一些不足之处。并表示:BYOD是移动信息化一个重要的部分,不能将BYOD安全与移动信息安全割裂,还要把移动安全置于整个企业的移动信息化策略之中考虑。
换言之,传统的企业信息安全范式必须被打破,企业要从实际的移动业务系统建设需要出发,构建一个技术平台,从数据、应用、网络和设备等多个层面来整体管理BYOD时代的信息安全。
BYOD:三大安全隐患待解
我国BYOD的安全形势不容乐观。根据产业情报研究所(MIC)针对国内企业移动资安投资需求的调查结果显示,85%以上的企业认为,有必要锁定BYOD行为,再加强企业内部的移动资安防护。但目前只有12%的大型企业建置移动安全解决方案,60%以上的大型企业表示,将在考量BYOD的资安问题下增加对移动资安的投资。
BYOD究竟如何不安全?王志海指出,相比传统信息化的模式,BYOD环境主要存在三个方面的安全隐患:首先是通过移动网络链路接入,天然处在一个开放的网络,而传统重要的信息系统都是通过企业内网接入;其次,使用的环境与传统信息化模式不一样,传统的大部分时间都在固定的办公场所,设备丢失可能性很小,BYOD通常使用移动智能终端,更加容易丢失;第三,BYOD使用的个人设备上往往同时安装很多个人的APP,而个人APP市场上的恶意软件多如牛毛,这就将企业数据置于安全隐患之中。
他进一步解释说,链路接入方面,除了传统的防火墙,还要防止VPN、链路加密、接入认证等方面的安全,毕竟通过运营商网络,还有通过公用WIFI接入,如果没有加密技术的保护,任何人都可能无障碍地访问到企业的数据。而在终端方面,因为有很多企业数据如包含企业重要信息的电子邮件,落到个人手机上,这样不管是恶意软件或者设备丢失,都有可能发生信息泄密的问题。
MIC的调查佐证了王志海的观点。调查发现,将近4%的大型企业曾经遭遇过移动资安事件,主要是受到“设备失窃(42.1%)、员工将机密资料存于手机设备后外泄(36.8%)、以拍照方式外泄(31.6%)”等因素所引起。
传统局限:未关注数据安全
虽然上述调查数据显示移动安全事件的比例并不大,但斯诺登的阴影让我们难以安心:若BYOD的应用真正普及之后,传统的防护措施将会捉襟见肘,大抵算是开门揖盗了。
对于传统安防措施的不足之处,王志海从技术角度分析了其不足之处。首先,他认为,传统的安全防护软件通常聚焦于防病毒、防火墙、IDS、链路加密等,并没有真正关注到数据,当数据落地到BYOD设备上,就再也无法进行管理。另一方面,现在的恶意软件很难用传统被动防护的方式来防御,一些看似合理读取数据,往往会侵害到企业的信息安全,却不能被传统防毒措施所查杀。再者,比如IPsecVPN甚至一些SSLVPN,也难以兼容复杂多样的移动终端操作系统。
而从设备管理角度来说,BYOD最大的特色是使用个人的设备,而目前比较受到关注的是MDM(移动设备管理)的管理方式。但王志海指出,MDM用传统的企业管理PC的模式来管控这些个人的设备,在个人设备上安装和企业设备一样的监控系统,由于涉及到个人设备大量的个人隐私,会导致最终用户的反感,从而影响BYOD的设备实际使用量,这就违反了BYOD部署的初衷。
也就是说,这种方式只是把个人设备当成一个整体来管,没有真正关注BYOD时代企业最关心的应用和企业的数据。
避免误区:纯MDM本质上伤害BYOD
从实践来说,王志海认为,国内的企业做得还并不完善,由于缺乏整体规划,终端安全方面的实践固然还存在不足,数据安全方面也处于开始反思、整理、上升的阶段。
由于BYOD时代接入企业业务系统的移动设备的情况相当复杂,企业也感受到,不论在设备的管理和维护还是企业的信息安全方面,都给企业IT部门带来了相当大的挑战。在此背景下,许多供应商提供了移动设备管理的MDM解决方案,有一些部署MDM解决方案的企业也自认为具有应对BYOD的远见。
然而,王志海强调,没有关注到企业数据的MDM,是治标不治本的,不能作为移动安全防护的主力军。“单纯的MDM本质上对BYOD是一种伤害,并不是一种助力。”王志海表示,“要慎重采用。”他认为,对MDM的一些公开的宣传与用户的需求有些脱节。
另外一个误区就是跨平台性。例如,一些企业做移动信息化,出于各种各样的原因,往往会找开发移动应用厂商顺便做安全的东西,或者是找终端硬件供应商同时提供一些安全的产品。王志海指出,这样的做法在初期可能会节省成本并缩短部署时间,但由于设备和移动应用的更新很快,这种安全产品往往会很快就跟不上企业更新换代之后的实际需求。
王志海强调,明智的策略是明确目标,进行总体规划,关注企业应用和应用中的数据安全,把边界给明确。另外,企业移动信息安全是一个整体,安全同时包括了BYOD设备和企业的设备、还包括一些企业的物联网设备,都是通过移动互联网接入,因此,企业应当从整体来规划。
明智策略:整体规划构建安全平台
如何进行整体规划呢?王志海指出,移动安全有和企业的整个移动信息化分不开,因此企业首先需要明确哪些业务将要放在移动信息化的范畴之中,先把业务整理清楚,然后不管在移动安全,还是整个移动APP应用平台上,都要以平台的方式来建设。
他认为,技术平台更重要的含义是把一些安全管理的规范落实到平台上,要求所有的移动应用按照规范接入到企业内部的信息系统中来。
企业移动安全平台应当包括哪些内容?王志海说,首先是MAM(Mobile Application Management,移动应用管理)。企业级的移动应用发布,如果通过公共的AppStore或者安卓商店,很容易中木马,员工要获取可信可控的APP,可以通过结合企业内部App Store的MAM技术。
其次是链路和网络安全。除了新技术,包括传统的防火墙、VPN等方式也要升级。VPN在没有入口、跨平台、跨设备的情况下如何使用?王志海说,VPN要作为应用级的安全链路,这就打破了传统简单的IP层链路跨设备能力弱的瓶颈。
对于一些有更高级的要求的企业,王志海建议,可以要求一旦接入企业内部网络时断开其他的网络,以防止木马摆渡。
第三,数据安全方面,包括数据在本地落地的保护,防止木马,防止第三人拿到设备看到企业的数据,王志海之处,一旦设备丢失,应当可以远程销毁。
最后,辅助性的终端管理,即MDM。比如有些企业可能需要禁止不安全的WIFI,王志海认为,可以做到当企业级应用开始运行的时候,才会启用该策略,当企业级应用关闭时,就是个人设备作为满足个人的需求使用,无须干涉。
基本原则:勿忘独立性与合规性
建设移动安全平台需要注意的事项,王志海指出,应当坚持两个基本的原则,首先是移动安全管理的独立性,即独立于软硬件的厂商,对各种应用和各种终端平台,都可以支撑。其次,要考虑合规性,尤其是一些大型的国企,必须选择符合安全法规的产品,以确保安全并避免投资浪费